策略 CSP - LocalPoliciesSecurityOptions
重要提示
此云解决方案提供商包含一些正在开发中的设置,仅适用于 Windows Insider Preview 版本。 这些设置可能会发生更改,并且可能依赖于预览版中的其他功能或服务。
注意
若要) 查找数据格式 (和其他策略相关详细信息,请参阅 策略 DDF 文件。
Accounts_BlockMicrosoftAccounts
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
此策略设置阻止用户在此计算机上添加新Microsoft帐户。 如果选择“用户无法添加Microsoft帐户”选项,则用户将无法在此计算机上创建新的Microsoft帐户、将本地帐户切换到Microsoft帐户或将域帐户连接到Microsoft帐户。 如果需要限制企业中Microsoft帐户的使用,则这是首选选项。 如果选择“用户无法使用Microsoft帐户添加或登录”选项,现有Microsoft帐户用户将无法登录到 Windows。 选择此选项可能会使此计算机上的现有管理员无法登录和管理系统。 如果禁用或未配置此策略 (建议) ,用户将能够将Microsoft帐户与 Windows 配合使用。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 禁用 (用户将能够将Microsoft帐户与 Windows) 配合使用。 |
1 | 已启用 (用户无法) 添加Microsoft帐户。 |
3 | 用户无法使用Microsoft帐户添加或登录。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 帐户: 阻止 Microsoft 帐户 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Accounts_EnableAdministratorAccountStatus
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
此安全设置确定是启用或禁用本地管理员帐户。
注意
如果在禁用管理员帐户后尝试重新启用管理员帐户,并且当前管理员密码不符合密码要求,则无法重新启用该帐户。 在这种情况下,管理员组的替代成员必须重置管理员帐户的密码。 有关如何重置密码的信息,请参阅重置密码。 在某些情况下,禁用管理员帐户可能会成为维护问题。 在安全模式启动下,仅当计算机未加入域且没有其他本地活动管理员帐户时,才会启用禁用的管理员帐户。 如果计算机已加入域,则不会启用禁用的管理员。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 帐户: 管理员帐户状态 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Accounts_EnableGuestAccountStatus
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus
此安全设置确定是启用或禁用来宾帐户。 注意:如果禁用来宾帐户并将本地帐户的安全选项“网络访问:共享和安全模型”设置为“仅来宾”,则网络登录(例如Microsoft网络服务器 (SMB 服务) 执行的登录)将失败。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 帐户: 来宾帐户状态 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
帐户:将本地帐户的空白密码限制为仅登录主机 此安全设置确定不受密码保护的本地帐户是否可用于从物理计算机控制台以外的位置登录。 如果启用,不受密码保护的本地帐户只能使用计算机的键盘登录。 警告:不在物理安全位置的计算机应始终对所有本地用户帐户强制实施强密码策略。 否则,对计算机具有物理访问权限的任何人都可以使用没有密码的用户帐户登录。 这对于便携式计算机尤其重要。 如果将此安全策略应用于所有人组,则任何人都将无法通过远程桌面服务登录。
注意
此设置不会影响使用域帐户的登录。 使用远程交互式登录的应用程序可以绕过此设置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
0 | 已禁用。 |
1 (默认) | 已启用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 帐户: 使用空密码的本地帐户只允许进行控制台登录 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Accounts_RenameAdministratorAccount
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
帐户:重命名管理员帐户 此安全设置确定其他帐户名称是否与帐户管理员的安全标识符 (SID) 相关联。 重命名已知管理员帐户会使未经授权的人员稍微难以猜测此特权用户名和密码组合。 默认值:管理员。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
默认值 | 管理员 |
组策略映射:
名称 | 值 |
---|---|
名称 | 帐户: 重命名系统管理员帐户 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Accounts_RenameGuestAccount
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
帐户:重命名来宾帐户 此安全设置确定其他帐户名称是否与帐户“来宾”) 的 SID (安全标识符相关联。 重命名已知的来宾帐户会使未经授权的人员稍微难以猜测此用户名和密码组合。 默认值:来宾。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
默认值 | 来宾 |
组策略映射:
名称 | 值 |
---|---|
名称 | 帐户: 重命名来宾帐户 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Audit_AuditTheUseOfBackupAndRestoreprivilege
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege
审核:审核备份和还原特权的使用情况 此安全设置确定审核特权使用策略生效时,是否审核所有用户特权(包括备份和还原)的使用。 启用审核特权使用策略时启用此选项会为每个备份或还原的文件生成审核事件。 如果禁用此策略,则即使启用了审核权限使用,也不会审核备份或还原权限的使用。
注意
在 Windows Vista 配置此安全设置之前的 Windows 版本中,在你重启 Windows 之前,更改才会生效。 启用此设置可能会导致备份操作期间出现大量事件(有时每秒数百个)。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | b64 |
访问类型 | 添加、删除、获取、替换 |
默认值 | AA== |
允许的值:
值 | 描述 |
---|---|
AQ== | 启用。 |
AA== (默认) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 审核: 对备份和还原权限的使用进行审核 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
审核:强制审核策略子类别设置 (Windows Vista 或更高版本) 覆盖审核策略类别设置 Windows Vista 和更高版本的 Windows 允许使用审核策略子类别以更精确的方式管理审核策略。 在类别级别设置审核策略将覆盖新的子类别审核策略功能。 组策略仅允许在类别级别设置审核策略,而现有组策略可能会在新计算机加入域或升级到 Windows Vista 或更高版本时替代其子类别设置。 为了允许使用子类别管理审核策略而无需更改组策略,Windows Vista 和更高版本中有一个新的注册表值 SCENoApplyLegacyAuditPolicy,它阻止从组策略和本地安全策略管理工具应用类别级审核策略。 如果此处设置的类别级别审核策略与当前生成的事件不一致,则原因可能是设置了此注册表项。 默认值:已启用。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 1 |
Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
审核:如果无法记录安全审核,则立即关闭系统。 此安全设置确定系统在无法记录安全事件时是否关闭。 如果启用此安全设置,如果出于任何原因无法记录安全审核,则会导致系统停止。 通常,当安全审核日志已满且为安全日志指定的保留方法是“不覆盖事件”或“按天覆盖事件”时,无法记录事件。 如果安全日志已满且无法覆盖现有条目,并且启用此安全选项,则会出现以下停止错误:停止:C0000244 {Audit Failed} 生成安全审核的尝试失败。 若要恢复,管理员必须登录, (可选) 存档日志,清除日志,并根据需要重置此选项。 在重置此安全设置之前,除管理员组成员之外,任何用户都无法登录到系统,即使安全日志未满也是如此。
注意
在 Windows Vista 配置此安全设置之前的 Windows 版本中,在你重启 Windows 之前,更改才会生效。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 0 |
Devices_AllowedToFormatAndEjectRemovableMedia
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
设备:允许格式化和弹出可移动媒体 此安全设置确定允许谁格式化和弹出可移动 NTFS 媒体。 此功能可提供给:管理员管理员和交互式用户默认值:此策略未定义,只有管理员具有此功能。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
组策略映射:
名称 | 值 |
---|---|
名称 | 设备: 允许对可移动媒体进行格式化并弹出 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Devices_AllowUndockWithoutHavingToLogon
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
设备:允许在无需登录的情况下取消停靠 此安全设置确定是否可以在无需登录的情况下取消停靠便携式计算机。
如果启用此策略,则不需要登录,并且外部硬件弹出按钮可用于取消停靠计算机。
如果禁用,用户必须登录并具有“从扩展坞中删除计算机”权限才能取消停靠计算机。
注意
禁用此策略可能会诱使用户尝试使用外部硬件弹出按钮以外的方法从扩展坞物理删除笔记本电脑。 由于这可能会导致硬件损坏,因此通常只能在物理上安全的笔记本电脑配置上禁用此设置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 允许。 |
0 | 阻止。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 设备: 允许在未登录的情况下弹出 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
设备:连接到共享打印机时阻止用户安装打印机驱动程序 对于要打印到共享打印机的计算机,必须在本地计算机上安装该共享打印机的驱动程序。 此安全设置确定在连接到共享打印机时允许谁安装打印机驱动程序。
如果启用此设置,则只有管理员才能在连接到共享打印机时安装打印机驱动程序。
如果禁用此设置,则任何用户都可以在连接到共享打印机时安装打印机驱动程序。 服务器上的默认值:已启用。 工作站上的默认值:禁用备注 此设置不会影响添加本地打印机的能力。 此设置不会影响管理员。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 设备: 防止用户安装打印机驱动程序 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
设备:将 CD-ROM 访问限制为仅本地登录用户 此安全设置确定本地和远程用户是否可以同时访问 CD-ROM。
