Partilhar via


Política CSP – LocalPoliciesSecurityOptions

Logótipo do Windows Insider.

Importante

Esse CSP contém algumas configurações que estão em desenvolvimento e só se aplicam Windows Insider Preview builds. Essas configurações estão sujeitas a alterações e podem ter dependências de outros recursos ou serviços em versão prévia.

Observação

Para localizar formatos de dados (e outros detalhes relacionados com a política), veja Ficheiro DDF da Política.

Accounts_BlockMicrosoftAccounts

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

Esta definição de política impede que os utilizadores adicionem novas contas Microsoft neste computador. Se selecionar a opção "Os utilizadores não podem adicionar contas Microsoft", os utilizadores não poderão criar novas contas Microsoft neste computador, mudar uma conta local para uma conta Microsoft ou ligar uma conta de domínio a uma conta Microsoft. Esta é a opção preferencial se precisar de limitar a utilização de contas Microsoft na sua empresa. Se selecionar a opção "Os utilizadores não podem adicionar ou iniciar sessão com contas Microsoft", os utilizadores existentes da conta Microsoft não poderão iniciar sessão no Windows. Selecionar esta opção poderá impossibilitar que um administrador existente neste computador inicie sessão e faça a gestão do sistema. Se desativar ou não configurar esta política (recomendado), os utilizadores poderão utilizar contas Microsoft com o Windows.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado (os utilizadores poderão utilizar contas Microsoft com o Windows).
1 Ativado (os utilizadores não podem adicionar contas Microsoft).
3 Os utilizadores não podem adicionar ou iniciar sessão com contas Microsoft.

Mapeamento de política de grupo:

Nome Valor
Nome Contas: Bloquear contas da Microsoft
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Accounts_EnableAdministratorAccountStatus

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

Esta definição de segurança determina se a conta de Administrador local está ativada ou desativada.

Observação

Se tentar reativar a conta de Administrador depois de esta ter sido desativada e se a palavra-passe de Administrador atual não cumprir os requisitos de palavra-passe, não poderá reativar a conta. Neste caso, um membro alternativo do grupo Administradores tem de repor a palavra-passe na conta de Administrador. Para obter informações sobre como repor uma palavra-passe, consulte Para repor uma palavra-passe. Desativar a conta de Administrador pode tornar-se um problema de manutenção em determinadas circunstâncias. Em Arranque do Modo de Segurança, a conta de Administrador desativada só será ativada se o computador não estiver associado a um domínio e não existirem outras contas de administrador ativas locais. Se o computador estiver associado a um domínio, o administrador desativado não será ativado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Contas: Status da conta de administrador
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Accounts_EnableGuestAccountStatus

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus

Esta definição de segurança determina se a conta de Convidado está ativada ou desativada. Nota: se a conta de Convidado estiver desativada e a opção de segurança Acesso à Rede: Partilha e Modelo de Segurança para contas locais estiver definida como Apenas Convidado, os inícios de sessão de rede, como os executados pelo Microsoft Network Server (Serviço SMB), falharão.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Contas: Status da conta de convidado
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Contas: limitar a utilização da conta local de palavras-passe em branco apenas ao início de sessão da consola Esta definição de segurança determina se as contas locais que não estão protegidas por palavra-passe podem ser utilizadas para iniciar sessão a partir de localizações que não sejam a consola do computador físico. Se estiver ativada, as contas locais que não estejam protegidas por palavra-passe só poderão iniciar sessão no teclado do computador. Aviso: os computadores que não estejam em localizações fisicamente seguras devem sempre impor políticas de palavra-passe fortes para todas as contas de utilizador locais. Caso contrário, qualquer pessoa com acesso físico ao computador pode iniciar sessão utilizando uma conta de utilizador que não tenha uma palavra-passe. Isto é especialmente importante para computadores portáteis. Se aplicar esta política de segurança ao grupo Todos, ninguém poderá iniciar sessão através dos Serviços de Ambiente de Trabalho Remoto.

Observação

Esta definição não afeta os inícios de sessão que utilizam contas de domínio. É possível que as aplicações que utilizam inícios de sessão interativos remotos ignorem esta definição.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Disabled.
1 (Predefinição) Enabled.

Mapeamento de política de grupo:

Nome Valor
Nome Contas: Limitar o uso em contas locais de senhas em branco somente para logon no console
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Accounts_RenameAdministratorAccount

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

Contas: Mudar o nome da conta de administrador Esta definição de segurança determina se um nome de conta diferente está associado ao identificador de segurança (SID) para o Administrador de conta. Mudar o nome da conhecida conta de Administrador torna um pouco mais difícil para as pessoas não autorizadas adivinharem esta combinação de nome de utilizador e palavra-passe privilegiada. Predefinição: Administrador.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão Administrador

Mapeamento de política de grupo:

Nome Valor
Nome Contas: Renomear conta de administrador
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Accounts_RenameGuestAccount

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

Contas: Mudar o nome da conta de convidado Esta definição de segurança determina se um nome de conta diferente está associado ao identificador de segurança (SID) da conta "Convidado". Mudar o nome da conhecida conta de Convidado torna um pouco mais difícil para as pessoas não autorizadas adivinharem esta combinação de nome de utilizador e palavra-passe. Predefinição: Convidado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão Convidado

Mapeamento de política de grupo:

Nome Valor
Nome Contas: Renomear conta de convidado
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Audit_AuditTheUseOfBackupAndRestoreprivilege

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege

Auditoria: Auditar a utilização do privilégio de Cópia de Segurança e Restauro Esta definição de segurança determina se deve auditar a utilização de todos os privilégios de utilizador, incluindo Cópia de Segurança e Restauro, quando a política de utilização de privilégios de Auditoria está em vigor. Ativar esta opção quando a política de utilização de privilégios de Auditoria também está ativada gera um evento de auditoria para cada ficheiro que tenha sido efetuada uma cópia de segurança ou restaurada. Se desativar esta política, a utilização do privilégio Cópia de Segurança ou Restauro não será auditada mesmo quando a utilização de privilégios de Auditoria está ativada.

Observação

Nas versões do Windows antes de o Windows Vista configurar esta definição de segurança, as alterações só entrarão em vigor quando reiniciar o Windows. Ativar esta definição pode causar muitos eventos, por vezes centenas por segundo, durante uma operação de cópia de segurança.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato b64
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão AA==

Valores Permitidos:

Valor Descrição
AQ== Habilitar.
AA== (Predefinição) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria: Auditar o uso dos privilégios de Backup e Restauração
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Auditoria: forçar as definições de subcategoria da política de auditoria (Windows Vista ou posterior) a substituir as definições de categoria de política de auditoria do Windows Vista e versões posteriores do Windows permitem que a política de auditoria seja gerida de forma mais precisa através de subcategorias de política de auditoria. Definir a política de auditoria ao nível da categoria substituirá a nova funcionalidade de política de auditoria de subcategoria. Política de Grupo apenas permite definir a política de auditoria ao nível da categoria e a política de grupo existente pode substituir as definições de subcategoria de novos computadores à medida que estão associados ao domínio ou atualizados para o Windows Vista ou versões posteriores. Para permitir que a política de auditoria seja gerida através de subcategorias sem que seja necessária uma alteração ao Política de Grupo, existe um novo valor de registo no Windows Vista e versões posteriores, SCENoApplyLegacyAuditPolicy, que impede a aplicação da política de auditoria ao nível da categoria de Política de Grupo e da ferramenta administrativa Política de Segurança Local. Se a política de auditoria de nível de categoria definida aqui não for consistente com os eventos que estão atualmente a ser gerados, a causa pode ser que esta chave de registo esteja definida. Predefinição: ativado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Auditoria: Encerrar o sistema imediatamente se não conseguir registar as auditorias de segurança Esta definição de segurança determina se o sistema é encerrado se não conseguir registar eventos de segurança. Se esta definição de segurança estiver ativada, fará com que o sistema pare se não for possível registar uma auditoria de segurança por qualquer motivo. Normalmente, um evento não é registado quando o registo de auditoria de segurança está cheio e o método de retenção especificado para o registo de segurança é Não Substituir Eventos ou Substituir Eventos por Dias. Se o registo de segurança estiver cheio e não for possível substituir uma entrada existente e esta opção de segurança estiver ativada, será apresentado o seguinte erro Fatal: STOP: C0000244 {Audit Failed} Uma tentativa de gerar uma auditoria de segurança falhou. Para recuperar, um administrador tem de iniciar sessão, arquivar o registo (opcional), limpar o registo e repor esta opção conforme pretendido. Até que esta definição de segurança seja reposta, nenhum utilizador, além de um membro do grupo Administradores, poderá iniciar sessão no sistema, mesmo que o registo de segurança não esteja cheio.

Observação

Nas versões do Windows antes de o Windows Vista configurar esta definição de segurança, as alterações só entrarão em vigor quando reiniciar o Windows.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 0

Devices_AllowedToFormatAndEjectRemovableMedia

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

Dispositivos: permitido formatar e ejetar suportes de dados amovíveis Esta definição de segurança determina quem tem permissão para formatar e ejetar suportes de dados NTFS amovíveis. Esta capacidade pode ser atribuída a: Administradores Administradores e Utilizadores Interativos Predefinição: esta política não está definida e apenas os Administradores têm esta capacidade.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Dispositivos: Permissão para formatar e ejetar a mídia removível
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Devices_AllowUndockWithoutHavingToLogon

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

Dispositivos: permitir desancorar sem ter de iniciar sessão Esta definição de segurança determina se um computador portátil pode ser desancorado sem ter de iniciar sessão.

  • Se esta política estiver ativada, o início de sessão não é necessário e pode ser utilizado um botão de ejeção de hardware externo para desancorar o computador.

  • Se estiver desativado, um utilizador tem de iniciar sessão e ter o privilégio Remover computador da estação de ancoragem para desancorar o computador.

Cuidado

Desativar esta política pode tentar que os utilizadores tentem remover fisicamente o portátil da estação de ancoragem através de métodos que não o botão de ejeção de hardware externo. Uma vez que isto pode causar danos no hardware, esta definição, em geral, só deve ser desativada em configurações de portáteis fisicamente com segurança.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Permitir.
0 Bloqueio.

Mapeamento de política de grupo:

Nome Valor
Nome Dispositivos: Permitir desencaixe sem fazer logon
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Dispositivos: impedir que os utilizadores instalem controladores de impressora ao ligar a impressoras partilhadas Para que um computador imprima numa impressora partilhada, o controlador dessa impressora partilhada tem de estar instalado no computador local. Esta definição de segurança determina quem tem permissão para instalar um controlador de impressora como parte da ligação a uma impressora partilhada.

  • Se esta definição estiver ativada, apenas os Administradores podem instalar um controlador de impressora como parte da ligação a uma impressora partilhada.

