File name: | wsecedit.dll.mui |
Size: | 487424 byte |
MD5: | 21f3a0462cf14789e4a80c8df7b575cd |
SHA1: | bd596f37f9addc6fd7d3d52fe8c4c2afd5a34c2c |
SHA256: | 7a0db3e37d068ae2c594d94d6c275bbc1556da52a2ab33b939c37d8cc086f95b |
Operating systems: | Windows 10 |
Extension: | MUI |
If an error occurred or the following message in Portuguese language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.
id | Portuguese | English |
---|---|---|
1 | Classe de Extensão WSecEdit | WSecEdit Extension Class |
2 | Nome | Name |
3 | Descrição | Description |
4 | Política | Policy |
5 | Definição de base de dados | Database Setting |
6 | Definição de computador | Computer Setting |
7 | Modelo de segurança | Security Template |
8 | Modelos | Templates |
9 | Última configuração/Análise | Last Configuration/Analysis |
10 | Modelos de segurança definidos para configurar ou analisar um computador. | Security templates defined to configure or analyze a computer. |
12 | Política de segurança | Security Policy |
13 | Atribuição de direitos de utilizadores | User Rights Assignment |
14 | Grupos restritos | Restricted Groups |
15 | Serviços de sistema | System Services |
16 | Registo | Registry |
17 | Sistema de ficheiros | File System |
19 | Atribuições de direitos de utilizadores | User rights assignments |
21 | Definições do serviço de sistema | System service settings |
22 | Definições de segurança do registo | Registry security settings |
23 | Definições de segurança do sistema de ficheiros | File system security settings |
24 | Modelos de segurança | Security Templates |
25 | (não guardado) | (not saved) |
26 | Definições de segurança | Security Settings |
27 | Classe de Configuração de Segurança WSecEdit | WSecEdit Security Configuration Class |
28 | Classe de Gestor de Segurança WSecEdit | WSecEdit Security Manager Class |
29 | Tem a certeza de que pretende eliminar %s? | Are you sure you want to delete %s? |
30 | Deseja eliminar todos os itens selecionados? | Do you want to delete all selected items? |
31 | Analisar computa&dor agora... Compara as definições atuais do computador com as definições de segurança na base de dados |
&Analyze Computer Now... Compares the current computer settings against the security settings in the database |
34 | &Exportar modelo... Exporta o modelo de base do computador atual |
&Export Template... Exports the base template for the current computer |
35 | Adicionar fi&cheiros... Adiciona novos ficheiros a este modelo |
Add Fi&les... Adds new files to this template |
36 | &Caminho de pesquisa para novos modelos... Adiciona um local com modelos ao caminho para a pesquisa de modelos de segurança (.inf – formato INF) |
&New Template Search Path... Adds a template location to the Security Templates' search path (.inf - INF format) |
37 | &Novo modelo... Cria um novo modelo |
&New Template... Creates a new template |
38 | &Remover caminho Remove o local selecionado do caminho de pesquisa |
&Remove Path Removes the selected location from the search path |
39 | A&tualizar Atualiza este local de modo a mostrar modelos recentemente adicionados |
Re&fresh Updates this location to display recently added templates |
40 | Configu&rar computador agora... Configura o computador em conformidade com o modelo selecionado |
Con&figure Computer Now... Configures the computer according to the selected template |
42 | O Windows não consegue importar o modelo de %s | Windows cannot import the template from %s |
43 | Guardar &como... Guarda o modelo com um novo nome |
Save &As... Saves the template with a new name |
44 | &Copiar Copia a informação do modelo selecionado para a área de transferência |
&Copy Copies the selected template information to the Clipboard |
45 | Cola&r Cola a informação contida na área de transferência no modelo |
&Paste Pastes Clipboard information into the template |
46 | GPO de origem | Source GPO |
47 | &Atualizar Atualiza dados |
&Refresh Refreshes data |
48 | É necessária segurança para adicionar este objeto | Security is required to add this object |
49 | O Windows não consegue importar o modelo de segurança | Windows cannot import the security template |
50 | Política de palavras-passe | Password Policy |
51 | Duração máxima da palavra-passe dias |
Maximum password age days |
52 | Duração mínima da palavra-passe dias |
Minimum password age days |
53 | Comprimento mínimo da palavra-passe carateres |
Minimum password length characters |
54 | Impor histórico de palavras-passe palavras-passe memorizadas |
Enforce password history passwords remembered |
55 | A palavra-passe tem de satisfazer requisitos de complexidade | Password must meet complexity requirements |
56 | O utilizador tem de iniciar a sessão para alterar a palavra passe | User must log on to change the password |
57 | Política de bloqueio de conta | Account Lockout Policy |
58 | Limite de bloqueio de conta tentativas de início de sessão inválidas |
Account lockout threshold invalid logon attempts |
59 | Repor o contador de bloqueio de conta após minutos |
Reset account lockout counter after minutes |
60 | Duração do bloqueio de conta após minutos |
Account lockout duration minutes |
61 | Deseja eliminar este modelo? | Do you want to delete this template? |
62 | A base de dados não está carregada. | The database is not loaded. |
63 | Segurança de rede: Forçar fim de sessão depois de expirar o horário de início de sessão | Network security: Force logoff when logon hours expire |
65 | Contas: mudar o nome à conta de administrador | Accounts: Rename administrator account |
67 | Contas: mudar o nome à conta Convidado | Accounts: Rename guest account |
68 | Recarregar Recarrega as tabelas da política efetiva e local, a partir da base de dados de política |
Reload Reloads the local and effective policy tables from the policy database |
69 | Nome do grupo | Group Name |
70 | Registo de eventos | Event Log |
71 | Tamanho máximo do registo do sistema kilobytes |
Maximum system log size kilobytes |
72 | Método de retenção para o registo de sistema | Retention method for system log |
73 | Reter registo de sistema dias |
Retain system log days |
74 | Tamanho máximo do registo de segurança kilobytes |
Maximum security log size kilobytes |
75 | Método de retenção para o registo de segurança | Retention method for security log |
76 | Reter registo de segurança dias |
Retain security log days |
77 | Tamanho máximo do registo da aplicação kilobytes |
Maximum application log size kilobytes |
78 | Método de retenção para o registo da aplicação | Retention method for application log |
79 | Reter registo de aplicações dias |
Retain application log days |
80 | Encerre o computador quando o registo de auditorias de segurança estiver cheio | Shut down the computer when the security audit log is full |
81 | Política de auditoria | Audit Policy |
82 | Modo de auditoria de eventos | Event Auditing Mode |
83 | Auditar eventos do sistema | Audit system events |
84 | Auditar eventos de início de sessão | Audit logon events |
85 | Auditar o acesso a objetos | Audit object access |
86 | Auditar a utilização de privilégios | Audit privilege use |
87 | Auditar a alteração de políticas | Audit policy change |
88 | Auditar a gestão de contas | Audit account management |
89 | Auditar o rastreio de processos | Audit process tracking |
90 | Opções de segurança | Security Options |
92 | Não definido | Not Defined |
95 | Não é possível adicionar membros | Cannot add members |
96 | Não é possível mostrar a segurança | Cannot display security |
97 | Não é possível adicionar utilizadores | Cannot add users |
98 | Não é possível adicionar o objeto de diretório | Cannot add directory object |
99 | Não é possível adicionar a pasta | Cannot add a folder |
100 | -- Membros | -- Members |
102 | O nome deste ficheiro contem alguns carateres que não podem ser reconhecidos pelo idioma de sistema atual. Modifique o nome. | This file name contains some characters that can not be recognized by current system language. Please rename it. |
103 | Permissão | Permission |
104 | Auditoria | Audit |
106 | O Windows não consegue adicionar um ficheiro. | Windows cannot add a file. |
107 | O nome do modelo não é válido. | The template name is not valid. |
108 | Erro ao exportar o modelo armazenado. | An error occurred while exporting the stored template. |
109 | O Windows não consegue adicionar uma chave de registo | Windows cannot add a registry key |
110 | Controlo total | Full Control |
111 | Modificar | Modify |
112 | Ler e executar | Read and Execute |
113 | Listar conteúdo das pastas | List Folder Contents |
114 | Ler | Read |
115 | Escrever | Write |
116 | Atravessar pasta/Executar ficheiro | Traverse Folder/Execute File |
117 | Eliminar | Delete |
120 | Nenhum | None |
124 | Valor da consulta | Query Value |
125 | Definir valor | Set Value |
126 | Criar subchave | Create Subkey |
127 | Enumerar subchaves | Enumerate Subkeys |
128 | Notificar | Notify |
129 | Criar hiperligação | Create Link |
130 | Executar | Execute |
131 | Não é possível criar um thread | Cannot create a thread |
132 | Não foi possível validar as seguintes contas: %1 |
The following accounts could not be validated: %1 |
141 | Nome do ficheiro de registo | Log File Name |
143 | Efetuar análise de segurança | Perform Security Analysis |
144 | Definições de política de segurança | Security policy settings |
146 | Análise e configuração da segurança v1.0 |
Security Configuration and Analysis v1.0 |
147 | A análise e configuração da segurança é uma ferramenta administrativa utilizada para proteger um computador e analisar aspetos de segurança. Pode criar ou editar um modelo de segurança, aplicá-lo, efetuar análises com base num modelo e exibir os resultados da análise. | Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results. |
148 | A última análise foi efetuada em |
Last analysis was performed on |
149 | Descrição da configuração de proteção de base: |
Base security configuration description: |
150 | O computador foi configurado pelo modelo que se segue. Não foi feita a análise. |
The computer was configured by the following template. Analysis was not performed. |
151 | A base de dados não foi configurada nem analisada através da utilização da análise e configuração da segurança. | The database has not been configured or analyzed using Security Configuration and Analysis. |
152 | Acerca da análise e configuração da segurança | About Security Configuration and Analysis |
153 | Acerca da última análise | About Last Analysis |
154 | Adicionar um local de um modelo aos modelos de segurança | Add a Template Location to Security Templates |
165 | Nome do objeto | Object Name |
166 | Valores inconsistentes | Inconsistent Values |
168 | Abrir modelo | Open Template |
169 | Modelo de segurança (.inf)|*.inf|| | Security Template (.inf)|*.inf|| |
170 | inf | inf |
171 | Abrir ficheiro de registo de erros | Open Error Log File |
172 | log | log |
173 | Log files (.log)|*.log|| | Log files (.log)|*.log|| |
193 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations |
194 | O Windows não consegue abrir o ficheiro do modelo. | Windows cannot open template file. |
195 | O Windows não consegue ler a informação do modelo. | Windows cannot read template information. |
196 | Não existem informações que possam ser exibidas relativas à análise na base de dados selecionada. Utilize a opção do menu ‘Analisar’, para começar a utilizar esta ferramenta. | There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool. |
197 | 0 | 0 |
198 | Conforme necessário | As needed |
199 | Por dias | By days |
200 | Manualmente | Manually |
201 | Ativado | Enabled |
202 | Desativado | Disabled |
210 | Membros | Members |
211 | Membro de | Member Of |
214 | CLASSES_ROOT | CLASSES_ROOT |
215 | MACHINE | MACHINE |
216 | USERS | USERS |
217 | Com êxito | Succeeded |
229 | Erro desconhecido | Unknown error |
232 | \Security\Templates | \Security\Templates |
233 | Aceder a este computador a partir da rede | Access this computer from the network |
234 | Permitir iniciar sessão localmente | Allow log on locally |
235 | Falha ao guardar | Failed to save |
236 | &Guardar Guardar o modelo |
&Save Save the template |
237 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit | Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
238 | Adicionar pasta | Add Folder |
239 | Adicionar &pasta... Adiciona uma nova pasta a este modelo |
Add &Folder... Adds a new folder to this template |
240 | Adicionar c&have... Adiciona uma nova chave a este modelo |
Add &Key... Adds a new key to this template |
241 | Adicionar &grupo... Adiciona um novo grupo a este modelo |
Add &Group... Adds a new group to this template |
248 | Nome do servidor | Service Name |
249 | Arranque | Startup |
250 | Analisado | Analyzed |
251 | Configurado | Configured |
252 | Automático | Automatic |
253 | Manual | Manual |
254 | OK | OK |
255 | Investigar | Investigate |
256 | Segurança da base de dados para | Database Security for |
257 | Analisado pela última vez para | Last Analyzed Security for |
258 | Segurança para | Security for |
262 | Associação a Grupos | Group Membership |
263 | Membros deste grupo | Members of this group |
266 | Políticas de conta | Account Policies |
267 | Políticas de bloqueio de conta e palavra-passe | Password and account lockout policies |
268 | Políticas locais | Local Policies |
269 | Políticas de auditoria, direitos de utilizador e opções de segurança | Auditing, user rights and security options policies |
271 | Definições do registo de eventos e visualizador de eventos | Event Log settings and Event Viewer |
272 | Auditar acesso ao serviço de diretórios | Audit directory service access |
273 | Auditar eventos de início de sessão de conta | Audit account logon events |
275 | Impedir o grupo de convidados locais de aceder ao registo do sistema | Prevent local guests group from accessing system log |
276 | Impedir o grupo de convidados locais de aceder ao registo de segurança | Prevent local guests group from accessing security log |
277 | Impedir o grupo de convidados locais de aceder ao registo de aplicações | Prevent local guests group from accessing application log |
278 | Sempre | Always |
281 | Ignorar | Ignore |
284 | Substituir | Replace |
286 | Iniciar sessão como uma tarefa batch | Log on as a batch job |
287 | Iniciar sessão como um serviço | Log on as a service |
288 | Objetos do Active Directory | Active Directory Objects |
289 | Gestão de segurança de objetos do Active Directory | Security management of Active Directory objects |
290 | Adicionar &objeto do diretório Adiciona um objeto do Active Directory a este modelo |
Add Directory &Object Adds an Active Directory object to this template |
293 | Listar pasta / Ler dados | List folder / Read data |
294 | Ler atributos | Read attributes |
295 | Ler atributos expandidos | Read extended attributes |
296 | Criar ficheiros / Escrever dados | Create files / Write data |
297 | Criar pastas / acrescentar dados | Create folders / Append data |
298 | Escrever atributos | Write attributes |
299 | Escrever atributos expandidos | Write extended attributes |
300 | Eliminar subpastas e ficheiros | Delete subfolders and files |
302 | Ler permissões | Read permissions |
303 | Alterar permissões | Change permissions |
304 | Obter propriedade | Take ownership |
305 | Sincronizar | Synchronize |
306 | Ler, escrever executar | Read, Write and Execute |
307 | Escrever e executar | Write and Execute |
308 | Atravessar / Executar | Traverse / Execute |
309 | Apenas esta pasta | This folder only |
310 | Esta pasta, subpastas e ficheiros | This folder, subfolders and files |
311 | Esta pasta e subpastas | This folder and subfolders |
312 | Esta pasta e ficheiros | This folder and files |
313 | Apenas subpastas e ficheiros | Subfolders and files only |
314 | Apenas subpastas | Subfolders only |
315 | Apenas ficheiros | Files only |
316 | Apenas esta chave | This key only |
317 | Esta chave e subchaves | This key and subkeys |
318 | Apenas subchaves | Subkeys only |
321 | Iniciar, parar e pausa | Start, stop and pause |
322 | Modelo de consulta | Query template |
323 | Alterar modelo | Change template |
324 | Estado da consulta | Query status |
325 | Enumerar dependentes | Enumerate dependents |
326 | Iniciar | Start |
327 | Parar | Stop |
328 | Pausa e continuar | Pause and continue |
329 | Interrogar | Interrogate |
330 | Controlo definido pelo utilizador | User-defined control |
335 | Criar subordinados | Create children |
336 | Eliminar subordinados | Delete children |
337 | Listar conteúdo | List contents |
338 | Adicionar/remover a si próprio | Add/remove self |
339 | Propriedades de leitura | Read properties |
340 | Propriedades de escrita | Write properties |
341 | Apenas este contentor | This container only |
342 | Este contentor e sub-recepctáculos | This container and subcontainers |
343 | Apenas subcontentores | Subcontainers only |
344 | [[Configuração da política do computador local ]] | [[Local Computer Policy Configuration ]] |
345 | A conta não será bloqueada. | Account will not lock out. |
346 | A palavra-passe pode ser alterada imediatamente. | Password can be changed immediately. |
347 | Não é necessária palavra-passe. | No password required. |
348 | Não manter histórico de palavras-passe. | Do not keep password history. |
349 | A palavra-passe expira em: | Password will expire in: |
350 | A palavra-passe pode ser alterada após: | Password can be changed after: |
351 | A palavra-passe tem de ter no mínimo: | Password must be at least: |
352 | Manter histórico de palavras-passe para: | Keep password history for: |
353 | A conta será bloqueada após: | Account will lock out after: |
354 | A conta está bloqueada por: | Account is locked out for: |
355 | Substituir eventos mais antigos que: | Overwrite events older than: |
356 | A palavra-passe não expirará. | Password will not expire. |
357 | A conta está bloqueada até que o administrador a desbloqueie. | Account is locked out until administrator unlocks it. |
359 | Armazena palavras-passe utilizando a encriptação reversível | Store passwords using reversible encryption |
360 | Política Kerberos | Kerberos Policy |
361 | Impor restrições de início de sessão do utilizador | Enforce user logon restrictions |
362 | Tolerância máxima para sincronização de relógios do computador minutos |
Maximum tolerance for computer clock synchronization minutes |
363 | Duração máxima para autorização de serviço minutos |
Maximum lifetime for service ticket minutes |
364 | Duração máxima para autorização de utilizador horas |
Maximum lifetime for user ticket hours |
365 | Duração máxima para renovação da autorização de utilizador dias |
Maximum lifetime for user ticket renewal days |
366 | Adicionar membro | Add Member |
368 | Não existe memória suficiente para mostrar esta secção | There is not enough memory to display this section |
369 | Não existe informação disponível sobre a última análise | No information is available about the last analysis |
370 | O Windows não consegue guardar os modelos alterados. | Windows cannot save changed templates. |
372 | Análise e configuração da segurança | Security Configuration and Analysis |
374 | &Importar modelo... Importa um modelo para esta base de dados |
&Import Template... Import a template into this database |
376 | O Windows não consegue criar ou abrir %s | Windows cannot create or open %s |
377 | Localizar ficheiro de registo de erros | Locate error log file |
378 | sdb | sdb |
379 | Ficheiros da base de dados de segurança (*.sdb)|*.sdb|Todos os ficheiros (*.*)|*.*|| | Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*|| |
380 | Aplicar modelos ao computadores | Apply Template to Computer |
381 | Caminho do ficheiro do registo de erro para gravar o progresso da configuração do computador | Error log file path to record the progress of configuring the computer |
382 | &Segurança... | &Security... |
383 | Editar a segurança para este item | Edit security for this item |
384 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration |
385 | &Securança... Edita a segurança para este item |
&Security... Edit security for this item |
386 | EnvironmentVariables | EnvironmentVariables |
387 | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| |
388 | A&brir base de dados... Abrir uma base de dados nova ou existente |
O&pen Database... Open an existing or new database |
389 | &Nova base de dados... Criar e abrir uma nova base de dados |
&New Database... Create and open a new database |
390 | De&finir descrição... Criar uma descrição para os modelos neste diretório |
Set Descri&ption... Create a description for the templates in this directory |
392 | \help\sce.chm | \help\sce.chm |
395 | Todos os ficheiros (*.*)|*.*|| | All files (*.*)|*.*|| |
396 | Base de dados: %s | Database: %s |
397 | Ocorreu um erro desconhecido ao tentar abrir a base de dados. | An unknown error occurred when attempting to open the database. |
398 | Antes de poder utilizar a base de dados, tem de analisá-la. No menu da base de dados, selecione a opção para executar uma análise. | Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis. |
399 | A base de dados que está a tentar abrir não existe. No menu ‘Base de dados’, clique em ‘Importar modelo’. | The database you are attempting to open does not exist. On the Database menu, click Import Template. |
400 | A base de dados está danificada. Para obter informações sobre a reparação da base de dados, consulte a ajuda online. | The database is corrupt. For information about fixing the database, see online Help. |
401 | Não existe memória suficiente disponível para carregar a base de dados. Feche alguns programas e volte a tentar. | There is not enough memory available to load the database. Close some programs and then try again. |
402 | O acesso à base de dados foi negado. A não ser que as permissões da base de dados tenham sido alteradas, tem de possuir direitos de administrador para a utilizar. | Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it. |
403 | \Security\Database | \Security\Database |
404 | Deseja guardar as alterações feitas a %s? | Do you want to save changes to %s? |
405 | Há um modelo importado pendente. Para guardar, clique em ‘Cancelar’ e execute uma análise ou configuração antes de importar outro modelo. Para ignorar o modelo previamente importado, clique em OK. |
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK. |
406 | Todos os ficheiros selecionados | All Selected Files |
407 | Recusar início de sessão local | Deny log on locally |
408 | Negar acesso a este computador a partir da rede | Deny access to this computer from the network |
409 | Recusar início de sessão como um serviço | Deny log on as a service |
410 | Recusar início de sessão como uma tarefa batch | Deny log on as a batch job |
411 | Adicionar grupo | Add Group |
412 | &Grupo: | &Group: |
413 | Não analisados | Not Analyzed |
414 | Erro ao analisar | Error Analyzing |
416 | Definição sugerida | Suggested Setting |
417 | Política local... Crie um ficheiro de modelos, a partir das definições da política local |
Local Policy ... Create template file from the local policy settings |
418 | Política efetiva... Crie um ficheiro de modelos, a partir das definições de política efetiva |
Effective Policy ... Create template file from the effective policy settings |
419 | Análise e Configuração da Segurança Para Abrir uma Base de Dados Existente Clique com o botão direito do rato no item de âmbito Análise e Configuração da Segurança Clique em Abrir Base de Dados Selecione uma base de dados e, em seguida, clique em Abrir Para Criar uma Nova Base de Dados Clique com o botão direito do rato no item de âmbito Análise e Configuração da Segurança Clique em Abrir Base de Dados Escreva um novo nome para a base de dados e, em seguida, clique em Abrir Selecione um modelo de segurança a importar e, em seguida, clique em Abrir | Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open |
420 | ||
422 | A base de dados que está a tentar abrir não existe. | The database you are attempting to open does not exist. |
423 | Pode criar uma nova base de dados de política local selecionando Importar política a partir dos comandos do menu Definições de segurança. | You can create a new local policy database by choosing Import Policy from the Security Settings menu commands. |
424 | O acesso à base de dados foi negado. | Access to database has been denied. |
425 | Ver fic&heiro de registo Alterna a visualização do ficheiro de registo ou da árvore da pasta quando a configuração de segurança e o nó de análise estão selecionados |
View Lo&g File Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected |
426 | Agora pode configurar ou analisar o computador utilizando as definições de segurança existentes nesta base de dados. Para Configurar o ComputadorClique com o botão direito do rato no item de âmbito Análise e Configuração da Segurança Selecione Configurar Computador AgoraNa caixa de diálogo, escreva o nome do ficheiro de registo que pretende ver e clique em OKNOTA: Depois de a configuração estar concluída, tem de executar uma análise para ver as informações existentes na base de dadosPara Analisar as Definições de Segurança do Computador Clique com o botão direito do rato no item de âmbito Análise e Configuração da Segurança Selecione Analisar Computador AgoraNa caixa de diálogo, escreva o caminho do ficheiro do registo e, em seguida, clique em OKNOTA: Para ver o ficheiro de registo criado durante uma configuração ou análise, selecione Ver Ficheiro de Registo no menu de contexto Análise e Configuração da Segurança. | You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu. |
427 | Erro ao ler o local | Error Reading Location |
429 | Definição de política | Policy Setting |
430 | &Assistente de segurrança... Assistente de função de servidor seguro |
Secure &Wizard... Secure Server Role Wizard |
431 | O Windows não consegue importar o modelo inválido %s | Windows cannot import invalid template %s |
432 | Contas: Estado da conta de administrador | Accounts: Administrator account status |
433 | Contas: Estado da conta de convidado | Accounts: Guest account status |
434 | Propriedades | Properties |
435 | O nome de utilizador não é válido. Está vazio ou pode não conter nenhum dos seguintes carateres: %1 |
The username is not valid. It is empty or it may not contain any of the following characters: %1 |
436 | Sem mínimo | No minimum |
437 | Os nomes de utilizador e de grupo não podem conter qualquer um dos seguintes carateres: %1 |
User and group names may not contain any of the following characters: %1 |
438 | O sistema não consegue localizar o caminho especificado: %1 |
The system can not find the path specified: %1 |
439 | O nome de ficheiro pode não conter nenhum dos seguintes carateres: %1 |
File name may not contain any of the following characters: %1 |
440 | Tem de ser selecionado um modo de arranque. | A startup mode must be selected. |
441 | O objeto "%1" não pode ser eliminado porque uma janela aberta está a apresentar as respetivas propriedades. Para eliminar este objeto, feche essa janela e selecione novamente 'Eliminar'. |
Object "%1" cannot be deleted because an open window is displaying its properties. To delete this object, close that window and select "Delete" again. |
442 | A configurar membros para %.17s... | Configure Membership for %.17s... |
443 | Repor o contador de bloqueio de conta após | Reset account lockout counter after |
444 | De&finir descrição... Cria uma descrição para este modelo |
Set Descri&ption... Create a description for this template |
445 | A descrição pode não conter nenhum dos seguintes carateres: %1 |
Description may not contain any of the following characters: %1 |
446 | Definição do modelo | Template Setting |
449 | Certifique-se de que tem as permissões corretas para este objeto. | Make sure that you have the right permissions to this object. |
450 | Certifique-se de que este objeto existe. | Make sure that this object exists. |
451 | A pasta %1 não pode ser utilizada. Selecione outra. | The folder %1 cannot be used. Choose another folder. |
452 | O meu computador | My Computer |
453 | O nome de ficheiro é demasiado longo. | The file name is too long. |
552 | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm |
697 | O nome de ficheiro não pode conter nenhum dos seguintes carateres: %1 |
File name may not only contain any of the following characters: %1 |
698 | %1 Este nome de ficheiro é um nome de dispositivo reservado. Escolha outro nome. |
%1 This file name is a reserved device name. Choose another name. |
699 | O tipo de ficheiro não está correto. | The file type is not correct. |
700 | Tem de ser membro do grupo 'Administradores' para executar a operação pedida. | You must be a member of the Administrators group to perform the requested operation. |
701 | O nome de ficheiro %1 não é válido. Introduza novamente o nome de ficheiro no formato correto, tal como c:\localização\ficheiro.%2. |
The file name %1 is not valid. Reenter the file name in the correct format, such as c:\location\file.%2. |
702 | Não foi efetuado qualquer mapeamento entre nomes de contas e IDs de segurança | No mapping between account names and security IDs was done |
709 | Para afetar contas de domínio, esta definição tem de ser definida na política de domínio predefinida. | To affect domain accounts, this setting must be defined in default domain policy. |
718 | Política de segurança local | Local Security Policy |
740 | %1%2 | %1%2 |
741 | %1%2 %3 |
%1%2 %3 |
745 | Especial | Special |
753 | Definições de Segurança de Acesso Remoto ao SAM | Security Settings for Remote Access to SAM |
754 | Acesso Remoto | Remote Access |
762 | Política de Acesso Central | Central Access Policy |
763 | Políticas de Acesso Central aplicadas ao sistema de ficheiros | Central Access Policies applied to the file system |
764 | !!Política desconhecida!!: | !!Unknown policy!!: |
765 | %1 %2 | %1 %2 |
1900 | Impor histórico de palavras-passe
Esta definição de segurança determina o número de palavras-passe novas exclusivas que têm de ser associadas a uma conta de utilizador antes de ser possível reutilizar uma palavra-passe antiga. O valor tem de estar compreendido entre 0 e 24 palavras-passe. Esta política permite que os administradores melhorem a segurança, assegurando que não são continuamente reutilizadas palavras-passe antigas. Predefinição: 24 em controladores de domínio. 0 em servidores autónomos. Nota: por predefinição, os computadores membros seguem a configuração dos respetivos controladores de domínio. Para manter a eficácia do histórico de palavras-passe, não permita que as palavras-passe sejam alteradas imediatamente após outra alteração, ativando igualmente a definição de política de segurança Antiguidade mínima da palavra-passe. Para obter informações sobre a definição da política de segurança de antiguidade mínima da palavra-passe, consulte Antiguidade mínima da palavra-passe. |
Enforce password history
This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords. This policy enables administrators to enhance security by ensuring that old passwords are not reused continually. Default: 24 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age. |
1901 | Antiguidade máxima da palavra-passe
Esta definição de segurança determina o período de tempo (em dias) durante o qual uma palavra-passe pode ser utilizada antes de o sistema requerer que o utilizador a altere. Pode definir a expiração de palavras-passe após um número de dias compreendido entre 1 e 999, ou especificar que as palavras-passe nunca expirem definindo o número de dias como 0. Se a antiguidade máxima da palavra-passe estiver compreendida entre 1 e 999 dias, a Antiguidade mínima da palavra-passe tem de ser inferior à antiguidade máxima da palavra-passe. Se a antiguidade máxima da palavra-passe for definida como 0, a antiguidade mínima da palavra-passe pode assumir qualquer valor compreendido entre 0 e 998 dias. Nota: Definir a expiração das palavras-passe cada 30 a 90 dias, consoante o ambiente, é um procedimento recomendado de segurança. Deste modo, um atacante tem uma quantidade limitada de tempo para decifrar a palavra-passe de um utilizador e aceder aos recursos da rede. Predefinição: 42. |
Maximum password age
This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days. Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources. Default: 42. |
1902 | Antiguidade mínima da palavra-passe
Esta definição de segurança determina o período de tempo (em dias) durante o qual uma palavra-passe tem de ser utilizada antes de o utilizador a poder alterar. Pode definir um valor compreendido entre 1 e 998 dias, ou permitir imediatamente alterações definindo o número de dias como 0. A antiguidade mínima da palavra-passe tem de ser inferior à Antiguidade máxima da palavra-passe, a menos que a antiguidade máxima da palavra-passe esteja definida como 0, o que indica que a palavra-passe nunca expirará. Se a antiguidade máxima da palavra-passe for definida como 0, a antiguidade mínima da palavra-passe pode ser definida para qualquer valor compreendido entre 0 e 998 dias. Se pretender que a definição de segurança Impor histórico de palavras-passe seja eficaz, configure a antiguidade mínima da palavra-passe para um valor superior a 0. Sem uma antiguidade mínima de palavra-passe, os utilizadores podem percorrer repetidamente palavras-passe até recuperarem uma antiga favorita. A predefinição não segue esta recomendação, para que um administrador possa especificar uma palavra-passe para um utilizador e, em seguida, requerer que o utilizador a altere quando iniciar sessão. Se o histórico de palavras-passe estiver definido como 0, o utilizador não tem de escolher uma nova palavra-passe. Por este motivo, Impor histórico de palavras-passe é predefinido como 1. Predefinição: 1 nos controladores de domínio. 0 nos servidores autónomos. Nota: por predefinição, os computadores membros seguem a configuração dos respetivos controladores de domínio. |