如果启用此策略,则仅允许以交互方式登录的用户访问可移动 CD-ROM 媒体。
如果启用此策略并且没有人以交互方式登录,则可以通过网络访问 CD-ROM。 默认值:未定义此策略,CD-ROM 访问不限于本地登录用户。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
组策略映射:
名称 | 值 |
---|---|
名称 | 设备: 将 CD-ROM 的访问权限仅限于本地登录的用户 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
设备:将软盘访问限制为仅本地登录用户 此安全设置确定本地和远程用户是否可以同时访问可移动软盘媒体。
如果启用此策略,则仅允许以交互方式登录的用户访问可移动软盘媒体。
如果启用此策略并且没有人以交互方式登录,则可以通过网络访问软盘。 默认值:未定义此策略,并且软盘驱动器访问权限不限制为本地登录用户。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
组策略映射:
名称 | 值 |
---|---|
名称 | 设备: 将软盘驱动器的访问权限仅限于本地登录的用户 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
域成员:以数字方式加密或签名安全通道数据 (始终) 此安全设置确定是否必须对域成员发起的所有安全通道流量进行签名或加密。 当计算机加入域时,将创建一个计算机帐户。 之后,当系统启动时,它使用计算机帐户密码为其域创建一个具有域控制器的安全通道。 此安全通道用于执行 NTLM 传递身份验证、LSA SID/名称查找等操作。此设置确定域成员发起的所有安全通道流量是否满足最低安全要求。 具体而言,它确定域成员发起的所有安全通道流量是必须签名还是必须加密。
如果启用此策略,除非协商对所有安全通道流量进行签名或加密,否则不会建立安全通道。
如果禁用此策略,则会与域控制器协商所有安全通道流量的加密和签名,在这种情况下,签名和加密级别取决于域控制器的版本和以下两个策略的设置:域成员:尽可能) 域成员对安全通道数据进行数字加密 (: 尽可能 (对安全通道数据进行数字签名) 说明:如果启用此策略,则策略“域成员:对安全通道数据进行数字签名” ((如果可能),无论其当前设置如何,都假定启用) 。 这可确保域成员尝试至少协商安全通道流量的签名。 无论是否协商了所有其他安全通道流量的加密,通过安全通道传输的登录信息始终都是加密的。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 1 |
组策略映射:
名称 | 值 |
---|---|
名称 | 域成员: 对安全通道数据进行数字加密或数字签名(始终) |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
域成员:尽可能对安全通道数据 (进行数字加密) 此安全设置确定域成员是否尝试为其启动的所有安全通道流量协商加密。 当计算机加入域时,将创建一个计算机帐户。 之后,当系统启动时,它使用计算机帐户密码为其域创建一个具有域控制器的安全通道。 此安全通道用于执行 NTLM 直通身份验证、LSA SID/名称查找等操作。此设置确定域成员是否尝试为其启动的所有安全通道流量协商加密。 如果启用,域成员将请求加密所有安全通道流量。 如果域控制器支持对所有安全通道流量进行加密,则将对所有安全通道流量进行加密。 否则,仅加密通过安全通道传输的登录信息。 如果禁用此设置,则域成员不会尝试协商安全通道加密。 重要提示 禁用此设置没有已知原因。 除了不必要地降低安全通道的潜在机密级别外,禁用此设置可能会不必要地降低安全通道吞吐量,因为只有在对安全通道进行签名或加密时,才能使用安全通道的并发 API 调用。
注意
域控制器也是域成员,并与同一域中的其他域控制器以及受信任域中的域控制器建立安全通道。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 1 |
组策略映射:
名称 | 值 |
---|---|
名称 | 域成员: 对安全通道数据进行数字加密(如果可能) |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
DomainMember_DigitallySignSecureChannelDataWhenPossible
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible
域成员:尽可能 (对安全通道数据进行数字签名) 此安全设置确定域成员是否尝试为其启动的所有安全通道流量协商签名。 当计算机加入域时,将创建一个计算机帐户。 之后,当系统启动时,它使用计算机帐户密码为其域创建一个具有域控制器的安全通道。 此安全通道用于执行 NTLM 传递身份验证、LSA SID/名称查找等操作。此设置确定域成员是否尝试为其启动的所有安全通道流量协商签名。 如果启用,域成员将请求对所有安全通道流量进行签名。 如果域控制器支持对所有安全通道流量进行签名,则将对所有安全通道流量进行签名,这可确保在传输过程中不会被篡改。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 1 |
组策略映射:
名称 | 值 |
---|---|
名称 | 域成员: 对安全通道数据进行数字签名(如果可能) |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
DomainMember_DisableMachineAccountPasswordChanges
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges
域成员:禁用计算机帐户密码更改 确定域成员是否定期更改其计算机帐户密码。
如果启用此设置,则域成员不会尝试更改其计算机帐户密码。
如果禁用此设置,则域成员将尝试更改其计算机帐户密码,该密码由“域成员:计算机帐户密码的最长期限”设置指定,默认为每 30 天一次。 注意 不应启用此安全设置。 计算机帐户密码用于在成员和域控制器之间以及域中的域控制器本身之间建立安全通道通信。 建立后,安全通道用于传输做出身份验证和授权决策所需的敏感信息。 不应在尝试支持使用相同计算机帐户的双启动方案时使用此设置。 如果要将加入同一域的两个安装双重启动,请为这两个安装指定不同的计算机名称。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 0 |
组策略映射:
名称 | 值 |
---|---|
名称 | 域成员: 禁用计算机帐户密码更改 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
DomainMember_MaximumMachineAccountPasswordAge
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge
域成员:最大计算机帐户密码期限 此安全设置确定域成员尝试更改其计算机帐户密码的频率。 默认值:30 天。
重要提示
此设置适用于 Windows 2000 计算机,但无法通过这些计算机上的安全Configuration Manager工具使用此设置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-999] |
默认值 | 30 |
组策略映射:
名称 | 值 |
---|---|
名称 | 域成员: 计算机帐户密码最长使用期限 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
DomainMember_RequireStrongSessionKey
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey
域成员:需要强 (Windows 2000 或更高版本) 会话密钥 此安全设置确定加密的安全通道数据是否需要 128 位密钥强度。 当计算机加入域时,将创建一个计算机帐户。 之后,当系统启动时,它将使用计算机帐户密码创建一个包含域中域控制器的安全通道。 此安全通道用于执行 NTLM 直通身份验证、LSA SID/名称查找等操作。 根据域成员正在与之通信的域控制器上运行的 Windows 版本以及参数的设置:域成员:对安全通道数据进行数字加密或签名 (始终) 域成员:尽可能 (对安全通道数据进行数字加密 () 通过安全通道传输的部分或全部信息将加密。 此策略设置确定加密的安全通道信息是否需要 128 位密钥强度。
如果启用此设置,除非可以执行 128 位加密,否则不会建立安全通道。
如果禁用此设置,则会与域控制器协商密钥强度。 重要信息 为了在成员工作站和服务器上利用此策略,构成成员域的所有域控制器都必须运行 Windows 2000 或更高版本。 为了在域控制器上利用此策略,同一域以及所有受信任域中的所有域控制器都必须运行 Windows 2000 或更高版本。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 1 |
组策略映射:
名称 | 值 |
---|---|
名称 | 域成员: 需要强(Windows 2000 或更高版本)会话密钥 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
交互式登录:会话锁定时显示用户信息用户显示名称、域和用户名 (1) 用户显示名称仅 (2) 不显示用户信息 (3) 域和用户名仅 (4)
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 用户显示名称、域和用户名。 |
2 | 仅限用户显示名称。 |
3 | 不显示用户信息。 |
4 | 仅限域和用户名。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 交互式登录: 锁定会话时显示用户信息 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
InteractiveLogon_DoNotDisplayLastSignedIn
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
交互式登录:不显示上次登录此安全设置确定 Windows 登录屏幕是否显示最后登录此电脑的用户的用户名。
如果启用此策略,则不会显示用户名。
如果禁用此策略,将显示用户名。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 禁用 (用户名将显示在) 。 |
1 | 已启用 (用户名不会) 显示。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 交互式登录: 不显示上次登录 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
InteractiveLogon_DoNotDisplayUsernameAtSignIn
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
交互式登录:登录时不显示用户名 此安全设置确定登录此电脑的人员的用户名是否显示在 Windows 登录时、输入凭据后以及显示电脑桌面之前。
如果启用此策略,则不会显示用户名。
如果禁用此策略,将显示用户名。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
0 | 禁用 (用户名将显示在) 。 |
1 (默认) | 已启用 (用户名不会) 显示。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 交互式登录: 不显示登录时的用户名 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
InteractiveLogon_DoNotRequireCTRLALTDEL
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
交互式登录:不需要 CTRL+ALT+DEL 此安全设置确定用户登录之前是否按 Ctrl+ALT+DEL。