  • Se esta definição estiver desativada, qualquer utilizador pode instalar um controlador de impressora como parte da ligação a uma impressora partilhada. Predefinição em servidores: ativado. Predefinição em estações de trabalho: Notas Desativadas Esta definição não afeta a capacidade de adicionar uma impressora local. Esta definição não afeta os Administradores.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Dispositivos: Evitar que usuários instalem drivers de impressora
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Dispositivos: Restringir o acesso de CD-ROM apenas a utilizadores com sessão iniciada localmente Esta definição de segurança determina se um CD-ROM está acessível a utilizadores locais e remotos em simultâneo.

  • Se esta política estiver ativada, permite que apenas o utilizador com sessão iniciada interativa aceda a suportes de dados CD-ROM amovíveis.

  • Se esta política estiver ativada e ninguém tiver sessão iniciada interativamente, o CD-ROM pode ser acedido através da rede. Predefinição: esta política não está definida e o acesso CD-ROM não está restrito ao utilizador com sessão iniciada localmente.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Dispositivos: Restringir o acesso ao CD-ROM somente para usuário conectado localmente
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Dispositivos: restringir o acesso de disquetes apenas ao utilizador com sessão iniciada localmente Esta definição de segurança determina se os suportes de dados amovíveis estão acessíveis para utilizadores locais e remotos em simultâneo.

  • Se esta política estiver ativada, permite que apenas o utilizador com sessão iniciada interativa aceda a disquetes amovíveis.

  • Se esta política estiver ativada e ninguém tiver sessão iniciada interativamente, a disquete pode ser acedida através da rede. Predefinição: esta política não está definida e o acesso à unidade de disco disquetes não está restrito ao utilizador com sessão iniciada localmente.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Dispositivos: Restringir o acesso ao disquete somente para usuário conectado localmente
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Membro do domínio: encriptar digitalmente ou assinar dados de canal seguro (sempre) Esta definição de segurança determina se todo o tráfego de canal seguro iniciado pelo membro do domínio tem de ser assinado ou encriptado. Quando um computador associa um domínio, é criada uma conta de computador. Depois disso, quando o sistema é iniciado, utiliza a palavra-passe da conta de computador para criar um canal seguro com um controlador de domínio para o respetivo domínio. Este canal seguro é utilizado para executar operações como a autenticação pass-through NTLM, SID/nome LSA Pesquisa, etc. Esta definição determina se todo o tráfego de canal seguro iniciado pelo membro do domínio cumpre os requisitos mínimos de segurança. Especificamente, determina se todo o tráfego de canal seguro iniciado pelo membro do domínio tem de ser assinado ou encriptado.

  • Se esta política estiver ativada, o canal seguro não será estabelecido a menos que seja negociada a assinatura ou encriptação de todo o tráfego de canal seguro.

  • Se esta política estiver desativada, a encriptação e a assinatura de todo o tráfego de canal seguro são negociadas com o Controlador de Domínio, caso em que o nível de assinatura e encriptação depende da versão do Controlador de Domínio e das definições das duas seguintes políticas: Membro do domínio: Encriptar digitalmente dados de canal seguro (sempre que possível) Membro do domínio: Assinar digitalmente dados de canal seguro (sempre que possível) Notas: se esta política estiver ativada, assume-se que o membro do Domínio da política: Assinar digitalmente dados de canal seguro (sempre que possível) estiver ativado, independentemente da definição atual. Isto garante que o membro do domínio tenta negociar, pelo menos, a assinatura do tráfego de canal seguro. As informações de início de sessão transmitidas através do canal seguro são sempre encriptadas independentemente de a encriptação de TODO o tráfego de canal seguro ser negociada ou não.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

Mapeamento de política de grupo:

Nome Valor
Nome Membro do domínio: Criptografar ou assinar digitalmente os dados de canal seguro (sempre)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Membro do domínio: encriptar digitalmente dados de canais seguros (sempre que possível) Esta definição de segurança determina se um membro do domínio tenta negociar a encriptação para todo o tráfego de canal seguro que inicia. Quando um computador associa um domínio, é criada uma conta de computador. Depois disso, quando o sistema é iniciado, utiliza a palavra-passe da conta de computador para criar um canal seguro com um controlador de domínio para o respetivo domínio. Este canal seguro é utilizado para executar operações como a autenticação pass-through NTLM, SID/nome LSA Lookup, etc. Esta definição determina se o membro do domínio tenta ou não negociar a encriptação para todo o tráfego de canal seguro que inicia. Se estiver ativado, o membro do domínio pedirá a encriptação de todo o tráfego de canal seguro. Se o controlador de domínio suportar a encriptação de todo o tráfego de canal seguro, todo o tráfego de canal seguro será encriptado. Caso contrário, apenas as informações de início de sessão transmitidas através do canal seguro serão encriptadas. Se esta definição estiver desativada, o membro do domínio não tentará negociar a encriptação de canal seguro. Importante Não existe nenhuma razão conhecida para desativar esta definição. Para além de reduzir desnecessariamente o nível de confidencialidade potencial do canal seguro, desativar esta definição pode reduzir desnecessariamente o débito de canal seguro, uma vez que as chamadas à API simultâneas que utilizam o canal seguro só são possíveis quando o canal seguro é assinado ou encriptado.

Observação

Os controladores de domínio também são membros de domínio e estabelecem canais seguros com outros controladores de domínio no mesmo domínio, bem como controladores de domínio em domínios fidedignos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

Mapeamento de política de grupo:

Nome Valor
Nome Membro do domínio: Criptografar digitalmente os dados de canal seguro (quando possível)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

DomainMember_DigitallySignSecureChannelDataWhenPossible

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible

Membro do domínio: assinar digitalmente dados de canal seguro (sempre que possível) Esta definição de segurança determina se um membro do domínio tenta negociar a assinatura de todo o tráfego de canal seguro que inicia. Quando um computador associa um domínio, é criada uma conta de computador. Depois disso, quando o sistema é iniciado, utiliza a palavra-passe da conta de computador para criar um canal seguro com um controlador de domínio para o respetivo domínio. Este canal seguro é utilizado para executar operações como a autenticação pass-through NTLM, SID/nome LSA Pesquisa, etc. Esta definição determina se o membro do domínio tenta ou não negociar a assinatura de todo o tráfego de canal seguro que inicia. Se estiver ativado, o membro do domínio pedirá a assinatura de todo o tráfego de canal seguro. Se o Controlador de Domínio suportar a assinatura de todo o tráfego de canal seguro, todo o tráfego de canal seguro será assinado, o que garante que não pode ser adulterado em trânsito.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

Mapeamento de política de grupo:

Nome Valor
Nome Membro do domínio: Assinar digitalmente os dados de canal seguro (quando possível)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

DomainMember_DisableMachineAccountPasswordChanges

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges

Membro do domínio: Desativar alterações à palavra-passe da conta de computador Determina se um membro do domínio altera periodicamente a palavra-passe da conta de computador.

  • Se esta definição estiver ativada, o membro do domínio não tentará alterar a palavra-passe da conta de computador.

  • Se esta definição estiver desativada, o membro do domínio tenta alterar a palavra-passe da conta de computador, conforme especificado pela definição para Membro do Domínio: Idade máxima para a palavra-passe da conta de computador, que por predefinição é de 30 dias. Notas Esta definição de segurança não deve ser ativada. As palavras-passe da conta de computador são utilizadas para estabelecer comunicações de canal seguras entre membros e controladores de domínio e, dentro do domínio, entre os próprios controladores de domínio. Depois de estabelecido, o canal seguro é utilizado para transmitir informações confidenciais necessárias para tomar decisões de autenticação e autorização. Esta definição não deve ser utilizada numa tentativa de suportar cenários de arranque duplo que utilizem a mesma conta de computador. Se quiser efetuar o arranque duplo de duas instalações associadas ao mesmo domínio, atribua nomes de computador diferentes às duas instalações.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Membro do domínio: Desativar alterações de senha de conta do computador
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

DomainMember_MaximumMachineAccountPasswordAge

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge

Membro do domínio: Idade máxima da palavra-passe da conta de computador Esta definição de segurança determina a frequência com que um membro do domínio tentará alterar a palavra-passe da conta de computador. Predefinição: 30 dias.

Importante

Esta definição aplica-se a computadores com o Windows 2000, mas não está disponível através das ferramentas de segurança Configuration Manager nestes computadores.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-999]
Valor Padrão 30

Mapeamento de política de grupo:

Nome Valor
Nome Membro do domínio: Idade máxima da senha de conta do computador
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

DomainMember_RequireStrongSessionKey

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey

Membro do domínio: exigir chave de sessão forte (Windows 2000 ou posterior) Esta definição de segurança determina se a força da chave de 128 bits é necessária para dados de canal seguro encriptados. Quando um computador associa um domínio, é criada uma conta de computador. Depois disso, quando o sistema é iniciado, utiliza a palavra-passe da conta de computador para criar um canal seguro com um controlador de domínio no domínio. Este canal seguro é utilizado para executar operações como a autenticação pass-through NTLM, SID/nome de LSA, entre outros. Consoante a versão do Windows em execução no controlador de domínio com o qual o membro do domínio está a comunicar e as definições dos parâmetros: Membro do domínio: Encriptar digitalmente ou assinar dados de canal seguro (sempre) Membro do domínio: encriptar digitalmente dados de canal seguro (sempre que possível) Algumas ou todas as informações transmitidas através do canal seguro serão encriptadas. Esta definição de política determina se a força da chave de 128 bits é ou não necessária para as informações de canal seguro encriptadas.

  • Se esta definição estiver ativada, o canal seguro não será estabelecido, a menos que seja possível executar a encriptação de 128 bits.

  • Se esta definição estiver desativada, a força da chave é negociada com o controlador de domínio. Importante Para tirar partido desta política em estações de trabalho e servidores membros, todos os controladores de domínio que constituem o domínio do membro têm de executar o Windows 2000 ou posterior. Para tirar partido desta política em controladores de domínio, todos os controladores de domínio no mesmo domínio, bem como todos os domínios fidedignos, têm de executar o Windows 2000 ou posterior.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

Mapeamento de política de grupo:

Nome Valor
Nome Membro do domínio: Requer uma chave de sessão forte (Windows 2000 ou posterior)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Início de Sessão Interativo: apresentar informações de utilizador quando a sessão está bloqueada Nome a apresentar do utilizador, domínio e nomes de utilizador (1) Apenas nome a apresentar do utilizador (2) Não apresentar apenas as informações do utilizador (3) Domínio e nomes de utilizador (4)

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Nome a apresentar do utilizador, domínio e nomes de utilizador.
2 Apenas o nome a apresentar do utilizador.
3 Não apresente as informações do utilizador.
4 Apenas nomes de domínio e de utilizador.