Minimum password age
This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998. Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default. Default: 1 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1903 | Comprimento mínimo da palavra-passe
Esta definição de segurança determina o número mínimo de carateres que pode conter uma palavra-passe de conta de utilizador. Pode definir um valor entre 1 e 14 carateres ou pode estabelecer que não é necessária uma palavra-passe definindo o número de carateres como 0. Predefinição: 7 em controladores de domínio. 0 em servidores autónomos. Nota: por predefinição, os computadores membro seguem a configuração dos respetivos controladores de domínio. |
Minimum password length
This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0. Default: 7 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1904 | A palavra-passe tem de satisfazer requisitos de complexidade
Esta definição de segurança determina se as palavras-passe têm de satisfazer requisitos de complexidade. Se esta política estiver ativada, as palavras-passe têm de satisfazer os seguintes requisitos mínimos: Não conter o nome da conta do utilizador ou partes do nome completo do utilizador que excedam dois carateres consecutivos Ter pelo menos seis carateres de comprimento Conter carateres de três das seguintes quatro categorias: Carateres maiúsculos ingleses (A a Z) Carateres minúsculos ingleses (a a z) 10 dígitos básicos (0 a 9) Carateres não alfabéticos (por exemplo, !, $, #, %) Os requisitos de complexidade são impostos quando as palavras-passe são alteradas ou criadas. Predefinição: Ativada em controladores de domínio. Desativada em servidores autónomos. Nota: por predefinição, os computadores membros seguem a configuração dos respetivos controladores de domínio. |
Password must meet complexity requirements
This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length Contain characters from three of the following four categories: English uppercase characters (A through Z) English lowercase characters (a through z) Base 10 digits (0 through 9) Non-alphabetic characters (for example, !, $, #, %) Complexity requirements are enforced when passwords are changed or created. Default: Enabled on domain controllers. Disabled on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1905 | Armazenar palavras-passe utilizando a encriptação reversível
Esta definição de segurança determina se o sistema operativo armazena palavras-passe utilizando encriptação reversível. Esta política fornece suporte para aplicações que utilizam protocolos que requerem o conhecimento da palavra-passe do utilizador para fins de autenticação. Armazenar palavras-passe utilizando a encriptação reversível é essencialmente o mesmo que armazenar versões de texto não encriptado das palavras-passe. Por este motivo, esta política nunca deve ser ativada a menos que os requisitos da aplicação se sobreponham à necessidade de proteger as informações de palavra-passe. Esta política é requerida ao utilizar a autenticação do protocolo CHAP (Challenge-Handshake Authentication Protocol) através do acesso remoto ou do IAS (Internet Authentication Services). Também é requerida quando utiliza a Autenticação de Texto Implícita do IIS (Internet Information Services). Predefinição: desativada. |
Store passwords using reversible encryption
This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Default: Disabled. |
1906 | Duração do bloqueio de conta
Esta definição de segurança determina o número de minutos que um bloqueio de conta permanece ativo antes de a conta ser automaticamente desbloqueada. O intervalo disponível é de 0 a 99.999 minutos. Se definir a duração do bloqueio de conta como 0, a conta será bloqueada até ser explicitamente desbloqueada pelo administrador. Se for definido um limiar de bloqueio de conta, a duração do bloqueio de conta tem de ser maior ou igual ao tempo de reposição. Predefinição: nenhuma, porque esta definição de política só é relevante quando é especificado um Limiar de bloqueio de conta. |
Account lockout duration
This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1907 | Limiar de bloqueio de conta
Esta definição de segurança determina o número de tentativas falhadas de início de sessão que causam o bloqueio de uma conta de utilizador. Não é possível utilizar uma conta bloqueada até ser reposta por um administrador ou até a duração do bloqueio da conta ter expirado. Pode definir um valor compreendido entre 0 e 999 tentativas falhadas de início de sessão. Se definir o valor como 0, a conta nunca será bloqueada. As tentativas falhadas de introdução de palavra-passe em estações de trabalho ou servidores membros que foram bloqueados utilizando CTRL+ALT+DELETE ou proteções de ecrã com palavra-passe contam como tentativas falhadas de início de sessão. Predefinição: 0. |
Account lockout threshold
This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts. Default: 0. |
1908 | Repor o contador de bloqueio de conta após
Esta definição de segurança determina o número de minutos que têm de decorrer, depois de uma tentativa falhada de início de sessão, até o contador de tentativas falhadas de início de sessão ser reposto para 0 tentativas de início de sessão sem êxito. O intervalo disponível é de 1 a 99.999 minutos. Se for definido um limiar de bloqueio de conta, este tempo de reposição tem de ser menor ou igual à Duração do bloqueio de conta. Predefinição: nenhuma, porque esta definição de política só é relevante quando é especificado um Limiar de bloqueio de conta. |
Reset account lockout counter after
This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes. If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1909 | Impor restrições de início de sessão do utilizador
Esta definição de segurança determina se o KDC (Key Distribution Center) do Kerberos V5 valida cada pedido de permissão de sessão, conferindo-o com a política de direitos de utilizador da conta do utilizador. A validação de cada pedido de permissão de sessão é opcional, pois o passo adicional demora algum tempo e pode tornar mais lento o acesso da rede a serviços. Predefinição: ativada. |
Enforce user logon restrictions
This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services. Default: Enabled. |
1910 | Duração máxima para permissão de serviço
Esta definição de segurança determina a quantidade máxima de tempo (em minutos) durante o qual uma permissão concedida pode ser utilizada para aceder a um serviço específico. A definição tem de ser maior do que 10 minutos e menor ou igual à definição da Duração máxima para permissão de utilizador. Se um cliente apresentar uma permissão de sessão expirada ao pedir ligação a um servidor, o servidor devolverá uma mensagem de erro. O cliente tem de pedir uma nova permissão de sessão do KDC (Key Distribution Center) do Kerberos V5. No entanto, uma vez que uma ligação esteja autenticada, já não é relevante se a permissão de sessão permanece válida. As permissões de sessão são utilizadas apenas para autenticar novas ligações a servidores. Se a permissão de sessão que está a ser utilizada para autenticar a ligação expirar durante a mesma, as operações em curso não serão interrompidas. Predefinição: 600 minutos (10 horas). |
Maximum lifetime for service ticket
This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket. If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection. Default: 600 minutes (10 hours). |
1911 | Duração máxima da permissão de utilizador
Esta definição de segurança determina a quantidade máxima de tempo (em horas) durante a qual poderá ser utilizado um TGT (ticket-granting ticket) de utilizador. Predefinição: 10 horas. |
Maximum lifetime for user ticket
This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used. Default: 10 hours. |
1912 | Duração máxima da renovação da permissão de utilizador
Esta definição de segurança determina o período de tempo (em dias) durante o qual poderá ser renovado um TGT (ticket-granting ticket) de utilizador. Predefinição: 7 dias. |
Maximum lifetime for user ticket renewal
This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed. Default: 7 days. |
1913 | Tolerância máxima da sincronização de relógios do computador
Esta definição de segurança determina a diferença máxima de tempo (em minutos) tolerada pelo Kerberos V5 entre a hora do relógio do cliente e a hora do controlador de domínio a executar o Windows Server 2003 que fornece a autenticação Kerberos. Para impedir "ataques de repetição", o Kerberos V5 utiliza carimbos de data/hora como parte da sua definição de protocolos. Para os carimbos de data/hora funcionarem corretamente, é necessário os relógios do cliente e do controlador de domínio estarem o mais sincronizados possível. Por outras palavras, ambos os computadores têm de ter a mesma definição de data e hora. Como frequentemente os relógios dos dois computadores não estão sincronizados, os administradores podem utilizar esta política para estabelecer a diferença máxima aceitável para o Kerberos V5 entre um relógio de cliente e o relógio do controlador de domínio. Se a diferença entre um relógio de cliente e o relógio do controlador de domínio for inferior à diferença máxima de tempo especificada nesta política, qualquer carimbo de data/hora utilizado numa sessão entre os dois computadores é considerado autêntico. Importante Esta definição não é persistente em plataformas pré-Vista. Se configurar esta definição e, em seguida, reiniciar o computador, a predefinição será reposta. Predefinição: 5 minutos. |
Maximum tolerance for computer clock synchronization
This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication. To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic. Important This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value. Default: 5 minutes. |
1914 | Auditar eventos de início de sessão de conta
Esta definição de segurança determina se o sistema operativo efetua uma auditoria sempre que este computador valida as credenciais de uma conta. São gerados eventos de início de sessão de conta sempre que um computador valida as credenciais de uma conta para a qual é autoritativo. Os membros de domínio e as máquinas que não tenham efetuado adesão a um domínio são autoritativos para as respetivas contas locais; todos os controladores de domínio são autoritativos para contas no domínio. A validação de credenciais poderá suportar um início de sessão local ou, no caso de uma conta de domínio do Active Directory num controlador de domínio, poderá suportar um início de sessão noutro computador. A validação de credenciais não tem estado, pelo que não existe nenhum evento de fim de sessão correspondente para eventos de início de sessão. Se esta definição de política estiver configurada, o administrador poderá especificar se pretende auditar apenas êxitos, apenas falhas, tanto êxitos como falhas, ou se não pretende auditar nenhum tipo de evento (isto é, nem êxitos nem falhas). Valores predefinidos em edições de cliente: Validação de Credenciais: Sem Auditoria Operações de Permissão de Serviço Kerberos: Sem Auditoria Outros Eventos de Início de Sessão de Conta: Sem Auditoria Serviço de Autenticação Kerberos: Sem Auditoria Valores predefinidos em edições de servidor: Validação de Credenciais: Êxito Operações de Permissão de Serviço Kerberos: Êxito Outros Eventos de Início de Sessão de Conta: Sem Auditoria Serviço de Autenticação Kerberos: Êxito Importante: para maior controlo sobre políticas de auditoria, utilize as definições no nó Configuração de Política de Auditoria Avançada. Para obter mais informações acerca da Configuração de Política de Auditoria Avançada, consulte https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account logon events
This security setting determines whether the OS audits each time this computer validates an account’s credentials. Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Credential Validation: No Auditing Kerberos Service Ticket Operations: No Auditing Other Account Logon Events: No Auditing Kerberos Authentication Service: No Auditing Default values on Server editions: Credential Validation: Success Kerberos Service Ticket Operations: Success Other Account Logon Events: No Auditing Kerberos Authentication Service: Success Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1915 | Auditar gestão de contas
Esta definição de segurança determina se cada evento de gestão de contas num computador deve ser auditado. Entre os eventos de gestão de contas incluem-se: Um grupo ou conta de utilizador é criado, alterado ou eliminado. Uma conta de utilizador recebe outro nome, é desativada ou ativada. Uma palavra-passe é definida ou alterada. Se configurar esta definição de política, poderá especificar se pretende auditar êxitos, auditar falhas ou se não pretende auditar o tipo de evento de todo. As auditorias de êxitos geram uma entrada de auditoria quando qualquer evento de gestão de contas tem êxito. As auditorias de falhas geram uma entrada de auditoria quando qualquer evento de gestão de contas falha. Para definir este valor como Sem Auditoria, na caixa de diálogo Propriedades desta definição de política, selecione a caixa de verificação Definir estas definições de política e desmarque as caixas de verificação Êxito e Falha. Valores predefinidos em edições de cliente: Gestão de Contas de Utilizador: Êxito Gestão de Contas de Computador: Sem Auditoria Gestão de Grupos de Segurança: Êxito Gestão de Grupos de Distribuição: Sem Auditoria Gestão de Grupos de Aplicações: Sem Auditoria Outros Eventos de Gestão de Contas: Sem Auditoria Valores predefinidos em edições de servidor: Gestão de Contas de Utilizador: Êxito Gestão de Contas de Computador: Êxito Gestão de Grupos de Segurança: Êxito Gestão de Grupos de Distribuição: Sem Auditoria Gestão de Grupos de Aplicações: Sem Auditoria Outros Eventos de Gestão de Contas: Sem Auditoria Importante: para maior controlo sobre políticas de auditoria, utilize as definições no nó Configuração de Política de Auditoria Avançada. Para obter mais informações acerca da Configuração de Política de Auditoria Avançada, consulte https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account management
This security setting determines whether to audit each event of account management on a computer. Examples of account management events include: A user account or group is created, changed, or deleted. A user account is renamed, disabled, or enabled. A password is set or changed. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default values on Client editions: User Account Management: Success Computer Account Management: No Auditing Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Default values on Server editions: User Account Management: Success Computer Account Management: Success Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1916 | Auditar acesso ao serviço de diretório
Esta definição de segurança determina se o sistema operativo audita tentativas de utilizadores para aceder a objetos do Active Directory. A auditoria apenas é gerada para objetos que tenham listas de controlo de acesso ao sistema (SACL) especificadas e apenas se o tipo de acesso solicitado (como Escrita, Leitura ou Modificação) e a conta que faz o pedido corresponderem às definições no SACL. O administrador pode especificar se pretende auditar apenas êxitos, apenas falhas, tanto êxitos como falhas, ou se não pretende auditar nenhum tipo de evento (isto é, nem êxitos nem falhas). Se a Auditoria de êxitos estiver ativada, é gerada uma entrada de auditoria sempre que qualquer conta acede com êxito a um objeto do Diretório que tenha um SACL correspondente especificado. Se a Auditoria de falhas estiver ativada, é gerada uma entrada de auditoria sempre que qualquer utilizador tente aceder sem êxito a um objeto do Diretório que tenha um SACL correspondente especificado. Valores predefinidos em edições de cliente: Acesso ao Serviço de Diretório: Sem Auditoria Alterações ao Serviço de Diretório: Sem Auditoria Replicação do Serviço do Diretório: Sem Auditoria Replicação Detalhada do Serviço de Diretório: Sem Auditoria Valores predefinidos em edições de cliente: Acesso ao Serviço de Diretório: Êxito Alterações ao Serviço de Diretório: Sem Diretório de Auditoria Replicação do Serviço: Sem Auditoria Replicação Detalhada do Serviço de Diretório: Sem Auditoria Importante: para maior controlo sobre políticas de auditoria, utilize as definições no nó Configuração de Política de Auditoria Avançada. Para obter mais informações acerca da Configuração de Política de Auditoria Avançada, consulte https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit directory service access
This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified. Default values on Client editions: Directory Service Access: No Auditing Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Default values on Server editions: Directory Service Access: Success Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1917 | Auditar eventos de início de sessão
Esta definição de segurança determina se o sistema operativo audita cada instância de tentativa de início de sessão ou fim de sessão de um utilizador neste computador. São gerados eventos de fim de sessão sempre que é terminada a sessão de um utilizador com sessão iniciada. Se esta definição de política estiver configurada, o administrador poderá especificar se pretende auditar apenas êxitos, apenas falhas, tanto êxitos como falhas, ou se não pretende auditar nenhum tipo de evento (isto é, nem êxitos nem falhas). Valores predefinidos em edições de cliente: Início de Sessão: Êxito Fim de Sessão: Êxito Bloqueio da Conta: Êxito Modo Principal IPsec: Sem Auditoria Modo Rápido IPsec: Sem Auditoria Modo Expandido IPsec: Sem Auditoria Início de Sessão Especial: Êxito Outros Eventos de Início/Fim de Sessão: Sem Auditoria Servidor de Políticas de Rede: Êxito, Falha Valores predefinidos em edições de servidor: Início de Sessão: Êxito, Falha Fim de Sessão: Êxito Bloqueio da Conta: Êxito Modo Principal IPsec: Sem Auditoria Modo Rápido IPsec: Sem Auditoria Modo Expandido IPsec: Sem Auditoria Início de Sessão Especial: Êxito Outros Eventos de Início/Fim de Sessão: Sem Auditoria Servidor de Políticas de Rede: Êxito, Falha Importante: para maior controlo sobre políticas de auditoria, utilize as definições no nó Configuração de Política de Auditoria Avançada. Para obter mais informações acerca da Configuração de Política de Auditoria Avançada, consulte https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit logon events
This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer. Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Logon: Success Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Default values on Server editions: Logon: Success, Failure Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1918 | Auditar acesso a objeto
Esta definição de segurança determina se o sistema operativo audita tentativas de utilizadores para aceder a objetos não pertencentes ao Active Directory. A auditoria apenas é gerada para objetos que tenham listas de controlo de acesso ao sistema (SACL) especificadas e apenas se o tipo de acesso solicitado (como Escrita, Leitura ou Modificação) e a conta que faz o pedido corresponderem às definições no SACL. O administrador pode especificar se pretende auditar apenas êxitos, apenas falhas, tanto êxitos como falhas, ou se não pretende auditar nenhum tipo de evento (isto é, nem êxitos nem falhas). Se a Auditoria de êxitos estiver ativada, é gerada uma entrada de auditoria sempre que qualquer conta acede com êxito a um objeto não pertencente ao Diretório que tenha um SACL correspondente especificado. Se a Auditoria de falhas estiver ativada, é gerada uma entrada de auditoria sempre que qualquer utilizador tente aceder sem êxito a um objeto não pertencente ao Diretório que tenha um SACL correspondente especificado. Tenha em atenção que pode definir um SACL num objeto do sistema de ficheiros utilizando o separador Segurança na caixa de diálogo Propriedades desse objeto. Predefinição: Sem auditoria. Importante: para maior controlo sobre políticas de auditoria, utilize as definições no nó Configuração de Política de Auditoria Avançada. Para obter mais informações acerca da Configuração de Política de Auditoria Avançada, consulte https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit object access
This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified. Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box. Default: No auditing. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1919 | Auditar alteração da política
Esta definição de segurança determina se o sistema operativo audita cada instância de tentativas de alteração da política de atribuição de direitos de utilizador, política de auditoria, política de contas ou política de fidedignidade. O administrador pode especificar se pretende auditar apenas êxitos, apenas falhas, tanto êxitos como falhas, ou se não pretende auditar nenhum tipo de evento (isto é, nem êxitos nem falhas). Se a Auditoria de êxitos estiver ativada, é gerada uma entrada de auditoria quando uma tentativa de alteração da política de atribuição de direitos de utilizador, política de auditoria ou política de fidedignidade tem êxito. Se a Auditoria de falhas estiver ativada, é gerada uma entrada de auditoria quando se tenta efetuar uma alteração à política de atribuição de direitos de utilizador, política de auditoria ou política de fidedignidade com uma conta que não tenha autorização para efetuar a alteração de política solicitada. Predefinição: Auditar Alteração de Política: Êxito Alteração de Política de Autenticação: Êxito Alteração de Política de Autorização: Sem Auditoria Alteração de Política ao Nível de Regras MPSSVC: Sem Auditoria Alteração de Política de Plataforma de Filtragem: Sem Auditoria Outros Eventos de Alteração de Política: Sem Auditoria Importante: para maior controlo sobre políticas de auditoria, utilize as definições no nó Configuração de Política de Auditoria Avançada. Para obter mais informações acerca da Configuração de Política de Auditoria Avançada, consulte https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit policy change
This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful. If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change. Default: Audit Policy Change: Success Authentication Policy Change: Success Authorization Policy Change: No Auditing MPSSVC Rule-Level Policy Change: No Auditing Filtering Platform Policy Change: No Auditing Other Policy Change Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1920 | Auditar utilização de privilégios
Esta definição de segurança determina se cada instância em que um utilizador exerce um direito de utilizador deve ser auditada. Se configurar esta definição de política, poderá especificar se pretende auditar êxitos, auditar falhas ou se não pretende auditar este tipo de evento de todo. As auditorias de êxitos geram uma entrada de auditoria quando o exercício de um direito de utilizador tem êxito. As auditorias de falhas geram uma entrada de auditoria quando o exercício de um direito de utilizador falha. Para definir este valor como Sem Auditoria, na caixa de diálogo Propriedades desta definição de política, selecione a caixa de verificação Definir estas definições de política e desmarque as caixas de verificação Êxito e Falha. Predefinição: Sem auditoria. Não são geradas auditorias em caso de utilização dos direitos de utilizador seguintes, mesmo que sejam especificadas auditorias de êxitos ou de falhas para auditar a utilização de privilégios. A ativação da auditoria destes direitos de utilizador tem tendência a gerar muitos eventos no registo de segurança, o que pode prejudicar o desempenho do computador. Para auditar os direitos de utilizador seguintes, ative a chave de registo FullPrivilegeAuditing. Ignorar verificação transversal Depurar programas Criar um objeto token Substituir token de nível de processo Gerar auditorias de segurança Fazer cópia de segurança de ficheiros e diretórios Restaurar ficheiros e diretórios Atenção A edição incorreta do registo poderá danificar gravemente o sistema. Antes de efetuar alterações ao registo, deverá fazer uma cópia de segurança dos dados importantes que existam no computador. Importante: para maior controlo sobre políticas de auditoria, utilize as definições no nó Configuração de Política de Auditoria Avançada. Para obter mais informações acerca da Configuração de Política de Auditoria Avançada, consulte https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit privilege use
This security setting determines whether to audit each instance of a user exercising a user right. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default: No auditing. Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key. Bypass traverse checking Debug programs Create a token object Replace process level token Generate security audits Back up files and directories Restore files and directories Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1921 | Auditar controlo de processos
Esta definição de segurança determina se o sistema operativo audita eventos relacionados com processos, como criação de processos, terminação de processos, duplicação de identificadores e acesso indireto a objetos. Se esta definição de política estiver configurada, o administrador poderá especificar se pretende auditar apenas êxitos, apenas falhas, tanto êxitos como falhas, ou se não pretende auditar nenhum tipo de evento (isto é, nem êxitos nem falhas). Se a Auditoria de êxitos estiver ativada, é gerada uma entrada de auditoria sempre que o sistema operativo executa uma destas atividades relacionadas com processos. Se a Auditoria de falhas estiver ativada, é gerada uma entrada de auditoria sempre que o sistema operativo falhe a execução de uma destas atividades. Predefinição: Sem auditoria Importante: para maior controlo sobre políticas de auditoria, utilize as definições no nó Configuração de Política de Auditoria Avançada. Para obter mais informações acerca da Configuração de Política de Auditoria Avançada, consulte https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit process tracking
This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities. If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities. Default: No auditing\r Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1922 | Auditar eventos do sistema
Esta definição de segurança determina se o sistema operativo audita algum dos seguintes eventos: • Tentativa de alteração da hora do sistema • Tentativa de arranque ou encerramento do sistema de segurança • Tentativa de carregamento de componentes de autenticação extensível • Perda de eventos auditados devido a falha do sistema de auditoria • Tamanho do registo de segurança superior a um limiar de aviso configurável. Se esta definição de política estiver configurada, o administrador poderá especificar se pretende auditar apenas êxitos, apenas falhas, tanto êxitos como falhas, ou se não pretende auditar nenhum tipo de evento (isto é, nem êxitos nem falhas). Se a Auditoria de êxitos estiver ativada, é gerada uma entrada de auditoria sempre que o sistema operativo executa com êxito uma destas atividades. Se a Auditoria de falhas estiver ativada, é gerada uma entrada de auditoria sempre que o sistema operativo tenta e falha a execução de uma destas atividades. Predefinição: Alteração do Estado de Segurança: Êxito Extensão do Sistema de Segurança: Sem Auditoria Integridade do Sistema: Êxito, Falha Controlador IPsec: Sem Auditoria Outros Eventos do Sistema: Êxito, Falha Importante: para maior controlo sobre políticas de auditoria, utilize as definições no nó Configuração de Política de Auditoria Avançada. Para obter mais informações acerca da Configuração de Política de Auditoria Avançada, consulte https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit system events
This security setting determines whether the OS audits any of the following events: • Attempted system time change • Attempted security system startup or shutdown • Attempt to load extensible authentication components • Loss of audited events due to auditing system failure • Security log size exceeding a configurable warning threshold level. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully. If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities. Default: Security State Change Success Security System Extension No Auditing System Integrity Success, Failure IPsec Driver No Auditing Other System Events Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1923 | Aceder a este computador a partir da rede
Este direito de utilizador determina quais os utilizadores e grupos com permissão para ligar ao computador através da rede. Os Serviços de Ambiente de Trabalho Remoto não são afetados por este direito de utilizador. Nota: os Serviços de Ambiente de Trabalho Remoto denominavam-se Serviços de Terminal em versões anteriores do Windows Server. Predefinição em estações de trabalho e servidores: Administradores Operadores de Cópia de Segurança Utilizadores Todos Predefinição em controladores de domínio: Administradores Utilizadores Autenticados Controladores de Domínio da Empresa Todos Acesso Compatível Com Pré-Windows 2000 |
Access this computer from the network
This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default on workstations and servers: Administrators Backup Operators Users Everyone Default on domain controllers: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access |
1924 | Atuar como parte do sistema operativo
Este direito de utilizador permite que um processo possa representar qualquer utilizador sem autenticação. Por conseguinte, o processo pode obter acesso aos mesmos recursos locais que o utilizador. Os processos que requerem este privilégio devem utilizar a conta LocalSystem, que já inclui este privilégio, em vez de utilizar uma conta de utilizador autónoma com este privilégio especificamente atribuído. Se a sua organização só utilizar servidores que sejam membros da família Windows Server 2003, não é necessário atribuir este privilégio aos utilizadores. No entanto, se a organização utilizar servidores com o Windows 2000 ou Windows NT 4.0, poderá ser necessário atribuir este privilégio para utilizar aplicações que trocam palavras-passe em texto não encriptado. Atenção A atribuição deste direito de utilizador pode constituir um risco de segurança. Atribua este direito de utilizador apenas a utilizadores fidedignos. Predefinição: Nenhum. |
Act as part of the operating system
This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: None. |
1925 | Adicionar estações de trabalho ao domínio
Esta definição de segurança determina que grupos ou utilizadores podem adicionar estações de trabalho a um domínio. Esta definição de segurança só é válida em controladores de domínio. Por predefinição, qualquer utilizador autenticado tem este direito e pode criar até 10 contas de computador no domínio. Ao adicionar uma conta de computador ao domínio permite que o computador participe na rede baseada no Active Directory. Por exemplo, adicionar uma estação de trabalho a um domínio permite que esta reconheça contas e grupos que existem no Active Directory. Predefinição: Utilizadores Autenticados em controladores de domínio. Nota: Os utilizadores que têm a permissão Criar Objetos de Computador no contentor de computadores do Active Directory, também podem criar contas de computador no domínio. A diferença reside no facto de os utilizadores com permissões no contentor não estarem restringidos à criação de apenas 10 contas de computador. Além disso, nas contas de computador criadas através de Adicionar estações de trabalho ao domínio, o proprietário da conta do computador é o Administrador do Domínio, enquanto nas contas de computador criadas através de permissões no contentor de computadores o proprietário da conta de computador é o seu próprio criador. Se um utilizador tiver permissões no contentor e também tiver o direito de utilizador Adicionar estações de trabalho ao domínio, o computador é adicionado com base nas permissões do contentor do computador em vez do direito do utilizador. |
Add workstations to domain
This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right. |
1926 | Ajustar quotas de memória para um processo
Este privilégio determina quem pode alterar a memória máxima que pode ser consumida por um processo. Este direito de utilizador é definido no objeto de Política de Grupo do Controlador de Domínio Predefinido e na política de segurança local de estações de trabalho e servidores. Nota: Este privilégio é útil para otimização do sistema, mas pode ser utilizado de forma indevida, por exemplo, num ataque denial of service. Predefinição: Administradores Serviço Local Serviço de Rede. |
Adjust memory quotas for a process
This privilege determines who can change the maximum memory that can be consumed by a process. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack. Default: Administrators Local Service Network Service. |
1927 | Iniciar sessão localmente