如果在计算机上启用了此策略,则用户无需按 Ctrl+Alt+DEL 即可登录。 无需按 Ctrl+ALT+DEL,用户容易受到试图截获用户密码的攻击。 在用户登录之前要求 CTRL+ALT+DEL 可确保用户在输入密码时通过受信任的路径进行通信。
如果禁用此策略,则任何用户都需要在登录到 Windows 之前按 Ctrl+Alt+DEL。 域计算机上的默认值:已启用:至少Windows 8/禁用:Windows 7 或更低版本。 独立计算机上的默认值:已启用。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
0 | 已禁用。 |
1 (默认) | 启用 (用户无需按 CTRL+ALT+DEL 即可登录) 。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 交互式登录:不需要 CTRL+ALT+DEL |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
InteractiveLogon_MachineAccountLockoutThreshold
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold
交互式登录:计算机帐户阈值。 仅在启用了 BitLocker 以保护 OS 卷的计算机强制实施计算机锁定策略。 请确保已启用适当的恢复密码备份策略。 此安全设置确定导致计算机被锁定的失败登录尝试次数。只能通过在控制台提供恢复密钥来恢复锁定的计算机。 可以设置 1 到 999 次失败登录尝试之间的值。 如果将值设置为 0,则永远不会锁定计算机。从 1 到 3 的值将解释为 4。 对已使用 CTRL+ALT+DELETE 或受密码保护的屏幕保护程序锁定的工作站或成员服务器的密码尝试失败将计为登录尝试失败。 仅在启用了 BitLocker 以保护 OS 卷的计算机强制实施计算机锁定策略。 请确保已启用适当的恢复密码备份策略。 默认值:0。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-999] |
默认值 | 0 |
组策略映射:
名称 | 值 |
---|---|
名称 | 交互式登录: 计算机帐户锁定阈值 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
InteractiveLogon_MachineInactivityLimit
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
交互式登录:计算机不活动限制。 Windows 会注意到登录会话处于非活动状态,如果非活动时间超过非活动限制,则会运行屏幕保护程序,锁定会话。 默认值:未强制实施。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-599940] |
默认值 | 0 |
组策略映射:
名称 | 值 |
---|---|
名称 | 交互式登录: 计算机不活动限制 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
验证:
有效值:从 0 到 599940,其中该值是非活动时间 (秒) 之后会话将被锁定。 如果设置为零 (0) ,则禁用此设置。
InteractiveLogon_MessageTextForUsersAttemptingToLogOn
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
交互式登录:尝试登录的用户的消息文本 此安全设置指定用户登录时显示的文本消息。 此文本通常用于法律原因,例如,警告用户不当使用公司信息的后果,或警告用户其操作可能会受到审核。 默认值:无消息。
重要提示
启用此策略设置后,Windows Autopilot 预预配不起作用。 有关详细信息,请参阅 Windows Autopilot 故障排除常见问题解答。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 列表 (分隔符: 0xF000 ) |
组策略映射:
名称 | 值 |
---|---|
名称 | 交互式登录: 试图登录的用户的消息文本 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
交互式登录:尝试登录的用户的消息标题 此安全设置允许游戏规范显示在窗口的标题栏中,其中包含交互式登录:尝试登录的用户的消息文本。 默认值:无消息。
重要提示
启用此策略设置后,Windows Autopilot 预预配不起作用。 有关详细信息,请参阅 Windows Autopilot 故障排除常见问题解答。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
组策略映射:
名称 | 值 |
---|---|
名称 | 交互式登录: 试图登录的用户的消息标题 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
InteractiveLogon_NumberOfPreviousLogonsToCache
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache
交互式登录:如果域控制器不可用,) 本地缓存每个唯一用户的登录信息都在本地缓存 (,以便在域控制器在后续登录尝试期间不可用时,他们能够登录。 缓存的登录信息存储在上一个登录会话中。 如果域控制器不可用且未缓存用户的登录信息,则会提示用户显示以下消息:目前没有可用于为登录请求提供服务的登录服务器。 在此策略设置中,值为 0 将禁用登录缓存。 任何高于 50 的值仅缓存 50 次登录尝试。 Windows 最多支持 50 个缓存条目,每个用户使用的条目数取决于凭据。 例如,在 Windows 系统上最多可以缓存 50 个唯一密码用户帐户,但只能缓存 25 个智能卡用户帐户,因为密码信息和智能卡信息都存储。 当具有缓存登录信息的用户再次登录时,将替换该用户的各个缓存信息。 默认值:Windows Server 2008:25 所有其他版本:10。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
默认值 | 10 |
InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
交互式登录:提示用户在过期前更改密码 确定) 用户密码即将过期) 提前多远 (。 出现此提前警告后,用户有时间构造足够强的密码。 默认值:5 天。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-999] |
默认值 | 5 |
InteractiveLogon_SmartCardRemovalBehavior
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
交互式登录:智能卡删除行为 此安全设置确定从智能卡读取器中删除登录用户的智能卡时会发生什么情况。 选项包括:“无操作锁定工作站强制注销断开连接”(如果远程桌面服务会话)如果在此策略的“属性”对话框中单击“锁定工作站”,则删除智能卡时,工作站将锁定,允许用户离开该区域,使用智能卡,并仍保留受保护的会话。 如果在此策略的“属性”对话框中单击“强制注销”,则在删除智能卡时,用户会自动注销。 如果远程桌面服务会话,则单击“断开连接”,则删除智能卡在不注销用户的情况下断开会话的连接。 这允许用户插入智能卡并稍后在配备阅读器的其他智能卡计算机上继续会话,而无需再次登录。 如果会话是本地会话,则此策略的工作方式与锁定工作站相同。
注意
在早期版本的 Windows Server 中,远程桌面服务称为终端服务。 默认值:未定义此策略,这意味着系统将其视为“无操作”。 在 Windows Vista 及更高版本上:若要使此设置正常工作,必须启动智能卡删除策略服务。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 无操作。 |
1 | 锁定工作站。 |
2 | 强制注销。 |
3 | 如果远程桌面服务会话,请断开连接。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 交互式登录: 智能卡移除行为 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
MicrosoftNetworkClient_DigitallySignCommunicationsAlways
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
Microsoft网络客户端:对通信进行数字签名 (始终) 此安全设置确定 SMB 客户端组件是否需要数据包签名。 服务器消息块 (SMB) 协议为Microsoft文件和打印共享以及许多其他网络操作(例如远程 Windows 管理)提供了基础。 为了防止修改传输中的 SMB 数据包的中间人攻击,SMB 协议支持 SMB 数据包的数字签名。 此策略设置确定在允许与 SMB 服务器进一步通信之前是否必须协商 SMB 数据包签名。
如果启用此设置,Microsoft网络客户端将不会与Microsoft网络服务器通信,除非该服务器同意执行 SMB 数据包签名。
如果禁用此策略,则会在客户端和服务器之间协商 SMB 数据包签名。 重要提示 要使此策略在运行 Windows 2000 的计算机上生效,还必须启用客户端数据包签名。 若要启用客户端 SMB 数据包签名,请设置Microsoft网络客户端:如果服务器同意) , (对通信进行数字签名。
注意
所有 Windows 操作系统都支持客户端 SMB 组件和服务器端 SMB 组件。 在 Windows 2000 及更高版本的操作系统上,启用或要求客户端和服务器端 SMB 组件的数据包签名由以下四个策略设置控制:Microsoft网络客户端:对通信进行数字签名 (始终) - 控制客户端 SMB 组件是否需要数据包签名。 Microsoft网络客户端:如果服务器同意) , (对通信进行数字签名 - 控制客户端 SMB 组件是否已启用数据包签名。 Microsoft网络服务器:对通信进行数字签名 (始终) - 控制服务器端 SMB 组件是否需要数据包签名。 Microsoft网络服务器:如果客户端同意) , (对通信进行数字签名 - 控制服务器端 SMB 组件是否已启用数据包签名。 SMB 数据包签名可能会显著降低 SMB 性能,具体取决于方言版本、OS 版本、文件大小、处理器卸载功能和应用程序 IO 行为。 有关详细信息,请参阅:<https://go.microsoft.com/fwlink/?LinkID=787136>。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | Microsoft 网络客户端:对通信进行数字签名(始终) |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
Microsoft网络客户端:如果服务器同意 (对通信进行数字签名) 此安全设置确定 SMB 客户端是否尝试协商 SMB 数据包签名。 服务器消息块 (SMB) 协议为Microsoft文件和打印共享以及许多其他网络操作(例如远程 Windows 管理)提供了基础。 为了防止修改传输中的 SMB 数据包的中间人攻击,SMB 协议支持 SMB 数据包的数字签名。 此策略设置确定 SMB 客户端组件在连接到 SMB 服务器时是否尝试协商 SMB 数据包签名。
如果启用此设置,Microsoft网络客户端将在会话设置时要求服务器执行 SMB 数据包签名。 如果已在服务器上启用数据包签名,则会协商数据包签名。