Mapeamento de política de grupo:

Nome Valor
Nome Logon interativo: exibir informações do usuário quando a sessão estiver bloqueada
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

InteractiveLogon_DoNotDisplayLastSignedIn

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

Início de sessão interativo: não apresentar o último início de sessão Esta definição de segurança determina se o ecrã de início de sessão do Windows mostrará o nome de utilizador da última pessoa que iniciou sessão neste PC.

  • Se esta política estiver ativada, o nome de utilizador não será apresentado.

  • Se esta política estiver desativada, o nome de utilizador será apresentado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado (será apresentado o nome de utilizador).
1 Ativado (o nome de utilizador não será apresentado).

Mapeamento de política de grupo:

Nome Valor
Nome Logon interativo: não exibir último conectado
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

InteractiveLogon_DoNotDisplayUsernameAtSignIn

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

Início de sessão interativo: não apresentar o nome de utilizador no início de sessão Esta definição de segurança determina se o nome de utilizador da pessoa que está a iniciar sessão neste PC aparece no início de sessão do Windows, após a introdução das credenciais e antes de o ambiente de trabalho do PC ser apresentado.

  • Se esta política estiver ativada, o nome de utilizador não será apresentado.

  • Se esta política estiver desativada, o nome de utilizador será apresentado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado (será apresentado o nome de utilizador).
1 (Predefinição) Ativado (o nome de utilizador não será apresentado).

Mapeamento de política de grupo:

Nome Valor
Nome Logon interativo: não exibir o nome de usuário ao conectar
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

InteractiveLogon_DoNotRequireCTRLALTDEL

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

Início de sessão interativo: não necessite de CTRL+ALT+DEL Esta definição de segurança determina se é necessário premir Ctrl+Alt+DEL antes de um utilizador poder iniciar sessão.

  • Se esta política estiver ativada num computador, não é necessário um utilizador para premir Ctrl+Alt+DEL para iniciar sessão. Não ter de premir Ctrl+Alt+DEL deixa os utilizadores suscetíveis a ataques que tentam intercetar as palavras-passe dos utilizadores. A necessidade de CTRL+ALT+DEL antes de os utilizadores iniciarem sessão garante que os utilizadores estão a comunicar através de um caminho fidedigno ao introduzir as respetivas palavras-passe.

  • Se esta política estiver desativada, qualquer utilizador tem de premir CTRL+ALT+DEL antes de iniciar sessão no Windows. Predefinição em computadores de domínio: Ativado: Pelo menos Windows 8/Desativado: Windows 7 ou anterior. Predefinição em computadores autónomos: ativado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Disabled.
1 (Predefinição) Ativado (não é necessário um utilizador para premir CTRL+ALT+DEL para iniciar sessão).

Mapeamento de política de grupo:

Nome Valor
Nome Início de sessão interativo: Não é necessário Ctrl+Alt+DEL
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

InteractiveLogon_MachineAccountLockoutThreshold

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold

Início de sessão interativo: limiar da conta do computador. A política de bloqueio do computador é imposta apenas nos computadores que têm o BitLocker ativado para proteger os volumes do SO. Certifique-se de que as políticas de cópia de segurança de palavras-passe de recuperação adequadas estão ativadas. Esta definição de segurança determina o número de tentativas de início de sessão falhadas que fazem com que o computador seja bloqueado. Uma máquina bloqueada só pode ser recuperada ao fornecer a chave de recuperação na consola. Pode definir o valor entre 1 e 999 tentativas de início de sessão falhadas. Se definir o valor como 0, o computador nunca será bloqueado. Os valores de 1 a 3 serão interpretados como 4. Tentativas de palavra-passe falhadas em estações de trabalho ou servidores membros que tenham sido bloqueados através de CTRL+ALT+DELETE ou de proteção por palavra-passe são contabilizadas como tentativas de início de sessão falhadas. A política de bloqueio do computador é imposta apenas nos computadores que têm o BitLocker ativado para proteger os volumes do SO. Certifique-se de que as políticas de cópia de segurança de palavras-passe de recuperação adequadas estão ativadas. Predefinição: 0.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-999]
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Logon interativo: limite de bloqueio de conta de computador
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

InteractiveLogon_MachineInactivityLimit

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

Início de sessão interativo: limite de inatividade do computador. O Windows repara na inatividade de uma sessão de início de sessão e, se a quantidade de tempo inativo exceder o limite de inatividade, a proteção de ecrã será executada, bloqueando a sessão. Predefinição: não imposta.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-599940]
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Logon interativo: limite de inatividade de computador
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Validar:

Valores válidos: de 0 a 599940, em que o valor é a quantidade de tempo de inatividade (em segundos) após o qual a sessão será bloqueada. Se estiver definido como zero (0), a definição será desativada.

InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Início de sessão interativo: texto da mensagem para os utilizadores que tentam iniciar sessão Esta definição de segurança especifica uma mensagem de texto que é apresentada aos utilizadores quando iniciam sessão. Este texto é frequentemente utilizado por razões legais, por exemplo, para alertar os utilizadores sobre as ramificações da utilização incorreta das informações da empresa ou para avisá-los de que as suas ações podem ser auditadas. Predefinição: nenhuma mensagem.

Importante

O pré-aprovisionamento do Windows Autopilot não funciona quando esta definição de política está ativada. Para obter mais informações, veja FAQ sobre resolução de problemas do Windows Autopilot.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Logon interativo: texto de mensagem para usuários tentando fazer logon
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Início de sessão interativo: título da mensagem para os utilizadores que tentam iniciar sessão Esta definição de segurança permite que a especificação de um título seja apresentada na barra de título da janela que contém o Início de sessão interativo: texto da mensagem para os utilizadores que tentam iniciar sessão. Predefinição: nenhuma mensagem.

Importante

O pré-aprovisionamento do Windows Autopilot não funciona quando esta definição de política está ativada. Para obter mais informações, veja FAQ sobre resolução de problemas do Windows Autopilot.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Mapeamento de política de grupo:

Nome Valor
Nome Logon interativo: Título da mensagem para usuários tentando fazer logon
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

InteractiveLogon_NumberOfPreviousLogonsToCache

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache

Início de sessão interativo: número de inícios de sessão anteriores para cache (caso o controlador de domínio não esteja disponível) As informações de início de sessão de cada utilizador exclusivo são colocadas em cache localmente para que, caso um controlador de domínio esteja indisponível durante as tentativas subsequentes de início de sessão, consiga iniciar sessão. As informações de início de sessão em cache são armazenadas a partir da sessão de início de sessão anterior. Se um controlador de domínio não estiver disponível e as informações de início de sessão de um utilizador não estiverem em cache, é pedido ao utilizador esta mensagem: Atualmente, não existem servidores de início de sessão disponíveis para atender ao pedido de início de sessão. Nesta definição de política, um valor de 0 desativa a colocação em cache de início de sessão. Qualquer valor acima de 50 apenas coloca em cache 50 tentativas de início de sessão. O Windows suporta um máximo de 50 entradas de cache e o número de entradas consumidas por utilizador depende da credencial. Por exemplo, um máximo de 50 contas de utilizador de palavra-passe exclusivas podem ser colocadas em cache num sistema Windows, mas apenas 25 contas de utilizador card inteligentes podem ser colocadas em cache porque as informações de palavra-passe e as informações de card inteligentes são armazenadas. Quando um utilizador com informações de início de sessão em cache volta a iniciar sessão, as informações individuais em cache do utilizador são substituídas. Predefinição: Windows Server 2008: 25 Todas as Outras Versões: 10.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 10

InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Início de sessão interativo: pedir ao utilizador para alterar a palavra-passe antes da expiração Determina a antecedência (em dias) em que os utilizadores são avisados de que a palavra-passe está prestes a expirar. Com este aviso prévio, o utilizador tem tempo para construir uma palavra-passe suficientemente forte. Predefinição: 5 dias.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-999]
Valor Padrão 5

InteractiveLogon_SmartCardRemovalBehavior

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

Início de sessão interativo: comportamento de remoção de card inteligente Esta definição de segurança determina o que acontece quando o card inteligente para um utilizador com sessão iniciada é removido do leitor de card inteligente. As opções são: Sem Bloqueio de Ação– Fim de Sessão da Força de Trabalho Desligar se uma sessão dos Serviços de Ambiente de Trabalho Remoto Se clicar em Bloquear Estação de Trabalho na caixa de diálogo Propriedades para esta política, a estação de trabalho é bloqueada quando o card inteligente é removido, permitindo que os utilizadores saiam da área, levem os seus card inteligentes consigo e continuem a manter uma sessão protegida. Se clicar em Forçar Fim de Sessão na caixa de diálogo Propriedades desta política, o utilizador tem sessão iniciada automaticamente quando o card inteligente é removido. Se clicar em Desligar se uma sessão dos Serviços de Ambiente de Trabalho Remoto, a remoção da card inteligente desliga a sessão sem terminar sessão do utilizador. Isto permite que o utilizador insira a card inteligente e retome a sessão mais tarde ou noutro computador inteligente card equipado com leitores, sem ter de iniciar sessão novamente. Se a sessão for local, esta política funciona de forma idêntica a Bloquear Estação de Trabalho.

Observação

Os Serviços de Ambiente de Trabalho Remoto eram denominados Serviços de Terminal em versões anteriores do Windows Server. Predefinição: esta política não está definida, o que significa que o sistema a trata como Sem ação. No Windows Vista e superior: para que esta definição funcione, o serviço Política de Remoção de Smart Card tem de ser iniciado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Sem Ação.
1 Bloquear Estação de Trabalho.
2 Forçar Fim de Sessão.
3 Desligue se uma sessão dos Serviços de Ambiente de Trabalho Remoto.

Mapeamento de política de grupo:

Nome Valor
Nome Logon interativo: Comportamento de remoção de cartão inteligente
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1809 [10.0.17763] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Cliente de rede da Microsoft: assinar digitalmente comunicações (sempre) Esta definição de segurança determina se a assinatura de pacotes é necessária pelo componente de cliente SMB. O protocolo SMB (Server Message Block) fornece a base para a partilha de ficheiros e impressão da Microsoft e muitas outras operações de rede, como a administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB suporta a assinatura digital de pacotes SMB. Esta definição de política determina se a assinatura de pacotes SMB tem de ser negociada antes de ser permitida uma comunicação adicional com um servidor SMB.

  • Se esta definição estiver ativada, o cliente de rede da Microsoft não comunica com um servidor de rede da Microsoft, a menos que esse servidor concorde em efetuar a assinatura de pacotes SMB.

  • Se esta política estiver desativada, a assinatura de pacotes SMB é negociada entre o cliente e o servidor. Importante Para que esta política entre em vigor em computadores com o Windows 2000, a assinatura de pacotes do lado do cliente também tem de estar ativada. Para ativar a assinatura de pacotes SMB do lado do cliente, defina o cliente de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar).