Determina que utilizadores podem iniciar sessão no computador. Importante A modificação desta definição poderá afetar a compatibilidade com clientes, serviços e aplicações. Para obter informações de compatibilidade acerca desta definição, consulte Permitir iniciar sessão localmente (https://go.microsoft.com/fwlink/?LinkId=24268) no site da Microsoft. Predefinição: • Em estações de trabalho e servidores: Administradores, Operadores de Cópia de Segurança, Utilizadores Avançados, Utilizadores e Convidado. • Em controladores de domínio: Operadores de Conta, Administradores, Operadores de Cópia de Segurança e Operadores de Impressão. |
Log on locally
Determines which users can log on to the computer. Important Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website. Default: • On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest. • On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators. |
1928 | Permitir início de sessão através dos Serviços de Ambiente de Trabalho Remoto
Esta definição de segurança determina quais os utilizadores ou grupos com permissão para iniciar sessão como cliente dos Serviços de Ambiente de Trabalho Remoto. Predefinição: Na estação de trabalho e servidores: Administradores, Utilizadores de Ambiente de Trabalho Remoto. Em controladores de domínio: Administradores. Importante Esta definição não tem nenhum efeito em computadores com o Windows 2000 que não tenham sido atualizados para o Service Pack 2. |
Allow log on through Remote Desktop Services
This security setting determines which users or groups have permission to log on as a Remote Desktop Services client. Default: On workstation and servers: Administrators, Remote Desktop Users. On domain controllers: Administrators. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1929 | Fazer cópias de segurança de ficheiros e diretórios
Este direito de utilizador determina que utilizadores podem ignorar permissões de ficheiro e diretório, registo e outras permissões de objeto persistentes para efeitos de cópia de segurança do sistema. Especificamente, este direito de utilizador é semelhante à concessão das seguintes permissões ao utilizador ou grupo em questão, para todos os ficheiros e pastas do sistema: Atravessar Pasta/Executar Ficheiro Listar Pasta/Ler Dados Ler Atributos Ler Atributos Expandidos Ler Permissões Atenção A atribuição deste direito de utilizador pode constituir um risco de segurança. Uma vez que não existe forma de ter a certeza de que um utilizador está fazer cópias de segurança de dados, a roubar dados ou a copiar dados para distribuição, atribua este direito apenas a utilizadores fidedignos. Predefinição em estações de trabalho e servidores: Administradores Operadores de Cópia de Segurança. Predefinição em controladores de domínio: Administradores Operadores de Cópia de Segurança Operadores de Servidor |
Back up files and directories
This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Read Permissions Caution Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users. Default on workstations and servers: Administrators Backup Operators. Default on domain controllers:Administrators Backup Operators Server Operators |
1930 | Ignorar verificação transversal
Este direito de utilizador determina que utilizadores podem atravessar árvores de diretório, mesmo que o utilizador não tenha permissões para o diretório atravessado. Este privilégio não permite que o utilizador liste o conteúdo de um diretório, mas apenas atravessar diretórios. Este direito de utilizador é definido no objeto de Política de Grupo do Controlador de Domínio Predefinido e na política de segurança local das estações de trabalho e servidores. Predefinição em estações de trabalho e servidores: Administradores Operadores de Cópia de Segurança Utilizadores Todos Serviço Local Serviço de Rede Predefinição em controladores de domínio: Administradores Utilizadores Autenticados Todos Serviço Local Serviço de Rede Acesso Compatível Com Pré-Windows 2000 |
Bypass traverse checking
This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Backup Operators Users Everyone Local Service Network Service Default on domain controllers: Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access |
1931 | Alterar hora do sistema
Este direito de utilizador determina que utilizadores e grupos podem alterar a hora e a data no relógio interno do computador. Os utilizadores aos quais é atribuído este direito de utilizador podem afetar o aspeto dos registos de eventos. Se a hora do sistema for alterada, os eventos registados irão refletir esta nova hora, não a hora real de ocorrência dos eventos. Este direito de utilizador é definido no objeto de Política de Grupo do Controlador de Domínio Predefinido e na política de segurança local das estações de trabalho e servidores. Predefinição em estações de trabalho e servidores: Administradores Utilizadores Avançados Predefinição em controladores de domínio: Administradores Operadores de Servidor Serviço Local |
Change the system time
This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Local Service Default on domain controllers: Administrators Server Operators Local Service |
1932 | Criar um ficheiro de paginação
Este direito de utilizador determina que utilizadores e grupos podem chamar uma API (interface de programação de aplicações) interna para criar um ficheiro de paginação e alterar o respetivo tamanho. Este direito de utilizador é utilizado internamente pelo sistema operativo e, normalmente, não necessita de ser atribuído a quaisquer utilizadores. Para informações sobre como especificar um tamanho de ficheiro de paginação para uma determinada unidade, consulte Para alterar o tamanho do ficheiro de paginação de memória virtual. Predefinição: Administradores. |
Create a pagefile
This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users. For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file. Default: Administrators. |
1933 | Criar um objeto token
Esta definição de segurança determina que contas podem ser utilizadas por processos para criar um token que, em seguida, pode ser utilizado para obter acesso a quaisquer recursos locais quando o processo utiliza uma Interface de Programação de Aplicações (API) interna para criar um token de acesso. Este direito de utilizador é utilizado internamente pelo sistema operativo. A menos que seja necessário, não atribua este direito de utilizador a um utilizador, grupo ou processo que não o Sistema Local. Atenção A atribuição deste direito de utilizador pode constituir um risco de segurança. Não atribua este direito de utilizador a um utilizador, grupo ou processo que não pretenda que controle o sistema. Predefinição: Nenhum. |
Create a token object
This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token. This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default: None |
1934 | Criar objetos globais
Esta definição de segurança determina se os utilizadores podem criar objetos globais disponíveis para todas as sessões. Mesmo sem terem este direito de utilizador, os utilizadores poderão continuar a criar objetos específicos da sua própria sessão. Os utilizadores que podem criar objetos globais poderão afetar os processos executados sob sessões de outros utilizadores, o que poderá originar falhas de aplicações ou dados danificados. Atenção A atribuição deste direito de utilizador pode constituir um risco de segurança. Atribua este direito apenas a utilizadores fidedignos. Predefinição: Administradores Serviço Local Serviço de Rede Serviço |
Create global objects
This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption. Caution Assigning this user right can be a security risk. Assign this user right only to trusted users. Default: Administrators Local Service Network Service Service |
1935 | Criar objetos partilhados permanentes
Este direito de utilizador determina que contas podem ser utilizadas por processos para criar um objeto de diretório utilizando o gestor de objetos. Este direito de utilizador é utilizado internamente pelo sistema operativo e é útil para componentes de modo de kernel que expandam o espaço de nomes de objeto. Dado que os componentes que estão a ser executados no modo de kernel já têm este direito de utilizador atribuído, não é necessário atribui-lo especificamente. Predefinição: Nenhum. |
Create permanent shared objects
This user right determines which accounts can be used by processes to create a directory object using the object manager. This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it. Default: None. |
1936 | Depurar programas
Este direito de utilizador determina que utilizadores podem anexar um depurador a qualquer processo ou ao kernel. Não é necessário atribuir este direito de utilizador aos programadores que estejam a depurar as próprias aplicações. Os programadores que estejam a depurar novos componentes de sistema irão necessitar deste direito de utilizador para poderem efetuar esta operação. Este direito de utilizador fornece acesso completo a componentes do sistema operativo sensíveis e críticos. Atenção A atribuição deste direito de utilizador pode constituir um risco de segurança. Atribua este direito apenas a utilizadores fidedignos. Predefinição: Administradores |
Debug programs
This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators |
1937 | Negar acesso a este computador a partir da rede
Esta definição de segurança determina que utilizadores são impedidos de aceder a um computador através da rede. Esta definição de política substitui a definição de política Aceder a este computador a partir da rede, se uma conta de utilizador estiver sujeita a ambas as políticas. Predefinição: Convidado |
Deny access to this computer from the network
This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies. Default: Guest |
1938 | Negar início de sessão como uma tarefa batch
Esta definição de segurança determina que contas são impedidas de iniciar sessão como uma tarefa batch. Esta definição de política substitui a definição de política Iniciar sessão como uma tarefa batch, se uma conta de utilizador estiver sujeita a ambas as políticas. Predefinição: Nenhuma. |
Deny log on as a batch job
This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies. Default: None. |
1939 | Negar início de sessão como um serviço
Esta definição de segurança determina que contas de serviço são impedidas de registar um processo como um serviço. Esta definição de política substitui a definição de política Iniciar Sessão Como Um Serviço, se uma conta estiver sujeita a ambas as políticas. Nota: esta definição de segurança não se aplica às contas de Sistema, Serviço Local ou Serviço de Rede. Predefinição: Nenhum. |
Deny log on as a service
This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies. Note: This security setting does not apply to the System, Local Service, or Network Service accounts. Default: None. |
1940 | Negar início de sessão local
Esta definição de segurança determina que utilizadores são impedidos de iniciar sessão no computador. Esta definição de política substitui a definição de política Permitir início de sessão local, se uma conta de utilizador estiver sujeita a ambas as políticas. Importante Se aplicar esta política de segurança ao grupo Todos, ninguém conseguirá iniciar sessão localmente. Predefinição: Nenhum. |
Deny log on locally
This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies. Important If you apply this security policy to the Everyone group, no one will be able to log on locally. Default: None. |
1941 | Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto
Esta definição de segurança determina quais os utilizadores e grupos proibidos de iniciar sessão como cliente dos Serviços de Ambiente de Trabalho Remoto. Predefinição: Nenhum. Importante Esta definição não tem nenhum efeito em computadores com o Windows 2000 que não tenham sido atualizados para o Service Pack 2. |
Deny log on through Remote Desktop Services
This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client. Default: None. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1942 | Confiar nas contas de computador e utilizador para efeitos de delegação
Esta definição de segurança determina que utilizadores podem configurar a definição Fidedigno para Delegação num utilizador ou objeto de computador. O utilizador ou objeto ao qual é concedido este privilégio tem de ter acesso de escrita aos sinalizadores de controlo de conta no utilizador ou objeto de computador. Um processo de servidor em execução num computador (ou sob um contexto de utilizador) que seja considerado fidedigno para delegação poderá aceder a recursos noutro computador utilizando as credenciais delegadas de um cliente, desde que a conta de cliente não tenha definido o sinalizador de controlo de conta Não É Possível Delegar Conta. Este direito de utilizador é definido no objeto de Política de Grupo do Controlador de Domínio Predefinido e na política de segurança local das estações de trabalho e servidores. Atenção A utilização indevida deste direito de utilizador ou da definição Fidedigno Para a Delegação poderá tornar a rede vulnerável a ataques sofisticados com programas Trojan que representam clientes de entrada e utilizam as respetivas credenciais para obter acesso a recursos da rede. Predefinição: Administradores em controladores de domínio. |
Enable computer and user accounts to be trusted for delegation
This security setting determines which users can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Caution Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources. Default: Administrators on domain controllers. |
1943 | Forçar encerramento a partir de um sistema remoto
Esta definição de segurança determina a que utilizadores é permitido encerrar um computador a partir de uma localização remota na rede. A utilização indevida deste direito de utilizador pode resultar num denial of service. Este direito de utilizador é definido no GPO (Group Policy object) do Controlador de Domínio Predefinido e na política de segurança local das estações de trabalho e servidores. Predefinição: Em estações de trabalho e servidores: Administradores. Em controladores de domínio: Administradores, Operadores de Servidor. |
Force shutdown from a remote system
This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default: On workstations and servers: Administrators. On domain controllers: Administrators, Server Operators. |
1944 | Gerar auditorias de segurança
Esta definição de segurança determina que contas podem ser utilizadas por um processo para adicionar entradas ao registo de segurança. O registo de segurança é utilizado para rastrear acesso não autorizado ao sistema. A utilização indevida deste direito de utilizador poderá resultar na geração de muitos eventos de auditoria, ocultando potencialmente provas de um ataque ou provocando um ataque denial of service se a definição de política de segurança Auditoria: Encerrar o Sistema Imediatamente Se Não For Possível Registar Auditorias de Segurança estiver ativada. Para mais informações, consulte Auditoria: Encerrar o Sistema Imediatamente Se Não For Possível Registar Auditorias de Segurança Predefinição: Serviço Local. Serviço de Rede. |
Generate security audits
This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits Default: Local Service Network Service. |
1945 | Representar um cliente após autenticação
A atribuição deste privilégio a um utilizador permite que os programas em execução em lugar do utilizador representem um cliente. Ao requerer este direito de utilizador para este tipo de representação impede que um utilizador não autorizado convença um cliente a ligar-se (por exemplo, por RPC (Remote Procedure Call) ou pipes nomeados) a um serviço criado por ele e depois representar esse cliente, o que pode elevar as permissões de utilizador não autorizadas aos níveis administrativo ou de sistema. Atenção A atribuição deste direito de utilizador pode constituir um risco de segurança. Atribua este direito apenas a utilizadores fidedignos. Predefinição: Administradores Serviço Local Serviço de Rede Serviço Nota: Por predefinição, nos serviços que são iniciados pelo Gestor de Controlo de Serviços o grupo Serviço incorporado é adicionado aos respetivos tokens de acesso. Nos servidores COM (Component Object Model) que são iniciados pela infraestrutura COM e que estão configurados para execução sob uma conta específica, o grupo Serviço também é adicionado aos tokens de acesso. Como resultado, estes serviços obtêm este direito de utilizador quando são iniciados. Além disso, um utilizador também pode representar um token de acesso se existir uma das condições seguintes. O token de acesso que está a ser representado destina-se ao utilizador. O utilizador, na sessão de início de sessão, criou o token de acesso iniciando sessão na rede sem credenciais explícitas. O nível pedido é inferior a Representar, sendo Anónimo ou Identificar. Devido a estes fatores, normalmente, os utilizadores não necessitam deste direito de utilizador. Para obter mais informações, procure "SeImpersonatePrivilege" no Microsoft Platform SDK. Aviso Se ativar esta definição, os programas que anteriormente tinham o privilégio Representar podem perdê-lo e podem deixar de executar. |
Impersonate a client after authentication
Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators Local Service Network Service Service Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started. In addition, a user can also impersonate an access token if any of the following conditions exist. The access token that is being impersonated is for this user. The user, in this logon session, created the access token by logging on to the network with explicit credentials. The requested level is less than Impersonate, such as Anonymous or Identify. Because of these factors, users do not usually need this user right. For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK. Warning If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run. |
1946 | Aumentar prioridade de agendamento
Esta definição de segurança determina que contas podem ser utilizadas por um processo com acesso Propriedade de Escrita a outro processo para aumentar a prioridade de execução atribuída ao outro processo. Um utilizador com este privilégio pode alterar a prioridade de agendamento de um processo através da interface de utilizador Gestor de Tarefas. Predefinição: Administradores. |
Increase scheduling priority
This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface. Default: Administrators. |
1947 | Carregar e descarregar controladores de dispositivos
Este direito de utilizador determina que utilizadores podem carregar ou descarregar dinamicamente controladores de dispositivos ou outro código no modo de kernel. Este direito de utilizador não se aplica aos controladores de dispositivos Plug and Play. Recomenda-se que não atribua este privilégio a outros utilizadores. Atenção A atribuição deste direito de utilizador pode constituir um risco de segurança. Não atribua este direito de utilizador a um utilizador, grupo ou processo que não pretenda que controle o sistema. Predefinição em estações de trabalho e servidores: Administradores. Predefinição em controladores de domínio: Administradores Operadores de Impressão |
Load and unload device drivers
This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default on workstations and servers: Administrators. Default on domain controllers: Administrators Print Operators |
1948 | Bloquear páginas na memória
Esta definição de segurança determina que contas podem utilizar um processo para manter dados na memória física, o que impede o sistema de paginar os dados para a memória virtual no disco. O exercício deste privilégio pode afetar significativamente o desempenho do sistema ao diminuir a quantidade de RAM (random access memory) disponível. Predefinição: Nenhuma. |
Lock pages in memory
This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM). Default: None. |
1949 | Iniciar sessão como uma tarefa batch
Esta definição de segurança permite que um utilizador inicie sessão através de um componente de fila em batch, sendo fornecida apenas para compatibilidade com versões anteriores do Windows. Por exemplo, quando um utilizador submete uma tarefa através de um programador de tarefas, o programador de tarefas inicia sessão para esse utilizador como utilizador batch, e não como utilizador interativo. Predefinição: Administradores Operadores de Cópia de Segurança. |
Log on as a batch job
This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows. For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user. Default: Administrators Backup Operators. |
1950 | Iniciar sessão como um serviço
Esta definição de segurança permite que um principal de segurança inicie sessão como um serviço. Os serviços podem ser configurados para execução sob as contas Sistema Local, Serviço Local ou Serviço de Rede, que possuem um direito incorporado para iniciar sessão como um serviço. Qualquer serviço que seja executado sob outra conta de utilizador terá de ter o direito atribuído. Predefinição: Nenhum. |
Log on as a service
This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right. Default setting: None. |
1951 | Gerir registo de auditoria e segurança
Esta definição de segurança determina quais os utilizadores que podem especificar opções de auditoria de acesso a objetos para recursos individuais, tais como ficheiros, objetos do Active Directory e chaves do Registo. Esta definição de segurança não permite que um utilizador ative a auditoria de acesso a objetos e ficheiros em geral. Para possibilitar a ativação deste tipo de auditoria, é necessário configurar a definição Auditar o acesso a objetos em Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Políticas de Auditoria. É possível ver eventos auditados no registo de segurança do Visualizador de Eventos. Um utilizador com este privilégio também pode ver e limpar o registo de segurança. Predefinição: Administradores. |
Manage auditing and security log
This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured. You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log. Default: Administrators. |
1952 | Modificar valores de ambiente de firmware
Esta definição de segurança determina quem pode modificar valores de ambiente de firmware. As variáveis de ambiente de firmware são definições armazenadas na RAM não volátil de computadores não baseados em x86. O efeito da definição depende do processador. Em computadores baseados em x86, o único valor de ambiente de firmware que pode ser modificado através da atribuição deste direito de utilizador é a definição Última Configuração em Condições Conhecida, que só deverá ser modificada pelo sistema. Em computadores baseados em Itanium, as informações de arranque são armazenadas em RAM não volátil. Este direito tem de ser atribuído aos utilizadores para execução de bootcfg.exe e alteração da definição Sistema Operativo Predefinido, em Arranque e Recuperação, nas Propriedades do Sistema. Em todos os computadores, este direito de utilizador é necessário para instalar ou atualizar o Windows. Nota: esta definição de segurança não afeta quem pode modificar as variáveis de ambiente de sistema e as variáveis de ambiente de utilizador apresentadas no separador Avançadas de Propriedades do Sistema. Para obter informações sobre como modificar estas variáveis, consulte Para Adicionar ou Alterar Valores de Variáveis de Ambiente. Predefinição: Administradores. |
Modify firmware environment values
This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor. On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system. On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties. On all computers, this user right is required to install or upgrade Windows. Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables. Default: Administrators. |
1953 | Executar tarefas de manutenção de volumes
Esta definição de segurança determina que utilizadores e grupos podem executar tarefas num volume, como a desfragmentação remota. Tome as devidas precauções ao atribuir este direito de utilizador. Os utilizadores com este direito de utilizador podem explorar discos e expandir ficheiros em memória que contém outros dados. Quando os ficheiros expandidos são abertos, o utilizador pode ter capacidade para ler e modificar os dados adquiridos. Predefinição: Administradores |
Perform volume maintenance tasks
This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation. Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data. Default: Administrators |
1954 | Criar perfil de processo único
Esta definição de segurança determina que utilizadores podem utilizar ferramentas de monitorização de desempenho para monitorizar o desempenho de processos sem ser do sistema. Predefinição: Administradores, Utilizadores avançados. |
Profile single process
This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes. Default: Administrators, Power users. |
1955 | Criar perfil de desempenho do sistema
Esta definição de segurança determina que utilizadores podem utilizar ferramentas de monitorização de desempenho para monitorizar o desempenho de processos sem ser do sistema. Predefinição: Administradores. |
Profile system performance
This security setting determines which users can use performance monitoring tools to monitor the performance of system processes. Default: Administrators. |
1956 | Remover computador da estação de ancoragem
Esta definição de segurança determina se um utilizador pode desancorar um computador portátil da estação de ancoragem sem iniciar sessão. Se esta política estiver ativada, o utilizador tem de iniciar sessão antes de remover o computador portátil da respetiva estação de ancoragem. Se esta política estiver desativada, o utilizador poderá remover o computador portátil da respetiva estação de ancoragem sem iniciar sessão. Predefinição: Administradores, Utilizadores Avançados, Utilizadores |
Remove computer from docking station
This security setting determines whether a user can undock a portable computer from its docking station without logging on. If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on. Default: Administrators, Power Users, Users |
1957 | Substituir um token de nível de processo
Esta definição de segurança determina que contas de utilizador podem chamar a API (interface de programação de aplicações) CreateProcessAsUser(), para que um serviço possa iniciar outro. Um exemplo de um processo que utiliza este direito de utilizador é o Programador de Tarefas. Para obter informações sobre o Programador de Tarefas, consulte a descrição geral do Programador de Tarefas. Predefinição: Serviço de Rede, Sistema Local. |
Replace a process level token
This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview. Default: Network Service, Local Service. |
1958 | Restaurar ficheiros e diretórios
Esta definição de segurança determina que utilizadores podem ignorar permissões de ficheiro, diretório, registo e outras permissões de objeto persistentes ao restaurar ficheiros e diretórios com cópia de segurança, e determina que utilizadores podem definir um principal de segurança válido como o proprietário de um objeto. Especificamente, este direito de utilizador é semelhante à concessão das seguintes permissões ao utilizador ou grupo em questão, para todos os ficheiros e pastas do sistema: Atravessar Pasta/Executar Ficheiro Escrever Atenção A atribuição deste direito de utilizador pode constituir um risco de segurança. Uma vez que os utilizadores com este direito podem substituir definições de registo, ocultar dados e obter propriedades de objetos do sistema, atribua este direito apenas a utilizadores fidedignos. Predefinição: Estações de trabalho e servidores: Administradores, Operadores de Cópia de Segurança. Controladores de domínio: Administradores, Operadores de Cópia de Segurança, Operadores de Servidor. |
Restore files and directories
This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File Write Caution Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users. Default: Workstations and servers: Administrators, Backup Operators. Domain controllers: Administrators, Backup Operators, Server Operators. |
1959 | Encerrar o sistema
Esta definição de segurança determina que utilizadores que tenham iniciado sessão local no computador podem encerrar o sistema operativo utilizando o comando Encerrar. A utilização indevida deste direito de utilizador pode resultar num ataque denial of service. Predefinição em estações de trabalho: Administradores, Operadores de Cópia de Segurança, Utilizadores. Predefinição em servidores: Administradores, Operadores de Cópia de Segurança. Predefinição em controladores de domínio: Administradores, Operadores de Cópia de Segurança, Operadores de Servidor, Operadores de Impressão. |
Shut down the system
This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service. Default on Workstations: Administrators, Backup Operators, Users. Default on Servers: Administrators, Backup Operators. Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators. |
1960 | Sincronizar dados do serviço de diretório
Esta definição de segurança determina que utilizadores e grupos têm a autoridade para sincronizar todos os dados do serviço de diretório. Também é conhecida como sincronização do Active Directory. Predefinições: Nenhuma. |
Synchronize directory service data
This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization. Defaults: None. |
1961 | Obter propriedade de ficheiros ou outros objetos
Esta definição de segurança determina que utilizadores podem obter propriedades de qualquer objeto passível de proteção no sistema, incluindo objetos, ficheiros e pastas do Active Directory, impressoras, chaves de registo, processos e threads. Atenção A atribuição deste direito de utilizador pode constituir um risco de segurança. Uma vez que os proprietários de objetos têm completo controlo sobre os mesmos, atribua este direito de utilizador apenas a utilizadores fidedignos. Predefinição: Administradores. |
Take ownership of files or other objects
This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. Caution Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users. Default: Administrators. |
1962 | Contas: Estado da conta de Administrador
Esta definição de segurança determina se a conta de Administrador local está ativada ou desativada. Notas Se tentar reativar a conta de Administrador depois de ter sido desativada e se a palavra-passe de Administrador atual não satisfizer os requisitos de palavra-passe, não será possível reativar a conta. Neste caso, um membro alternativo do grupo Administradores tem de repor a palavra-passe na conta de Administrador. Para obter informações sobre como repor uma palavra-passe, consulte Para repor uma palavra-passe. Em determinadas circunstâncias, a desativação da conta de Administrador pode tornar-se num problema de manutenção. Sob o arranque em Modo Seguro, a conta do Administrador só será ativada se o computador não tiver aderido ao domínio e se não existirem outras contas de administrador local ativas. Se o computador tiver aderido ao domínio, o administrador desativado não será ativado. Predefinição: Desativado. |
Accounts: Administrator account status
This security setting determines whether the local Administrator account is enabled or disabled. Notes If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password. Disabling the Administrator account can become a maintenance issue under certain circumstances. Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled. Default: Disabled. |
1963 | Contas: Estado da conta de convidado
Esta definição de segurança determina se a conta de Convidado está ativada ou desativada. Predefinição: Desativada. Nota: Se a conta de Convidado estiver desativada e a opção de segurança Acesso de Rede: Modelo de Partilha e Segurança para contas locais estiver definida como Apenas Convidado, os inícios de sessão de rede, como os executados pelo Servidor de Rede da Microsoft (Serviço SMB), irão falhar. |
Accounts: Guest account status
This security setting determines if the Guest account is enabled or disabled. Default: Disabled. Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail. |
1964 | Contas: Limitar a utilização por parte da conta local de palavras-passe em branco apenas para início de sessão na consola
Esta definição de segurança determina se as contas locais que não estão protegidas por palavra-passe podem ser utilizadas para iniciar sessão a partir de outras localizações que não a consola do computador físico. Se estiver ativada, as contas locais que não estejam protegidas por palavra-passe só poderão iniciar sessão no teclado do computador. Predefinição: Ativado. Aviso Os computadores que não estejam em localizações fisicamente seguras devem sempre impor políticas de palavra-passe segura para todas as contas de utilizador locais. De outro modo, qualquer pessoa com acesso físico ao computador poderá iniciar sessão utilizando uma conta de utilizador sem palavra-passe. Este fator é especialmente importante para computadores portáteis. Se esta política de segurança for aplicada ao grupo Todos, ninguém conseguirá iniciar sessão através dos Serviços de Ambiente de Trabalho Remoto. Notas Esta definição não afeta inícios de sessão que utilizam contas de domínio. Para aplicações que utilizam inícios de sessão interativos, é possível ignorar esta definição. Nota: os Serviços de Ambiente de Trabalho Remoto denominavam-se Serviços de Terminal em versões anteriores do Windows Server. |
Accounts: Limit local account use of blank passwords to console logon only
This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard. Default: Enabled. Warning: Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services. Notes This setting does not affect logons that use domain accounts. It is possible for applications that use remote interactive logons to bypass this setting. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. |
