Windows server 2025 中 域策略 计算机配置-策略-windows设置-本地策略-安全选项
Windows server 2025 中 域策略 计算机配置-策略-windows设置-本地策略-安全选项
按crtl+f自行查找
| 策略 | 策略设置 |
| DCOM: 使用安全描述符定义语言(SDDL)语法的计算机启动限制 | 没有定义 |
| Microsoft 网络服务器: 尝试使用 S4U2Self 获取声明信息 | 没有定义 |
| Microsoft 网络服务器: 登录时间过期后断开与客户端的连接 | 没有定义 |
| Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许) | 没有定义 |
| Microsoft 网络服务器: 对通信进行数字签名(始终) | 没有定义 |
| Microsoft 网络服务器: 服务器 SPN 目标名称验证级别 | 没有定义 |
| Microsoft 网络服务器: 暂停会话前所需的空闲时间数量 | 没有定义 |
| Microsoft 网络客户端: 对通信进行数字签名(如果服务器允许) | 没有定义 |
| Microsoft 网络客户端: 对通信进行数字签名(始终) | 没有定义 |
| Microsoft 网络客户端: 将未加密的密码发送到第三方 SMB 服务器 | 没有定义 |
| 关机: 清除虚拟内存页面文件 | 没有定义 |
| 关机: 允许系统在未登录的情况下关闭 | 没有定义 |
| 恢复控制台: 允许软盘复制并访问所有驱动器和所有文件夹 | 没有定义 |
| 恢复控制台: 允许自动管理登录 | 没有定义 |
| 交互式登录: 不显示上次登录 | 没有定义 |
| 交互式登录: 登录时不显示用户名 | 没有定义 |
| 交互式登录: 计算机不活动限制 | 没有定义 |
| 交互式登录: 计算机帐户锁定阈值 | 没有定义 |
| 交互式登录: 试图登录的用户的消息标题 | 没有定义 |
| 交互式登录: 试图登录的用户的消息文本 | 没有定义 |
| 交互式登录: 锁定会话时显示用户信息 | 没有定义 |
| 交互式登录: 提示用户在过期之前更改密码 | 5 天 |
| 交互式登录: 无须按 Ctrl+Alt+Del | 已启用 |
| 交互式登录: 需要 Windows Hello 企业版或智能卡 | 没有定义 |
| 交互式登录: 需要域控制器身份验证以对工作站进行解锁 | 没有定义 |
| 交互式登录: 之前登录到缓存的次数(域控制器不可用时) | 没有定义 |
| 交互式登录: 智能卡移除行为 | 没有定义 |
| 设备: 防止用户安装打印机驱动程序 | 没有定义 |
| 设备: 将 CD-ROM 的访问权限仅限于本地登录的用户 | 没有定义 |
| 设备: 将软盘驱动器的访问权限仅限于本地登录的用户 | 没有定义 |
| 设备: 允许对可移动媒体进行格式化并弹出 | 没有定义 |
| 设备: 允许在未登录的情况下弹出 | 没有定义 |
| 审核: 对备份和还原权限的使用进行审核 | 没有定义 |
| 审核: 对全局系统对象的访问进行审核 | 没有定义 |
| 审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置 | 没有定义 |
| 审核: 如果无法记录安全审核则立即关闭系统 | 没有定义 |
| 网络安全: LAN 管理器身份验证级别 | 没有定义 |
| 网络安全: LDAP 客户端加密要求 | 没有定义 |
| 网络安全: LDAP 客户端签名要求 | 没有定义 |
| 网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全 | 没有定义 |
| 网络安全: 基于 NTLM SSP 的(包括安全 RPC)客户端的最小会话安全 | 没有定义 |
| 网络安全: 配置 Kerberos 允许的加密类型 | 没有定义 |
| 网络安全: 限制 NTLM: 传入 NTLM 流量 | 没有定义 |
| 网络安全: 限制 NTLM: 此域中的 NTLM 身份验证 | 没有定义 |
| 网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量 | 没有定义 |
| 网络安全: 限制 NTLM: 审核传入 NTLM 流量 | 没有定义 |
| 网络安全: 限制 NTLM: 审核此域中的 NTLM 身份验证 | 没有定义 |
| 网络安全: 限制 NTLM: 添加此域中的服务器例外 | 没有定义 |