Observação

Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. Nos sistemas operativos Windows 2000 e posteriores, a ativação ou a necessidade de assinatura de pacotes para componentes SMB do lado do cliente e do servidor são controladas pelas quatro definições de política seguintes: cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) – controla se o componente SMB do lado do cliente necessita ou não de assinatura de pacotes. Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacotes ativada. Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre) – controla se o componente SMB do lado do servidor necessita ou não de assinatura de pacotes. Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacotes ativada. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, consoante a versão do dialeto, a versão do SO, os tamanhos dos ficheiros, as capacidades de descarga do processador e os comportamentos de E/S da aplicação. Para obter mais informações, veja:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Cliente de rede Microsoft: Assinar comunicações digitalmente (sempre)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) Esta definição de segurança determina se o cliente SMB tenta negociar a assinatura de pacotes SMB. O protocolo SMB (Server Message Block) fornece a base para a partilha de ficheiros e impressão da Microsoft e muitas outras operações de rede, como a administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB suporta a assinatura digital de pacotes SMB. Esta definição de política determina se o componente de cliente SMB tenta negociar a assinatura de pacotes SMB quando liga a um servidor SMB.

  • Se esta definição estiver ativada, o cliente de rede da Microsoft pedirá ao servidor para efetuar a assinatura de pacotes SMB após a configuração da sessão. Se a assinatura de pacotes tiver sido ativada no servidor, a assinatura de pacotes será negociada.

  • Se esta política estiver desativada, o cliente SMB nunca negociará a assinatura de pacotes SMB. Notas Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. No Windows 2000 e posterior, a ativação ou a necessidade de assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlada pelas quatro definições de política seguintes: cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) – controla se o componente SMB do lado do cliente necessita ou não de assinatura de pacotes. Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacotes ativada. Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre) – controla se o componente SMB do lado do servidor necessita ou não de assinatura de pacotes. Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacotes ativada. Se a assinatura SMB do lado do cliente e do lado do servidor estiver ativada e o cliente estabelecer uma ligação SMB 1.0 ao servidor, será tentada a assinatura SMB. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, consoante a versão do dialeto, a versão do SO, os tamanhos dos ficheiros, as capacidades de descarga do processador e os comportamentos de E/S da aplicação. Esta definição aplica-se apenas a ligações SMB 1.0. Para obter mais informações, veja:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Habilitar.
0 Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Cliente de rede Microsoft: Assinar comunicações digitalmente (se o servidor concordar)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Cliente de rede da Microsoft: enviar palavra-passe não encriptada para ligar a servidores SMB de terceiros Se esta definição de segurança estiver ativada, o redirecionador SMB (Server Message Block) tem permissão para enviar palavras-passe de texto simples para servidores SMB não Microsoft que não suportam a encriptação de palavras-passe durante a autenticação. O envio de palavras-passe não encriptadas é um risco de segurança.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Cliente de rede Microsoft: Enviar senha não criptografada para servidores SMB de terceiros
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Servidor de rede da Microsoft: quantidade de tempo de inatividade necessário antes de suspender uma sessão Esta definição de segurança determina a quantidade de tempo de inatividade contínua que tem de passar numa sessão de Bloco de Mensagens do Servidor (SMB) antes de a sessão ser suspensa devido a inatividade. Os administradores podem utilizar esta política para controlar quando um computador suspende uma sessão SMB inativa. Se a atividade do cliente for retomada, a sessão será restabelecida automaticamente. Para esta definição de política, um valor de 0 significa desligar uma sessão inativa o mais rapidamente possível. O valor máximo é 99999, que é 208 dias; de facto, este valor desativa a política. Predefinição: esta política não está definida, o que significa que o sistema a trata como 15 minutos para servidores e indefinida para estações de trabalho.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-99999]
Valor Padrão 99999

Mapeamento de política de grupo:

Nome Valor
Nome Servidor de rede Microsoft: quantidade de tempo ocioso necessário antes de suspender a sessão
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre) Esta definição de segurança determina se a assinatura de pacotes é necessária pelo componente do servidor SMB. O protocolo SMB (Server Message Block) fornece a base para a partilha de ficheiros e impressão da Microsoft e muitas outras operações de rede, como a administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB suporta a assinatura digital de pacotes SMB. Esta definição de política determina se a assinatura de pacotes SMB tem de ser negociada antes de ser permitida uma comunicação adicional com um cliente SMB.

  • Se esta definição estiver ativada, o servidor de rede da Microsoft não comunica com um cliente de rede da Microsoft, a menos que esse cliente concorde em efetuar a assinatura de pacotes SMB.

  • Se esta definição estiver desativada, a assinatura de pacotes SMB é negociada entre o cliente e o servidor. Predefinição: desativado para servidores membros. Ativado para controladores de domínio.

Observação

Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. No Windows 2000 e posterior, a ativação ou a necessidade de assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlada pelas quatro definições de política seguintes: cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) – controla se o componente SMB do lado do cliente necessita ou não de assinatura de pacotes. Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacotes ativada. Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre) – controla se o componente SMB do lado do servidor necessita ou não de assinatura de pacotes. Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacotes ativada. Da mesma forma, se for necessária a assinatura SMB do lado do cliente, esse cliente não conseguirá estabelecer uma sessão com servidores que não tenham a assinatura de pacotes ativada. Por predefinição, a assinatura SMB do lado do servidor está ativada apenas em controladores de domínio. Se a assinatura SMB do lado do servidor estiver ativada, a assinatura de pacotes SMB será negociada com clientes que tenham a assinatura SMB do lado do cliente ativada. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, consoante a versão do dialeto, a versão do SO, os tamanhos dos ficheiros, as capacidades de descarga do processador e os comportamentos de E/S da aplicação.

Importante

Para que esta política entre em vigor em computadores com o Windows 2000, a assinatura de pacotes do lado do servidor também tem de estar ativada. Para ativar a assinatura de pacotes SMB do lado do servidor, defina a seguinte política: Servidor de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar) Para que os servidores do Windows 2000 negoceiem a assinatura com clientes Windows NT 4.0, o seguinte valor de registo tem de ser definido como 1 no servidor do Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Para obter mais informações, consulte:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Servidor de rede Microsoft: assinar comunicações digitalmente (sempre)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) Esta definição de segurança determina se o servidor SMB negociará a assinatura de pacotes SMB com os clientes que o solicitam. O protocolo SMB (Server Message Block) fornece a base para a partilha de ficheiros e impressão da Microsoft e muitas outras operações de rede, como a administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB suporta a assinatura digital de pacotes SMB. Esta definição de política determina se o servidor SMB negociará a assinatura de pacotes SMB quando um cliente SMB o solicitar.

  • Se esta definição estiver ativada, o servidor de rede da Microsoft negociará a assinatura de pacotes SMB conforme pedido pelo cliente. Ou seja, se a assinatura de pacotes tiver sido ativada no cliente, a assinatura de pacotes será negociada.

  • Se esta política estiver desativada, o cliente SMB nunca negociará a assinatura de pacotes SMB. apenas em controladores de domínio.

Importante

Para os servidores do Windows 2000 negociarem a assinatura com Windows NT clientes 4.0, o seguinte valor de registo tem de ser definido como 1 no servidor com o Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notas Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. Para o Windows 2000 e superior, ativar ou exigir a assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlado pelas quatro definições de política seguintes: cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) – controla se o componente SMB do lado do cliente requer ou não a assinatura de pacotes. Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacotes ativada. Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre) – controla se o componente SMB do lado do servidor necessita ou não de assinatura de pacotes. Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacotes ativada. Se a assinatura SMB do lado do cliente e do lado do servidor estiver ativada e o cliente estabelecer uma ligação SMB 1.0 ao servidor, será tentada a assinatura SMB. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, consoante a versão do dialeto, a versão do SO, os tamanhos dos ficheiros, as capacidades de descarga do processador e os comportamentos de E/S da aplicação. Esta definição aplica-se apenas a ligações SMB 1.0. Para obter mais informações, veja:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Servidor de rede Microsoft: assinar comunicações digitalmente (se o cliente concordar)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Servidor de rede da Microsoft: desligar clientes quando as horas de início de sessão expiram Esta definição de segurança determina se pretende desligar os utilizadores que estão ligados ao computador local fora das horas de início de sessão válidas da conta de utilizador. Esta definição afeta o componente SMB (Server Message Block). Quando esta política está ativada, faz com que as sessões de cliente com o Serviço SMB sejam forçadas a desligar quando as horas de início de sessão do cliente expiram.

  • Se esta política estiver desativada, é permitida a manutenção de uma sessão de cliente estabelecida após as horas de início de sessão do cliente expirarem. Predefinição no Windows Vista e superior: Ativado. Predefinição no Windows XP: Desativado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Servidor de rede da Microsoft: nível de validação do nome de destino SPN do servidor Esta definição de política controla o nível de validação de um computador com pastas ou impressoras partilhadas (o servidor) efetuada no nome do principal de serviço (SPN) fornecido pelo computador cliente quando estabelece uma sessão utilizando o protocolo SMB (Server Message Block). O protocolo SMB (Server Message Block) fornece a base para a partilha de ficheiros e impressão e outras operações de rede, como a administração remota do Windows. O protocolo SMB suporta a validação do nome principal do serviço do servidor SMB (SPN) no blob de autenticação fornecido por um cliente SMB para impedir uma classe de ataques contra servidores SMB referidos como ataques de reencaminhamento SMB. Esta definição afetará o SMB1 e o SMB2. Esta definição de segurança determina o nível de validação que um servidor SMB executa no nome do principal de serviço (SPN) fornecido pelo cliente SMB ao tentar estabelecer uma sessão num servidor SMB. As opções são: Desativado – o SPN não é necessário ou validado pelo servidor SMB de um cliente SMB. Aceitar se for fornecido pelo cliente – o servidor SMB aceitará e validará o SPN fornecido pelo cliente SMB e permitirá que seja estabelecida uma sessão se corresponder à lista de SPNs do servidor SMB. Se o SPN NÃO corresponder, o pedido de sessão para esse cliente SMB será negado. Obrigatório do cliente – o cliente SMB TEM de enviar um nome SPN na configuração da sessão e o nome SPN fornecido TEM de corresponder ao servidor SMB que está a ser pedido para estabelecer uma ligação. Se nenhum SPN for fornecido pelo cliente ou se o SPN fornecido não corresponder, a sessão será negada. Predefinição: Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. Esta definição afeta o comportamento do SMB do servidor e a respetiva implementação deve ser cuidadosamente avaliada e testada para evitar interrupções nas capacidades de entrega de ficheiros e impressão. Pode encontrar informações adicionais sobre como implementar e utilizar esta opção para proteger os servidores SMB no site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505).