1965 | Contas: Mudar o nome à conta de administrador
Esta definição de segurança determina se um nome de conta diferente está associado ao SID (security identifier) da conta de Administrador. Mudar o nome à conta de Administrador torna ligeiramente mais difícil que utilizadores não autorizados adivinhem esta combinação privilegiada de nome de utilizador e palavra-passe. Predefinição: Administrador. |
Accounts: Rename administrator account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination. Default: Administrator. |
1966 | Contas: Mudar o nome à conta de convidado
Esta definição de segurança determina se está associado um nome de conta diferente ao identificador de segurança (SID) da conta "Convidado". Mudar o nome à conta de Convidado torna ligeiramente mais difícil para pessoas não autorizadas adivinhar esta combinação de nome de utilizador e palavra-passe. Predefinição: Convidado. |
Accounts: Rename guest account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination. Default: Guest. |
1967 | Auditoria: Auditar o acesso de objetos de sistema globais
Esta definição de segurança determina se o acesso a objetos de sistema globais deve ser auditado. Se esta política estiver ativada, fará com que objetos de sistema, tais como exclusões mútuas, eventos, semáforos e dispositivos de DOS, sejam criados com um SACL (Lista de Controlo de Acesso do Sistema) predefinido. Apenas é atribuído um SACL a objetos nomeados; não são atribuídos SACLs a objetos sem nomes. Se a política de auditoria Auditar o Acesso a Objetos também estiver ativada, o acesso a estes objetos de sistema será auditado. Nota: quando configurar esta definição de segurança, as alterações só serão aplicadas quando reiniciar o Windows. Predefinição: Desativado. |
Audit: Audit the access of global system objects
This security setting determines whether to audit the access of global system objects. If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1968 | Auditoria: Auditar a utilização dos privilégios de Cópia de Segurança e de Restauro
Esta definição de segurança determina se a utilização de todos os privilégios de utilizador deverá ser auditado, incluindo Cópia de Segurança e Restauro, quando a política Auditar a Utilização de Privilégios está em vigor. A ativação desta opção quando a política Auditar a Utilização de Privilégios também está ativada gera um evento de auditoria para todos os ficheiros que foram restaurados ou guardados em cópia de segurança. Se desativar esta política, a utilização do privilégio Cópia de Segurança ou Restauro não será auditada mesmo quando a definição Auditar a Utilização de Privilégios estiver ativada. Nota: ao configurar esta definição de segurança em versões do Windows anteriores ao Windows Vista, as alterações só entrarão em vigor quando reiniciar o Windows. A ativação desta definição pode provocar MUITOS eventos, por vezes centenas por segundo, durante uma operação de cópia de segurança. Predefinição: Desativado. |
Audit: Audit the use of Backup and Restore privilege
This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored. If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation. Default: Disabled. |
1969 | Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança
Esta definição de segurança determina se o sistema é encerrado se não conseguir registar eventos de segurança. Se esta definição de segurança for ativada, faz com que o sistema pare se, por algum motivo, não for possível registar uma auditoria de segurança. Regra geral, os eventos não serão registados quando o registo de auditoria de segurança estiver cheio e o método de retenção que for especificado para o registo de segurança for Não Substituir Eventos ou Substituir Eventos por Dias. Se o registo de segurança estiver cheio e não for possível substituir uma entrada existente, e esta opção de segurança estiver ativada, é apresentado o seguinte Erro fatal: PARAGEM: C0000244 {Falha na Auditoria} Falha numa tentativa de gerar uma auditoria de segurança. Para recuperar, um administrador tem de iniciar sessão, arquivar o registo (opcional), limpar o registo e repor esta opção conforme pretender. Até esta definição de segurança ser reposta, nenhum utilizador, para além de um membro do grupo Administradores, poderá iniciar sessão no sistema, mesmo que o registo do sistema não esteja cheio. Nota: quando configurar esta definição de segurança em versões do Windows anteriores ao Windows Vista, as alterações só entrarão em vigor quando reiniciar o Windows. Predefinição: Desativada. |
Audit: Shut down system immediately if unable to log security audits
This security setting determines whether the system shuts down if it is unable to log security events. If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days. If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1970 | Dispositivos: Permitir desancoragem sem ter de iniciar sessão
Esta definição de segurança determina se um computador portátil pode ser desancorado sem ter de iniciar sessão. Se esta política estiver ativada, o início de sessão não é necessário e pode ser utilizado um botão externo de ejeção de hardware para desencorar o computador. Se estiver desativada, um utilizador tem de iniciar sessão e ativar o privilégio Remover computador da estação de ancoragem para desancorar o computador. Predefinição: Ativada. Atenção A desativação desta política pode fazer com os utilizadores se sintam tentados a tentar remover fisicamente o portátil da sua estação de ancoragem, utilizando métodos diferentes do botão externo de ejeção do hardware. Uma vez que esta ação pode danificar o hardware, em geral, esta definição só deve ser desativada em configurações de portátil que sejam fisicamente seguras. |
Devices: Allow undock without having to log on
This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer. Default: Enabled. Caution Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable. |
1971 | Dispositivos: Permitido para formatar e ejetar suportes de dados NTFS amovíveis
Esta definição de segurança determina quem tem permissão para formatar e ejetar suportes de dados NTFS amovíveis. Esta capacidade pode ser atribuída a: Administradores Administradores e Utilizadores Interativos Predefinição: esta política não está definida e apenas Administradores têm esta capacidade. |
Devices: Allowed to format and eject removable media
This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to: Administrators Administrators and Interactive Users Default: This policy is not defined and only Administrators have this ability. |
1972 | Dispositivos: Impedir que os utilizadores instalem controladores de impressora ao ligar a impressoras partilhadas
Para que um computador possa imprimir para uma impressora partilhada, é necessário que o controlador dessa impressora partilhada esteja instalado no computador local. Esta definição de segurança determina quem tem permissão para instalar um controlador de impressora como parte da ligação a uma impressora partilhada. Se esta definição estiver ativada, só os Administradores poderão instalar um controlador de impressora como parte da ligação a uma impressora partilhada. Se esta definição estiver desativada, qualquer utilizador poderá instalar um controlador de impressora como parte da ligação a uma impressora partilhada. Predefinição em servidores: Ativado. Predefinição em estações de trabalho: Desativado. Notas Esta definição não afeta a capacidade de adicionar uma impressora local. Esta definição não afeta Administradores. |
Devices: Prevent users from installing printer drivers when connecting to shared printers
For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer. Default on servers: Enabled. Default on workstations: Disabled Notes This setting does not affect the ability to add a local printer. This setting does not affect Administrators. |
1973 | Dispositivos: Restringir o acesso ao CD-ROM apenas aos utilizadores com início de sessão local
Esta definição de segurança determina se um CD-ROM está acessível a utilizadores locais e remotos simultaneamente. Se esta política estiver ativada, permite que apenas o utilizador com início de sessão interativo tenha acesso a suporte de CD-ROM amovível. Se esta política estiver ativada e ninguém tiver iniciado sessão interactivamente, o CD-ROM poderá ser acedido através da rede. Predefinição: esta política não está definida e o acesso de CD-ROM não está restringido ao utilizador com início de sessão interativo. |
Devices: Restrict CD-ROM access to locally logged-on user only
This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network. Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user. |
1974 | Dispositivos: Restringir o acesso à disquete apenas aos utilizadores com início de sessão local
Esta definição de segurança determina se uma disquete amovível está acessível a utilizadores locais e remotos simultaneamente. Se esta política estiver ativada, permite que apenas o utilizador com início de sessão interativo tenha acesso a disquetes amovíveis. Se esta política estiver ativada e ninguém tiver iniciado sessão interactivamente, a disquete poderá ser acedida através da rede. Predefinição: Esta política não está definida e o acesso à unidade de disquete não está restringido ao utilizador com início de sessão local. |
Devices: Restrict floppy access to locally logged-on user only
This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network. Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user. |
1975 | Dispositivos: Comportamento de instalação de controlador não assinado
Esta definição de segurança determina o que acontece quando é efetuada uma tentativa de instalação de controlador de dispositivo (através da API do programa de configuração) que não foi testado pelo Windows Hardware Quality Lab (WHQL). As opções são as seguintes: Êxito silencioso Avisar mas permitir a instalação Não permitir instalação Predefinição: Avisar mas permitir a instalação. |
Devices: Unsigned driver installation behavior
This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL). The options are: Silently succeed Warn but allow installation Do not allow installation Default: Warn but allow installation. |
1976 | Controlador de domínio: Permitir aos operadores de servidor agendar tarefas
Esta definição de segurança determina se é permitido aos Operadores de Servidor submeter tarefas através do componente de agenda AT. Nota: Esta definição de segurança só afeta o componente de agenda AT; não afeta o componente de Agenda de Tarefas. Predefinição: Esta política não está definida, o que significa que o sistema a trata como desativada. |
Domain controller: Allow server operators to schedule tasks
This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility. Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility. Default: This policy is not defined, which means that the system treats it as disabled. |
1977 | Controlador de domínio: Requisitos de assinatura do servidor LDAP
Esta definição de segurança determina se o servidor LDAP requer negociação de assinaturas com clientes LDAP, do modo seguinte: Nenhuma: A assinatura de dados não é necessária para se vincular ao servidor. Se o cliente pedir assinatura de dados, o servidor suporta-a. Exigir assinatura: A menos que esteja a ser utilizado o TLS\SSL, a opção de assinatura de dados de LDAP tem de ser negociada. Predefinição: esta política não definida, o que tem o mesmo efeito que Nenhuma. Atenção Se definir o servidor para Exigir Assinatura, também tem de definir o cliente. Não definir o cliente resulta na perda de ligação com o servidor. Notas Esta definição não tem qualquer impacto nos pedidos de enlace simples LDAP ou enlace simples LDAP através de SSL. Nenhum cliente LDAP da Microsoft enviado com o Windows XP Professional utiliza enlace simples LDAP nem enlace simples LDAP através de SSL para comunicar com um controlador de domínio. Se for necessária assinatura, os pedidos de enlace simples LDAP e enlace simples LDAP através de SSL serão rejeitados. Nenhum cliente LDAP da Microsoft a executar o Windows XP Professional ou a família Windows Server 2003 utiliza enlace simples LDAP ou enlace simples LDAP através de SSL para se vincular ao serviço de diretório. |
Domain controller: LDAP server signing requirements
This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows: None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it. Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated. Default: This policy is not defined, which has the same effect as None. Caution If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server. Notes This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller. If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service. |
1978 | Controlador de domínio: Recusar alterações de palavra-passe de conta de computador
Esta definição de segurança determina se os controladores de domínio irão recusar pedidos de computadores membro para alterar as palavras-passe de conta de computador. Por predefinição, os computadores membro alteram as respetivas palavras-passe de conta de computador cada 30 dias. Se estiver ativada, o controlador de domínio irá recusar pedidos de alteração de palavra-passe de conta de computador. Se estiver ativada, esta definição não permite que um controlador de domínio aceite quaisquer alterações à palavra-passe de uma conta de computador. Predefinição: esta política não está definida, o que significa que o sistema a encara como Desativada. |
Domain controller: Refuse machine account password changes
This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests. If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password. Default: This policy is not defined, which means that the system treats it as Disabled. |
1979 | Membro de domínio: encriptar digitalmente ou assinar dados de canais protegidos
(sempre) Esta definição de segurança determina se todo o tráfego por canal seguro iniciado pelo membro de domínio tem de ser assinado ou encriptado. Quando um computador adere a um domínio, é criada uma conta de computador. Depois disso, quando o sistema é iniciado, utiliza a palavra-passe de conta de computador para criar um canal seguro com um controlador de domínio para o respetivo domínio. Este canal seguro é utilizado para efetuar operações, tais como a autenticação passthrough de NTLM, a Pesquisa de Nome/SID de LSA, entre outras. Esta definição determina se todo o tráfego por canal seguro iniciado pelo membro de domínio satisfaz ou não os requisitos mínimos de segurança. Especificamente, determinar se todo o tráfego por canal seguro iniciado pelo membro de domínio tem de ser assinado ou encriptado. Se esta política estiver ativada, o canal seguro só será estabelecido se a assinatura e encriptação de todo o tráfego por canal seguro for negociada. Se esta política estiver desativada, a encriptação e assinatura de todo o tráfego por canal seguro é negociada com o Controlador de Domínio e, neste caso, o nível de assinatura e encriptação depende da versão do Controlador de Domínio e das definições das seguintes duas políticas: Membro de domínio: encriptar digitalmente dados de canais protegidos (sempre que for possível) Membro de domínio: assinar digitalmente dados de canais protegidos (sempre que for possível) Predefinição: Ativada. Notas: Se esta política estiver ativada, é assumido que a política Membro de domínio: assinar digitalmente dados de canais protegidos (sempre que for possível) está ativada, independentemente da definição atual. Deste modo, assegura que o membro de domínio tenta negociar pelo menos a assinatura do tráfego por canal seguro. Se esta política estiver ativada, é assumido que a política Membro de domínio: assinar digitalmente dados de canais protegidos (sempre que for possível) está ativada, independentemente da definição atual. Deste modo, assegura que o membro de domínio tenta negociar pelo menos a assinatura do tráfego por canal seguro. As informações de início de sessão transmitidas através do canal seguro são sempre encriptadas independentemente de a encriptação de TODO o tráfego por canal seguro ser negociada ou não. |
Domain member: Digitally encrypt or sign secure channel data (always)
This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies: Domain member: Digitally encrypt secure channel data (when possible) Domain member: Digitally sign secure channel data (when possible) Default: Enabled. Notes: If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not. |
1980 | Membro de domínio: encriptar digitalmente dados de canais protegidos (sempre que for possível)
Esta definição de segurança determina se um membro de domínio tenta negociar a encriptação para todo o tráfego por canal seguro que iniciar. Quando um computador adere a um domínio, é criada uma conta de computador. Depois disso, quando o sistema é iniciado, utiliza a palavra-passe de conta de computador para criar um canal seguro com um controlador de domínio para o respetivo domínio. Este canal seguro é utilizado para efetuar operações, tais como a autenticação pass-through de NTLM, a Pesquisa de nome/SID de LSA, entre outras. Esta definição determina se o membro de domínio tenta negociar a encriptação para todo o tráfego por canal seguro iniciado. Se estiver ativada, o membro de domínio irá pedir a encriptação de todo o tráfego por canal seguro. Se o controlador de domínio suportar a encriptação de todo o tráfego por canal seguro, nesse caso, todo o tráfego por canal seguro será encriptado. De outro modo, apenas as informações de início de sessão transmitidas através do canal seguro serão encriptadas. Se esta definição estiver desativada, o membro de domínio não irá tentar negociar a encriptação de canal seguro. Predefinição: Ativada. Importante Não existe nenhum motivo conhecido para a desativação desta definição. Além de reduzir desnecessariamente o nível de confidencialidade potencial do canal seguro, a desativação desta definição pode reduzir desnecessariamente o débito do canal seguro, porque as chamadas de API simultâneas só são possíveis quando o canal seguro está assinado ou encriptado. Nota: Os controladores de domínio também são membros de domínio e estabelecem canais seguros com outros controladores de domínio no mesmo domínio, bem como controladores de domínio em domínios fidedignos. |
Domain member: Digitally encrypt secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption. Default: Enabled. Important There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted. Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1981 | Membro de domínio: assinar digitalmente dados de canais protegidos (sempre que
for possível) Esta definição de segurança determina se um membro de domínio tenta negociar assinaturas para todo o tráfego por canal seguro que iniciar. Quando um computador adere a um domínio, é criada uma conta de computador. Depois disso, quando o sistema é iniciado, utiliza a palavra-passe de conta de computador para criar um canal seguro com um controlador de domínio para o respetivo domínio. Este canal seguro é utilizado para efetuar operações, tais como a autenticação passthrough de NTLM, a Pesquisa de nome/SID de LSA, entre outras. Esta definição determina se o membro de domínio tenta negociar a assinatura para todo o tráfego por canal seguro iniciado. Se estiver ativada, o membro de domínio irá pedir a assinatura de todo o tráfego por canal seguro. Se o Controlador de Domínio suportar a assinatura de todo o tráfego por canal seguro, nesse caso, todo o tráfego por canal seguro será assinado, o que assegura que não adulterado em trânsito. Predefinição: Ativada. Notas: Se a política Membro de domínio: encriptar digitalmente ou assinar dados de canais protegidos (sempre) estive ativada, é assumido que esta política está ativada independentemente da definição atual. Os controladores de domínio também são membros de domínio e estabelecem canais seguros com outros controladores de domínio no mesmo domínio, bem como controladores de domínio em domínios fidedignos. |
Domain member: Digitally sign secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit. Default: Enabled. Notes: If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting. Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1982 | Membro de domínio: Antiguidade máxima da palavra-passe de conta de computador
Esta definição de segurança determina a frequência com que um membro de domínio irá tentar alterar a respetiva palavra-passe de conta de computador. Predefinição: 30 dias. Importante Esta definição aplica-se aos computadores do Windows 2000, mas não está disponível através das ferramentas do Gestor de Configuração de Segurança nestes computadores. |
Domain member: Maximum machine account password age
This security setting determines how often a domain member will attempt to change its computer account password. Default: 30 days. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1983 | Membro de domínio: Exigir chave de sessão (Windows 2000 ou posterior) segura
Esta definição de segurança determina se é necessária a força de chave de 128 bits para dados encriptados de canal seguro. Quando um computador adere a um domínio, é criada uma conta de computador. Depois disso, quando o sistema é iniciado, utiliza a palavra-passe da conta do computador para criar um canal seguro com um controlador do domínio. Este canal seguro é utilizado para efetuar operações, como a autenticação pass-through NTLM, Pesquisa de nome/SID de LSA, entre outras. Consoante a versão do Windows em execução no controlador de domínio com o qual o membro do domínio está a comunicar e as definições dos parâmetros: Membro de domínio: Encriptar digitalmente ou assinar dados de canais seguros (sempre) Membro de domínio: Encriptar digitalmente dados de canais seguros (sempre que possível) Algumas ou todas as informações que são transmitidas através do canal seguro serão encriptadas. Esta definição de política determina se é ou não necessária a força de chave de 128 bits para as informações do canal seguro que estão encriptadas. Se esta definição estiver ativada, o canal seguro só será estabelecido se for possível efetuar a encriptação de 128 bits. Se esta definição estiver desativada, a força da chave será negociada com o controlador de domínio. Predefinição: Desativada. Importante De modo a tirar partido desta política em servidores e estações de trabalho membro, todos os controladores de domínio que constituem o domínio do membro têm de ter o Windows 2000 ou posterior em execução. De modo a tirar partido desta política em controladores de domínio, todos os controladores do mesmo domínio, bem como de todos os domínios fidedignos, têm de ter o Windows 2000 ou posterior. |
Domain member: Require strong (Windows 2000 or later) session key
This security setting determines whether 128-bit key strength is required for encrypted secure channel data. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on. Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters: Domain member: Digitally encrypt or sign secure channel data (always) Domain member: Digitally encrypt secure channel data (when possible) Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted. If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller. Default: Enabled. Important In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later. In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later. |
1984 | Membro de domínio: Desativar mudanças de palavra-passe de conta de computador
Determina se um membro de domínio altera periodicamente a respetiva palavra-passe de conta de computador. Se esta definição estiver ativada, o membro de domínio não tentará alterar a palavra-passe de conta de computador. Se esta definição estiver desativada, o membro de domínio tentará alterar a palavra-passe de conta de computador, conforme especificado pela definição para Membro de Domínio: Antiguidade máxima para palavra-passe de conta de computador, o que, por predefinição, é a cada 30 dias. Predefinição: Desativada. Notas Esta definição de segurança não deve ser ativada. As palavras-passe de conta de computador são utilizadas para estabelecer comunicações por canais seguros entre membros e controladores de domínio e, dentro do domínio, entre os próprios controladores de domínio. Uma vez estabelecido, o canal seguro é utilizado para transmitir informações sensíveis necessárias para tomar decisões de autenticação e autorização. Esta definição não deve ser utilizada numa tentativa de suporte a cenários de arranque duplo que utilizem a mesma conta de utilizador. Se pretender um arranque duplo para duas instalações que tenham aderido ao mesmo domínio, dê às duas instalações nomes de computador diferentes. |
Domain member: Disable machine account password changes
Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days. Default: Disabled. Notes This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions. This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names. |
1985 | Início de sessão interativo: não apresentar o último utilizador
Esta definição de segurança determina se o ecrã de início de sessão do Windows apresenta o nome de utilizador da última pessoa a iniciar sessão neste PC. Se esta política estiver ativada, o nome de utilizador não é apresentado. Se esta política estiver desativada, o nome de utilizador é apresentado. Predefinição: desativada. |
Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
1986 | Início de sessão interativo: Não necessita de CTRL+ALT+DEL
Esta definição de segurança determina se é necessário premir CTRL+ALT+DEL antes de um utilizador poder iniciar sessão. Se esta política estiver ativada num computador, o utilizador não terá de premir CTRL+ALT+DEL para iniciar sessão. O facto de não ser necessário premir CTRL+ALT+DEL deixa os utilizadores suscetíveis a ataques que tentem intercetar as palavras-passe de utilizador. Exigir CTRL+ALT+DEL antes de os utilizadores iniciarem sessão garante que os utilizadores estão a comunicar através de um caminho fidedigno quando introduzem as palavras-passe. Se esta política estiver desativada, todos os utilizadores terão de premir CTRL+ALT+DEL antes de iniciarem sessão no Windows. Predefinição em computadores de domínio: Ativado: Windows 8, no mínimo/Desativado: Windows 7 ou anterior. Predefinição em computadores autónomos: Ativado. |
Interactive logon: Do not require CTRL+ALT+DEL
This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on. If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords. If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows. Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier. Default on stand-alone computers: Enabled. |
1987 | Início de sessão interativo: texto da mensagem para utilizadores a tentar iniciar sessão
Esta definição de segurança especifica uma mensagem de texto apresentada a utilizadores aquando do início de sessão. Este texto é frequentemente utilizado por motivos legais; por exemplo, para avisar os utilizadores sobre as ramificações da utilização incorreta de informações da empresa, ou para os avisar de que as respetivas ações poderão ser auditadas. Predefinição: sem mensagem. |
Interactive logon: Message text for users attempting to log on
This security setting specifies a text message that is displayed to users when they log on. This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited. Default: No message. |
1988 | Início de sessão interativo: título da mensagem para utilizadores a tentar iniciar sessão
Esta definição de segurança permite especificar um título a ser apresentado na barra de título da janela que contém o início de sessão interativo: texto de mensagens para utilizadores que tentem iniciar sessão. Predefinição: sem mensagem. |
Interactive logon: Message title for users attempting to log on
This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on. Default: No message. |
1989 | Início de sessão interativo: Número de inícios de sessão anteriores a colocar em cache (caso o controlador de domínio não esteja disponível)
As informações de início de sessão de cada utilizador exclusivo são colocadas em cache localmente, para que, caso um controlador de domínio não esteja disponível durante tentativas de início de sessão subsequentes, os utilizadores consigam iniciar sessão. As informações de início de sessão em cache são armazenadas a partir da sessão de início de sessão anterior. Se um controlador de domínio não estiver disponível e as informações de início de sessão de um utilizador não estiverem na cache, a mensagem seguinte é apresentada ao utilizador: Não existem atualmente servidores de início de sessão disponíveis para processarem o pedido de início de sessão. Nesta definição de política, um valor de 0 desativa a colocação em cache dos inícios de sessão. Qualquer valor acima de 50 só coloca em cache 50 tentativas de início de sessão. O Windows suporta um máximo de 50 entradas na cache e o número de entradas consumidas por utilizador depende da credencial. Por exemplo, é possível colocar em cache um máximo de 50 palavras-passe de contas de utilizador exclusivas num sistema Windows, mas só é possível colocar em cache 25 contas de utilizador com smart card porque são armazenadas as informações de palavra-passe e do smart card. Quando um utilizador que tenha informações de início de sessão colocadas em cache iniciar sessão novamente, as informações individuais do utilizador colocadas em cache são substituídas. Predefinição: Windows Server 2008: 25 Todas as Outras Versões: 10 |
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message: There are currently no logon servers available to service the logon request. In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced. Default: Windows Server 2008: 25 All Other Versions: 10 |
1990 | Início de sessão interativo: pedir ao utilizador para alterar a palavra-passe antes de expirar
Determina com quanto tempo de avanço (em dias) os utilizadores são avisados de que as respetivas palavras-passe estão prestes a expirar. Com este aviso antecipado, o utilizador tem tempo para criar uma palavra-passe suficientemente forte. Predefinição: 5 dias. |
Interactive logon: Prompt user to change password before expiration
Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong. Default: 5 days. |
1991 | Início de sessão interativo: requerer autenticação de controladores de domínio para desbloquear
É necessário fornecer informações de início de sessão para desbloquear um computador bloqueado. No caso de contas de domínio, esta definição de segurança determina se um controlador de domínio tem de ser contactado para desbloquear um computador. Se esta definição estiver desativada, um utilizador poderá desbloquear o computador utilizando credenciais em cache. Se esta definição estiver ativada, um controlador de domínio terá de autenticar a conta de domínio que está a ser utilizada para desbloquear o computador. Predefinição: Desativado. Importante Esta definição aplica-se a computadores com o Windows 2000, mas não está disponível através das ferramentas do Gestor de Configuração da Segurança nestes computadores. |
Interactive logon: Require Domain Controller authentication to unlock
Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer. Default: Disabled. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1992 | Início de sessão interativo: requerer Windows Hello para Empresas ou um smart card
Esta definição de segurança requer que os utilizadores iniciem sessão no dispositivo utilizando o Windows Hello para Empresas ou um smart card. As opções são: Ativado: os utilizadores apenas podem iniciar sessão no dispositivo utilizando o Windows Hello para Empresas ou um smart card. Desativado ou não configurado: os utilizadores podem iniciar sessão no dispositivo utilizando qualquer método. Importante Esta definição aplica-se a qualquer computador com o Windows 2000 através de alterações no registo, mas a configuração de segurança não é visível através do conjunto de ferramentas Gestor de Configuração de Segurança. Requerer o Windows Hello para Empresas para o início de sessão não é suportado no Windows 10 v1607 ou anteriores. |
Interactive logon: Require Windows Hello for Business or smart card
This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card. The options are: Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card. Disabled or not configured: Users can sign-in to the device using any method. Important This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set. Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier. |
1993 | Início de sessão interativo: comportamento de remoção de smart card
Esta definição de segurança determina o que acontece quando o smart card de um utilizador com sessão iniciada é retirado do leitor de Smart Card. As opções são: Nenhuma Ação Bloquear Estação de Trabalho Forçar Terminar a Sessão Desligar se for uma sessão de Serviços de Ambiente de Trabalho Remoto Se clicar em Bloquear Estação de Trabalho na caixa de diálogo Propriedades desta política, a estação de trabalho será bloqueada quando o smart card for removido, permitindo assim que os utilizadores saiam da área, levem consigo o smart card deles e mantenham ainda uma sessão protegida. Se clicar em Forçar Terminar a Sessão na caixa de diálogo Propriedades desta política, o utilizador terá a sessão terminada automaticamente quando o smart card for removido. Se clicar em Desligar se for uma sessão de Serviços de Ambiente de Trabalho Remoto, a remoção do smart card desliga a sessão sem terminar a sessão do utilizador. Isto permite que o utilizador insira o smart card e retome a sessão mais tarde, ou noutro computador equipado com leitor de Smart Card, sem ter de voltar a iniciar sessão. Se a sessão for local, esta política funcionará de forma idêntica a Bloquear Estação de Trabalho. Nota: os Serviços de Ambiente de Trabalho Remoto denominavam-se Serviços de Terminal em versões anteriores do Windows Server. Predefinição: esta política não está definida, o que significa que o sistema a trata como Nenhuma Ação. No Windows Vista e superior: para que esta definição funcione, o serviço Política de Remoção de Smart Card tem de ser iniciado previamente. |