如果禁用此策略,SMB 客户端永远不会协商 SMB 数据包签名。 注释 所有 Windows 操作系统都支持客户端 SMB 组件和服务器端 SMB 组件。 在 Windows 2000 及更高版本上,为客户端和服务器端 SMB 组件启用或要求数据包签名由以下四个策略设置控制:Microsoft网络客户端:对通信进行数字签名 (始终) - 控制客户端 SMB 组件是否需要数据包签名。 Microsoft网络客户端:如果服务器同意) , (对通信进行数字签名 - 控制客户端 SMB 组件是否已启用数据包签名。 Microsoft网络服务器:对通信进行数字签名 (始终) - 控制服务器端 SMB 组件是否需要数据包签名。 Microsoft网络服务器:如果客户端同意) , (对通信进行数字签名 - 控制服务器端 SMB 组件是否已启用数据包签名。 如果同时启用了客户端和服务器端 SMB 签名,并且客户端与服务器建立了 SMB 1.0 连接,则会尝试 SMB 签名。 SMB 数据包签名可能会显著降低 SMB 性能,具体取决于方言版本、OS 版本、文件大小、处理器卸载功能和应用程序 IO 行为。 此设置仅适用于 SMB 1.0 连接。 有关详细信息,请参阅:<https://go.microsoft.com/fwlink/?LinkID=787136>。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 启用。 |
0 | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | Microsoft 网络客户端: 对通信进行数字签名(如果服务器允许) |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
Microsoft网络客户端:发送未加密的密码以连接到第三方 SMB 服务器 如果启用此安全设置,则允许服务器消息块 (SMB) 重定向程序将纯文本密码发送到身份验证期间不支持密码加密的非Microsoft SMB 服务器。 发送未加密的密码存在安全风险。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | Microsoft 网络客户端: 将未加密的密码发送到第三方 SMB 服务器 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
Microsoft网络服务器:暂停会话之前所需的空闲时间量 此安全设置确定在会话因不活动而挂起之前,服务器消息块 (SMB) 会话中必须传递的连续空闲时间量。 管理员可以使用此策略来控制计算机何时挂起非活动 SMB 会话。 如果客户端活动恢复,则会自动重新建立会话。 对于此策略设置,值 0 表示尽可能快地断开空闲会话的连接。 最大值为 99999,即 208 天;实际上,此值将禁用策略。 默认值:未定义此策略,这意味着系统将其视为服务器 15 分钟,对工作站未定义。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-99999] |
默认值 | 99999 |
组策略映射:
名称 | 值 |
---|---|
名称 | Microsoft 网络服务器: 暂停会话前所需的空闲时间数量 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
MicrosoftNetworkServer_DigitallySignCommunicationsAlways
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
Microsoft网络服务器:对通信进行数字签名 (始终) 此安全设置确定 SMB 服务器组件是否需要数据包签名。 服务器消息块 (SMB) 协议为Microsoft文件和打印共享以及许多其他网络操作(例如远程 Windows 管理)提供了基础。 为了防止修改传输中的 SMB 数据包的中间人攻击,SMB 协议支持 SMB 数据包的数字签名。 此策略设置确定在允许与 SMB 客户端进一步通信之前是否必须协商 SMB 数据包签名。
如果启用此设置,Microsoft网络服务器将不会与Microsoft网络客户端通信,除非该客户端同意执行 SMB 数据包签名。
如果禁用此设置,则会在客户端和服务器之间协商 SMB 数据包签名。 默认值:对成员服务器禁用。 为域控制器启用。
注意
所有 Windows 操作系统都支持客户端 SMB 组件和服务器端 SMB 组件。 在 Windows 2000 及更高版本上,为客户端和服务器端 SMB 组件启用或要求数据包签名由以下四个策略设置控制:Microsoft网络客户端:对通信进行数字签名 (始终) - 控制客户端 SMB 组件是否需要数据包签名。 Microsoft网络客户端:如果服务器同意) , (对通信进行数字签名 - 控制客户端 SMB 组件是否已启用数据包签名。 Microsoft网络服务器:对通信进行数字签名 (始终) - 控制服务器端 SMB 组件是否需要数据包签名。 Microsoft网络服务器:如果客户端同意) , (对通信进行数字签名 - 控制服务器端 SMB 组件是否已启用数据包签名。 同样,如果需要客户端 SMB 签名,该客户端将无法与未启用数据包签名的服务器建立会话。 默认情况下,仅在域控制器上启用服务器端 SMB 签名。 如果启用了服务器端 SMB 签名,则会与启用了客户端 SMB 签名的客户端协商 SMB 数据包签名。 SMB 数据包签名可能会显著降低 SMB 性能,具体取决于方言版本、OS 版本、文件大小、处理器卸载功能和应用程序 IO 行为。
重要提示
要使此策略在运行 Windows 2000 的计算机上生效,还必须启用服务器端数据包签名。 若要启用服务器端 SMB 数据包签名, 设置以下策略:Microsoft网络服务器:数字签名通信 (如果服务器同意) 对于 Windows 2000 服务器与 Windows NT 4.0 客户端协商签名,必须在 Windows 2000 服务器上将以下注册表值设置为 1:HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature 有关详细信息,请参阅:<https://go.microsoft.com/fwlink/?LinkID=787136>。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | Microsoft 网络服务器:对通信进行数字签名(始终) |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
Microsoft网络服务器: (对通信进行数字签名(如果客户端同意) 此安全设置确定 SMB 服务器是否将与请求它的客户端协商 SMB 数据包签名)。 服务器消息块 (SMB) 协议为Microsoft文件和打印共享以及许多其他网络操作(例如远程 Windows 管理)提供了基础。 为了防止修改传输中的 SMB 数据包的中间人攻击,SMB 协议支持 SMB 数据包的数字签名。 此策略设置确定 SMB 服务器在 SMB 客户端请求时是否协商 SMB 数据包签名。
如果启用此设置,Microsoft网络服务器将按照客户端的请求协商 SMB 数据包签名。 也就是说,如果在客户端上启用了数据包签名,则会协商数据包签名。
如果禁用此策略,SMB 客户端永远不会协商 SMB 数据包签名。 仅限域控制器。
重要提示
若要使 Windows 2000 服务器与 Windows NT 4.0 客户端协商签名,必须在运行 Windows 2000 的服务器上将以下注册表值设置为 1:HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes 所有 Windows 操作系统都支持客户端 SMB 组件和服务器端 SMB 组件。 对于 Windows 2000 及更高版本,启用或要求客户端和服务器端 SMB 组件的数据包签名由以下四个策略设置控制:Microsoft网络客户端:对通信进行数字签名 (始终) - 控制客户端 SMB 组件是否需要数据包签名。 Microsoft网络客户端:如果服务器同意) , (对通信进行数字签名 - 控制客户端 SMB 组件是否已启用数据包签名。 Microsoft网络服务器:对通信进行数字签名 (始终) - 控制服务器端 SMB 组件是否需要数据包签名。 Microsoft网络服务器:如果客户端同意) , (对通信进行数字签名 - 控制服务器端 SMB 组件是否已启用数据包签名。 如果同时启用了客户端和服务器端 SMB 签名,并且客户端与服务器建立了 SMB 1.0 连接,则会尝试 SMB 签名。 SMB 数据包签名可能会显著降低 SMB 性能,具体取决于方言版本、OS 版本、文件大小、处理器卸载功能和应用程序 IO 行为。 此设置仅适用于 SMB 1.0 连接。 有关详细信息,请参阅:<https://go.microsoft.com/fwlink/?LinkID=787136>。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | Microsoft 网络服务器: 对通信进行数字签名(如果服务器允许) |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
Microsoft网络服务器:在登录时间过期时断开客户端连接 此安全设置确定是否断开在其用户帐户的有效登录时间之外连接到本地计算机的用户的连接。 此设置会影响服务器消息块 (SMB) 组件。 启用此策略后,它会导致客户端与 SMB 服务的客户端会话在客户端登录时间过期时强制断开连接。
- 如果禁用此策略,则允许在客户端的登录时间过期后维护已建立的客户端会话。 Windows Vista 及更高版本上的默认值:已启用。 Windows XP 上的默认值:禁用。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 1 |
MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
Microsoft网络服务器:服务器 SPN 目标名称验证级别 此策略设置控制具有共享文件夹或打印机的计算机的验证级别, (服务器) 在客户端计算机使用服务器消息块 (SMB) 协议建立会话时对服务主体名称 (SPN) 执行的验证级别。 服务器消息块 (SMB) 协议为文件和打印共享以及其他网络操作(例如远程 Windows 管理)提供了基础。 SMB 协议支持在 SMB 客户端提供的身份验证 Blob 中验证 SMB 服务器服务主体名称 (SPN) ,以防止针对 SMB 服务器的一类攻击(称为 SMB 中继攻击)。 此设置将同时影响 SMB1 和 SMB2。 此安全设置确定 SMB 服务器在尝试与 SMB 服务器建立会话时,SMB 服务器对服务主体名称 (SPN) 执行的验证级别。 选项为:关闭 - 不需要 SPN,也不由 SMB 服务器从 SMB 客户端验证 SPN。 如果由客户端提供,则接受 - SMB 服务器将接受并验证 SMB 客户端提供的 SPN,如果会话与 SMB 服务器的 SPN 列表匹配,则允许建立会话。 如果 SPN 不匹配,则会拒绝该 SMB 客户端的会话请求。 客户端必需 - SMB 客户端必须在会话设置中发送 SPN 名称,而提供的 SPN 名称必须与请求建立连接的 SMB 服务器匹配。 如果客户端未提供 SPN,或者提供的 SPN 不匹配,则会拒绝会话。 默认值:所有 Windows 操作系统都支持客户端 SMB 组件和服务器端 SMB 组件。 此设置会影响服务器 SMB 行为,应仔细评估和测试其实现,以防止中断文件和打印服务功能。 有关实现和使用它来保护 SMB 服务器的其他信息,请参阅Microsoft网站 (https://go.microsoft.com/fwlink/?LinkId=144505) 。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-2] |
默认值 | 0 |
NetworkAccess_AllowAnonymousSIDOrNameTranslation
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation
网络访问:允许匿名 SID/名称转换 此策略设置确定匿名用户是否可以为其他用户请求安全标识符 (SID) 属性。
如果启用此策略,匿名用户可以请求其他用户的 SID 属性。 了解管理员 SID 的匿名用户可以联系已启用此策略的计算机,并使用 SID 获取管理员的姓名。 此设置会影响 SID 到名称的转换以及名称到 SID 的转换。
如果禁用此策略设置,则匿名用户无法请求其他用户的 SID 属性。 工作站和成员服务器上的默认值:已禁用。 运行 Windows Server 2008 或更高版本的域控制器上的默认值:禁用。 在运行 Windows Server 2003 R2 或更早版本的域控制器上默认:已启用。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络访问:允许匿名 SID/名称转换 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