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-2]
Valor Padrão 0

NetworkAccess_AllowAnonymousSIDOrNameTranslation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation

Acesso à rede: Permitir tradução anónima de SID/nome Esta definição de política determina se um utilizador anónimo pode pedir atributos de identificador de segurança (SID) para outro utilizador.

  • Se esta política estiver ativada, um utilizador anónimo pode pedir o atributo SID para outro utilizador. Um utilizador anónimo com conhecimento do SID de um administrador pode contactar um computador que tenha esta política ativada e utilizar o SID para obter o nome do administrador. Esta definição afeta a tradução de SID para nome, bem como a tradução de nome para SID.

  • Se esta definição de política estiver desativada, um utilizador anónimo não poderá pedir o atributo SID para outro utilizador. Predefinição em estações de trabalho e servidores membros: Desativado. Predefinição em controladores de domínio com o Windows Server 2008 ou posterior: Desativado. Predefinição em controladores de domínio com o Windows Server 2003 R2 ou anterior: Ativado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Acesso à rede: Permitir tradução anónima de SID/nome
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Acesso à rede: não permitir a enumeração anónima de contas SAM Esta definição de segurança determina que permissões adicionais serão concedidas para ligações anónimas ao computador. O Windows permite que os utilizadores anónimos realizem determinadas atividades, tais como enumerar os nomes das contas de domínio e das partilhas de rede. Isto é conveniente, por exemplo, quando um administrador quer conceder acesso a utilizadores num domínio fidedigno que não mantém uma confiança recíproca. Esta opção de segurança permite a colocação de restrições adicionais em ligações anónimas da seguinte forma: Ativado: não permitir a enumeração de contas SAM. Esta opção substitui Todos por Utilizadores Autenticados nas permissões de segurança dos recursos. Desativado: sem restrições adicionais. Confie nas permissões predefinidas. Predefinição em estações de trabalho: ativada. Predefinição no servidor:Ativado.

Importante

Esta política não tem impacto nos controladores de domínio.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Enabled.
0 Disabled.

Mapeamento de política de grupo:

Nome Valor
Nome Acesso à rede: não permitir a enumeração anónima de contas SAM
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Acesso à rede: não permitir a enumeração anónima de contas e partilhas SAM Esta definição de segurança determina se a enumeração anónima de contas e partilhas SAM é permitida. O Windows permite que os utilizadores anónimos realizem determinadas atividades, tais como enumerar os nomes das contas de domínio e das partilhas de rede. Isto é conveniente, por exemplo, quando um administrador quer conceder acesso a utilizadores num domínio fidedigno que não mantém uma confiança recíproca. Se não quiser permitir a enumeração anónima de contas e partilhas SAM, ative esta política.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Enabled.
0 (Padrão) Desabilitado.

Mapeamento de política de grupo:

Nome Valor
Nome Acesso à rede: não permitir a enumeração anónima de contas e partilhas SAM
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Acesso à rede: não permitir o armazenamento de palavras-passe e credenciais para autenticação de rede Esta definição de segurança determina se o Gestor de Credenciais guarda palavras-passe e credenciais para utilização posterior quando obtém autenticação de domínio.

  • Se ativar esta definição, o Gestor de Credenciais não armazena palavras-passe e credenciais no computador.

  • Se desativar ou não configurar esta definição de política, o Gestor de Credenciais irá armazenar palavras-passe e credenciais neste computador para utilização posterior para autenticação de domínio.

Observação

Ao configurar esta definição de segurança, as alterações só entrarão em vigor quando reiniciar o Windows.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 0

NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Acesso à rede: permitir que todas as permissões sejam aplicadas a utilizadores anónimos Esta definição de segurança determina que permissões adicionais são concedidas para ligações anónimas ao computador. O Windows permite que os utilizadores anónimos realizem determinadas atividades, tais como enumerar os nomes das contas de domínio e das partilhas de rede. Isto é conveniente, por exemplo, quando um administrador quer conceder acesso a utilizadores num domínio fidedigno que não mantém uma confiança recíproca. Por Predefinição, o identificador de segurança (SID) de Todos é removido do token criado para ligações anónimas. Por conseguinte, as permissões concedidas ao grupo Todos não se aplicam a utilizadores anónimos. Se esta opção estiver definida, os utilizadores anónimos só podem aceder aos recursos para os quais foi explicitamente dada permissão ao utilizador anónimo.

  • Se esta política estiver ativada, o SID De Todos é adicionado ao token criado para ligações anónimas. Neste caso, os utilizadores anónimos podem aceder a qualquer recurso para o qual o grupo Todos tenha recebido permissões.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Acesso à rede: Permitir que as permissões Todos se apliquem a usuários anônimos
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Acesso à rede: pipes nomeados que podem ser acedidos anonimamente Esta definição de segurança determina quais as sessões de comunicação (pipes) que terão atributos e permissões que permitem o acesso anónimo. Predefinição: Nenhum.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: ,)

NetworkAccess_RemotelyAccessibleRegistryPaths

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths

Acesso à rede: Caminhos de registo acessíveis remotamente Esta definição de segurança determina as chaves de registo que podem ser acedidas através da rede, independentemente dos utilizadores ou grupos listados na lista de controlo de acesso (ACL) da chave de registo winreg. Predefinição: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Atenção A edição incorreta do registo pode danificar gravemente o seu sistema. Antes de efetuar alterações ao registo, deve fazer uma cópia de segurança de quaisquer dados de valor no computador.

Observação

Esta definição de segurança não está disponível em versões anteriores do Windows. A definição de segurança que aparece em computadores com o Windows XP, "Acesso à rede: caminhos de registo acessíveis remotamente" corresponde à opção de segurança "Acesso à rede: caminhos e subcaminhos de registo acessíveis remotamente" nos membros da família do Windows Server 2003. Para obter mais informações, veja Acesso à rede: Caminhos de registo e subcaminhos acessíveis remotamente.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: ,)

NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Acesso à rede: caminhos e subcaminhos de registo acessíveis remotamente Esta definição de segurança determina que caminhos e subcaminhos de registo podem ser acedidos através da rede, independentemente dos utilizadores ou grupos listados na lista de controlo de acesso (ACL) da chave de registo winreg. Predefinição: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\ UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Antes de efetuar alterações ao registo, deve fazer uma cópia de segurança de quaisquer dados de valor no computador.

Observação

No Windows XP, esta definição de segurança chamava-se "Acesso à rede: Caminhos de registo acessíveis remotamente". Se configurar esta definição num membro da família do Windows Server 2003 que está associado a um domínio, esta definição é herdada por computadores com o Windows XP, mas será apresentada como a opção de segurança "Acesso à rede: Caminhos de registo acessíveis remotamente". Para obter mais informações, veja Acesso à rede: Caminhos de registo e subcaminhos acessíveis remotamente.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: ,)

NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Acesso à rede: restringir o acesso anónimo a Pipes Nomeados e Partilhas Quando ativada, esta definição de segurança restringe o acesso anónimo a partilhas e pipes às definições de: Acesso à rede: Pipes nomeados que podem ser acedidos anonimamente Acesso à rede: Partilhas que podem ser acedidas anonimamente

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Habilitar.
0 Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Acesso de rede: acesso anônimo restrito a pipes nomeados e compartilhamentos
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Acesso à rede: restringir clientes autorizados a fazer chamadas remotas para SAM Esta definição de política permite-lhe restringir ligações rpc remotas a SAM. Se não estiver selecionado, será utilizado o descritor de segurança predefinido. Esta política é suportada em, pelo menos, Windows Server 2016.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Mapeamento de política de grupo:

Nome Valor
Nome Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkAccess_SharesThatCanBeAccessedAnonymously

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously

Acesso à rede: partilhas que podem ser acedidas anonimamente Esta definição de segurança determina as partilhas de rede que podem ser acedidas por utilizadores anónimos. Predefinição: nenhum especificado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: ,)

NetworkAccess_SharingAndSecurityModelForLocalAccounts

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts

Acesso à rede: modelo de partilha e segurança para contas locais Esta definição de segurança determina a forma como os inícios de sessão de rede que utilizam contas locais são autenticados. Se esta definição estiver definida como Clássica, os inícios de sessão de rede que utilizam credenciais de conta local autenticam-se com essas credenciais. O modelo Clássico permite um controlo adequado sobre o acesso aos recursos. Ao utilizar o modelo Clássico, pode conceder diferentes tipos de acesso a utilizadores diferentes para o mesmo recurso. Se esta definição estiver definida como Apenas convidado, os inícios de sessão de rede que utilizam contas locais são automaticamente mapeados para a Conta de convidado. Ao utilizar o modelo Convidado, pode ter todos os utilizadores tratados de forma igual. Todos os utilizadores autenticam-se como Convidado e todos recebem o mesmo nível de acesso a um determinado recurso, que pode ser Só de leitura ou Modificar. Predefinição em computadores de domínio: Clássico. Predefinição em computadores autónomos: Convidado Apenas Importante Com o modelo Apenas convidado, qualquer utilizador que possa aceder ao seu computador através da rede (incluindo utilizadores anónimos da Internet) pode aceder aos seus recursos partilhados. Tem de utilizar a Firewall do Windows ou outro dispositivo semelhante para proteger o seu computador contra o acesso não autorizado. Da mesma forma, com o modelo Clássico, as contas locais têm de estar protegidas por palavra-passe; caso contrário, essas contas de utilizador podem ser utilizadas por qualquer pessoa para aceder a recursos de sistema partilhados.

Observação

Esta definição não afeta os inícios de sessão interativos que são executados remotamente através de serviços como o Telnet ou os Serviços de Ambiente de Trabalho Remoto. Os Serviços de Ambiente de Trabalho Remoto eram denominados Serviços de Terminal em versões anteriores do Windows Server. Esta política não terá impacto em computadores com o Windows 2000. Quando o computador não está associado a um domínio, esta definição também modifica os separadores Partilha e Segurança no Explorador de Arquivos para corresponder ao modelo de partilha e segurança que está a ser utilizado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 0

NetworkSecurity_AllowLocalSystemNULLSessionFallback

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback

Segurança de rede: permitir a contingência da sessão NULL localSystem Permitir que o NTLM recue para a sessão NULL quando utilizado com o LocalSystem. A predefinição é VERDADEIRO até Ao Windows Vista e FALSO no Windows 7.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1809 [10.0.17763] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Segurança de rede: permitir que o Sistema Local utilize a identidade do computador para NTLM Esta definição de política permite que os serviços do Sistema Local que utilizam a Negociação utilizem a identidade do computador ao reverter para a autenticação NTLM.

  • Se ativar esta definição de política, os serviços em execução como Sistema Local que utilizam a Negociação utilizarão a identidade do computador. Isto pode fazer com que alguns pedidos de autenticação entre sistemas operativos Windows falhem e registe um erro.