Interactive logon: Smart card removal behavior
This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader. The options are: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed. If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default: This policy is not defined, which means that the system treats it as No action. On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started. |
1994 | Cliente de rede Microsoft: Assina comunicações digitalmente (sempre)
Esta definição de segurança determina se a assinatura de pacotes SMB é exigida pelo componente cliente SMB. O protocolo do bloco de mensagem de servidor (SMB) fornece a base para a partilha de impressões e de ficheiros da Microsoft e muitas outras operações de rede, como a administração remota do Windows. Para evitar ataques man-in-the-middle que modifiquem pacotes SMB em trânsito, o protocolo SMB suporta a assinatura digital de pacotes SMB. Esta definição de política determina se a assinatura de pacotes SMB deve ser negociada antes de ser permitida comunicação adicional com um servidor SMB. Se esta definição estiver ativada, o cliente de rede Microsoft não comunicará com um cliente de rede Microsoft exceto se esse servidor concordar em executar a assinatura de pacotes SMB. Se esta política estiver desativada, a assinatura de pacotes SMB é negociada entre o cliente e servidor. Predefinição: Desativada. Importante Para esta política entrar em vigor em computadores com o Windows 2000, a assinatura de pacotes no lado do cliente também deve ser ativada. Para ativar a assinatura de pacotes SMB no cliente, defina o cliente de rede Microsoft: Assina comunicações digitalmente (se o servidor concordar). Notas Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. No Windows 2000 e superior, a ativação ou a exigência de assinatura de pacotes para componentes SMB do cliente e do servidor é controlada pelas seguintes quatro definições de política: Cliente de rede Microsoft: Assina comunicações digitalmente (sempre) - Controla se o componente SMB do lado do cliente requer a assinatura de pacotes ou não. Cliente de rede Microsoft: Assina comunicações digitalmente (se o servidor concordar) - Controla se o componente SMB do lado do cliente tem a assinatura de pacotes ativada. Servidor de rede Microsoft: Assina comunicações digitalmente (sempre) - Controla se o componente do lado do servidor SMB requer assinatura de pacotes ou não. Servidor de rede Microsoft: Assina comunicações digitalmente (se o cliente concordar) - Controla se o componente SMB do lado do servidor tem a assinatura de pacotes ativada ou não. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operativo, dos tamanhos dos ficheiros, das capacidades de descarregamento do processador e do comportamento da E/S da aplicação. Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB client component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted. If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled. Important For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees). Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1995 | Cliente de rede Microsoft: Assina comunicações digitalmente (se o servidor concordar)
Esta definição de segurança determina se o cliente SMB tentará negociar a assinatura de pacotes SMB. O protocolo do bloco de mensagem de servidor (SMB) fornece a base para a partilha de impressões e de ficheiros da Microsoft e muitas outras operações de rede, como a administração remota do Windows. Para evitar ataques man-in-the-middle que modifiquem pacotes SMB em trânsito, o protocolo SMB suporta a assinatura digital de pacotes SMB. Esta definição de política determina se o componente cliente SMB tentará negociar a assinatura quando se liga a um servidor SMB. Se esta definição estiver ativada, o cliente de rede Microsoft pedirá ao servidor para executar pacotes SMB na configuração da sessão. Se a assinatura de pacotes tiver sido ativada no servidor, a assinatura de pacotes será negociada. Se esta política estiver desativada, o cliente SMB nunca negociará a assinatura de pacotes SMB. Predefinição: Ativada. Notas Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. No Windows 2000 e posteriores, a ativação ou a exigência de assinatura de pacotes para componentes SMB do cliente e do servidor é controlada pelas seguintes quatro definições de política: Cliente de rede Microsoft: Assina comunicações digitalmente (sempre) - Controla se o componente SMB do lado do cliente requer a assinatura de pacotes ou não. Cliente de rede Microsoft: Assina comunicações digitalmente (se o servidor concordar) - Controla se o componente SMB do lado do cliente tem a assinatura de pacotes ativada. Servidor de rede Microsoft: Assina comunicações digitalmente (sempre) - Controla se o componente do lado do servidor SMB requer assinatura de pacotes ou não. Servidor de rede Microsoft: Assina comunicações digitalmente (se o cliente concordar) - Controla se o componente SMB do lado do servidor tem a assinatura de pacotes ativada ou não. Se a assinatura SDM estiver ativada do lado do cliente e do servidor e o cliente estabelecer uma ligação SMB 1.0 ao servidor, será tentada a assinatura SMB. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operativo, dos tamanhos dos ficheiros, das capacidades de descarregamento do processador e do comportamento da E/S da aplicação. Esta definição apenas se aplica a ligações SMB 1.0. Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (if server agrees)
This security setting determines whether the SMB client attempts to negotiate SMB packet signing. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server. If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1996 | Cliente de rede da Microsoft: enviar palavra-passe não encriptada para ligar a servidores SMB de terceiros
Se esta definição de segurança estiver ativada, o redirector SMB (Server Message Block) terá permissão para enviar palavras-passe em texto simples para servidores SMB não-Microsoft que não suportem a encriptação de palavra-passe durante a autenticação. O envio de palavras-passe não encriptadas constitui um risco de segurança. Predefinição: Desativado. |
Microsoft network client: Send unencrypted password to connect to third-party SMB servers
If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication. Sending unencrypted passwords is a security risk. Default: Disabled. |
1997 | Servidor de rede da Microsoft: período de tempo em inatividade necessário antes de suspender a sessão
Esta definição de segurança determina a quantidade de tempo de inatividade contínua que terá de decorrer numa sessão SMB (Server Message Block) antes de a sessão ser suspensa devido a inatividade. Os administradores poderão utilizar esta política para controlar a altura em que um computador deverá suspender uma sessão SMB inativa. Se a atividade de cliente for retomada, a sessão será restabelecida automaticamente. Para esta definição de política, um valor de 0 significa desligar uma sessão inativa tão rapidamente quanto razoavelmente possível. O valor máximo é 99999, o que representa 208 dias; na prática, este valor desativa a política. Predefinição: esta política não está definida, o que significa que o sistema a encara como 15 minutos para servidores e como não definida para estações de trabalho. |
Microsoft network server: Amount of idle time required before suspending a session
This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity. Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished. For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy. Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations. |
1998 | Servidor de rede Microsoft: Assina comunicações digitalmente (sempre)
Esta definição de segurança determina se a assinatura de pacotes é exigida pelo componente de servidor SMB. O protocolo do bloco de mensagem de servidor (SMB) fornece a base para a partilha de impressões e de ficheiros da Microsoft e muitas outras operações de rede, como a administração remota do Windows. Para evitar ataques man-in-the-middle que modifiquem pacotes SMB em trânsito, o protocolo SMB suporta a assinatura digital de pacotes SMB. Esta definição de política determina se o servidor SMB deve ser negociado antes de ser permitida comunicação adicional com um cliente SMB. Se esta definição estiver ativada, o servidor de rede Microsoft não comunicará com um cliente de rede Microsoft, exceto se esse cliente concordar em executar a assinatura de pacotes SMB. Se esta definição estiver desativada, a assinatura de pacotes SMB é negociada entre o cliente e o servidor. Predefinição: Desativada para servidores membro. Ativada para controladores de domínio. Notas Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. No Windows 2000 e posteriores, a ativação ou a exigência de assinatura de pacotes para componentes SMB do cliente e do servidor é controlada pelas seguintes quatro definições de política: Cliente de rede Microsoft: Assina comunicações digitalmente (sempre) - Controla se o componente SMB do lado do cliente requer a assinatura de pacotes ou não. Cliente de rede Microsoft: Assina comunicações digitalmente (se o servidor concordar) - Controla se o componente SMB do lado do cliente tem a assinatura de pacotes ativada. Servidor de rede Microsoft: Assina comunicações digitalmente (sempre) - Controla se o componente do lado do servidor SMB requer assinatura de pacotes ou não. Servidor de rede Microsoft: Assina comunicações digitalmente (se o cliente concordar) - Controla se o componente SMB do lado do servidor tem a assinatura de pacotes ativada ou não. Da mesma forma, se a assinatura SMB do lado do cliente for necessária, esse cliente não poderá estabelecer uma sessão com servidores que não tenham a assinatura de pacotes ativada. Por predefinição, a assinatura SMB do lado do servidor está ativada apenas em controladores de domínio. Se a assinatura SMB do lado do servidor estiver ativada, a assinatura de pacotes SMB será negociada com clientes que tenham a assinatura SMB do lado do cliente ativada. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operativo, dos tamanhos dos ficheiros, das capacidades de descarregamento do processador e do comportamento da E/S da aplicação. Importante Para esta política entrar em vigor em computadores com o Windows 2000, a assinatura de pacotes no lado do servidor também deve ser ativada. Para ativar a assinatura de pacotes SMB no servidor, defina a seguinte política: Servidor de rede Microsoft: Assina comunicações digitalmente (se o servidor concordar) Para os servidores Windows 2000 negociarem a assinatura com clientes Windows NT 4.0, o seguinte valor do registo deve ser definido como 1 no servidor que executa o Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB server component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted. If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled for member servers. Enabled for domain controllers. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers. If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. Important For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1999 | Servidor de rede Microsoft: Assina comunicações digitalmente (se o cliente concordar)
Esta definição de segurança determina se o servidor SMB negociará a assinatura de pacotes SMB com clientes que a solicitem. O protocolo do bloco de mensagem de servidor (SMB) fornece a base para a partilha de impressões e de ficheiros da Microsoft e muitas outras operações de rede, como a administração remota do Windows. Para evitar ataques man-in-the-middle que modifiquem pacotes SMB em trânsito, o protocolo SMB suporta a assinatura digital de pacotes SMB. Esta definição de política determina se o servidor SMB negociará a assinatura de pacotes SMB quando um cliente SMB o solicitar. Se esta definição estiver ativada, o servidor de rede Microsoft negociará a assinatura de pacotes SMB conforme solicitado pelo cliente. Ou seja, se a assinatura de pacotes estiver ativada no cliente, a assinatura de pacotes será negociada. Se esta política estiver desativada, o cliente SMB nunca negociará a assinatura de pacotes SMB. Predefinição: Ativada apenas em controladores de domínio. Importante Para os servidores Windows 2000 negociarem a assinatura com clientes Windows NT 4.0, o seguinte valor do registo deve ser definido como 1 no servidor que executa o Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notas Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. No Windows 2000 e sistemas operativos posteriores, a ativação ou a exigência de assinatura de pacotes para componentes SMB do cliente e do servidor é controlada pelas seguintes quatro definições de política: Cliente de rede Microsoft: Assina comunicações digitalmente (sempre) - Controla se o componente SMB do lado do cliente requer a assinatura de pacotes ou não. Cliente de rede Microsoft: Assina comunicações digitalmente (se o servidor concordar) - Controla se o componente SMB do lado do cliente tem a assinatura de pacotes ativada. Servidor de rede Microsoft: Assina comunicações digitalmente (sempre) - Controla se o componente do lado do servidor SMB requer assinatura de pacotes ou não. Servidor de rede Microsoft: Assina comunicações digitalmente (se o cliente concordar) - Controla se o componente SMB do lado do servidor tem a assinatura de pacotes ativada ou não. Se a assinatura SDM estiver ativada do lado do cliente e do servidor e o cliente estabelecer uma ligação SMB 1.0 ao servidor, será tentada a assinatura SMB. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operativo, dos tamanhos dos ficheiros, das capacidades de descarregamento do processador e do comportamento da E/S da aplicação. Esta definição apenas se aplica a ligações SMB 1.0. Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (if client agrees)
This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it. If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled on domain controllers only. Important For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
2000 | Servidor de rede da Microsoft: Desligar clientes quando expirar o horário de início de sessão
Esta definição de segurança determina se os utilizadores que estão ligados ao computador local fora do horário de início de sessão válidas da respetiva conta de utilizador deverão ser desligados. Esta definição afeta o componente SMB (Bloco de Mensagem de Servidor). Quando esta política está ativada, as sessões de cliente com o Serviço SMB são desligadas forçosamente quando o horário de início de sessão do cliente expirar. Se esta política estiver desativada, uma sessão de cliente estabelecida poderá ser mantida após o horário de início de sessão do cliente ter expirado. Predefinição no Windows Vista e acima: Ativado. Predefinição no Windows XP: Desativado. |
Microsoft network server: Disconnect clients when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default on Windows Vista and above: Enabled. Default on Windows XP: Disabled |
2001 | Acesso à rede: permitir tradução anónima de SID/nome
Esta definição de política determina se um utilizador anónimo pode pedir atributos de identificador de segurança (SID) para outro utilizador. Se esta política estiver ativada, um utilizador anónimo poderá pedir o atributo de SID de outro utilizador. Um utilizador anónimo que saiba o SID de um administrador poderá contactar um computador que tenha esta política ativada e utilizar o SID para obter o nome do administrador. Esta definição afeta a tradução de SID em nome e a tradução de nome em SID. Se esta definição de política estiver desativada, um utilizador anónimo não poderá pedir um atributo de SID para outro utilizador. Predefinição em estações de trabalho e servidores membros: Desativado. Predefinição em controladores de domínio a executar o Windows Server 2008 ou superior: Desativado. Predefinição em controladores de domínio a executar o Windows Server 2003 R2 ou inferior: Ativado. |
Network access: Allow anonymous SID/name translation
This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user. If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation. If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user. Default on workstations and member servers: Disabled. Default on domain controllers running Windows Server 2008 or later: Disabled. Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled. |
2002 | Acesso à rede: não permitir a enumeração anónima de contas SAM
Esta definição de segurança determina quais as permissões adicionais que serão concedidas a ligações anónimas ao computador. O Windows permite que utilizadores anónimos efetuem determinadas atividades, tais como enumerar os nomes de contas de domínio e partilhas de rede. Tal é conveniente, por exemplo, quando um administrador pretende conceder acesso a utilizadores num domínio fidedigno que não mantenha uma confiança recíproca. Esta opção de segurança permite colocar restrições adicionais às ligações anónimas, da seguinte forma: Ativado: não permitir enumeração de contas SAM. Esta opção substitui Todos por Utilizadores Autenticados nas permissões de segurança de recursos. Desativado: sem restrições adicionais. Depender de permissões predefinidas. Predefinição em estações de trabalho: Ativado. Predefinição em servidores: Ativado. Importante Esta política não tem impacto sobre controladores de domínio. |
Network access: Do not allow anonymous enumeration of SAM accounts
This security setting determines what additional permissions will be granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. This security option allows additional restrictions to be placed on anonymous connections as follows: Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources. Disabled: No additional restrictions. Rely on default permissions. Default on workstations: Enabled. Default on server:Enabled. Important This policy has no impact on domain controllers. |
2003 | Acesso à rede: não permitir enumerações anónimas de partilhas e contas SAM
Esta definição de segurança determina se são permitidas enumerações anónimas de partilhas e contas SAM. O Windows permite que utilizadores anónimos efetuem determinadas atividades, tais como enumerar os nomes de contas de domínio e partilhas de rede. Tal é conveniente, por exemplo, quando um administrador pretende conceder acesso a utilizadores num domínio fidedigno que não mantenha uma confiança recíproca. Se não pretender permitir enumerações anónimas de partilhas e contas SAM, ative esta política. Predefinição: Desativado. |
Network access: Do not allow anonymous enumeration of SAM accounts and shares
This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy. Default: Disabled. |
2004 | Acesso à rede: não permitir o armazenamento de palavras-passe e credenciais para autenticação de rede
Esta definição de segurança determina se o Gestor de Credenciais guarda palavras-passe e credenciais para utilização posterior quando é obtida autenticação de domínio. Se esta definição for ativada, o Gestor de Credenciais não armazena palavras-passe e credenciais no computador. Se esta definição de política for desativada ou não for configurada, o Gestor de Credenciais armazena palavras-passe e credenciais neste computador para utilização posterior para autenticação de domínio. Nota: quando esta definição de segurança é configurada, as alterações só são aplicadas depois de reiniciado o Windows. Predefinição: Desativado. |
Network access: Do not allow storage of passwords and credentials for network authentication
This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication. If you enable this setting, Credential Manager does not store passwords and credentials on the computer. If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
2005 | Acesso à rede: permitir que as permissões Todos sejam aplicadas a utilizadores anónimos
Esta definição de segurança determina quais as permissões adicionais concedidas a ligações anónimas ao computador. O Windows permite que utilizadores anónimos efetuem determinadas atividades, tais como enumerar os nomes de contas de domínio e partilhas de rede. Tal é conveniente, por exemplo, quando um administrador pretende conceder acesso a utilizadores num domínio fidedigno que não mantenha uma confiança recíproca. Por predefinição, o identificador de segurança (SID) Todos é removido do token criado para ligações anónimas. Por conseguinte, as permissões concedidas ao grupo Todos não são aplicáveis a utilizadores anónimos. Se esta opção estiver ativada, os utilizadores anónimos só poderão aceder aos recursos para os quais lhes foi concedida permissão explícita. Se esta política estiver ativada, o SID Todos será adicionado ao token criado para ligações anónimas. Neste caso, os utilizadores anónimos irão conseguir aceder a qualquer recursos para o qual o grupo Todos tenha permissão. Predefinição: Desativado. |
Network access: Let Everyone permissions apply to anonymous users
This security setting determines what additional permissions are granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission. If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions. Default: Disabled. |
2006 | Acesso à rede: pipes nomeados que podem ser acedidos anonimamente
Esta definição de segurança determina quais as sessões de comunicação (pipes) que terão atributos e permissões que permitem acesso anónimo. Predefinição: Nenhum. |
Network access: Named pipes that can be accessed anonymously
This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access. Default: None. |
2007 | Acesso à rede: caminhos do registo acessíveis remotamente
Esta definição de segurança determina quais as chaves do registo que podem ser acedidas a partir da rede, independentemente dos utilizadores ou grupos listados na ACL (Lista de Controlo de Acesso) da chave de registo winreg. Predefinição: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Atenção A edição incorreta do registo poderá danificar gravemente o sistema. Antes de efetuar alterações ao registo, deverá criar uma cópia de segurança de todos os dados importantes do computador. Nota: esta definição de segurança não está disponível em versões anteriores do Windows. A definição de segurança que aparece em computadores a executar o Windows XP, "Acesso à rede: caminhos do registo acessíveis remotamente" corresponde à opção de segurança "Acesso à rede: caminhos e subcaminhos do registo acessíveis remotamente" em membros da família Windows Server 2003. Para mais informações, consulte "Acesso à rede: caminhos e subcaminhos do registo acessíveis remotamente". Predefinição: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
Network access: Remotely accessible registry paths
This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
2008 | Acesso à rede: caminhos e subcaminhos do registo acessíveis remotamente
esta definição de segurança determina que caminhos e subcaminhos de registo podem ser acedidos a partir da rede, independentemente dos utilizadores ou grupos listados na ACL (Lista de Controlo de Acesso) da chave de registo winreg. Predefinição: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Atenção A edição incorreta do registo poderá danificar gravemente o sistema. Antes de efetuar alterações ao registo, deverá fazer uma cópia de segurança de todos os dados importantes no computador. Nota: No Windows XP, esta definição de segurança chamava-se "Acesso à rede: caminhos do registo acessíveis remotamente". Se configurar esta definição num membro da família Windows Server 2003 que esteja associado a um domínio, esta definição será herdada por computadores a executar o Windows XP, mas irá aparecer como a opção de segurança "Acesso à rede: caminhos do registo acessíveis remotamente". Para obter mais informações, consulte Acesso à rede: caminhos e subcaminhos do registo acessíveis remotamente. |
Network access: Remotely accessible registry paths and subpaths
This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths. |
2009 | Acesso à rede: restringir o acesso anónimo a partilhas e pipes nomeados
Quando ativada, esta definição de segurança restringe o acesso anónimo a partilhas e pipes de acordo com as definições para: Acesso à rede: pipes nomeados que podem ser acedidos anonimamente Acesso à rede: partilhas que podem ser acedidas anonimamente Predefinição: Ativado. |
Network access: Restrict anonymous access to Named Pipes and Shares
When enabled, this security setting restricts anonymous access to shares and pipes to the settings for: Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously Default: Enabled. |
2010 | Acesso à rede: partilhas que podem ser acedidas anonimamente
Esta definição de segurança determina quais as partilhas de rede que podem ser acedidas por utilizadores anónimos. Predefinição: Nenhum. |
Network access: Shares that can be accessed anonymously
This security setting determines which network shares can accessed by anonymous users. Default: None specified. |
2011 | Acesso à rede: modelo de partilha e segurança para contas locais
Esta definição de segurança determina a forma de autenticação de inícios de sessão de rede que utilizam contas locais. Se esta definição estiver configurada como Clássico, os inícios de sessão de rede que utilizem credenciais de contas locais são autenticados através dessas credenciais. O modelo Clássico permite um bom controlo sobre o acesso a recursos. Utilizando o modelo Clássico, poderá conceder diferentes tipos de acesso a diferentes utilizadores para o mesmo recurso. Se esta definição estiver configurada como Apenas convidado, os inícios de sessão de rede que utilizem contas locais são mapeados automaticamente para a conta Convidado. Utilizando o modelo Apenas convidado, todos os utilizadores poderão ser tratados de forma igual. Todos os utilizadores são autenticados como Convidado e todos recebem o mesmo nível de acesso a um determinado recurso, o qual poderá ser Só de Leitura ou Modificar. Predefinição em computadores de domínio: Clássico. Predefinição em computadores autónomos: Apenas convidado Importante Com o modelo Apenas convidado, qualquer utilizador que consiga aceder ao computador através da rede (incluindo utilizadores de Internet anónimos) poderá aceder aos recursos partilhados. Terá de utilizar a Firewall do Windows ou outro dispositivo semelhante para proteger o computador contra acesso não autorizado. Da mesma forma, com o modelo Clássico, as contas locais têm de estar protegidas por palavra-passe; caso contrário, essas contas de utilizador poderão ser utilizadas por qualquer pessoa para aceder aos recursos de sistema partilhados. Nota: Esta definição não afeta inícios de sessão interativos efetuados remotamente utilizando serviços como Telnet ou Serviços de Ambiente de Trabalho Remoto Os Serviços de Ambiente de Trabalho Remoto denominavam-se Serviços de Terminal em versões anteriores do Windows Server. Esta política não tem nenhum impacto em computadores com o Windows 2000. Quando não é efetuada a adesão do computador a um domínio, esta definição também modifica os separadores Partilha e Segurança no Explorador de Ficheiros para corresponderem ao modelo de partilha e segurança que está a ser utilizado. |
Network access: Sharing and security model for local accounts
This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource. If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify. Default on domain computers: Classic. Default on stand-alone computers: Guest only Important With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources. Note: This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services Remote Desktop Services was called Terminal Services in previous versions of Windows Server. This policy will have no impact on computers running Windows 2000. When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used. |
2012 | Segurança de rede: não armazenar o valor do hash do LAN Manager na alteração seguinte da palavra-passe
Esta definição de segurança determina se, na próxima alteração de palavra-passe, o valor do hash do LAN Manager (LM) relativo à nova palavra-passe é armazenado. O hash do LM é relativamente fraco e suscetível a ataques, quando comparado com o hash do Windows NT, criptograficamente mais forte. Visto que o hash do LM é armazenado no computador local na base de dados de segurança, as palavras-passe poderão ficar comprometidas se a base de dados de segurança for atacada. Predefinição no Windows Vista e superior: Ativado. Predefinição no Windows XP: Desativado. Importante O Windows 2000 Service Pack 2 (SP2) e superior proporciona compatibilidade com autenticação de versões anteriores do Windows, tal como o Microsoft Windows NT 4.0. Esta definição poderá afetar a capacidade de comunicação de computadores que estejam a executar o Windows 2000 Server, o Windows 2000 Professional, o Windows XP e a família Windows Server 2003 com computadores que estejam a executar o Windows 95 e o Windows 98. |
Network security: Do not store LAN Manager hash value on next password change
This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked. Default on Windows Vista and above: Enabled Default on Windows XP: Disabled. Important Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0. This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98. |
2013 | Segurança de rede: forçar fim de sessão depois de expirar o horário de início de sessão
Esta definição de segurança determina se os utilizadores que estão ligados ao computador local fora das horas em sessão válidas da respetiva conta de utilizador deverão ser desligados. Esta definição afeta o componente SMB (Server Message Block). Quando esta política está ativada, as sessões de cliente com o servidor SMB são forçosamente desligadas quando o horário de início de sessão do cliente expirr. Se esta política estiver desativada, uma sessão de cliente estabelecida poderá ser mantida após o horário de início de sessão do cliente ter expirado. Predefinição: Ativado. Nota: esta definição de segurança comporta-se como uma política de conta. Para contas de domínio, apenas poderá existir uma política de conta. A política de conta terá de ser definida na Política Predefinida de Domínio, sendo aplicada pelos controladores de domínio que constituem o domínio. Um controlador de domínio obtém sempre a política de conta a partir do objeto de Política de Grupo da Política Predefinida de Domínio, mesmo que exista uma política de conta diferente aplicada à unidade organizacional que contém o controlador de domínio. Por predefinição, as estações de trabalho e servidores associados a um domínio (por exemplo, computadores membros) recebem também a mesma política de conta para as respetivas contas locais. Contudo, as políticas de conta local para computadores membros poderão ser diferentes da política de conta do domínio definindo uma política de conta para a unidade organizacional que contém os computadores membros. Não são aplicadas definições Kerberos a computadores membros. |
Network security: Force logoff when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default: Enabled. Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers. |
2014 | Segurança de rede: nível de autenticação LAN Manager
Esta definição de segurança determina qual o protocolo de autenticação challenge/response utilizado para inícios de sessão de rede. Esta escolha afeta o nível de protocolo de autenticação utilizado por clientes, o nível de segurança de sessão negociado e o nível de autenticação aceite por servidores, conforme segue: Enviar respostas de LM e NTLM: os clientes utilizam autenticação LM e NTLM e nunca utilizam segurança de sessão NTLMv2; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar LM e NTLM - usar segurança de sessão NTLMv2 se negociada: os clientes utilizam autenticação LM e NTLM e utilizam segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar apenas resposta de NTLM: os clientes utilizam apenas autenticação NTLM e utilizam segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar apenas resposta de NTLMv2: os clientes utilizam apenas autenticação NTLMv2 e utilizam segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar apenas resposta NTLMv2\Recusar LM: os clientes utilizam apenas autenticação NTLMv2 e utilizam segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio recusam LM (aceitam apenas autenticação NTLM e NTLMv2). Enviar apenas resposta NTLMv2\Recusar LM e NTLM: os clientes utilizam apenas autenticação NTLMv2 e utilizam segurança de sessão NTLMv2 se o servidor a suportar; os controladores de domínio recusam LM e NTLM (aceitam apenas autenticação NTLMv2). Importante Esta definição pode afetar a capacidade de computadores com Windows 2000 Server, Windows 2000 Professional, Windows XP Professional e a família Windows Server 2003 comunicarem com computadores a executar o Windows NT 4.0 e anterior através da rede. Por exemplo, na altura em que este texto foi escrito, os computadores a executar o Windows NT 4.0 SP4 e anterior não suportavam NTLMv2. Os computadores a executar o Windows 95 e Windows 98 não suportavam NTLM. Predefinição: Windows 2000 e Windows XP: enviar respostas de LM e NTLM Windows Server 2003: enviar apenas resposta de NTLM Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2: enviar apenas resposta NTLMv2 |