网络访问:不允许匿名枚举 SAM 帐户 此安全设置确定将授予哪些附加权限以匿名连接到计算机。 Windows 允许匿名用户执行某些活动,例如枚举域帐户和网络共享的名称。 例如,当管理员想要向不保持互惠信任的受信任域中的用户授予访问权限时,这很方便。 此安全选项允许对匿名连接施加其他限制,如下所示:已启用:不允许枚举 SAM 帐户。 此选项将“每个人”替换为资源的安全权限中的“经过身份验证的用户”。 已禁用:无其他限制。 依赖于默认权限。 工作站上的默认值:已启用。 在 server:Enabled 上默认。
重要提示
此策略对域控制器没有影响。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 已启用。 |
0 | 已禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络访问:不允许匿名枚举 SAM 帐户 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
网络访问:不允许匿名枚举 SAM 帐户和共享 此安全设置确定是否允许匿名枚举 SAM 帐户和共享。 Windows 允许匿名用户执行某些活动,例如枚举域帐户和网络共享的名称。 例如,当管理员想要向不保持互惠信任的受信任域中的用户授予访问权限时,这很方便。 如果不希望允许匿名枚举 SAM 帐户和共享,请启用此策略。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 已启用。 |
0(默认值) | 已禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络访问:不允许对 SAM 帐户和共享进行匿名枚举 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
网络访问:不允许存储用于网络身份验证的密码和凭据。此安全设置确定凭据管理器是否保存密码和凭据以供以后在获得域身份验证时使用。
如果启用此设置,凭据管理器不会在计算机上存储密码和凭据。
如果禁用或未配置此策略设置,凭据管理器将在此计算机上存储密码和凭据,供以后用于域身份验证。
注意
配置此安全设置时,在重启 Windows 之前,更改不会生效。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 0 |
NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
网络访问:允许每个人权限应用于匿名用户 此安全设置确定为与计算机的匿名连接授予哪些附加权限。 Windows 允许匿名用户执行某些活动,例如枚举域帐户和网络共享的名称。 例如,当管理员想要向不保持互惠信任的受信任域中的用户授予访问权限时,这很方便。 默认情况下,将从为匿名连接创建的令牌中删除所有人安全标识符 (SID) 。 因此,授予“每个人”组的权限不适用于匿名用户。 如果设置了此选项,匿名用户只能访问已显式授予匿名用户权限的资源。
- 如果启用此策略,则 Everyone SID 将添加到为匿名连接创建的令牌中。 在这种情况下,匿名用户能够访问已向其授予 Everyone 组权限的任何资源。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 0 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络访问: 将 Everyone 权限应用于匿名用户 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
网络访问:可以匿名访问的命名管道 此安全设置确定哪些通信会话 (管道) 将具有允许匿名访问的属性和权限。 默认值:无。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 列表 (分隔符: , ) |
NetworkAccess_RemotelyAccessibleRegistryPaths
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths
网络访问:远程访问注册表路径 此安全设置确定可以通过网络访问哪些注册表项,而不管访问控制列表中列出的用户或组 (ACL) winreg 注册表项。 默认值:System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion 警告 错误地编辑注册表可能会严重损坏系统。 在对注册表进行更改之前,应备份计算机上的任何值数据。
注意
此安全设置在早期版本的 Windows 上不可用。 运行 Windows XP 的计算机上显示的安全设置“网络访问:远程访问注册表路径”对应于 Windows Server 2003 系列成员上的“网络访问:远程访问注册表路径和子路径”安全选项。 有关详细信息,请参阅网络访问:远程访问注册表路径和子路径。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 列表 (分隔符: , ) |
NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
网络访问:远程访问注册表路径和子路径 此安全设置确定可以通过网络访问哪些注册表路径和子路径,而不管访问控制列表中列出的用户或组 (ACL) winreg 注册表项。 默认值:System\CurrentControlSet\Control\Print\Printer System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins 警告 错误编辑注册表可能会严重损坏系统。 在对注册表进行更改之前,应备份计算机上的任何值数据。
注意
在 Windows XP 上,此安全设置称为“网络访问:远程访问注册表路径”。 如果在已加入域的 Windows Server 2003 系列成员上配置此设置,则此设置由运行 Windows XP 的计算机继承,但将显示为“网络访问:远程访问注册表路径”安全选项。 有关详细信息,请参阅网络访问:远程访问注册表路径和子路径。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 列表 (分隔符: , ) |
NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
网络访问:限制对命名管道和共享的匿名访问 启用后,此安全设置会将对共享和管道的匿名访问限制为以下设置:网络访问:可以匿名访问的命名管道网络访问:可以匿名访问的共享
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 启用。 |
0 | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络访问:限制匿名访问命名管道和共享 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
网络访问:限制允许客户端对 SAM 进行远程调用 此策略设置允许将远程 rpc 连接限制为 SAM。 如果未选择,将使用默认安全描述符。 至少Windows Server 2016支持此策略。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络访问:限制允许远程调用 SAM 的客户端 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkAccess_SharesThatCanBeAccessedAnonymously
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously
网络访问:可以匿名访问的共享 此安全设置确定匿名用户可以访问的网络共享。 默认值:无指定。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 列表 (分隔符: , ) |
NetworkAccess_SharingAndSecurityModelForLocalAccounts
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts
网络访问:本地帐户的共享和安全模型 此安全设置确定如何使用本地帐户的网络登录进行身份验证。 如果此设置设置为“经典”,则使用本地帐户凭据的网络登录会使用这些凭据进行身份验证。 经典模型允许精细控制对资源的访问。 通过使用经典模型,可以向不同用户授予对同一资源的不同类型的访问权限。 如果此设置设置为“仅来宾”,则使用本地帐户的网络登录将自动映射到来宾帐户。 通过使用来宾模型,可以平等对待所有用户。 所有用户都以来宾身份进行身份验证,并且他们都会获得对给定资源的相同级别访问权限,该级别可以是“只读”或“修改”。 域计算机上的默认值:经典。 独立计算机上的默认值:仅来宾重要 使用仅来宾模式时,可以通过网络访问计算机的任何用户 (包括匿名 Internet 用户) 可以访问共享资源。 必须使用 Windows 防火墙或其他类似的设备来保护计算机免受未经授权的访问。 同样,对于经典模型,本地帐户必须受密码保护;否则,任何人都可以使用这些用户帐户来访问共享的系统资源。
注意
此设置不会影响使用 Telnet 或远程桌面服务等服务远程执行的交互式登录。 在早期版本的 Windows Server 中,远程桌面服务称为终端服务。 此策略不会影响运行 Windows 2000 的计算机。 当计算机未加入域时,此设置还会修改文件资源管理器中的“共享和安全”选项卡,以对应于正在使用的共享和安全模型。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 0 |
NetworkSecurity_AllowLocalSystemNULLSessionFallback
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback
网络安全:允许 LocalSystem NULL 会话回退 允许 NTLM 在与 LocalSystem 一起使用时回退到 NULL 会话。 Windows Vista 的默认值为 TRUE,在 Windows 7 中为 FALSE。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 1 |
NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
网络安全:允许本地系统使用 NTLM 的计算机标识 此策略设置允许使用 Negotiate 的本地系统服务在还原为 NTLM 身份验证时使用计算机标识。
如果启用此策略设置,则作为使用 Negotiate 的本地系统运行的服务将使用计算机标识。 这可能会导致 Windows 操作系统之间的某些身份验证请求失败并记录错误。
如果禁用此策略设置,在还原为 NTLM 身份验证时,作为本地系统运行的服务将使用 Negotiate 进行匿名身份验证。 默认情况下,此策略在 Windows 7 及更高版本上启用。 默认情况下,此策略在 Windows Vista 上处于禁用状态。 至少在 Windows Vista 或 Windows Server 2008 上支持此策略。
注意
Windows Vista 或 Windows Server 2008 不会在 组策略 中公开此设置。
- 当服务使用设备标识进行连接时,支持签名和加密以提供数据保护。
- 当服务匿名连接时,会创建系统生成的会话密钥,该密钥不提供保护,但它允许应用程序对数据进行签名和加密,而不会出错。 匿名身份验证使用 NULL 会话,该会话与服务器不执行用户身份验证;因此,允许匿名访问。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 允许。 |
0 | 阻止。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全: 允许本地系统将计算机标识用于 NTLM |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_AllowPKU2UAuthenticationRequests
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