  • Se desativar esta definição de política, os serviços em execução como Sistema Local que utilizam Negociar ao reverter para a autenticação NTLM serão autenticados de forma anónima. Por predefinição, esta política está ativada no Windows 7 e superior. Por predefinição, esta política está desativada no Windows Vista. Esta política é suportada pelo menos no Windows Vista ou no Windows Server 2008.

Observação

O Windows Vista ou o Windows Server 2008 não expõem esta definição no Política de Grupo.

  • Quando um serviço se liga à identidade do dispositivo, a assinatura e a encriptação são suportadas para fornecer proteção de dados.
  • Quando um serviço se liga anonimamente, é criada uma chave de sessão gerada pelo sistema, que não fornece proteção, mas permite que as aplicações assinem e encriptem dados sem erros. A autenticação anónima utiliza uma sessão NULL, que é uma sessão com um servidor no qual não é efetuada qualquer autenticação de utilizador; e, portanto, o acesso anónimo é permitido.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Permitir.
0 Bloqueio.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: Permitir que o sistema local use a identidade do computador para NTLM
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_AllowPKU2UAuthenticationRequests

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

Segurança de rede: permita que os pedidos de autenticação PKU2U para este computador utilizem identidades online. Esta política será desativada por predefinição em máquinas associadas a um domínio. Isto impediria que as identidades online se autenticasse no computador associado ao domínio.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Bloqueio.
1 (Predefinição) Permitir.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: permita que os pedidos de autenticação PKU2U para este computador utilizem identidades online.
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Observação

Esta política foi preterida e poderá ser removida numa versão futura.

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Segurança de rede: não armazene o valor hash do Lan Manager na próxima alteração da palavra-passe Esta definição de segurança determina se, na próxima alteração de palavra-passe, o valor hash do Gestor de LAN (LM) da nova palavra-passe é armazenado. O hash de LM é relativamente fraco e propenso a ataques, em comparação com o hash de Windows NT criptograficamente mais forte. Uma vez que o hash LM é armazenado no computador local na base de dados de segurança, as palavras-passe podem ser comprometidas se a base de dados de segurança for atacada. Predefinição no Windows Vista e superior: Predefinição Ativada no Windows XP: Desativado.

Importante

O Windows 2000 Service Pack 2 (SP2) e superior oferecem compatibilidade com a autenticação em versões anteriores do Windows, como o Microsoft Windows NT 4.0. Esta definição pode afetar a capacidade de computadores com o Windows 2000 Server, Windows 2000 Professional, Windows XP e a família do Windows Server 2003 comunicarem com computadores com o Windows 95 e o Windows 98.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Habilitar.
0 Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: não armazene o valor hash do Lan Manager na próxima alteração de palavra-passe
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Segurança de rede: forçar o início de sessão quando as horas de início de sessão expiram Esta definição de segurança determina se pretende desligar os utilizadores ligados ao computador local fora das horas de início de sessão válidas da conta de utilizador. Esta definição afeta o componente SMB (Server Message Block). Quando esta política está ativada, faz com que as sessões de cliente com o servidor SMB sejam forçadas a desligar-se quando as horas de início de sessão do cliente expiram.

  • Se esta política estiver desativada, é permitida a manutenção de uma sessão de cliente estabelecida após as horas de início de sessão do cliente expirarem. Nota: esta definição de segurança comporta-se como uma política de conta. Para contas de domínio, só pode haver uma política de conta. A política de conta tem de ser definida na Política de Domínio Predefinida e é imposta pelos controladores de domínio que compõem o domínio. Um controlador de domínio solicita sempre a política de conta do objeto Política de Grupo Política de Domínio Predefinida (GPO), mesmo que exista uma política de conta diferente aplicada à unidade organizacional que contém o controlador de domínio. Por predefinição, as estações de trabalho e os servidores associados a um domínio (por exemplo, computadores membros) também recebem a mesma política de conta para as respetivas contas locais. No entanto, as políticas de conta local para computadores membros podem ser diferentes da política de conta de domínio ao definir uma política de conta para a unidade organizacional que contém os computadores membros. As definições do Kerberos não são aplicadas a computadores membros.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Habilitar.
0 Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: Forçar logoff quando o horário de logon terminar
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_LANManagerAuthenticationLevel

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

Nível de autenticação lan manager de segurança de rede Esta definição de segurança determina que protocolo de autenticação de resposta/desafio é utilizado para inícios de sessão de rede. Esta opção afeta o nível de protocolo de autenticação utilizado pelos clientes, o nível de segurança de sessão negociado e o nível de autenticação aceite pelos servidores da seguinte forma: Enviar respostas LM e NTLM: os clientes utilizam a autenticação LM e NTLM e nunca utilizam a segurança de sessão NTLMv2; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar LM e NTLM – utilize a segurança da sessão NTLMv2 se for negociado: os clientes utilizam a autenticação LM e NTLM e utilizam a segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar apenas a resposta NTLM: os clientes utilizam apenas a autenticação NTLM e utilizam a segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar apenas resposta NTLMv2: os clientes utilizam apenas a autenticação NTLMv2 e utilizam a segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar apenas a resposta NTLMv2\refuse LM: os clientes utilizam apenas a autenticação NTLMv2 e utilizam a segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio recusam a LM (aceite apenas a autenticação NTLM e NTLMv2). Enviar apenas a resposta NTLMv2\refuse LM e NTLM: os clientes utilizam apenas a autenticação NTLMv2 e utilizam a segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio recusam LM e NTLM (aceitem apenas a autenticação NTLMv2).

Importante

Esta definição pode afetar a capacidade de computadores com o Windows 2000 Server, Windows 2000 Professional, Windows XP Professional e a família do Windows Server 2003 comunicarem com computadores com Windows NT 4.0 e versões anteriores através da rede. Por exemplo, no momento da escrita, os computadores com Windows NT 4.0 SP4 e anterior não suportam NTLMv2. Os computadores com o Windows 95 e o Windows 98 não suportam NTLM. Predefinição: Windows 2000 e windows XP: enviar respostas LM e NTLM windows Server 2003: enviar resposta NTLM apenas para Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2: enviar apenas resposta NTLMv2.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 3

Valores Permitidos:

Valor Descrição
0 Enviar respostas LM e NTLM.
1 Enviar segurança de sessão NTLMv2 de utilização LM e NTLM, se for negociada.
2 Enviar apenas respostas LM e NTLM.
3 (Predefinição) Enviar apenas respostas LM e NTLMv2.
4 Enviar apenas respostas LM e NTLMv2. Recusar LM.
5 Enviar apenas respostas LM e NTLMv2. Recusar LM e NTLM.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: Nível de autenticação do LAN Manager
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_LDAPClientSigningRequirements

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements

Segurança de rede: requisitos de assinatura de cliente LDAP Esta definição de segurança determina o nível de assinatura de dados pedido em nome dos clientes que emitem pedidos LDAP BIND, da seguinte forma: Nenhum: o pedido LDAP BIND é emitido com as opções especificadas pelo autor da chamada. Assinatura de negociação: se Transport Layer Security/Secure Sockets Layer (TLS\SSL) ainda não tiver sido iniciado, o pedido LDAP BIND é iniciado com a opção de assinatura de dados LDAP definida para além das opções especificadas pelo autor da chamada. Se o TLS\SSL tiver sido iniciado, o pedido LDAP BIND é iniciado com as opções especificadas pelo autor da chamada. Exigir assinatura: é o mesmo que Assinar negociação. No entanto, se a resposta intermédia saslBindInProgress do servidor LDAP não indicar que a assinatura de tráfego LDAP é necessária, é dito ao chamador que o pedido de comando LDAP BIND falhou.

Cuidado

Se definir o servidor como Exigir assinatura, também tem de definir o cliente. Não definir o cliente resulta numa perda de ligação com o servidor.

Observação

Esta definição não tem qualquer impacto sobre ldap_simple_bind ou ldap_simple_bind_s. Nenhum cliente microsoft LDAP enviado com o Windows XP Professional utiliza ldap_simple_bind ou ldap_simple_bind_s para falar com um controlador de domínio. Predefinição: Negociar assinatura.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-2]
Valor Padrão 1

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1809 [10.0.17763] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Segurança de rede: segurança de sessão mínima para clientes baseados em SSP NTLM (incluindo RPC seguro) Esta definição de segurança permite que um cliente exija a negociação da encriptação de 128 bits e/ou da segurança da sessão NTLMv2. Estes valores dependem do valor de definição de segurança do Nível de Autenticação do Lan Manager. As opções são: Exigir segurança de sessão NTLMv2: a ligação falhará se o protocolo NTLMv2 não for negociado. Exigir encriptação de 128 bits: a ligação falhará se a encriptação forte (128 bits) não for negociada. Predefinição: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: sem requisitos. Windows 7 e Windows Server 2008 R2: exigir encriptação de 128 bits.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 536870912

Valores Permitidos:

Valor Descrição
0 Nenhuma.
524288 Exigir segurança de sessão NTLMv2.
536870912 (Predefinição) Exigir encriptação de 128 bits.
537395200 Exigir encriptação NTLM e 128 bits.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: Segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Segurança de rede: segurança de sessão mínima para servidores baseados em SSP NTLM (incluindo RPC seguro) Esta definição de segurança permite que um servidor exija a negociação da encriptação de 128 bits e/ou da segurança de sessão NTLMv2. Estes valores dependem do valor de definição de segurança do Nível de Autenticação do Lan Manager. As opções são: Exigir segurança de sessão NTLMv2: a ligação falhará se a integridade da mensagem não for negociada. Exigir encriptação de 128 bits. A ligação falhará se a encriptação forte (128 bits) não for negociada. Predefinição: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: sem requisitos. Windows 7 e Windows Server 2008 R2: exigir encriptação de 128 bits.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 536870912

Valores Permitidos:

Valor Descrição
0 Nenhuma.
524288 Exigir segurança de sessão NTLMv2.
536870912 (Predefinição) Exigir encriptação de 128 bits.
537395200 Exigir encriptação NTLM e 128 bits.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: Segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro)
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Segurança de rede: Restringir NTLM: adicionar exceções de servidor remoto para autenticação NTLM Esta definição de política permite-lhe criar uma lista de exceções de servidores remotos aos quais os clientes têm permissão para utilizar a autenticação NTLM se a definição de política "Segurança de Rede: Restringir NTLM: Tráfego NTLM de Saída para servidores remotos" estiver configurada.

  • Se configurar esta definição de política, pode definir uma lista de servidores remotos para os quais os clientes têm permissão para utilizar a autenticação NTLM.