| 网络安全: 限制 NTLM: 为 NTLM 身份验证添加远程服务器例外 | 没有定义 |
| 网络安全: 允许 LocalSystem NULL 会话回退 | 没有定义 |
| 网络安全: 允许本地系统将计算机标识用于 NTLM | 没有定义 |
| 网络安全: 允许对此计算机的 PKU2U 身份验证请求使用联机标识。 | |
| 没有定义 | |
| 网络安全: 在超过登录时间后强制注销 | 已禁用 |
| 网络访问: 本地帐户的共享和安全模型 | 没有定义 |
| 网络访问: 不允许 SAM 帐户的匿名枚举 | 没有定义 |
| 网络访问: 不允许 SAM 帐户和共享的匿名枚举 | 没有定义 |
| 网络访问: 不允许存储网络身份验证的密码和凭据 | 没有定义 |
| 网络访问: 将 Everyone 权限应用于匿名用户 | 没有定义 |
| 网络访问: 可匿名访问的共享 | 没有定义 |
| 网络访问: 可匿名访问的命名管道 | 没有定义 |
| 网络访问: 可远程访问的注册表路径 | 没有定义 |
| 网络访问: 可远程访问的注册表路径和子路径 | 没有定义 |
| 网络访问: 限制对命名管道和共享的匿名访问 | 没有定义 |
| 网络访问: 限制允许对 SAM 进行远程调用的客户端 | 没有定义 |
| 网络访问: 允许匿名 SID/名称转换 | 已禁用 |
| 系统对象: 非 Windows 子系统不要求区分大小写 | 没有定义 |
| 系统对象: 加强内部系统对象的默认权限(例如,符号链接) | 没有定义 |
| 系统加密: 将 FIPS 兼容算法用于加密、哈希和签名 | 没有定义 |
| 系统加密: 为计算机上存储的用户密钥强制进行强密钥保护 | 没有定义 |
| 系统设置: 将 Windows 可执行文件中的证书规则用于软件限制策略 | 没有定义 |
| 系统设置: 可选子系统 | 没有定义 |
| 以安全描述符定义语言(SDDL)语法表示的计算机访问限制 | 没有定义 |
| 用户帐户控制: 标准用户的提升提示行为 | 没有定义 |
| 用户帐户控制: 管理员批准模式中管理员的提升权限提示的行为 | 没有定义 |
| 用户帐户控制: 检测应用程序安装并提示提升 | 没有定义 |
| 用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置 | 没有定义 |
| 用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序 | 没有定义 |
| 用户帐户控制: 配置管理员审批模式的类型 | 没有定义 |
| 用户帐户控制: 提示提升时切换到安全桌面 | 没有定义 |
| 用户帐户控制: 以管理员批准模式运行所有管理员 | 没有定义 |
| 用户帐户控制: 用于内置管理员帐户的管理员批准模式 | 没有定义 |
| 用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提升权限 | 没有定义 |
| 用户帐户控制: 在启用管理员保护的情况下管理员的提升权限提示行为 | 没有定义 |
| 用户帐户控制: 只提升签名并验证的可执行文件 | 没有定义 |
| 域成员: 对安全通道数据进行数字加密(如果可能) | 没有定义 |
| 域成员: 对安全通道数据进行数字加密或数字签名(始终) | 没有定义 |
| 域成员: 对安全通道数据进行数字签名(如果可能) | 没有定义 |
| 域成员: 计算机帐户密码最长使用期限 | 没有定义 |
| 域成员: 禁用计算机帐户密码更改 | 没有定义 |
| 域成员: 需要强(Windows 2000 或更高版本)会话密钥 | 没有定义 |
| 域控制器: LDAP 服务器签名要求 | 没有定义 |
| 域控制器: LDAP 服务器签名要求强制 | 没有定义 |
| 域控制器: LDAP 服务器通道绑定令牌要求 | 没有定义 |
| 域控制器: 拒绝计算机帐户密码更改 | 没有定义 |
| 域控制器: 拒绝设置默认计算机帐户密码 | 没有定义 |
| 域控制器: 允许服务器操作者计划任务 | 没有定义 |
| 域控制器: 允许易受攻击的 Netlogon 安全通道连接 | 没有定义 |
| 域控制器: 允许在加入域期间重新使用计算机帐户 | 没有定义 |
| 帐户: 管理员帐户状态 | 没有定义 |
| 帐户: 来宾帐户状态 | 没有定义 |
| 帐户: 使用空密码的本地帐户只允许进行控制台登录 | 没有定义 |
| 帐户: 重命名来宾帐户 | 没有定义 |
| 帐户: 重命名系统管理员帐户 | 没有定义 |
| 帐户: 阻止 Microsoft 帐户 | 没有定义 |