网络安全:允许对此计算机的 PKU2U 身份验证请求使用联机标识。 默认情况下,此策略将在已加入域的计算机上关闭。 这会阻止联机标识向已加入域的计算机进行身份验证。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
0 | 阻止。 |
1 (默认) | 允许。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全:允许对此计算机的 PKU2U 身份验证请求使用联机标识。 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
注意
此策略已弃用,可能会在将来的版本中删除。
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
网络安全:下次密码更改时不存储 LAN Manager 哈希值 此安全设置确定是否在下一次密码更改时存储新密码的 LAN 管理器 (LM) 哈希值。 与加密更强的Windows NT哈希相比,LM 哈希相对较弱且容易受到攻击。 由于 LM 哈希存储在安全数据库中的本地计算机上,因此,如果安全数据库受到攻击,密码可能会遭到入侵。 Windows Vista 及更高版本上的默认值:在 Windows XP 上启用默认值:禁用。
重要提示
Windows 2000 Service Pack 2 (SP2) 及更高版本提供与以前版本的 Windows(例如 Microsoft Windows NT 4.0)的身份验证兼容性。 此设置可能会影响运行 Windows 2000 Server、Windows 2000 专业版、Windows XP 和 Windows Server 2003 系列的计算机与运行 Windows 95 和 Windows 98 的计算机通信的能力。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 启用。 |
0 | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全:下次密码更改时不存储 LAN Manager 哈希值 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_ForceLogoffWhenLogonHoursExpire
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire
网络安全:在登录时间过期时强制注销 此安全设置确定是否在用户帐户的有效登录时间之外断开连接到本地计算机的用户的连接。 此设置会影响服务器消息块 (SMB) 组件。 启用此策略后,它会导致客户端与 SMB 服务器的客户端会话在客户端登录小时数过期时强制断开连接。
- 如果禁用此策略,则允许在客户端的登录时间过期后维护已建立的客户端会话。 注意:此安全设置的行为与帐户策略相同。 对于域帐户,只能有一个帐户策略。 帐户策略必须在默认域策略中定义,并且由构成域的域控制器强制实施。 域控制器始终从默认域策略组策略对象 (GPO) 拉取帐户策略,即使对包含域控制器的组织单位应用了不同的帐户策略也是如此。 默认情况下,加入域的工作站和服务器 (例如,成员计算机) 也接收其本地帐户的相同帐户策略。 但是,通过为包含成员计算机的组织单位定义帐户策略,成员计算机的本地帐户策略可以不同于域帐户策略。 Kerberos 设置不会应用于成员计算机。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 启用。 |
0 | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全: 在超过登录时间后强制注销 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_LANManagerAuthenticationLevel
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
网络安全 LAN 管理器身份验证级别 此安全设置确定用于网络登录的质询/响应身份验证协议。 此选项会影响客户端使用的身份验证协议级别、协商的会话安全级别以及服务器接受的身份验证级别,如下所示:发送 LM 和 NTLM 响应:客户端使用 LM 和 NTLM 身份验证,从不使用 NTLMv2 会话安全性;域控制器接受 LM、NTLM 和 NTLMv2 身份验证。 发送 LM 和 NTLM - 如果协商,请使用 NTLMv2 会话安全性:客户端使用 LM 和 NTLM 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性;域控制器接受 LM、NTLM 和 NTLMv2 身份验证。 仅发送 NTLM 响应:客户端仅使用 NTLM 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性;域控制器接受 LM、NTLM 和 NTLMv2 身份验证。 仅发送 NTLMv2 响应:客户端仅使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性;域控制器接受 LM、NTLM 和 NTLMv2 身份验证。 仅发送 NTLMv2 响应\拒绝 LM:客户端仅使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性;域控制器拒绝 LM (仅接受 NTLM 和 NTLMv2 身份验证) 。 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM:客户端仅使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性;域控制器拒绝 LM,NTLM (仅接受 NTLMv2 身份验证) 。
重要提示
此设置可能会影响运行 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 和 Windows Server 2003 系列的计算机通过网络与运行 Windows NT 4.0 及更早版本的计算机通信的能力。 例如,在撰写本文时,运行 Windows NT 4.0 SP4 及更低版本的计算机不支持 NTLMv2。 运行 Windows 95 和 Windows 98 的计算机不支持 NTLM。 默认值:Windows 2000 和 Windows XP:发送 LM 和 NTLM 响应 Windows Server 2003:仅发送 NTLM 响应 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2:仅发送 NTLMv2 响应。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 3 |
允许的值:
值 | 描述 |
---|---|
0 | 发送 LM 和 NTLM 响应。 |
1 | 如果协商,则发送 LM 和 NTLM-use NTLMv2 会话安全性。 |
2 | 仅发送 LM 和 NTLM 响应。 |
3 (默认) | 仅发送 LM 和 NTLMv2 响应。 |
4 | 仅发送 LM 和 NTLMv2 响应。 拒绝 LM。 |
5 | 仅发送 LM 和 NTLMv2 响应。 拒绝 LM 和 NTLM。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全: LAN 管理器身份验证级别 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_LDAPClientSigningRequirements
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements
网络安全:LDAP 客户端签名要求 此安全设置确定代表发出 LDAP BIND 请求的客户端请求的数据签名级别,如下所示:无:使用调用方指定的选项发出 LDAP BIND 请求。 协商签名:如果传输层安全性/安全套接字层 (TLS\SSL) 尚未启动,则除了调用方指定的选项外,还会通过设置 LDAP 数据签名选项启动 LDAP BIND 请求。 如果 TLS\SSL 已启动,则使用调用方指定的选项启动 LDAP BIND 请求。 需要签名:这与协商签名相同。 但是,如果 LDAP 服务器的中间 saslBindInProgress 响应未指示需要 LDAP 流量签名,则会通知调用方 LDAP BIND 命令请求失败。
注意
如果将服务器设置为“需要签名”,则还必须设置客户端。 不设置客户端会导致与服务器的连接丢失。
注意
此设置对ldap_simple_bind或ldap_simple_bind_s没有任何影响。 Windows XP Professional 附带的Microsoft LDAP 客户端均未使用ldap_simple_bind或ldap_simple_bind_s与域控制器通信。 默认值:协商签名。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-2] |
默认值 | 1 |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
网络安全:基于 NTLM SSP 的 ((包括安全 RPC) 客户端)的最低会话安全性 此安全设置允许客户端要求协商 128 位加密和/或 NTLMv2 会话安全性。 这些值取决于 LAN Manager 身份验证级别安全设置值。 选项包括:要求 NTLMv2 会话安全性:如果未协商 NTLMv2 协议,连接将失败。 需要 128 位加密:如果未协商强加密 (128 位) ,连接将失败。 默认值:Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003 和 Windows Server 2008:无要求。 Windows 7 和 Windows Server 2008 R2:需要 128 位加密。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 536870912 |
允许的值:
值 | 描述 |
---|---|
0 | 无。 |
524288 | 需要 NTLMv2 会话安全性。 |
536870912 (默认) | 需要 128 位加密。 |
537395200 | 需要 NTLM 和 128 位加密。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全: 基于 NTLM SSP 的(包括安全 RPC)客户端的最小会话安全 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
网络安全:基于 NTLM SSP 的 (包括安全 RPC) 服务器的最低会话安全性 此安全设置允许服务器要求协商 128 位加密和/或 NTLMv2 会话安全性。 这些值取决于 LAN Manager 身份验证级别安全设置值。 选项包括:需要 NTLMv2 会话安全性:如果未协商消息完整性,连接将失败。 需要 128 位加密。 如果未协商强加密 (128 位) ,连接将失败。 默认值:Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003 和 Windows Server 2008:无要求。 Windows 7 和 Windows Server 2008 R2:需要 128 位加密。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 536870912 |
允许的值:
值 | 描述 |
---|---|
0 | 无。 |
524288 | 需要 NTLMv2 会话安全性。 |
536870912 (默认) | 需要 128 位加密。 |
537395200 | 需要 NTLM 和 128 位加密。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
网络安全:限制 NTLM:为 NTLM 身份验证添加远程服务器例外 此策略设置允许创建远程服务器的例外列表,如果配置了“网络安全:限制 NTLM:将 NTLM 流量传出到远程服务器”策略设置,则允许客户端使用 NTLM 身份验证。
如果配置此策略设置,则可以定义允许客户端使用 NTLM 身份验证的远程服务器列表。