Network security: LAN Manager authentication level
This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows: Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication). Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication). Important This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM. Default: Windows 2000 and windows XP: send LM & NTLM responses Windows Server 2003: Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only |
2015 | Segurança de rede: requisitos de assinatura do cliente LDAP
Esta definição de segurança determina o nível de assinatura de dados pedida em nome de clientes que emitem pedidos LDAP BIND, como se segue: Nenhum: o pedido LDAP BIND é emitido com as opções especificadas pelo autor da chamada. Negociar assinatura: se TLS/SSL (Transport Layer Security/Secure Sockets Layer) não tiver sido iniciado, o pedido LDAP BIND será iniciado com a opção de assinatura de dados LDAP ativada, para além das opções especificadas pelo autor da chamada. Se TLS/SSL tiver sido iniciado, o pedido LDAP BIND será iniciado com as opções especificadas pelo autor da chamada. Exigir assinatura: é o mesmo que "Negociar assinatura". Contudo, se a resposta saslBindInProgress intermédia do servidor LDAP não indicar que é necessária a assinatura de tráfego LDAP, o autor da chamada será informado que o pedido de comando LDAP BIND falhou. Atenção Se definir o servidor como "Exigir assinatura", terá também de definir o cliente. A não definição do cliente resulta numa perda de ligação ao servidor. Nota: esta definição não tem impacto sobre ldap_simple_bind nem ldap_simple_bind_s. Nenhum cliente LDAP da Microsoft fornecido com o Windows XP Professional utiliza ldap_simple_bind ou ldap_simple_bind_s para comunicar com o controlador de domínio. Predefinição: Negociar assinatura. |
Network security: LDAP client signing requirements
This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows: None: The LDAP BIND request is issued with the options that are specified by the caller. Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller. Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed. Caution If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server. Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller. Default: Negotiate signing. |
2016 | Segurança de rede: segurança de sessão mínima para clientes baseados em NTLM SSP (incluindo clientes RPC protegidos)
Esta definição de segurança permite que um cliente exija a negociação de encriptação de 128 bits e/ou segurança de sessão NTLMv2. Estes valores dependem do valor de definição de segurança do Nível de Autenticação do LAN Manager. As opções são: Exigir segurança de sessão NTLMv2: a ligação ira falhar se o protocolo NTLMv2 não for negociado. Exigir encriptação de 128 bits: a ligação irá falhar se a encriptação forte (128 bits) não for negociada. Predefinição: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: sem requisitos. Windows 7 e Windows Server 2008 R2: exigir encriptação de 128 bits |
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated. Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2017 | Segurança de rede: segurança de sessão mínima para servidores baseados em NTLM SSP (incluindo servidores RPC protegidos)
Esta definição de segurança permite que um servidor exija a negociação de encriptação de 128 bits e/ou segurança de sessão NTLMv2. Estes valores dependem do valor de definição de segurança do Nível de Autenticação do LAN Manager. As opções são: Exigir segurança de sessão NTLMv2: a ligação ira falhar se a integridade de mensagens não for negociada. Exigir encriptação de 128 bits: a ligação irá falhar se a encriptação forte (128 bits) não for negociada. Predefinição: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: sem requisitos. Windows 7 e Windows Server 2008 R2: exigir encriptação de 128 bits |
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if message integrity is not negotiated. Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2018 | Consola de recuperação: permitir início de sessão administrativo automático
Esta definição de segurança determina se a palavra-passe para a conta de Administrador tem de ser fornecida antes de ser concedido acesso ao sistema. Se esta opção estiver ativada, a Consola de Recuperação não exige uma palavra-passe, iniciando sessão automaticamente no sistema. Predefinição: esta política não está definida e o início de sessão administrativa automático não é permitido. |
Recovery console: Allow automatic administrative logon
This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system. Default: This policy is not defined and automatic administrative logon is not allowed. |
2019 | Consola de recuperação: permitir cópia de disquetes e acesso a todas as unidades e pastas
A ativação desta opção de segurança disponibiliza o comando SET da Consola de Recuperação, o qual permite definir as seguintes variáveis de ambiente da Consola de Recuperação: AllowWildCards: ativar o suporte de carateres universais para alguns comandos (tal como o comando DEL). AllowAllPaths: permitir o acesso a todos os ficheiros e pastas no computador. AllowRemovableMedia: permitir que ficheiros sejam copiados para suportes de dados amovíveis, tal como uma disquete. NoCopyPrompt: não avisar ao substituir um ficheiro existente. Predefinição: esta política não está definida e o comando SET da consola de recuperação não está disponível. |
Recovery console: Allow floppy copy and access to all drives and all folders
Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables: AllowWildCards: Enable wildcard support for some commands (such as the DEL command). AllowAllPaths: Allow access to all files and folders on the computer. AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk. NoCopyPrompt: Do not prompt when overwriting an existing file. Default: This policy is not defined and the recover console SET command is not available. |
2020 | Encerrar: permite que o sistema seja encerrado sem ter de iniciar sessão
Esta definição de segurança determina se um computador pode ser encerrado sem ser necessário iniciar sessão no Windows. Quando esta política está ativada, o comando Encerrar está disponível no ecrã de início de sessão do Windows. Quando esta política está desativada, a opção para encerrar o computador não aparece no ecrã de início de sessão do Windows. Neste caso, os utilizadores terão de conseguir iniciar sessão no computador com êxito e de ter o direito de utilizador para encerrar o sistema antes de poderem encerrar o sistema. Predefinição em estações de trabalho: Ativado. Predefinição em servidores: Desativado. |
Shutdown: Allow system to be shut down without having to log on
This security setting determines whether a computer can be shut down without having to log on to Windows. When this policy is enabled, the Shut Down command is available on the Windows logon screen. When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown. Default on workstations: Enabled. Default on servers: Disabled. |
2021 | Encerrar: limpa o ficheiro de paginação de memória virtual quando o sistema é encerrado
Esta definição de segurança determina se o ficheiro de paginação de memória virtual é limpo quando o sistema é encerrado. O suporte de memória virtual utiliza um ficheiro de paginação de sistema para trocar páginas de memória para o disco quando não são utilizadas. Num sistema em execução, este ficheiro de paginação é aberto em modo exclusivo pelo sistema operativo e está bem protegido. Contudo, os sistemas que estão configurados para permitir o arranque noutros sistemas operativos poderão ter de garantir que o ficheiro de paginação de sistema é completamente limpo quando o sistema é encerrado. Tal assegura que informações importantes da memória de processos que poderiam ir para o ficheiro de paginação não estarão disponíveis para um utilizador não autorizado que consiga aceder diretamente ao ficheiro de paginação. Quando esta política está ativada, o ficheiro de paginação de sistema é limpo aquando de um encerramento correto. Se ativar esta opção de segurança, o ficheiro de hibernação (hiberfil.sys) será também colocado a zeros quando a hibernação for desativada. Predefinição: Desativado. |
Shutdown: Clear virtual memory pagefile
This security setting determines whether the virtual memory pagefile is cleared when the system is shut down. Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile. When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled. Default: Disabled. |
2022 | Criptografia de sistema: para proteção de chave forte para as chaves armazenadas neste computador
Esta definição de segurança determina se as chaves privadas dos utilizadores requerem uma palavra-passe para serem utilizadas. As opções são: A interação do utilizador não é necessária quando as novas chaves são utilizadas e armazenadas O utilizador é avisado quando uma chave é utilizada pela primeira vez O utilizador tem de introduzir uma palavra-passe de cada vez que utilizam uma chave Para mais informações, consulte Infraestrutura de Chave Pública. Predefinição: esta política não está definida. |
System Cryptography: Force strong key protection for user keys stored on the computer
This security setting determines if users' private keys require a password to be used. The options are: User input is not required when new keys are stored and used User is prompted when the key is first used User must enter a password each time they use a key For more information, see Public key infrastructure. Default: This policy is not defined. |
2023 | Criptografia do sistema: utilizar algoritmos criptográficos em conformidade com FIPS 140, incluindo algoritmos de encriptação, algoritmos hash e algoritmos de assinatura
Para o Fornecedor de Serviços de Segurança (SSP) Schannel, esta definição de segurança desativa os protocolos SSL (Secure Sockets Layer) mais fracos, suportando apenas os protocolos TLS (Transport Layer Security) como cliente e como servidor (se aplicável). Se esta definição estiver ativada, o Fornecedor de Segurança TLS/SSL (Transport Layer Security/Secure Sockets Layer) utiliza apenas os algoritmos criptográficos FIPS 140 aprovados: 3DES e AES para encriptação, criptografia de chave pública RSA ou ECC para a troca de chaves TLS e autenticação, e apenas o Algoritmo Hash Seguro (SHA1, SHA256, SHA384 e SHA512) para os requisitos de hash TLS. No caso do Serviço do Sistema de Encriptação de Ficheiros (EFS), suporta os algoritmos de encriptação 3DES (Triple Data Encryption) e AES (Advanced Encryption Standard) para encriptar dados de ficheiro suportados pelo sistema de ficheiros NTFS. Por predefinição, o EFS utiliza o algoritmo AES (Advanced Encryption Standard) com uma chave de 256 bits na família Windows Server 2003 e Windows Vista, e o algoritmo DESX no Windows XP para encriptar dados de ficheiro. Para obter informações sobre o EFS, consulte Sistema de Encriptação de Ficheiros. No caso de Serviços de Ambiente de Trabalho Remoto, suporta apenas o algoritmo de encriptação Triple DES para encriptar comunicações de rede de Serviços de Ambiente de Trabalho Remoto. Nota: os Serviços de Ambiente de Trabalho Remoto denominavam-se Serviços de Terminal em versões anteriores do Windows Server. No caso de BitLocker, esta política tem de ser ativada antes de ser gerada qualquer chave de encriptação. As palavras-passe de recuperação criadas quando esta política está ativada são incompatíveis com BitLocker no Windows 8, Windows Server 2012 e em sistemas operativos anteriores. Caso esta política seja aplicada a computadores com sistemas operativos anteriores ao Windows 8.1 e Windows Server 2012 R2, o BitLocker impedirá a criação ou utilização de palavras-passe de recuperação; devem ser utilizadas antes chaves de recuperação para esses computadores. Predefinição: Desativada. Nota: a norma FIPS (Federal Information Processing Standard) 140 consiste numa implementação de segurança desenvolvida para certificar software criptográfico. O Governo dos E.U.A. exige software validado pela norma FIPS 140, o que também é exigido por outras instituições proeminentes. |
System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms
For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements. For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System. For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead. Default: Disabled. Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions. |
2024 | Objetos de sistema: proprietário predefinido para objetos criados por membros do grupo Administradores
Descrição Esta definição de segurança determina a que principal de segurança (SID) será atribuída a PROPRIEDADE de objetos quando o objeto é criado por um membro do Grupo Administradores. Predefinição: Windows XP: SID do Utilizador Windows 2003: Grupo Administradores |
System objects: Default owner for objects created by members of the Administrators group
Description This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group. Default: Windows XP: User SID Windows 2003 : Administrators Group |
2025 | Objetos de sistema: exigir a não sensibilidade às maiúsculas e minúsculas para subsistemas não Windows
Esta definição de segurança determina se a não sensibilidade às maiúsculas e minúsculas é aplicada em todos os subsistemas. O subsistema Win32 não é sensível às maiúsculas e minúsculas. Contudo, o kernel suporta a sensibilidade às maiúsculas e minúsculas para outros subsistemas, tal como POSIX. Se esta definição estiver ativada, a não sensibilidade às maiúsculas e minúsculas será aplicada para todos os objetos de diretório, ligações simbólicas e objetos de E/S, incluindo objetos de ficheiro. Desativar esta definição não permite que o subsistema Win32 se torne sensível às maiúsculas e minúsculas. Predefinição: Ativado. |
System objects: Require case insensitivity for non-Windows subsystems
This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX. If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive. Default: Enabled. |
2026 | Objetos de sistema: Aumentar as permissões predefinidas de objetos de sistema internos (ex.: hiperligações simbólicas)
Esta definição de segurança determina a força da lista de controlo de acesso discricionário (DACL) predefinida para objetos. O Active Directory mantém uma lista global de recursos de sistema partilhados, tais como nomes de dispositivos DOS, exclusões mútuas e semáforos. Desta forma, é possível localizar e partilhar objetos entre processos. Cada tipo de objeto é criado com uma DACL predefinida que especifica quem pode aceder aos objetos e quais as permissões concedidas. Se esta política estiver ativada, a DACL predefinida será mais forte, permitindo aos utilizadores que não sejam administradores ler objetos partilhados, mas não permitindo a estes utilizadores modificar objetos partilhados que não tenham criado. Predefinição: Ativado. |
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)
This security setting determines the strength of the default discretionary access control list (DACL) for objects. Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted. If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create. Default: Enabled. |
2027 | Definições de sistema: subsistemas opcionais
Esta definição de segurança determina quais os subsistemas que podem ser iniciados de forma opcional para suportar as suas aplicações. Com esta definição de segurança, é possível especificar tantos subsistemas de suporte das aplicações quantos os exigidos pelo ambiente. Predefinição: POSIX. |
System settings: Optional subsystems
This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands. Default: POSIX. |
2028 | Definições de sistema: utilize Regras de Certificados nos Executáveis do Windows para Políticas de Restrição de Software
Esta definição de segurança determina se são processados certificados digitais quando um utilizador ou processo tenta executar software com uma extensão de nome de ficheiro .exe. Estas definições de segurança são utilizadas para ativar ou desativar regras de certificado, um tipo de regra de políticas de restrição de software. Com políticas de restrição de software, é possível criar uma regra de certificado que irá permitir ou impedir a execução de software assinado por Authenticode, com base no certificado digital associado ao software. Para que sejam aplicadas regras de certificado, terá de ativar esta definição de segurança. Quando estão ativadas regras de certificado, as políticas de restrição de software consulta uma lista de revogação de certificado (CRL) para se certificarem de que o certificado e assinatura do software são válidos. Tal poderá degradar o desempenho aquando do arranque de programas assinados. É possível desativar esta funcionalidade. Em Propriedades de Fabricantes Fidedignos, desmarque as caixas de verificação Fabricante e Carimbo de Data/Hora. Para mais informações, consulte as opções de definição de fabricantes fidedignos. Predefinição: Desativado. |
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting. When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options. Default: Disabled. |
2029 | Tamanho máximo do registo da aplicação
Esta definição de segurança especifica o tamanho máximo do registo de eventos de aplicação, o qual tem um máximo teórico de 4 GB. Na prática, o limite é inferior (~300 MB). Notas O tamanho do ficheiro de registo terá de ser um múltiplo de 64 KB. Se introduzir um número que não seja um múltiplo de 64 KB, o Visualizador de Eventos arredondará o tamanho do ficheiro de registo para um múltiplo de 64 KB superior. Esta definição não aparece no Objeto de Política de Computador Local. O tamanho do Registo de Eventos e a moldagem do registo deverão ser definidos para corresponder aos requisitos de negócio e segurança determinados aquando da conceção do plano de segurança empresarial. Considere implementar estas definições de Registo de Eventos ao nível da unidade organizacional, domínio ou local, de forma a tirar partido das definições de Política de Grupo. Predefinição: para a família Windows Server 2003, 16 MB; para o Windows XP Professional Service Pack 1, 8 MB; para o Windows XP Professional, 512 KB. |
Maximum application log size
This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2030 | Tamanho máximo do registo de segurança
Esta definição de segurança especifica o tamanho máximo do registo de eventos de segurança, o qual tem um máximo teórico de 4 GB. Na prática, o limite é inferior (~300 MB). Notas O tamanho do ficheiro de registo terá de ser um múltiplo de 64 KB. Se introduzir um número que não seja um múltiplo de 64 KB, o Visualizador de Eventos arredondará o tamanho do ficheiro de registo para um múltiplo de 64 KB superior. Esta definição não aparece no Objeto de Política de Computador Local. O tamanho do Registo de Eventos e a moldagem do registo deverão ser definidos para corresponder aos requisitos de negócio e segurança determinados aquando da conceção do plano de segurança empresarial. Considere implementar estas definições de Registo de Eventos ao nível da unidade organizacional, domínio ou local, de forma a tirar partido das definições de Política de Grupo. Predefinição: para a família Windows Server 2003, 16 MB; para o Windows XP Professional Service Pack 1, 8 MB; para o Windows XP Professional, 512 KB. |
Maximum security log size
This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2031 | Tamanho máximo do registo do sistema
Esta definição de segurança especifica o tamanho máximo do registo de eventos do sistema, o qual tem um máximo teórico de 4 GB. Na prática, o limite é inferior (~300 MB). Notas O tamanho do ficheiro de registo terá de ser um múltiplo de 64 KB. Se introduzir um número que não seja um múltiplo de 64 KB, o Visualizador de Eventos arredondará o tamanho do ficheiro de registo para um múltiplo de 64 KB superior. Esta definição não aparece no Objeto de Política de Computador Local. O tamanho do Registo de Eventos e a moldagem do registo deverão ser definidos para corresponder aos requisitos de negócio e segurança determinados aquando da conceção do plano de segurança empresarial. Considere implementar estas definições de Registo de Eventos ao nível da unidade organizacional, domínio ou local, de forma a tirar partido das definições de Política de Grupo. Predefinição: para a família Windows Server 2003, 16 MB; para o Windows XP Professional Service Pack 1, 8 MB; para o Windows XP Professional, 512 KB. |
Maximum system log size
This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2032 | Impedir o grupo de convidados locais e utilizadores ANONYMOUS LOGIN de aceder ao registo de aplicações
Esta definição de segurança determina se os convidados são impedidos de aceder ao registo de eventos de aplicações. Notas Esta definição não aparece no Objeto de Política de Computador Local. Esta definição de segurança afeta apenas computadores a executar o Windows 2000 e Windows XP. Predefinição: Ativado no Windows XP, Desativado no Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2033 | Impedir o grupo de convidados locais e utilizadores ANONYMOUS LOGIN de aceder ao registo de segurança
Esta definição de segurança determina se os convidados são impedidos de aceder ao registo de eventos de aplicações. Notas Esta definição não aparece no Objeto de Política de Computador Local. Esta definição de segurança afeta apenas computadores a executar o Windows 2000 e Windows XP. Predefinição: Ativado no Windows XP, Desativado no Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2034 | Impedir o grupo de convidados locais e utilizadores ANONYMOUS LOGIN de aceder ao registo do sistema
Esta definição de segurança determina se os convidados são impedidos de aceder ao registo de eventos de aplicações. Notas Esta definição não aparece no Objeto de Política de Computador Local. Esta definição de segurança afeta apenas computadores a executar o Windows 2000 e Windows XP. Predefinição: Ativado no Windows XP, Desativado no Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2035 | Reter registo de aplicações
Esta definição de segurança determina o número de dias de eventos a serem retidos pelo registo de aplicações se o método de retenção do registo de aplicações for Por Dias. Defina este valor apenas se arquivar o registo em intervalos agendados e certifique-se de que o tamanho máximo do registo de aplicações é suficientemente grande para acomodar o intervalo. Nota: esta definição não aparece no Objeto de Política de Computador Local. Predefinição: Nenhum. |
Retain application log
This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2036 | Reter registo de segurança
Esta definição de segurança determina o número de dias de eventos a serem retidos pelo registo de segurança se o método de retenção do registo de segurança for Por Dias. Defina este valor apenas se arquivar o registo em intervalos agendados e certifique-se de que o tamanho máximo do registo de segurança é suficientemente grande para acomodar o intervalo. Notas Esta definição não aparece no Objeto de Política de Computador Local. Um utilizador tem de ter o direito de utilizador de gerir o registo de auditoria e segurança para aceder ao registo de segurança. Predefinição: Nenhum. |
Retain security log
This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2037 | Reter registo de sistema
Esta definição de segurança determina o número de dias de eventos a serem retidos pelo registo de sistema se o método de retenção do registo de sistema for Por Dias. Defina este valor apenas se arquivar o registo em intervalos agendados e certifique-se de que o tamanho máximo do registo de sistema é suficientemente grande para acomodar o intervalo. Nota: esta definição não aparece no Objeto de Política de Computador Local. Predefinição: Nenhum. |
Retain system log
This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2038 | Método de retenção para o registo da aplicação
Esta definição de segurança determina o método de "moldagem" do registo de aplicações. Se não arquivar o registo de aplicações, na caixa de diálogo Propriedades desta política, selecione a caixa de verificação Definir Esta Definição de Política e clique em Substituir Eventos Conforme Necessário. Se arquivar o registo em intervalos agendados, na caixa de diálogo Propriedades desta política, selecione a caixa de verificação Definir Esta Definição de Política, clique em Substituir Eventos Por Dias e especifique o número apropriado de dias na definição Reter Registo de Aplicações. Certifique-se de que o tamanho máximo do registo de aplicações é suficientemente grande para acomodar o intervalo. Se tiver de reter todos os eventos no registo, na caixa de diálogo Propriedades desta política, selecione a caixa de verificação Definir Esta Definição de Política e clique em Não Substituir Eventos (Limpar Registo Manualmente). Esta opção requer que o registo seja limpo manualmente. Neste caso, quando o tamanho máximo do registo é atingido, os novos eventos são ignorados. Nota: esta definição não aparece no Objeto de Política de Computador Local. Predefinição: Nenhum. |
Retention method for application log
This security setting determines the "wrapping" method for the application log. If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2039 | Método de retenção para o registo de segurança
Esta definição de segurança determina o método de "moldagem" do registo de segurança. Se não arquivar o registo de segurança, na caixa de diálogo Propriedades desta política, selecione a caixa de verificação Definir Esta Definição de Política e clique em Substituir Eventos Conforme Necessário. Se arquivar o registo em intervalos agendados, na caixa de diálogo Propriedades desta política, selecione a caixa de verificação Definir Esta Definição de Política, clique em Substituir Eventos Por Dias e especifique o número apropriado de dias na definição Reter Registo de Segurança. Certifique-se de que o tamanho máximo do registo de segurança é suficientemente grande para acomodar o intervalo. Se tiver de reter todos os eventos no registo, na caixa de diálogo Propriedades desta política, selecione a caixa de verificação Definir Esta Definição de Política e clique em Não Substituir Eventos (Limpar Registo Manualmente). Esta opção requer que o registo seja limpo manualmente. Neste caso, quando o tamanho máximo do registo é atingido, os novos eventos são ignorados. Notas Esta definição não aparece no Objeto de Política de Computador Local. Um utilizador tem de ter o direito de utilizador de gerir o registo de auditoria e segurança para aceder ao registo de segurança. Predefinição: Nenhum. |
Retention method for security log
This security setting determines the "wrapping" method for the security log. If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2040 | Método de retenção para o registo de sistema
Esta definição de segurança determina o método de "moldagem" do registo de sistema. Se não arquivar o registo de sistema, na caixa de diálogo Propriedades desta política, selecione a caixa de verificação Definir Esta Definição de Política e clique em Substituir Eventos Conforme Necessário. Se arquivar o registo em intervalos agendados, na caixa de diálogo Propriedades desta política, selecione a caixa de verificação Definir Esta Definição de Política, clique em Substituir Eventos Por Dias e especifique o número apropriado de dias na definição Reter Registo de Sistema. Certifique-se de que o tamanho máximo do registo de sistema é suficientemente grande para acomodar o intervalo. Se tiver de reter todos os eventos no registo, na caixa de diálogo Propriedades desta política, selecione a caixa de verificação Definir Esta Definição de Política e clique em Não Substituir Eventos (Limpar Registo Manualmente). Esta opção requer que o registo seja limpo manualmente. Neste caso, quando o tamanho máximo do registo é atingido, os novos eventos são ignorados Nota: esta definição não aparece no Objeto de Política de Computador Local. Predefinição: Nenhum. |
Retention method for system log
This security setting determines the "wrapping" method for the system log. If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval .If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2041 | Grupos Restritos
Esta definição de segurança permite que um administrador defina duas propriedades para grupos sensíveis a segurança (grupos "restritos"). As duas propriedades são Membros e Membro De. A lista Membros define quem pertence e quem não pertence ao grupo restrito. A lista Membro De especifica os outros grupos aos quais o grupo restrito pertence. Quando é aplicada uma Política de Grupos Restritos, todos os membros atuais de um grupo restrito que não esteja na lista Membros serão removidos. Todos os utilizadores na lista Membros que não sejam atualmente membros do grupo restrito serão adicionados. É possível utilizar a política de Grupos Restritos para controlar a associação a grupos. Utilizando esta política, poderá especificar quais os membros que fazem parte de um grupo. Todos os membros que não sejam especificados na política serão removidos durante a configuração ou atualização. Além disso a opção de configuração de membros inversa garante que cada Grupo Restrito é membro apenas dos grupos especificados na coluna Membro De. Por exemplo, poderá criar uma política de Grupos Restritos para permitir que apenas utilizadores específicos (por exemplo Cláudia e Miguel) sejam membros do grupo Administradores. Quando a política for atualizada, apenas a Cláudia e o Miguel irão permanecer como membros do grupo Administradores. Existem duas formas de aplicar a política de Grupos Restritos: Definir a política num modelo de segurança, o qual será aplicado durante a configuração no computador local. Configurar a definição diretamente num Objeto de Política de Grupo, o que significa que a política será aplicada a cada atualização da política. As definições de política são atualizadas a cada 90 minutos numa estação de trabalho ou servidor, e a cada 5 minutos num controlador de domínio. As definições são também atualizadas a cada 16 horas, independentemente de existirem ou não alterações. Predefinição: Nenhum. Atenção Se estiver definida uma política de Grupos Restritos e a Política de Grupo for atualizada, todos os membros atuais que não se encontrem na lista de membros de política de Grupos Restritos serão removidos. Tal pode incluir membros predefinidos, tais como administradores. Notas Os Grupos Restritos deverão ser essencialmente utilizados para configurar membros de grupos locais em estações de trabalho ou servidores membros. Uma lista Membros vazia significa que o grupo restrito não tem membros; uma lista Membro De vazia significa que os grupos aos quais o grupo restrito pertence não estão especificados. |
Restricted Groups
This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups). The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to. When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added. You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column. For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group. There are two ways to apply Restricted Groups policy: Define the policy in a security template, which will be applied during configuration on your local computer. Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes. Default: None specified. Caution If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators. Notes Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers. An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified. |
2042 | Definições de segurança de Serviços de Sistema
Permite que um administrador defina o modo de arranque (manual, automático ou desativado), bem como as permissões de acesso (Iniciar, Parar ou Pausa) para todos os serviços de sistema. Predefinição: Não definido. Notas Esta definição não aparece no Objeto de Política de Computador Local. Se optar por definir o arranque de serviços de sistema como Automático, efetue os testes adequados para verificar se os serviços conseguem arrancar sem intervenção do utilizador. Para otimização do desempenho, defina serviços desnecessários ou não utilizados como Manual. |
System Services security settings
Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services. Default: Undefined. Notes This setting does not appear in the Local Computer Policy object. If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention. For performance optimization, set unnecessary or unused services to Manual. |
2043 | Definições de segurança do registo
Permite que um utilizador estabeleça permissões de acesso (em listas de controlo de acesso discricionário, DACL) e definições de auditoria (em listas de controlo de acesso de sistema, SACL) para chaves de registo utilizando o Gestor de Configuração da Segurança. Predefinição: Não definido. Nota: esta definição não aparece no Objeto de Política de Computador Local. |
Registry security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2044 | Definições de segurança de Sistema de Ficheiros
Permite que um utilizador estabeleça permissões de acesso (em listas de controlo de acesso discricionário, DACL) e definições de auditoria (em listas de controlo de acesso de sistema, SACL) para objetos de sistema de ficheiros utilizando o Gestor de Configuração da Segurança. Predefinição: Não definido. Nota: esta definição não aparece no Objeto de Política de Computador Local. |
File System security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2045 | Auditoria: Forçar definições de subcategoria de política de auditoria (Windows Vista ou posterior) a substituir definições de categoria de política de auditoria.