  • Se não configurar esta definição de política, não serão aplicadas exceções. O formato de nomenclatura dos servidores nesta lista de exceções é o nome de domínio completamente qualificado (FQDN) ou o nome do servidor NetBIOS utilizado pela aplicação, listado um por linha. Para garantir exceções, o nome utilizado por todas as aplicações tem de estar na lista e para garantir que uma exceção é precisa, o nome do servidor deve ser listado em ambos os formatos de nomenclatura. Um único asterisco (*) pode ser utilizado em qualquer parte da cadeia como caráter universal.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: Restringir NTLM: Adicionar exceções de servidor remoto para autenticação NTLM
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Segurança de rede: Restringir NTLM: Auditar o Tráfego NTLM Recebido Esta definição de política permite-lhe auditar o tráfego NTLM recebido. Se selecionar "Desativar" ou não configurar esta definição de política, o servidor não registará eventos para o tráfego NTLM recebido. Se selecionar "Ativar auditoria para contas de domínio", o servidor registará eventos para pedidos de autenticação pass-through NTLM que seriam bloqueados quando a definição da política "Segurança de Rede: Restringir NTLM: Tráfego NTLM recebido" estiver definida como a opção "Negar todas as contas de domínio". Se selecionar "Ativar auditoria para todas as contas", o servidor registará eventos para todos os pedidos de autenticação NTLM que seriam bloqueados quando a definição da política "Segurança de Rede: Restringir NTLM: Tráfego NTLM recebido" estiver definida como a opção "Negar todas as contas". Esta política é suportada pelo menos no Windows 7 ou Windows Server 2008 R2.

Observação

Os eventos de auditoria são registados neste computador no Registo "Operacional" localizado no Registo de Aplicações e Serviços/Microsoft/Windows/NTLM.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desabilitar.
1 Ative a auditoria para contas de domínio.
2 Ative a auditoria para todas as contas.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: Restringir NTLM: Auditar o Tráfego NTLM recebido
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Segurança de rede: Restringir NTLM: Tráfego NTLM recebido Esta definição de política permite-lhe negar ou permitir tráfego NTLM de entrada. Se selecionar "Permitir tudo" ou não configurar esta definição de política, o servidor permitirá todos os pedidos de autenticação NTLM. Se selecionar "Negar todas as contas de domínio", o servidor negará os pedidos de autenticação NTLM para o início de sessão do domínio e apresentará um erro NTLM bloqueado, mas permitirá o início de sessão da conta local. Se selecionar "Negar todas as contas", o servidor negará os pedidos de autenticação NTLM do tráfego de entrada e apresentará um erro NTLM bloqueado. Esta política é suportada pelo menos no Windows 7 ou Windows Server 2008 R2.

Observação

Os eventos de bloqueio são registados neste computador no Registo "Operacional" localizado no Registo de Aplicações e Serviços/Microsoft/Windows/NTLM.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Permitir tudo.
1 Negar todas as contas de domínio.
2 Negar todas as contas.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: Restringir NTLM: Tráfego NTLM de entrada
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Segurança de rede: Restringir o tráfego NTLM: tráfego NTLM de saída para servidores remotos Esta definição de política permite-lhe negar ou auditar o tráfego NTLM de saída a partir deste computador Windows 7 ou do Windows Server 2008 R2 para qualquer servidor remoto do Windows. Se selecionar "Permitir tudo" ou não configurar esta definição de política, o computador cliente pode autenticar identidades num servidor remoto através da autenticação NTLM. Se selecionar "Auditar tudo", o computador cliente regista um evento para cada pedido de autenticação NTLM num servidor remoto. Isto permite-lhe identificar os servidores que recebem pedidos de autenticação NTLM do computador cliente. Se selecionar "Negar tudo", o computador cliente não consegue autenticar identidades num servidor remoto através da autenticação NTLM. Pode utilizar a definição de política "Segurança de rede: Restringir NTLM: Adicionar exceções de servidor remoto para autenticação NTLM" para definir uma lista de servidores remotos aos quais os clientes têm permissão para utilizar a autenticação NTLM. Esta política é suportada pelo menos no Windows 7 ou Windows Server 2008 R2.

Observação

Os eventos de auditoria e bloqueio são registados neste computador no Registo "Operacional" localizado no Registo de Aplicações e Serviços/Microsoft/Windows/NTLM.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Permitir tudo.
1 Negar todas as contas de domínio.
2 Negar todas as contas.

Mapeamento de política de grupo:

Nome Valor
Nome Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

RecoveryConsole_AllowAutomaticAdministrativeLogon

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon

Consola de recuperação: permitir início de sessão administrativo automático Esta definição de segurança determina se a palavra-passe da conta de Administrador tem de ser dada antes de o acesso ao sistema ser concedido. Se esta opção estiver ativada, a Consola de Recuperação não requer que forneça uma palavra-passe e inicia sessão automaticamente no sistema. Predefinição: esta política não está definida e o início de sessão administrativo automático não é permitido.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Console de recuperação: permitir logon administrativo automático
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Consola de recuperação: permitir a cópia disquete e o acesso a todas as unidades e a todas as pastas Ativar esta opção de segurança disponibiliza o comando SET da Consola de Recuperação, que lhe permite definir as seguintes variáveis de ambiente da Consola de Recuperação: AllowWildCards: Ativar o suporte de carateres universais para alguns comandos (como o comando DEL). AllowAllPaths: permita o acesso a todos os ficheiros e pastas no computador. AllowRemovableMedia: permita que os ficheiros sejam copiados para suportes de dados amovíveis, como uma disquete. NoCopyPrompt: não perguntar ao substituir um ficheiro existente. Predefinição: esta política não está definida e o comando SET da consola de recuperação não está disponível.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 0

Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Encerramento: permitir que o sistema seja encerrado sem ter de iniciar sessão Nesta definição de segurança determina se um computador pode ser encerrado sem ter de iniciar sessão no Windows. Quando esta política está ativada, o comando Encerrar está disponível no ecrã de início de sessão do Windows. Quando esta política está desativada, a opção para encerrar o computador não aparece no ecrã de início de sessão do Windows. Neste caso, os utilizadores têm de conseguir iniciar sessão no computador com êxito e ter o utilizador encerrar o sistema imediatamente antes de poderem efetuar um encerramento do sistema. Predefinição em estações de trabalho: ativada. Predefinição nos servidores: Desativado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Disabled.
1 (Predefinição) Ativado (permitir que o sistema seja encerrado sem ter de iniciar sessão).

Mapeamento de política de grupo:

Nome Valor
Nome Desligamento: Permitir que o sistema seja encerrado sem fazer logon
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Shutdown_ClearVirtualMemoryPageFile

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

Encerramento: Limpar pagefile de memória virtual Esta definição de segurança determina se o pagefile da memória virtual é limpo quando o sistema é encerrado. O suporte de memória virtual utiliza um pagefile do sistema para trocar páginas de memória por disco quando não são utilizadas. Num sistema em execução, este pagefile é aberto exclusivamente pelo sistema operativo e está bem protegido. No entanto, os sistemas configurados para permitir o arranque para outros sistemas operativos poderão ter de garantir que o pagefile do sistema é apagado limpo quando este sistema é encerrado. Isto garante que as informações confidenciais da memória do processo que podem entrar no ficheiro de página não estão disponíveis para um utilizador não autorizado que consiga aceder diretamente ao ficheiro de página. Quando esta política está ativada, faz com que o pagefile do sistema seja limpo após limpo encerramento. Se ativar esta opção de segurança, o ficheiro de hibernação (hiberfil.sys) também será eliminado quando a hibernação estiver desativada.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Desligamento: Limpar arquivo de paginação de memória virtual
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

SystemCryptography_ForceStrongKeyProtection

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection

Criptografia do Sistema: forçar uma proteção de chave forte para chaves de utilizador armazenadas no computador Esta definição de segurança determina se as chaves privadas dos utilizadores necessitam de uma palavra-passe para serem utilizadas. As opções são: A entrada do utilizador não é necessária quando são armazenadas novas chaves e é pedido ao Utilizador que utilize a chave quando a chave é utilizada pela primeira vez O utilizador tem de introduzir uma palavra-passe sempre que utilizar uma chave Para obter mais informações, consulte Infraestrutura de chaves públicas. Predefinição: esta política não está definida.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-2]
Valor Padrão 0

SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Objetos de sistema: exigir insensibilidade de casos para subsistemas não Windows Esta definição de segurança determina se a insensibilidade de casos é imposta para todos os subsistemas. O subsistema Win32 não é sensível a maiúsculas e minúsculas. No entanto, o kernel suporta sensibilidade a maiúsculas e minúsculas para outros subsistemas, como POSIX. Se esta definição estiver ativada, caso a insensibilidade seja imposta para todos os objetos de diretório, ligações simbólicas e objetos de E/S, incluindo objetos de ficheiro. Desativar esta definição não permite que o subsistema Win32 se torne sensível às maiúsculas e minúsculas.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

Mapeamento de política de grupo:

Nome Valor
Nome Objetos do sistema: exigir distinção entre maiúsculas e minúsculas para subsistemas não Windows
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Objetos de sistema: fortaleça as permissões predefinidas de objetos de sistema internos (por exemplo, Ligações Simbólicas) Esta definição de segurança determina a força da lista de controlo de acesso discricionário (DACL) predefinida para objetos. O Active Directory mantém uma lista global de recursos de sistema partilhados, como nomes de dispositivos DOS, mutexes e semáforos. Desta forma, os objetos podem ser localizados e partilhados entre processos. Cada tipo de objeto é criado com uma DACL predefinida que especifica quem pode aceder aos objetos e que permissões são concedidas.

  • Se esta política estiver ativada, a DACL predefinida é mais forte, permitindo que os utilizadores que não são administradores leiam objetos partilhados, mas não permitem que estes utilizadores modifiquem objetos partilhados que não criaram.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Controlo de Conta de Utilizador: permita que as aplicações UIAccess pedem elevação sem utilizar o ambiente de trabalho seguro. Esta definição de política controla se os programas de Acessibilidade da Interface de Utilizador (UIAccess ou UIA) podem desativar automaticamente o ambiente de trabalho seguro para pedidos de elevação utilizados por um utilizador padrão.

  • Ativado: os programas UIA, incluindo a Assistência Remota do Windows, desativam automaticamente o ambiente de trabalho seguro para pedidos de elevação. Se não desativar a definição de política "Controlo de Conta de Utilizador: Mudar para o ambiente de trabalho seguro quando pedir elevação", os pedidos são apresentados no ambiente de trabalho do utilizador interativo em vez do ambiente de trabalho seguro.

  • Desativado: (Predefinição) O ambiente de trabalho seguro só pode ser desativado pelo utilizador do ambiente de trabalho interativo ou ao desativar a definição de política "Controlo de Conta de Utilizador: Mudar para o ambiente de trabalho seguro quando pedir elevação".

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desabilitado.
1 Ativado (permita que as aplicações UIAccess pedem elevação sem utilizar o ambiente de trabalho seguro).