如果未配置此策略设置,则不会应用任何例外。 此例外列表中的服务器的命名格式是应用程序使用的完全限定域名 (FQDN) 或 NetBIOS 服务器名称,每行列出一个。 若要确保所有应用程序使用的名称都需要在列表中出现异常,并确保异常准确,应以两种命名格式 列出服务器名称。 单个星号 (*) 可以在字符串中的任何位置用作通配符。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 列表 (分隔符: 0xF000 ) |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全: 限制 NTLM: 为 NTLM 身份验证添加远程服务器例外 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
网络安全:限制 NTLM:审核传入 NTLM 流量 此策略设置允许审核传入 NTLM 流量。 如果选择“禁用”或未配置此策略设置,则服务器不会记录传入 NTLM 流量的事件。 如果选择“为域帐户启用审核”,服务器将记录 NTLM 直通身份验证请求的事件,当“网络安全:限制 NTLM:传入 NTLM 流量”策略设置设置为“拒绝所有域帐户”选项时,将阻止这些事件。 如果选择“为所有帐户启用审核”,则服务器将记录“网络安全:限制 NTLM:传入 NTLM 流量”策略设置设置为“拒绝所有帐户”选项时将阻止的所有 NTLM 身份验证请求的事件。 至少在 Windows 7 或 Windows Server 2008 R2 上支持此策略。
注意
审核事件记录在此计算机上的“操作”日志中,该日志位于应用程序和服务日志/Microsoft/Windows/NTLM 下。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 禁用。 |
1 | 为域帐户启用审核。 |
2 | 为所有帐户启用审核。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全:限制 NTLM:审核传入 NTLM 流量 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
网络安全:限制 NTLM:传入 NTLM 流量 此策略设置允许拒绝或允许传入 NTLM 流量。 如果选择“全部允许”或未配置此策略设置,服务器将允许所有 NTLM 身份验证请求。 如果选择“拒绝所有域帐户”,服务器将拒绝域登录的 NTLM 身份验证请求,并显示 NTLM 阻止错误,但允许本地帐户登录。 如果选择“拒绝所有帐户”,服务器将拒绝来自传入流量的 NTLM 身份验证请求,并显示 NTLM 阻止错误。 至少在 Windows 7 或 Windows Server 2008 R2 上支持此策略。
注意
阻止事件记录在此计算机上,位于应用程序和服务日志/Microsoft/Windows/NTLM 下的“操作”日志中。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 全部允许。 |
1 | 拒绝所有域帐户。 |
2 | 拒绝所有帐户。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全: 限制 NTLM: 传入 NTLM 流量 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
网络安全:限制 NTLM:传出到远程服务器的 NTLM 流量 使用此策略设置,可以拒绝或审核来自此 Windows 7 或此 Windows Server 2008 R2 计算机的传出 NTLM 流量到任何 Windows 远程服务器。 如果选择“全部允许”或未配置此策略设置,则客户端计算机可以使用 NTLM 身份验证对远程服务器的标识进行身份验证。 如果选择“全部审核”,客户端计算机会将每个 NTLM 身份验证请求的事件记录到远程服务器。 这允许你识别那些从客户端计算机接收 NTLM 身份验证请求的服务器。 如果选择“全部拒绝”,则客户端计算机无法使用 NTLM 身份验证向远程服务器进行身份验证。 可以使用“网络安全:限制 NTLM:为 NTLM 身份验证添加远程服务器例外”策略设置来定义允许客户端使用 NTLM 身份验证的远程服务器列表。 至少在 Windows 7 或 Windows Server 2008 R2 上支持此策略。
注意
审核和阻止事件记录在此计算机上,位于应用程序和服务日志/Microsoft/Windows/NTLM 下的“操作”日志中。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 全部允许。 |
1 | 拒绝所有域帐户。 |
2 | 拒绝所有帐户。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
RecoveryConsole_AllowAutomaticAdministrativeLogon
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon
恢复控制台:允许自动管理登录 此安全设置确定在授予对系统的访问权限之前是否必须提供管理员帐户的密码。 如果启用此选项,则恢复控制台不需要你提供密码,并且会自动登录到系统。 默认值:未定义此策略,并且不允许自动管理登录。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 0 |
组策略映射:
名称 | 值 |
---|---|
名称 | 恢复控制台: 允许自动管理登录 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
恢复控制台:允许软盘复制和访问所有驱动器和所有文件夹 启用此安全选项使恢复控制台 SET 命令可用,使你可以设置以下恢复控制台环境变量:AllowWildCards:启用对某些命令 (通配符支持,例如 DEL 命令) 。 AllowAllPaths:允许访问计算机上的所有文件和文件夹。 AllowRemovableMedia:允许将文件复制到可移动媒体,例如软盘。 NoCopyPrompt:覆盖现有文件时不提示。 默认值:未定义此策略,恢复控制台 SET 命令不可用。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 0 |
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
关闭:允许系统关闭而无需登录 此安全设置确定是否可以在不登录 Windows 的情况下关闭计算机。 启用此策略后,Windows 登录屏幕上会显示“关闭”命令。 禁用此策略后,用于关闭计算机的选项不会出现在 Windows 登录屏幕上。 在这种情况下,用户必须能够成功登录到计算机,并让关闭系统用户权限,然后才能执行系统关闭。 工作站上的默认值:已启用。 服务器上的默认值:已禁用。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
0 | 已禁用。 |
1 (默认) | 已启用 (允许系统关闭,而无需登录) 。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 关机: 允许系统在未登录的情况下关闭 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
Shutdown_ClearVirtualMemoryPageFile
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
关闭:清除虚拟内存页文件 此安全设置确定在系统关闭时是否清除虚拟内存页文件。 虚拟内存支持在不使用内存页时使用系统页文件将内存页交换到磁盘。 在正在运行的系统上,此页文件由操作系统独占打开,并且受到很好的保护。 但是,配置为允许启动到其他操作系统的系统可能必须确保在系统关闭时清除系统页面文件。 这可确保可能进入页面文件的进程内存中的敏感信息对管理直接访问页面文件的未经授权的用户不可用。 启用此策略后,它会导致系统页面文件在干净关闭时被清除。 如果启用此安全选项,则禁用休眠时,休眠文件 (hiberfil.sys) 也会被清除。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 关机: 清除虚拟内存页面文件 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
SystemCryptography_ForceStrongKeyProtection
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection
系统加密:对存储在计算机上的用户密钥强制强密钥保护 此安全设置确定用户的私钥是否需要使用密码。 选项包括:存储新密钥并使用 时不需要用户输入 用户首次使用密钥时,系统会提示用户每次使用密钥时必须输入密码。有关详细信息,请参阅公钥基础结构。 默认值:未定义此策略。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-2] |
默认值 | 0 |
SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
系统对象:要求非 Windows 子系统不区分大小写 此安全设置确定是否对所有子系统强制实施不区分大小写。 Win32 子系统不区分大小写。 但是,内核支持对其他子系统(如 POSIX)区分大小写。 如果启用此设置,则对所有目录对象、符号链接和 IO 对象(包括文件对象)强制实施不区分大小写。 禁用此设置不允许 Win32 子系统区分大小写。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 1 |
组策略映射:
名称 | 值 |
---|---|
名称 | 系统对象:非 Windows 子系统不要求区分大小写 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
系统对象:加强内部系统对象的默认权限 (例如符号链接) 此安全设置确定对象的默认自由访问控制列表 (DACL) 的强度。 Active Directory 维护共享系统资源的全局列表,例如 DOS 设备名称、互斥体和信号灯。 通过这种方式,可以在进程之间定位和共享对象。 使用默认 DACL 创建每种类型的对象,该 DACL 指定谁可以访问对象以及授予的权限。
- 如果启用此策略,则默认 DACL 更强,允许不是管理员的用户读取共享对象,但不允许这些用户修改他们未创建的共享对象。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 范围: [0-1] |
默认值 | 1 |
UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
用户帐户控制:允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升。 此策略设置控制用户界面辅助功能 (UIAccess 或 UIA) 程序是否可以自动禁用标准用户使用的提升提示的安全桌面。
已启用:UIA 程序(包括 Windows 远程协助)会自动禁用安全桌面以提示提升。 如果未禁用“用户帐户控制:在提示提升时切换到安全桌面”策略设置,则会在交互式用户的桌面而不是安全桌面上显示提示。
已禁用: (默认) 安全桌面只能由交互式桌面的用户或禁用“用户帐户控制:在提示提升时切换到安全桌面”策略设置来禁用安全桌面。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 已禁用。 |
1 | 启用 (允许 UIAccess 应用程序在不使用安全桌面) 的情况下提示提升。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection
用户帐户控制:使用管理员保护运行的管理员的提升提示行为。 此策略设置控制管理员提升提示的行为。 这些选项有:
安全桌面上的凭据提示:当操作需要特权提升时,系统会在安全桌面上提示用户输入特权凭据。 如果用户输入了有效的凭据,则操作会以用户的最高可用权限继续执行。
安全桌面上的同意提示:当操作需要特权提升时,系统会在安全桌面上提示用户选择“允许更改”或“不允许”。 如果用户选择“允许更改”,则操作会以用户的最高可用权限继续执行。