O Windows Vista e versões superiores do Windows permitem que a política de auditoria seja gerida de forma mais precisa, utilizando subcategorias de política de auditoria. Definir a política de auditoria ao nível de categoria irá substituir a nova funcionalidade de política de auditoria de subcategorias. A Política de Grupo apenas permite a definição de política de auditoria ao nível de categoria, podendo a política de grupo existente substituir as definições de subcategoria de novos computadores que adiram ao domínio ou sejam atualizados para o Windows Vista ou versões posteriores. Para permitir que a política de auditoria seja gerida através de subcategorias sem ser necessária uma alteração para a Política de Grupo, existe um novo valor do registo no Windows Vista e versões superiores, SCENoApplyLegacyAuditPolicy, que impede a aplicação de uma política de auditoria ao nível de categoria a partir da Política de Grupo e da ferramenta administrativa de Política de Segurança Local. Se a política de auditoria ao nível de categoria aqui definida não for consistente com os eventos que estão a ser gerados, tal poderá dever-se ao facto de esta chave de registo estar definida. Predefinição: Ativado |
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool. If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set. Default: Enabled |
2046 | Controlo de Conta de Utilizador: utilizar Modo de Aprovação de Administrador para a conta de administrador incorporada
Esta definição de política controla o comportamento do Modo de Aprovação de Administrador para a conta de administrador incorporada. As opções são: • Ativado: a conta de Administrador incorporada utiliza o Modo de Aprovação de Administrador. Por predefinição, qualquer operação que requeira elevação de privilégios irá pedir ao utilizador que aprove a operação. • Desativado: (predefinição) a conta de Administrador incorporada executa todas as aplicações com privilégios administrativos máximos. |
User Account Control: Use Admin Approval Mode for the built-in Administrator account
This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account. The options are: • Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation. • Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege. |
2047 | DCOM: restrições de acesso de computador na sintaxe de SDDL (Security Descriptor Definition Language)
Esta definição de política determina quais os utilizadores ou grupos que podem aceder remota ou localmente a aplicações DCOM. Esta definição é utilizada para controlar a superfície de ataque do computador para aplicações DCOM. É possível utilizar esta definição de política para especificar permissões de acesso a todos os computadores por parte de determinados utilizadores para aplicações DCOM na empresa. Quando são especificados os utilizadores ou grupos aos quais deverá ser concedida permissão, o campo de descritor de segurança é povoado com a representação da Linguagem de Definição do Descritor de Segurança desses grupos e privilégios. Se o descritor de segurança for deixado em branco, a definição de política será definida no modelo, mas não será aplicada. Aos utilizadores e grupos podem ser concedidos privilégios Permitir ou Negar explícitos no acesso local e no acesso remoto. As definições de registo criadas em resultado da ativação da definição de política DCOM: Restrições de Acesso de Computador na Sintaxe de SDDL (Security Descriptor Definition Language) têm precedência (têm maior prioridade) sobre as definições de registo anteriores nesta área. O RpcSs (Serviços de Chamada de Procedimento Remoto) verifica se existem restrições de computador nas novas chaves do Registo na secção Políticas, sendo que estas entradas do Registo têm precedência sobre as chaves do Registo existentes em OLE. Isto significa que as definições do Registo anteriormente existentes já não estão ativas e que, se forem efetuadas alterações às definições existentes, as permissões de acesso ao computador para utilizadores não serão alteradas. Tenha atenção ao configurar a lista de utilizadores e grupos. Os valores possíveis para esta definição de política são: Em Branco. Representa a forma como a política de segurança local elimina a chave de imposição de política. Este valor elimina a política e define-a depois com o estado Não Definido. Para definir o valor Em Branco, é necessário utilizar o editor ACL, esvaziar a lista e premir OK. SDDL. Esta é a representação de Linguagem de Definição de Descritor de Segurança dos grupos e privilégios especificados aquando da ativação desta política. Não Definido. Este é o valor predefinido. Nota Se, devido a alterações ao DCOM no Windows, for negada permissão ao administrador para aceder a aplicações DCOM, o administrador poderá utilizar a definição de política DCOM: Restrições de Acesso de Computador na Sintaxe de SDDL (Security Descriptor Definition Language) para gerir o acesso DCOM ao computador. O administrador poderá especificar quais os utilizadores e grupos que podem aceder à aplicação DCOM no computador, local e remotamente, utilizando esta definição. Tal irá restaurar o controlo da aplicação DCOM para o administrador e utilizadores. Para o fazer, abra a definição DCOM: Restrições de Acesso de Computador na Sintaxe de SDDL (Security Descriptor Definition Language) e clique em Editar Segurança. Especifique os grupos que pretende incluir e as permissões de acesso de computador para esses grupos. Tal especifica a definição e estabelece o valor SDDL apropriado. |
DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access. The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups. The possible values for this policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2048 | DCOM: Restrições de Iniciação de Computador na sintaxe da SDDL (Security Descriptor Definition Language)
Esta definição de política determina quais os utilizadores ou grupos que podem iniciar ou ativar aplicações DCOM remota ou localmente. Esta definição é utilizada para controlar a superfície de ataque do computador para aplicações DCOM. É possível utilizar esta definição para conceder acesso a todos os computadores por parte de utilizadores de aplicações DCOM. Quando esta definição é especificada e são especificados os utilizadores ou grupos aos quais deverá ser concedida permissão, o campo do descritor de segurança é povoado com a representação de Linguagem de Definição de Descritor de Segurança desses grupos e privilégios. Se o descritor de segurança for deixado em branco, a definição de política será definida no modelo, mas não será aplicada. Aos utilizadores e grupos podem ser concedidos privilégios Permitir ou Negar explícitos relativos a iniciação local, iniciação remota, ativação local e ativação remota. As definições de registo criadas em resultado desta política têm precedência sobre as definições de registo anteriores nesta área. O RpcSs (Serviços de Chamada de Procedimento Remoto) verifica se existem restrições de computador nas novas chaves do Registo, na secção Políticas; estas entradas têm precedência sobre as chaves do Registo existentes em OLE. Os valores possíveis para esta definição de Política de Grupo são: Em Branco. Representa a forma como a política de segurança local elimina a chave de imposição de política. Este valor elimina a política e define-a depois com o estado Não Definido. Para definir o valor Em Branco, é necessário utilizar o editor ACL, esvaziar a lista e premir OK. SDDL. Esta é a representação de Linguagem de Definição de Descritor de Segurança dos grupos e privilégios especificados aquando da ativação desta política. Não Definido. Este é o valor predefinido. Nota Se ao administrador for negado o acesso para ativar e iniciar aplicações DCOM devido a alterações efetuadas a DCOM nesta versão do Windows, esta definição de política poderá ser utilizada para controlar a ativação e iniciação DCOM no computador. O administrador poderá especificar quais os utilizadores e grupos que podem iniciar e ativar aplicações DCOM no computador, local e remotamente, utilizando a definição de política DCOM: Restrições de Iniciação de Computador na Sintaxe de SDDL (Security Descriptor Definition Language). Tal restaura o controlo da aplicação DCOM para o administrador e utilizadores especificados. Para fazer isto, abra a definição DCOM: Restrições de Iniciação de Computador na Sintaxe de SDDL (Security Descriptor Definition Language) e clique em Editar Segurança. Especifique os grupos que pretende incluir e as permissões de iniciação de computador para esses grupos. Tal especifica as definições e estabelece o valor SDDL apropriado. |
DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE. The possible values for this Group Policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2049 | Controlo de Conta de Utilizador: comportamento do pedido de elevação para administradores no Modo de Aprovação de Administrador
Esta definição de política controla o comportamento do pedido de elevação para administradores. As opções são: • Elevar sem pedir: permite que contas privilegiadas efetuem uma operação que requer elevação sem exigir consentimento ou credenciais. Nota: utilize esta opção apenas nos ambientes mais restritos. • Pedir credenciais no ambiente de trabalho seguro: quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro que introduza um nome de utilizador privilegiado e respetiva palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continua com o privilégio mais elevado disponível do utilizador. • Pedir consentimento no ambiente de trabalho seguro: quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro que selecione Permitir ou Negar. Se o utilizador selecionar Permitir, a operação continua com o privilégio mais elevado disponível do utilizador. • Pedir credenciais: quando uma operação requer elevação de privilégios, é pedido ao utilizador que introduza um nome de utilizador administrativo e respetiva palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continua com o privilégio aplicável. • Pedir consentimento: quando uma operação requer elevação de privilégios, é pedido ao utilizador que selecione Permitir ou Negar. Se o utilizador selecionar Permitir, a operação continua com o privilégio mais elevado disponível do utilizador. • Pedir consentimento para binários não-Windows: (predefinição) quando uma operação para uma aplicação não-Microsoft requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro que selecione Permitir ou Negar. Se o utilizador selecionar Permitir, a operação continua com o privilégio mais elevado disponível do utilizador. |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
This policy setting controls the behavior of the elevation prompt for administrators. The options are: • Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege. • Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. |
2050 | Controlo de Conta de Utilizador: comportamento do pedido de elevação para utilizadores padrão
Esta definição de política controla o comportamento do pedido de elevação para utilizadores padrão. As opções são: • Pedir credenciais: (predefinição) quando uma operação requer elevação de privilégios, é pedido ao utilizador que introduza um nome de utilizador administrativo e respetiva palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continua com o privilégio aplicável. • Negar automaticamente pedidos de elevação: quando uma operação requer elevação de privilégios, é apresentada uma mensagem de erro de acesso negado configurável. Uma empresa com computadores de secretária como utilizador padrão poderá escolher esta definição para reduzir as chamadas de suporte técnico. • Pedir credenciais no ambiente de trabalho seguro: quando uma aplicação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro que introduza um nome de utilizador diferente e respetiva palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continua com o privilégio aplicável. |
User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users. The options are: • Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. |
2051 | Controlo de Conta de Utilizador: detetar instalações de aplicações e pedir elevação
Esta definição de política controla o comportamento de deteção de instalação de aplicações para o computador. As opções são: • Ativado: (predefinição) quando é detetado um pacote de instalação de aplicação que requer elevação de privilégios, é pedido ao utilizador que introduza um nome de utilizador administrativo e respetiva palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continua com o privilégio aplicável. • Desativado: (predefinição) não são detetados pacotes de instalação de aplicação nem é pedida elevação. As empresas com ambientes de trabalho de utilizador padrão e que utilizem tecnologias de instalação delegada, tais como Política de Grupo de Instalação de Software ou SMS (Systems Management Server) deverão desativar esta definição de política. Neste caso, a deteção de programas de instalação não é necessária. |
User Account Control: Detect application installations and prompt for elevation
This policy setting controls the behavior of application installation detection for the computer. The options are: • Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary. |
2052 | Controlo de Conta de Utilizador: elevar apenas ficheiros executáveis que estão assinados e validados
Esta definição de segurança impõe verificações de assinatura de infraestrutura de chaves públicas (PKI) para qualquer aplicação interativa que peça elevação de privilégios. Os administradores da empresa podem controlar quais as aplicações com permissão para serem executadas adicionando certificados ao arquivo de certificados Fabricantes Fidedignos em computadores locais. As opções são: • Ativado: impõe a validação de caminho de certificação PKI para um determinado ficheiro executável antes de permitir a respetiva execução. • Desativado:(predefinição) não impõe validação de caminho de certificação PKI antes de permitir a execução de um determinado ficheiro executável. |
User Account Control: Only elevate executable files that are signed and validated
This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers. The options are: • Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run. • Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run. |
2053 | Controlo de Conta de Utilizador: elevar apenas aplicações UIAccess instaladas em localizações seguras
Esta definição de política controla se as aplicações que pedem execução com um nível de integridade UIAccess (User Interface Accessibility) têm de residir numa localização segura no sistema de ficheiros. As localizações seguras limitam-se às seguintes: - …\Programas\, incluindo subpastas - …\Windows\system32\ - …\Programas (x86)\, incluindo subpastas para versões de 64 bits do Windows Nota: o Windows impõe uma verificação de assinatura de infraestrutura de chaves públicas (PKI) em qualquer aplicação interativa que peça execução com um nível de integridade UIAccess, independentemente do estado desta definição de segurança. As opções são: • Ativado: (predefinição) se a aplicação residir numa localização segura no sistema de ficheiros, só é executada com integridade UIAccess. • Desativado: uma aplicação é executada com integridade UIAccess, mesmo que não resida numa localização segura no sistema de ficheiros. |
User Account Control: Only elevate UIAccess applications that are installed in secure locations
This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following: - …\Program Files\, including subfolders - …\Windows\system32\ - …\Program Files (x86)\, including subfolders for 64-bit versions of Windows Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting. The options are: • Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity. • Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system. |
2054 | Controlo de Conta de Utilizador: ativar Modo de Aprovação de Administrador
Esta definição de política controla o comportamento de todas as definições de política de Controlo de Conta de Utilizador (UAC) para o computador. Se alterar esta definição de política, terá de reiniciar o computador. As opções são: • Ativado: (predefinição) o Modo de Aprovação de Administrador fica ativado. Esta política tem de estar ativada e as definições de política UAC relacionadas também têm de ser definidas corretamente para permitir a execução em Modo de Aprovação de Administrador por parte da conta de Administrador incorporado e de todos os outros utilizadores que sejam membros do grupo Administradores. • Desativado: o Modo de Aprovação de Administrador e todas as definições de política UAC relacionadas ficam desativados. Nota: se esta definição de política estiver desativada, o Centro de Segurança notifica o utilizador de que a segurança geral do sistema operativo foi reduzida. |
User Account Control: Turn on Admin Approval Mode
This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer. The options are: • Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode. • Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced. |
2055 | Controlo de Conta de Utilizador: mudar para o ambiente de trabalho seguro quando pedir elevação
Esta definição de política controla se o pedido de elevação será apresentado no ambiente de trabalho do utilizador interativo ou no ambiente de trabalho seguro. As opções são: • Ativado: (predefinição) todos os pedidos de elevação vão para o ambiente de trabalho seguro, independentemente das definições de política de comportamento de pedido para administradores e utilizadores padrão. • Desativado: todos os pedidos de elevação vão para o ambiente de trabalho do utilizador interativo. São utilizadas as definições de política de comportamento de pedido para administradores e utilizadores padrão. |
User Account Control: Switch to the secure desktop when prompting for elevation
This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop. The options are: • Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users. • Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used. |
2056 | Controlo de Conta de Utilizador: virtualizar falhas de escrita nos ficheiros e registo em locais por utilizador
Esta definição de política controla se falhas de escrita de aplicação são redirecionadas para localizações definidas do sistema de ficheiros e do registo. Esta definição de política mitiga os problemas com aplicações que são executadas como administrador e que escrevem dados de aplicação durante a execução em %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software. As opções são: • Ativado: (predefinição) as falhas de escrita de aplicação são redirecionadas durante a execução para localizações definidas pelo utilizador para o sistema de ficheiros e para o registo. • Desativado: as aplicações que escrevem dados em localizações protegidas falham. |
User Account Control: Virtualize file and registry write failures to per-user locations
This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software. The options are: • Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry. • Disabled: Applications that write data to protected locations fail. |
2057 | Criar Ligações Simbólicas
Este privilégio determina se o utilizador pode criar uma ligação simbólica a partir do computador no qual tem sessão iniciada. Predefinição: Administrador AVISO: Este privilégio só deverá ser concedido a utilizadores fidedignos. As ligações simbólicas podem expor vulnerabilidades de segurança em aplicações que não foram concebidas para lidar com as mesmas. Nota Esta definição pode ser utilizada em conjunção com uma definição de sistema de ficheiros de ligações simbólicas que pode ser manipulada com o utilitário de linha de comandos para controlar os tipos de ligações simbólicas permitidas no computador. Escreva 'fsutil behavior set symlinkevaluation /?' na linha de comandos para obter mais informações sobre fsutil e ligações simbólicas. |
Create Symbolic Links
This privilege determines if the user can create a symbolic link from the computer he is logged on to. Default: Administrator WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them. Note This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links. |
2058 | Modificar uma etiqueta de objeto
Este privilégio determina quais as contas de utilizador que podem modificar a etiqueta de integridade de objetos, tais como ficheiros, chaves de registo ou processos que sejam propriedade de outros utilizadores. Os processos a executar com uma conta de utilizador podem modificar a etiqueta num objeto que seja propriedade desse utilizador para um nível inferior sem este privilégio. Predefinição: Nenhum |
Modify an object label
This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege. Default: None |
2059 | Controlo de Conta de Utilizador: permitir que aplicações UIAccess peçam elevação sem utilizar o ambiente de trabalho seguro.
Esta definição de política controla se os programas UIAccess ou UIA (User Interface Accessibility) podem desativar automaticamente o ambiente de trabalho seguro para pedidos de elevação utilizados por um utilizador padrão. • Ativado: os programas UIA, incluindo a Assistência Remota do Windows, desativam automaticamente o ambiente de trabalho seguro para pedidos de elevação. Se não desativar a definição de política "Controlo de Conta de Utilizador: mudar para ambiente de trabalho seguro quando pedir elevação", os pedidos aparecem no ambiente de trabalho do utilizador interativo em vez de aparecerem no ambiente de trabalho seguro. • Desativado: (predefinição) o ambiente de trabalho seguro só pode ser desativado pelo utilizador do ambiente de trabalho interativo ou desativando-se a definição de política "Controlo de Conta de Utilizador: mudar para ambiente de trabalho seguro quando pedir elevação". |
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.
This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user. • Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. • Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting. |
2060 | Esta definição é utilizada pelo Gestor de Credenciais durante a Cópia de Segurança/Restauro. Nenhuma conta deverá ter este privilégio, apenas atribuído a Winlogon. Se este privilégio for atribuído a outras entidades, as credenciais guardadas dos utilizadores poderão ser comprometidas. | This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities. |
2061 | Alterar o Fuso Horário
Este direito de utilizador determina quais os utilizadores e grupos que podem alterar o fuso horário utilizado pelo computador para apresentar a hora local, que corresponde à hora do sistema do computador mais o desvio do fuso horário. Em si mesma, a hora do sistema é absoluta, não sendo afetada por alterações do fuso horário. Este direito de utilizador é definido no GPO (Group Policy object) do Controlador de Domínio Predefinido e na política de segurança local dos servidores e estações de trabalho. Predefinição: Administradores, Utilizadores |
Change the Time Zone
This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers. Default: Administrators, Users |
2062 | Aumentar um conjunto de trabalho de processos
Este privilégio determina quais as contas de utilizador que podem aumentar ou diminuir o tamanho do conjunto de trabalho de um processo. Predefinição: Utilizadores O conjunto de trabalho de um processo é o conjunto de páginas de memória atualmente visíveis para o processo na memória RAM física. Estas páginas encontram-se residentes e disponíveis para utilização por uma aplicação sem acionar uma falha de paginação. Os tamanhos mínimo e máximo do conjunto de trabalho afetam o comportamento de paginação de memória virtual de um processo. Aviso: Aumentar o tamanho do conjunto de trabalho de um processo diminui a quantidade de memória física disponível para o resto do sistema. |
Increase a process working set
This privilege determines which user accounts can increase or decrease the size of a process’s working set. Default: Users The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process. Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system. |
2063 | Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos
Esta definição de política permite-lhe negar ou auditar tráfego NTLM de saída a partir deste computador com Windows 7 ou Windows Server 2008 R2 para qualquer servidor remoto Windows. Se selecionar "Permitir tudo" ou não configurar esta definição de política, o computador cliente poderá autenticar identidades perante um servidor remoto utilizando autenticação NTLM. Se selecionar "Auditar tudo", o computador cliente irá registar um evento por cada pedido de autenticação NTLM perante um servidor remoto. Isto permite-lhe identificar os servidores que recebem pedidos de autenticação NTLM a partir do computador cliente. Se selecionar "Negar tudo", o computador cliente não poderá autenticar identidades perante um servidor remoto utilizando autenticação NTLM. É possível utilizar a definição de política "Segurança de rede: Restringir NTLM: Adicionar exceções de servidores remoto para autenticação NTLM" para definir uma lista de servidores remotos perante os quais os clientes têm permissão para utilizar autenticação NTLM. Esta política é suportada pelo menos no Windows 7 ou Windows Server 2008 R2. Nota: os eventos de auditoria e bloqueio são registados neste computador no registo "Operacional" localizado em Registos de Serviços e Aplicações/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server. If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication. If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer. If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2064 | Segurança de rede: Restringir NTLM: Tráfego NTLM de entrada
Esta definição de política permite-lhe negar ou permitir tráfego NTLM de entrada. Se selecionar "Permitir tudo" ou não configurar esta definição de política, o servidor irá permitir todos os pedidos de autenticação NTLM. Se selecionar "Negar todas as contas de domínio", o servidor irá negar os pedidos de autenticação NTLM para início de sessão de domínio e apresentar um erro de bloqueio NTLM, mas irá permitir início de sessão de conta local. Se selecionar "Negar todas as contas", o servidor irá negar pedidos de autenticação NTLM de tráfego de entrada e apresentar um erro de bloqueio NTLM. Esta política é suportada pelo menos no Windows 7 ou Windows Server 2008 R2. Nota: os eventos de bloqueio são registados neste computador no registo "Operacional" localizado em Registos de Serviços e Aplicações/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Incoming NTLM traffic
This policy setting allows you to deny or allow incoming NTLM traffic. If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests. If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon. If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2065 | Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio
Esta definição de política permite-lhe negar ou permitir autenticação NTLM num domínio a partir deste controlador de domínio. Esta política não afeta o início de sessão interativo neste controlador de domínio. Se selecionar "Desativado" ou não configurar esta definição de política, o controlador de domínio irá permitir todos os pedidos de autenticação pass-through NTLM no domínio. Se selecionar "Negar para contas de domínio perante servidores de domínio", o controlador de domínio irá negar todas as tentativas de início de sessão de autenticação NTLM perante todos os servidores no domínio que estejam a utilizar contas de domínio e irá devolver um erro de bloqueio NTLM a menos que o nome de servidor esteja na lista de exceções na definição de política "Segurança de rede: Restringir NTLM: Adicionar exceções de servidores para autenticação NTLM neste domínio". Se selecionar "Negar para contas de domínio", o controlador de domínio irá negar todas as tentativas de início de sessão de autenticação NTLM a partir de contas de domínio e devolver um erro de bloqueio NTLM, a menos que o nome de servidor esteja na lista de exceções na definição de política "Segurança de rede: Restringir NTLM: Adicionar exceções de servidores para autenticação NTLM neste domínio". Se selecionar "Negar para servidores de domínio", o controlador de domínio irá negar pedidos de autenticação NTLM perante todos os servidores no domínio e devolver um erro de bloqueio NTLM, a menos que o nome de servidor esteja na lista de exceções na definição de política "Segurança de rede: Restringir NTLM: Adicionar exceções de servidores para autenticação NTLM neste domínio". Se selecionar "Negar tudo", o controlador de domínio irá negar todos os pedidos de autenticação pass-through NTLM a partir dos respetivos servidores e para as respetivas contas, e irá devolver um erro de bloqueio NTLM, a menos que o nome de servidor esteja na lista de exceções na definição de política "Segurança de rede: Restringir NTLM: Adicionar exceções de servidores para autenticação NTLM neste domínio". Esta política é suportada pelo menos no Windows Server 2008 R2. Nota: os eventos de bloqueio são registados neste computador no registo "Operacional" localizado em Registo de Serviços e Aplicações/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: NTLM authentication in this domain
This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller. If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain. If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2066 | Segurança de Rede: Restringir NTLM: Adicionar exceções de servidores remotos para autenticação NTLM
Esta definição de política permite criar uma lista de exceções de servidores remotos perante os quais os clientes têm permissão para utilizar autenticação NTLM se a definição de política "Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos" estiver configurada. Se configurar esta definição de política, poderá definir uma lista de servidores remotos perante os quais os clientes têm permissão para utilizar autenticação NTLM. Se não configurar esta definição de política, não será aplicada nenhuma exceção. O formato de nomenclatura para os servidores desta lista de exceções é o nome de domínio completamente qualificado (FQDN) ou o nome do servidor NetBIOS utilizado pela aplicação, listados um em cada linha. Para garantir as exceções, o nome utilizado por todas as aplicações tem de estar na lista e, para garantir que uma exceção é exata, o nome de servidor deve ser listado em ambos os formatos de nomenclatura. É possível utilizar um único asterisco (*) em qualquer ponto da cadeia como caráter universal. |
Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured. If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character. |
2067 | Segurança de rede: Restringir NTLM: Adicionar exceções de servidores neste domínio
Esta definição de política permite-lhe criar uma lista de exceções de servidores neste domínio perante os quais os clientes têm permissão para utilizar autenticação pass-through NTLM se a definição "Segurança de rede: Restringir NTLM: Negar autenticação NTLM neste domínio" estiver configurada. Se configurar esta definição de política, poderá definir uma lista de servidores neste domínio perante os quais os clientes têm permissão para utilizar autenticação NTLM. Se não configurar esta definição de política, não será aplicada nenhuma exceção. O formato de nomenclatura para os servidores desta lista de exceções é o nome de domínio completamente qualificado (FQDN) ou o nome do servidor NetBIOS utilizado pela aplicação de chamada, listados um em cada linha. É possível utilizar um único asterisco (*) no início ou no final da cadeia como caráter universal. |
Network security: Restrict NTLM: Add server exceptions in this domain
This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set. If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character. |
2068 | Segurança de rede: Permitir a utilização de sessão NULL LocalSystem como contingência
Permite que NTLM utilize uma sessão NULL como contingência, quando utilizado com LocalSystem. A predefinição é TRUE até ao Windows Vista e FALSE no Windows 7. |
Network security: Allow LocalSystem NULL session fallback
Allow NTLM to fall back to NULL session when used with LocalSystem. The default is TRUE up to Windows Vista and FALSE in Windows 7. |
2069 | Segurança de rede: Configurar tipos de encriptação permitidos para Kerberos
Esta definição de política permite-lhe definir os tipos de encriptação que Kerberos pode utilizar. Se não for selecionada, o tipo de encriptação não será permitido. Esta definição poderá afetar a compatibilidade com computadores cliente ou serviços e aplicações. São permitidas várias seleções. Esta política é suportada pelo menos no Windows 7 ou Windows Server 2008 R2. |
Network security: Configure encryption types allowed for Kerberos
This policy setting allows you to set the encryption types that Kerberos is allowed to use. If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted. This policy is supported on at least Windows 7 or Windows Server 2008 R2. |
2071 | Segurança de rede: permitir que os pedidos de autenticação PKU2U para este computador utilizem identidades online.