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho protegida
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Controlo de Conta de Utilizador: comportamento do pedido de elevação para administradores em execução com proteção de Administrador. Esta definição de política controla o comportamento do pedido de elevação dos administradores. As opções são:

  • Pedir credenciais no ambiente de trabalho seguro: quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro para introduzir credenciais com privilégios. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio mais elevado disponível do utilizador.

  • Pedir consentimento no ambiente de trabalho seguro: quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro que selecione Permitir alterações ou Não permitir. Se o utilizador selecionar Permitir alterações, a operação continuará com o privilégio mais elevado disponível do utilizador.

Observação

Quando a proteção de Administrador está ativada, esta política substitui UserAccountControl_BehaviorOfTheElevationPromptForAdministrators política.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Pedir credenciais no ambiente de trabalho seguro.
2 Pedir consentimento no ambiente de trabalho seguro.

Mapeamento de política de grupo:

Nome Valor
Nome Controlo de Conta de Utilizador: comportamento do pedido de elevação para administradores em execução com a proteção de Administrador
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Controlo de Conta de Utilizador: comportamento do pedido de elevação para administradores no Modo de Aprovação Administração Esta definição de política controla o comportamento do pedido de elevação para administradores. As opções são:

  • Elevar sem pedir: permite que as contas com privilégios executem uma operação que requer elevação sem necessidade de consentimento ou credenciais.

    Observação

    Utilize esta opção apenas nos ambientes mais restritos.

  • Pedir credenciais no ambiente de trabalho seguro: quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro que introduza um nome de utilizador e palavra-passe com privilégios. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio mais elevado disponível do utilizador.

  • Pedir consentimento no ambiente de trabalho seguro: quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro para selecionar Permitir ou Negar. Se o utilizador selecionar Permitir, a operação continuará com o privilégio mais elevado disponível do utilizador.

  • Pedir credenciais: quando uma operação requer elevação de privilégios, é pedido ao utilizador que introduza um nome de utilizador administrativo e uma palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio aplicável.

  • Pedir consentimento: quando uma operação requer elevação de privilégios, é pedido ao utilizador que selecione Permitir ou Negar. Se o utilizador selecionar Permitir, a operação continuará com o privilégio mais elevado disponível do utilizador.

  • Pedir consentimento para binários não Windows: (Predefinição) Quando uma operação para uma aplicação que não seja da Microsoft requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro que selecione Permitir ou Negar. Se o utilizador selecionar Permitir, a operação continuará com o privilégio mais elevado disponível do utilizador.

Observação

Quando a proteção de Administrador está ativada, este comportamento de política é substituído por UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection política.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 5

Valores Permitidos:

Valor Descrição
0 Elevar sem pedir.
1 Pedir credenciais no ambiente de trabalho seguro.
2 Pedir consentimento no ambiente de trabalho seguro.
3 Pedir credenciais.
4 Pedir consentimento.
5 (Predefinição) Pedir consentimento para binários não Windows.

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Controlo de Conta de Utilizador: comportamento do pedido de elevação para utilizadores padrão Esta definição de política controla o comportamento do pedido de elevação para utilizadores padrão. As opções são:

  • Pedir credenciais: (Predefinição) Quando uma operação requer elevação de privilégios, é pedido ao utilizador que introduza um nome de utilizador administrativo e palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio aplicável.

  • Negar automaticamente pedidos de elevação: quando uma operação requer elevação de privilégios, é apresentada uma mensagem de erro de acesso negado configurável. Uma empresa que esteja a executar ambientes de trabalho como utilizador padrão pode escolher esta definição para reduzir as chamadas de suporte técnico.

  • Pedir credenciais no ambiente de trabalho seguro: quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro para introduzir um nome de utilizador e palavra-passe diferentes. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio aplicável.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 3

Valores Permitidos:

Valor Descrição
0 Negar automaticamente pedidos de elevação.
1 Pedir credenciais no ambiente de trabalho seguro.
3 (Predefinição) Pedir credenciais.

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: comportamento da solicitação de elevação de usuários padrão
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Controlo de Conta de Utilizador: detetar instalações de aplicações e pedir elevação Esta definição de política controla o comportamento da deteção de instalação da aplicação para o computador. As opções são: Ativado: (Predefinição) Quando é detetado um pacote de instalação de aplicação que requer elevação de privilégios, é pedido ao utilizador que introduza um nome de utilizador administrativo e uma palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio aplicável. Desativado: os pacotes de instalação da aplicação não são detetados e pedidos de elevação. As empresas que executam ambientes de trabalho de utilizador padrão e utilizam tecnologias de instalação delegadas, como Política de Grupo Software Installation ou Systems Management Server (SMS), devem desativar esta definição de política. Neste caso, a deteção do instalador é desnecessária.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Habilitar.
0 Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: detectar instalações de aplicativos e perguntar se deseja elevar
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Controlo de Conta de Utilizador: elevar apenas os ficheiros executáveis assinados e validados Esta definição de política impõe verificações de assinaturas de infraestrutura de chaves públicas (PKI) para quaisquer aplicações interativas que peçam elevação de privilégios. Os administradores do Enterprise podem controlar as aplicações que podem ser executadas ao adicionar certificados ao arquivo de certificados fabricantes fidedignos em computadores locais. As opções são:

  • Ativado: impõe a validação do caminho de certificação PKI para um determinado ficheiro executável antes de ser permitido executar.

  • Desativado: (Predefinição) Não impõe a validação do caminho de certificação PKI antes de um determinado ficheiro executável ser autorizado a ser executado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado: não impõe a validação.
1 Ativado: impõe a validação.

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: elevar somente executáveis assinados e validados
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Controlo de Conta de Utilizador: elevar apenas as aplicações UIAccess instaladas em localizações seguras Esta definição de política controla se as aplicações que pedem a execução com um nível de integridade de Acessibilidade da Interface de Utilizador (UIAccess) têm de residir numa localização segura no sistema de ficheiros. As localizações seguras estão limitadas às seguintes: - .. \Programas, incluindo subpastas - .. \Windows\system32\ - .. \Programas (x86), incluindo subpastas para versões de 64 bits do Windows Nota: o Windows impõe uma assinatura de infraestrutura de chaves públicas (PKI) marcar em qualquer aplicação interativa que solicite a execução com um nível de integridade UIAccess, independentemente do estado desta definição de segurança. As opções são:

  • Ativado: (Predefinição) Se uma aplicação residir numa localização segura no sistema de ficheiros, é executada apenas com integridade UIAccess.

  • Desativado: uma aplicação é executada com integridade UIAccess, mesmo que não resida numa localização segura no sistema de ficheiros.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado: a aplicação é executada com integridade UIAccess, mesmo que não resida numa localização segura.
1 (Predefinição) Ativada: a aplicação é executada com a integridade UIAccess apenas se residir numa localização segura.

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: elevar apenas aplicativos UIAccess que estejam instalados em locais seguros
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Controlo de Conta de Utilizador: ative Administração Modo de Aprovação Esta definição de política controla o comportamento de todas as definições de política de Controlo de Conta de Utilizador (UAC) do computador. Se alterar esta definição de política, tem de reiniciar o computador. As opções são:

  • Ativado: (Predefinição) Administração Modo de Aprovação está ativado. Esta política tem de estar ativada e as definições de política UAC relacionadas também têm de ser definidas adequadamente para permitir que a conta de Administrador incorporada e todos os outros utilizadores que são membros do grupo Administradores sejam executados no Modo de Aprovação Administração.

  • Desativado: Administração Modo de Aprovação e todas as definições de política UAC relacionadas estão desativadas.

Observação

Se esta definição de política estiver desativada, o Centro de Segurança notifica-o de que a segurança geral do sistema operativo foi reduzida.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Disabled.
1 (Predefinição) Enabled.

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Controlo de Conta de Utilizador: mude para o ambiente de trabalho seguro quando pedir elevação Esta definição de política controla se o pedido de elevação é apresentado no ambiente de trabalho do utilizador interativo ou no ambiente de trabalho seguro. As opções são:

  • Ativado: (Predefinição) Todos os pedidos de elevação vão para o ambiente de trabalho seguro, independentemente das definições de política de comportamento de pedidos para administradores e utilizadores padrão.

  • Desativado: todos os pedidos de elevação vão para o ambiente de trabalho do utilizador interativo. São utilizadas definições de política de comportamento de pedidos para administradores e utilizadores padrão.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Disabled.
1 (Predefinição) Enabled.

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_TypeOfAdminApprovalMode

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode

Controlo de Conta de Utilizador: configure o tipo de Administração Modo de Aprovação. Esta definição de política controla se a proteção do Administrador é aplicada às elevações do modo de aprovação de administrador. Se alterar esta definição de política, tem de reiniciar o computador. Esta política só é suportada no Ambiente de Trabalho do Windows e não no Servidor. As opções são: - Administração Modo de Aprovação está em execução no modo legado (predefinição). - Administração Modo de Aprovação está em execução com a proteção do Administrador.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
1 (Predefinição) Modo de Aprovação do Administração Legado.
2 Administração Modo de Aprovação com proteção de Administrador.

Mapeamento de política de grupo:

Nome Valor
Nome Controlo de Conta de Utilizador: Configurar o tipo de Modo de Aprovação Administração
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_UseAdminApprovalMode

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

Controlo de Conta de Utilizador: utilize o Modo de Aprovação Administração para a conta de Administrador incorporada Esta definição de política controla o comportamento de Administração Modo de Aprovação para a conta de Administrador incorporada. As opções são:

  • Ativado: a conta de Administrador incorporada utiliza Administração Modo de Aprovação. Por predefinição, qualquer operação que necessite de elevação de privilégios irá pedir ao utilizador para aprovar a operação.

  • Desativado: (Predefinição) A conta de Administrador incorporada executa todas as aplicações com privilégios administrativos completos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Habilitar.
0 (Padrão) Desabilitar.

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta de Administrador Interna
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Controlo de Conta de Utilizador: Virtualizar falhas de escrita de ficheiros e registos para localizações por utilizador Esta definição de política controla se as falhas de escrita da aplicação são redirecionadas para localizações definidas do registo e do sistema de ficheiros. Esta definição de política mitiga as aplicações que são executadas como administrador e escrevem dados de aplicações de tempo de execução em %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software. As opções são:

  • Ativado: (Predefinição) As falhas de escrita da aplicação são redirecionadas no tempo de execução para localizações de utilizador definidas para o sistema de ficheiros e o registo.

  • Desativado: as aplicações que escrevem dados em localizações protegidas falham.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Disabled.
1 (Predefinição) Enabled.

Mapeamento de política de grupo:

Nome Valor
Nome Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e do Registro para locais por usuário
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Opções > de Segurança

Provedor de serviço da configuração de política