注意
启用管理员保护后,此策略将替代 UserAccountControl_BehaviorOfTheElevationPromptForAdministrators 策略。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 在安全桌面上提示输入凭据。 |
2 | 安全桌面上的同意提示。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制:使用管理员保护运行的管理员的提升提示行为 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
用户帐户控制:管理员审批模式下管理员的提升提示行为 此策略设置控制管理员提升提示的行为。 这些选项有:
提升而不提示:允许特权帐户执行需要提升的操作,而无需同意或凭据。
注意
仅在受约束最严重的环境中使用此选项。
在安全桌面上提示输入凭据:当操作需要特权提升时,系统会在安全桌面上提示用户输入特权用户名和密码。 如果用户输入了有效的凭据,则操作会以用户的最高可用权限继续执行。
安全桌面上的同意提示:当操作需要特权提升时,系统会提示用户在安全桌面上选择“允许”或“拒绝”。 如果用户选择“允许”,则操作会以用户的最高可用权限继续执行。
提示输入凭据:当操作需要特权提升时,系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据,则操作将继续具有适用的权限。
同意提示:当操作需要特权提升时,系统会提示用户选择“允许”或“拒绝”。 如果用户选择“允许”,则操作会以用户的最高可用权限继续执行。
非 Windows 二进制文件的同意提示: (默认) 当非Microsoft应用程序的操作需要特权提升时,系统会在安全桌面上提示用户选择“允许”或“拒绝”。 如果用户选择“允许”,则操作会以用户的最高可用权限继续执行。
注意
启用管理员保护后, UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection策略将 覆盖此策略行为。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 5 |
允许的值:
值 | 描述 |
---|---|
0 | 提升而不提示。 |
1 | 在安全桌面上提示输入凭据。 |
2 | 安全桌面上的同意提示。 |
3 | 提示输入凭据。 |
4 | 同意提示。 |
5 (默认) | 提示同意非 Windows 二进制文件。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 管理员批准模式中管理员的提升权限提示行为 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
用户帐户控制:标准用户的提升提示行为 此策略设置控制标准用户提升提示的行为。 这些选项有:
提示输入凭据: (默认) 当操作需要特权提升时,系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据,则操作将继续具有适用的权限。
自动拒绝提升请求:当操作需要特权提升时,将显示可配置的访问被拒绝错误消息。 以标准用户身份运行桌面的企业可以选择此设置来减少技术支持呼叫。
在安全桌面上提示输入凭据:当操作需要特权提升时,系统会提示用户在安全桌面上输入不同的用户名和密码。 如果用户输入了有效的凭据,则操作将继续具有适用的权限。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 3 |
允许的值:
值 | 描述 |
---|---|
0 | 自动拒绝提升请求。 |
1 | 在安全桌面上提示输入凭据。 |
3 (默认) | 提示输入凭据。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 标准用户的提升权限提示行为 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
用户帐户控制:检测应用程序安装并提示提升 此策略设置控制计算机的应用程序安装检测行为。 选项为:启用: (默认) 检测到需要特权提升的应用程序安装包时,系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据,则操作将继续具有适用的权限。 已禁用:不会检测到应用程序安装包,并提示提升。 运行标准用户桌面并使用委托安装技术(例如组策略软件安装或系统管理服务器 (短信) 的企业应禁用此策略设置。 在这种情况下,安装程序检测是不必要的。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 启用。 |
0 | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 检测应用程序安装并提示提升权限 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
用户帐户控制:仅提升已签名和验证的可执行文件 此策略设置对请求特权提升的任何交互式应用程序强制实施公钥基础结构 (PKI) 签名检查。 企业管理员可以通过将证书添加到本地计算机上的受信任发布者证书存储,来控制允许哪些应用程序运行。 这些选项有:
已启用:在允许给定的可执行文件运行之前,对该文件强制实施 PKI 认证路径验证。
已禁用: (默认) 在允许运行给定可执行文件之前不强制实施 PKI 认证路径验证。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 禁用:不强制验证。 |
1 | 已启用:强制实施验证。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 只提升签名并验证的可执行文件 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
用户帐户控制:仅提升安装在安全位置中的 UIAccess 应用程序 此策略设置控制请求使用用户界面辅助功能 (UIAccess) 完整性级别运行的应用程序是否必须驻留在文件系统的安全位置。 安全位置限制为: - 。\Program Files,包括子文件夹 - ..\Windows\system32\ - ..\Program Files (x86) ,包括 64 位版本的 Windows 的子文件夹 注意:无论此安全设置的状态如何,Windows 都会在请求使用 UIAccess 完整性级别运行的任何交互式应用程序上强制实施公钥基础结构 (PKI) 签名检查。 这些选项有:
已启用: (默认) 如果应用程序驻留在文件系统中的安全位置,则它仅以 UIAccess 完整性运行。
已禁用:应用程序以 UIAccess 完整性运行,即使它不驻留在文件系统中的安全位置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
0 | 已禁用:应用程序以 UIAccess 完整性运行,即使它不驻留在安全位置。 |
1 (默认) | 已启用:仅当应用程序驻留在安全位置时,才使用 UIAccess 完整性运行。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_RunAllAdministratorsInAdminApprovalMode
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
用户帐户控制:打开管理员审批模式 此策略设置控制计算机的所有用户帐户控制 (UAC) 策略设置的行为。 如果更改此策略设置,则必须重新启动计算机。 这些选项有:
已启用: (启用默认) 管理员 审批模式。 必须启用此策略,并且还必须适当设置相关的 UAC 策略设置,以允许内置管理员帐户和管理员组成员的所有其他用户以管理员审批模式运行。
已禁用:禁用管理员审批模式和所有相关 UAC 策略设置。
注意
如果禁用此策略设置,安全中心会通知你操作系统的整体安全性已降低。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
0 | 已禁用。 |
1 (默认) | 已启用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 以管理员批准模式运行所有管理员 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
用户帐户控制:在提示提升时切换到安全桌面 此策略设置控制是在交互式用户的桌面上还是安全桌面上显示提升请求提示。 这些选项有:
已启用: (默认) 所有提升请求都转到安全桌面,而不管管理员和标准用户的提示行为策略设置如何。
禁用:所有提升请求都转到交互式用户的桌面。 使用管理员和标准用户的提示行为策略设置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
0 | 已禁用。 |
1 (默认) | 已启用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 提示提升权限时切换到安全桌面 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_TypeOfAdminApprovalMode
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode
用户帐户控制:配置管理员审批模式的类型。 此策略设置控制是否将管理员保护应用于管理员审批模式提升。 如果更改此策略设置,则必须重新启动计算机。 此策略仅在 Windows 桌面上受支持,在 Server 上不受支持。 选项包括: - 管理员审批模式在旧模式下运行, (默认) 。 - 管理员使用管理员保护运行审批模式。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
1 (默认) | 旧版管理员审批模式。 |
2 | 管理员具有管理员保护的审批模式。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制:配置管理员审批模式的类型 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_UseAdminApprovalMode
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
用户帐户控制:对内置管理员帐户使用管理员审批模式 此策略设置控制内置管理员帐户管理员审批模式的行为。 这些选项有:
已启用:内置管理员帐户使用管理员审批模式。 默认情况下,任何需要特权提升的操作都会提示用户批准该操作。
禁用: (默认) 内置管理员帐户以完全管理权限运行所有应用程序。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 描述 |
---|---|
1 | 启用。 |
0(默认值) | 禁用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 用于内置管理员帐户的管理员批准模式 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |
UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
用户帐户控制:将文件和注册表写入失败虚拟化到每用户位置 此策略设置控制应用程序写入失败是否重定向到定义的注册表和文件系统位置。 此策略设置可缓解以管理员身份运行的应用程序,并将运行时应用程序数据写入 %ProgramFiles%%Windir%\system32 或 HKLM\Software。 这些选项有:
已启用: (默认) 应用程序写入失败在运行时重定向到文件系统和注册表的已定义用户位置。
禁用:将数据写入受保护位置的应用程序失败。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 描述 |
---|---|
0 | 已禁用。 |
1 (默认) | 已启用。 |
组策略映射:
名称 | 值 |
---|---|
名称 | 用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置 |
路径 | Windows 设置 > 安全设置 > 本地策略 > 安全选项 |