Esta política estará desativada por predefinição em computadores associados a um domínio. Isto não permitiria a autenticação de identidades online perante o computador associado ao domínio. |
Network security: Allow PKU2U authentication requests to this computer to use online identities.
This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine. |
2072 | Segurança de rede: Restringir NTLM: Auditar tráfego NTLM de entrada
Esta definição de política permite-lhe auditar tráfego NTLM de entrada. Se selecionar "Desativar" ou não configurar esta definição de política, o servidor não irá registar eventos para tráfego NTLM de entrada. Se selecionar "Ativar auditoria para contas de domínio", o servidor irá registar eventos para pedidos de autenticação pass-through NTLM que seriam bloqueados quando a definição de política "Segurança de rede: Restringir NTLM: Tráfego NTLM de entrada" está definida com a opção "Negar todas as contas de domínio". Se selecionar "Ativar auditoria para todas as contas", o servidor irá registar eventos para todos os pedidos de autenticação NTLM que seriam bloqueados quando a definição de política "Segurança de rede: Restringir NTLM: Tráfego NTLM de entrada" está definida com a opção "Negar todas as contas". Esta política é suportada pelo menos no Windows 7 ou Windows Server 2008 R2. Nota: os eventos de auditoria são registados neste computador no registo "Operacional" em Registo de Serviços e Aplicações/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit Incoming NTLM Traffic
This policy setting allows you to audit incoming NTLM traffic. If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic. If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option. If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2073 | Segurança de rede: Restringir NTLM: Auditar autenticação NTLM neste domínio
Esta definição de política permite-lhe auditar autenticação NTLM num domínio a partir deste controlador de domínio. Se selecionar "Desativar" ou não configurar esta definição de política, o controlador de domínio não irá registar eventos para autenticação NTLM neste domínio. Se selecionar "Ativar para contas de domínio perante servidores de domínio", o controlador de domínio irá registar eventos para tentativas de início de sessão de autenticação NTLM para contas de domínio perante servidores de domínio quando a autenticação NTLM seria negada porque "Negar para contas de domínio perante servidores de domínio" está selecionado na definição de política "Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio". Se selecionar "Ativar para contas de domínio", o controlador de domínio irá registar eventos para tentativas de início de sessão de autenticação NTLM que utilizem contas de domínio quando a autenticação NTLM seria negada porque "Negar para contas de domínio" está selecionado na definição de política "Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio". Se selecionar "Ativar para servidores de domínio", o controlador de domínio irá registar eventos para pedidos de autenticação NTLM perante todos os servidores no domínio quando a autenticação NTLM seria negada porque "Negar para servidores de domínio" está selecionado para a definição de política "Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio". Se selecionar "Ativar tudo", o controlador de domínio irá registar eventos para pedidos de autenticação pass-through NTLM a partir do respetivo servidor e para as respetivas contas, o que seria negado porque "Negar tudo" está selecionado na definição de política "Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio". Esta política é suportada pelo menos no Windows Server 2008 R2. Nota: os eventos de auditoria são registados neste computador no registo "Operacional" em Registo de Serviços e Aplicações/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit NTLM authentication in this domain
This policy setting allows you to audit NTLM authentication in a domain from this domain controller. If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain. If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2074 | Segurança de rede: permitir que o Sistema Local utilize a identidade do computador para NTLM
Esta definição de política permite que os serviços de Sistema Local que utilizam Negotiate utilizem a identidade do computador ao reverter para a autenticação NTLM. Se ativar esta definição de política, os serviços executados como Sistema Local que utilizem Negotiate utilizarão a identidade do computador. Isto poderá fazer com que alguns pedidos de autenticação entre sistemas operativos Windows falhem e seja registado um erro. Se desativar esta definição de política, os serviços executados como Sistema Local que utilizem Negotiate ao reverter para a autenticação NTLM procederão à autenticação anonimamente. Por predefinição, esta política está ativada no Windows 7. Por predefinição, esta política está desativada no Windows Vista. Esta política é suportada, pelo menos, no Windows Vista ou Windows Server 2008. Nota: O Windows Vista ou Windows Server 2008 não apresentam esta definição na Política de Grupo. |
Network security: Allow Local System to use computer identity for NTLM
This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication. If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error. If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously. By default, this policy is enabled on Windows 7 and above. By default, this policy is disabled on Windows Vista. This policy is supported on at least Windows Vista or Windows Server 2008. Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy. |
2075 | Servidor de rede Microsoft: Nível de validação do nome de destino do SPN do servidor
Esta definição de política controla o nível de validação que um computador com pastas ou impressoras partilhadas (o servidor) efetua no nome principal do serviço (SPN) fornecido pelo computador cliente quando este estabelece uma sessão utilizando o protocolo do bloco de mensagem de servidor (SMB). O protocolo do bloco de mensagem de servidor (SMB) fornece a base para a partilha de impressões e de ficheiros e outras operações de rede, como a administração remota do Windows. O protocolo SMB suporta a validação do nome principal do serviço (SPN) do servidor SMB dentro do blob de autenticação fornecido por um cliente SMB, para impedir uma classe de ataques contra servidores SMB conhecidos como ataques de reencaminhamento SMB. Esta definição irá afetar o SMB1 e o SMB2. Esta definição de segurança determina o nível de validação que um servidor SMB efetua no nome principal do serviço (SPN) fornecido pelo cliente SMB ao tentar estabelecer uma sessão com um servidor SMB. As opções são: Desligado - o SPN não é necessário nem é validado pelo servidor SMB a partir de um cliente SMB. Aceitar se fornecido pelo cliente - o servidor SMB irá aceitar e validar o SPN fornecido pelo cliente SMB e permitir o estabelecimento de uma sessão se este corresponder à lista de SPNs do servidor SMB por si mesmo. Se o SPN NÃO corresponder, o pedido de sessão relativo a esse cliente SMB será negado. Necessário a partir do cliente - o cliente SMB TEM de enviar um nome SPN na configuração da sessão e o nome SPN fornecido TEM de corresponder ao servidor SMB ao qual está a ser pedido para estabelecer uma ligação. Se não for fornecido nenhum SPN pelo cliente ou se o SPN fornecido não corresponder, a sessão é negada. Predefinição: Desligado Todos os sistemas operativos Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. Esta definição afeta o comportamento do SMB do servidor e a respetiva implementação deverá ser cuidadosamente avaliada e testada, para impedir interrupções nas capacidades de serviço de ficheiros e impressão. Poderá encontrar informações adicionais acerca da implementação e utilização deste método para proteção dos seus servidores SMB no site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505). |
Microsoft network server: Server SPN target name validation level
This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol. The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2. This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server. The options are: Off – the SPN is not required or validated by the SMB server from a SMB client. Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied. Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied. Default: Off All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505). |
2076 | Servidor de rede Microsoft: tentativa S4U2Self de obter informações de afirmação
Esta definição de segurança destina-se a suportar clientes com uma versão do Windows anterior ao Windows 8 que estejam a tentar aceder a uma partilha de ficheiros que necessite de afirmações do utilizador. Esta definição determina se o servidor de ficheiros local tentará utilizar a funcionalidade S4U2Self (Service-For-User-To-Self) do Kerberos para obter as afirmações do principal de um cliente de rede a partir do domínio de contas do cliente. Esta definição só deverá ser ativada se o servidor de ficheiros estiver a utilizar afirmações do utilizador para controlar o acesso aos ficheiros e se o servidor de ficheiros suportar principais de cliente cujas contas possam estar num domínio que tenha computadores cliente e controladores de domínio com uma versão do Windows anterior ao Windows 8. Esta definição deve estar configurada como automática (predefinição) para que o servidor de ficheiros possa avaliar automaticamente se o utilizador necessita de afirmações. Um administrador só deverá pretender configurar explicitamente esta definição como "Ativada" se existirem políticas de acesso a ficheiros locais que incluam afirmações do utilizador. Quando ativada, esta definição de segurança fará com que o servidor de ficheiros do Windows examine o token de acesso de um principal de cliente de rede autenticado e determine se estão presentes informações de afirmação. Se não estiverem presentes afirmações, o servidor de ficheiros tentará então utilizar a funcionalidade S4U2Self do Kerberos para tentar contactar um controlador de domínio do Windows Server 2012 no domínio da conta do cliente e obter um token de acesso baseado em afirmações para o principal do cliente. Poderá ser necessário um token baseado em afirmações para aceder a ficheiros ou pastas que tenham uma política de controlo de acesso baseada em afirmações aplicada. Se esta definição estiver desativada, o servidor de ficheiros do Windows não tentará obter um token de acesso preparado para afirmações para o principal do cliente. Predefinição: Automático. |
Microsoft network server: Attempt S4U2Self to obtain claim information
This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8. This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims. When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied. If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal. Default: Automatic. |
2077 | Contas: bloquear contas Microsoft
Esta definição de política impede que os utilizadores adicionem novas contas Microsoft neste computador. Se selecionar a opção "Os utilizadores não podem adicionar contas Microsoft", os utilizadores não poderão criar novas contas Microsoft neste computador, alterar uma conta local para uma conta Microsoft ou ligar uma conta de domínio a uma conta Microsoft. Esta é a opção preferencial se necessitar de limitar a utilização de contas Microsoft na sua empresa. Se selecionar a opção "Os utilizadores não podem adicionar ou iniciar sessão com contas Microsoft", os utilizadores de contas Microsoft existentes não conseguirão iniciar sessão no Windows. A seleção desta opção poderá impossibilitar que um administrador existente deste computador inicie sessão e efetue a gestão do sistema. Se desativar ou não configurar esta política (recomendado), os utilizadores poderão utilizar contas Microsoft com o Windows. |
Accounts: Block Microsoft accounts
This policy setting prevents users from adding new Microsoft accounts on this computer. If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise. If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system. If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows. |
2078 | Início de sessão interativo: limiar da conta do computador.
A política de bloqueio de computador só é imposta em computadores com o Bitlocker ativado para proteção de volumes de SO. Certifique-se de que as políticas de cópia de segurança palavra-passe de recuperação adequadas estão ativadas. Esta definição de segurança determina o número de tentativas de início de sessão com falhas que resultam no bloqueio do computador. Um computador bloqueado só pode ser recuperado através da introdução da chave de recuperação na consola. Pode definir um valor entre 1 e 999 tentativas de início de sessão com falhas. Se definir o valor como 0, o computador nunca será bloqueado. Os valores entre 1 e 3 serão interpretados como 4. As tentativas de utilização de palavra-passe com falhas em estações de trabalho ou servidores membros bloqueados com CTRL+ALT+DELETE ou proteções de ecrã protegidas por palavra-passe são contabilizadas como tentativas de início de sessão com falhas. A política de bloqueio de computador só é imposta em computadores com o Bitlocker ativado para proteção de volumes de SO. Certifique-se de que as políticas de cópia de segurança palavra-passe de recuperação adequadas estão ativadas. Predefinição: 0. |
Interactive logon: Machine account threshold.
The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled. This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled. Default: 0. |
2079 | Início de sessão interativo: limite de inatividade do computador.
O Windows deteta inatividade numa sessão de início de sessão e, se o tempo de inatividade exceder o limite de inatividade, será executada a proteção de ecrã, bloqueando a sessão. Predefinição: não aplicado. |
Interactive logon: Machine inactivity limit.
Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session. Default: not enforced. |
2080 | Obtenha um token de representação para outro utilizador na mesma sessão.
Atribuir este privilégio a um utilizador permite que os programas em execução em nome desse utilizador obtenham um token de representação de outros utilizadores que iniciem sessão interativamente dentro da mesma sessão, desde que o autor da chamada tenha um token de representação do utilizador da sessão. Não aplicável no servidor/cliente do Windows do ambiente de trabalho em que cada utilizador obtém uma sessão separada. |
Obtain an impersonation token for another user in the same session.
Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session. |
2081 | Acesso à rede: Restringir os clientes autorizados a fazer chamadas remotas para o SAM
Esta definição de política permite-lhe restringir as ligações rpc remotas ao SAM. Se não for selecionado, será utilizado o descritor de segurança predefinido. Esta política é suportada pelo menos no Windows Server 2016. |
Network access: Restrict clients allowed to make remote calls to SAM
This policy setting allows you to restrict remote rpc connections to SAM. If not selected, the default security descriptor will be used. This policy is supported on at least Windows Server 2016. |
2082 | Início de sessão interativo: não apresentar o nome de utilizador no início de sessão
Esta definição de segurança determina se o nome de utilizador da pessoa a iniciar sessão neste PC é apresentado no início de sessão do Windows, após as credenciais serem introduzidas e antes de o ambiente de trabalho do PC ser mostrado. Se esta política estiver ativada, o nome de utilizador não é apresentado. Se esta política estiver desativada, o nome de utilizador é apresentado. Predefinição: desativada. |
Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
57343 | Está prestes a alterar as definições de segurança deste dispositivo. A alteração da segurança predefinida do serviço poderá originar problemas devido à inconsistência de configurações entre este serviço e outros que dependam dele. Pretende continuar? |
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it. Do you want to continue? |
57345 | Está prestes a importar informações sobre o novo modelo para a política de computador local deste computador. Ao fazê-lo, irá alterar as definições de segurança do computador. Deseja continuar? | You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue? |
57346 | Configurar a segurança do computador | Configuring Computer Security |
57350 | Base de Dados da Configuração de Proteção Atual: Base de Dados de Política Local %s | Current Security Configuration Database: Local Policy Database %s |
57351 | Base de dados da configuração de proteção atual: base de dados privada %s | Current Security Configuration Database: Private Database %s |
57352 | A produzir informações para análise | Generating analysis information |
57353 | A importação falhou | Import Failed |
57354 | Subitens definidos | Subitems defined |
57355 | Não disponível | Not Available |
57356 | Novo serviço | New Service |
57357 | A configurar: | Configuring: |
57358 | Adicionar &ficheiro... Adiciona um novo ficheiro ou pasta a este modelo |
Add &File... Adds a new file or folder to this template |
57359 | Adicionar este ficheiro ou pasta ao modelo: | Add this file or folder to the template: |
57360 | Adicionar um ficheiro ou pasta | Add a file or folder |
57361 | Microsoft Corporation | Microsoft Corporation |
57362 | 10.0 | 10.0 |
57363 | Modelos de segurança são snap-ins da MMC, que fornece capacidades de edição para os ficheiros do modelo de segurança. | Security Templates is an MMC snap-in that provides editing capabilities for security template files. |
57364 | A análise e configuração da segurança é um snap-in da MMC, que fornece configuração e análise de proteção para computadores Windows que utilizam ficheiros de modelos de segurança. | Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files. |
57365 | O snap-in da Extensão de Definições de Segurança aumenta o snap-in da Política de Grupo e ajuda a definir políticas de segurança para computadores no seu domínio. | The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain. |
57366 | &Importar política... Importa um ficheiro de modelos para este objeto de política. |
&Import Policy... Import a template file into this policy object. |
57367 | Exportar política... Exporta o &modelo desta política para um ficheiro. |
E&xport policy... Export template from this policy to a file. |
57368 | O ficheiro %s já existe. Deseja substitui-lo? |
File %s already exists. Do you want to overwrite it? |
57370 | Sem êxito | Failure |
57371 | Sem auditoria | No auditing |
57372 | O Windows não consegue atualizar as políticas. | Windows cannot update the policies. |
57373 | O Windows não consegue copiar a secção | Windows cannot copy the section |
57374 | Selecionar ficheiro a adicionar | Select File to Add |
57375 | Abrir base de dados | Open database |
57376 | Criar base de dados | Create Database |
57377 | Exportar política para | Export Policy To |
57378 | Importar política a partir de | Import Policy From |
57380 | Importar modelo | Import Template |
57381 | Exportar modelo para | Export Template To |
57382 | Definição de segurança | Security Setting |
57384 | O Windows não consegue abrir a base de dados da política local. | Windows cannot open the local policy database. |
57385 | Base de dados de política local | Local Policy Database |
57386 | A base de dados das definições de segurança locais não pode ser editada a partir do snap-in de análise e configuração da segurança. Utilize o snap-in da política de grupo para editar as definições de segurança locais. | The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings. |
57387 | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm |
57388 | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm |
57389 | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm |
57390 | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm |
57391 | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm |
57392 | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm |
57394 | Existem novas definições de política no computador. Deseja atualizar ou visualizar a política efetiva? | There are new policy settings on your computer. Do you want to update your view of the effective policy? |
57395 | Definição de computador em %s | Computer setting on %s |
57396 | Não foi possível criar esta base de dados porque não foi selecionado qualquer ficheiro de modelo. Para Abrir uma Base de Dados ExistenteClique com o botão direito do rato no item de âmbito Análise e Configuração da Segurança. Escolha Abrir Base de Dados Escolha uma base de dados e prima ABRIR Para Criar uma Nova Base de Dados Clique com o botão direito no item de âmbito Análise e Configuração da Segurança. Escolha Abrir Base de Dados. Escreva um novo nome para a base de dados e prima ABRIR. Escolha um ficheiro de configuração de segurança a importar e prima ABRIR. |
This database couldn't be created because no template file was selected. To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN. |
57397 | Substitui&r permissões existentes em todas as subchaves com permissões herdáveis | &Replace existing permissions on all subkeys with inheritable permissions |
57398 | Propagar permissões &herdáveis a todas as subchaves | &Propagate inheritable permissions to all subkeys |
57399 | Não &permitir que as permissões desta chave sejam substituídas | &Do not allow permissions on this key to be replaced |
57400 | Configurar membros para %s | Configure Membership for %s |
57401 | A permissão expira em: | Ticket expires in: |
57402 | A permissão não expira | Ticket doesn't expire. |
57403 | A renovação da permissão expira em: | Ticket renewal expires in: |
57404 | A renovação da permissão está desativada. | Ticket renewal is disabled. |
57405 | Tolerância máxima: | Maximum tolerance: |
57407 | Não aplicável | Not Applicable |
57410 | Nomes de utilizador ou grupo | User and group names |
57411 | Adicionar utilizador ou grupo | Add User or Group |
57412 | Não desligar clientes: | Do not disconnect clients: |
57413 | Desligar quando o tempo de espera ultrapassar: | Disconnect when idle time exceeds: |
57414 | Não colocar inícios de sessão em cache: | Do not cache logons: |
57415 | Cache: | Cache: |
57416 | Lançar aviso muitos dias antes da palavra-passe expirar: | Begin prompting this many days before password expires: |
57418 | &Configurar esta chave nessa altura | &Configure this key then |
57419 | Não foi possível guardar a descrição do local global | Could not save global location description |
57420 | Não foi possível guardar a descrição do local | Could not save location description |
57421 | Recarregar Recarrega a política de segurança |
Reload Reload the security policy |
57422 | Deseja guardar as alterações feitas a %1 antes de recarregar? | Save changes to %1 before reloading it? |
57423 | Definições da segurança local | Local Security Settings |
57424 | Classe de definições de segurança do WSecEdit | WSecEdit Security Settings Class |
57425 | Classe de definições de segurança locais do WSecEdit | WSecEdit Local Security Settings Class |
57428 | O snap-in das definições de segurança locais ajuda a definir a segurança do sistema local. | The Local Security Settings snap-in helps you define security on the local system. |
57430 | Classe de definições de segurança do RSOP WSecEdit | WSecEdit RSOP Security Settings Class |
57431 | O snap-in da extensão das definições de segurança RSOP expande o snap-in RSOP e ajuda a visualizar as políticas de segurança resultantes para computadores do domínio. | The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain. |
57435 | &Aplicar | &Apply |
57436 | Não foi possível determinar as definições de segurança da política de grupo que se aplicam a este computador. O erro devolvido durante a tentativa de obtenção destas definições a partir da base de dados da política de segurança (%%windir%%\security\database\secedit.sdb) foi: %s Todas as definições de segurança locais vão ser apresentadas, mas não será fornecida nenhuma indicação sobre a definição ou não de uma dada definição de segurança pela política de grupo. Todas as definições de segurança locais modificadas através desta interface de utilizador podem ser substituídas por políticas ao nível do domínio. |
The Group Policy security settings that apply to this machine could not be determined. The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies. |
57437 | Não foi possível determinar as definições de segurança da política de grupo que se aplicam a este computador. O erro devolvido durante a tentativa de obtenção destas definições a partir da base de dados da política de segurança (%%windir%%\security\database\secedit.sdb) foi: %s Todas as definições de segurança locais vão ser apresentadas, mas não será fornecida nenhuma indicação sobre a definição ou não de uma dada definição de segurança pela política de grupo. |
The Group Policy security settings that apply to this machine could not be determined. The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. |
57438 | Ficheiro de registo: | Log file: |
57439 | Nome da política | Policy Name |
57440 | Definição | Setting |
57441 | A política %1 foi aplicada corretamente. | The policy %1 was correctly applied. |
57442 | Ocorreu um erro durante a configuração de um subordinado deste objeto. (ou o motor de política tentou e falhou a configuração do subordinado de uma definição de política específica.) Para mais informações, consulte %windir%\security\logs\winlogon.log | There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log |
57443 | A política %1 resultou no seguinte erro %2. Para mais informações, consulte %windir%\security\logs\winlogon.log no computador de destino. | The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57444 | A política %1 resultou num estado inválido e foi registada. Consulte %%windir%%\security\logs\winlogon.log no computador de destino. | The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information. |
57445 | O motor de política não tentou configurar a definição. Para mais informações, consulte %windir%\security\logs\winlogon.log no computador de destino. | The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57446 | &Ver segurança... | &View Security... |
57447 | Não foi possível exportar o modelo para %1. O erro devolvido foi: %2 |
Couldn't export template to %1. The error returned was: %2 |
57448 | Guardar alterações na base de dados de segurança? | Save changes to Security Database? |
57449 | Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto | Deny log on through Remote Desktop Services |
57450 | Permitir início de sessão através dos Serviços de Ambiente de Trabalho Remoto | Allow log on through Remote Desktop Services |
57451 | Não foi possível adicionar o caminho de pesquisa do modelo | Couldn't add template search path |
57453 | \Security\Logs | \Security\Logs |
57454 | A parte de segurança desta política de grupo apenas pode ser editada no emulador PDC. | The security portion of this group policy may only be edited on the PDC Emulator. |
57455 | Esta definição não é compatível com computadores com o Windows 2000 Service Pack 1 ou anterior em execução. Aplique objetos de Política de Grupo que contenham esta definição apenas a computadores que estejam a executar uma versão posterior do sistema operativo. | This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system. |
57456 | Feche todas as páginas de propriedades antes de eliminar %1 | Close all property pages before deleting %1 |
57457 | O valor tem de se encontrar entre %d e %d | Value must be between %d and %d |
57458 | Acesso à rede: permitir tradução anónima de SID/nome | Network access: Allow anonymous SID/Name translation |
57459 | O direito de início de sessão local tem de ser concedido aos administradores. | Administrators must be granted the logon local right. |
57460 | Não pode impedir que todos os utilizadores ou administrador(es) iniciem a sessão localmente. | You cannot deny all users or administrator(s) from logging on locally. |
57461 | Algumas contas não podem ser traduzidas. | Some accounts cannot be translated. |
57462 | Para aplicar as alterações ou fechar esta folha de propriedades, feche todas as janelas secundárias. | To apply your changes or close this property sheet, close all secondary windows. |
57463 | A janela não pode ser aberta. O Windows não consegue criar uma thread UI para a folha de propriedades. | The window cannot be opened. Windows cannot create a UI thread for the property sheet. |
57464 | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm |
57465 | O que é isto? | What's this? |
57466 | sct | sct |
57467 | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm |
57468 | O valor tem de ser entre %d e %d ou 0 | Value must be between %d and %d or 0 |
57469 | Esta definição afeta apenas os sistemas operativos anteriores ao Windows Server 2003. | This setting affects only operating systems earlier than Windows Server 2003. |
57470 | Modificar esta definição pode afetar a compatibilidade com clientes, serviços e aplicações. %1 |
Modifying this setting may affect compatibility with clients, services, and applications. %1 |
57471 | Para mais informações, consulte %1. (Q%2!lu!) | For more information, see %1. (Q%2!lu!) |
57472 | Está prestes a modificar esta definição para um valor que pode afetar a compatibilidade com clientes, serviços e aplicações. %1 Pretende continuar com esta alteração? |
You are about to change this setting to a value that may affect compatibility with clients, services, and applications. %1 Do you want to continue with the change? |
57473 | Administradores e SERVICE têm de ter o privilégio de representação de cliente após autenticação | Administrators and SERVICE must be granted the impersonate client after authentication privilege |
57474 | Esta definição poderá não ser imposta se outra política estiver configurada para substituir a política de auditoria a nível de categoria. %1 |
This setting might not be enforced if other policy is configured to override category level audit policy. %1 |
57475 | Para mais informações, consulte %1 na Referência Técnica de Políticas de Segurança. | For more information, see %1 in the Security Policy Technical Reference. |
58000 | Não existe texto explicativo para esta ação | No explain text for this action |
58003 | A máquina será bloqueada após | Machine will be locked after |
58100 | Gerir Políticas de Acesso Central... Adicionar/Remover Políticas de Acesso Central para este modelo |
Manage Central Access Policies... Add/Remove Central Access Policies to this template |
58107 | Esta Política de Acesso inclui as seguintes Regras de política: | This Access Policy includes the following Policy rules: |
58108 | Estado | Status |
58109 | A transferir políticas de acesso central a partir do Active Directory... | Downloading central access policies from active directory... |
58110 | Erro: não foi possível transferir as políticas de acesso central | Error: Central access policies could not be downloaded |
58111 | Pronto... | Ready... |
58112 | !!Política Desconhecida!!: | !!Unknown Policy!!: |
58113 | Não foi possível encontrar esta política de acesso central. Poderá ter sido eliminado do Active Directory ou ter definições inválida. Restaure esta política no Centro de Administração do Active Directory (AD AC) ou remova-a da configuração. | This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration. |
59001 | Contas: limitar a utilização por parte da conta local de palavras-passe em branco apenas para início de sessão na consola | Accounts: Limit local account use of blank passwords to console logon only |
59002 | Auditoria: auditar o acesso de objetos de sistema globais | Audit: Audit the access of global system objects |
59003 | Auditoria: auditar a utilização dos privilégios de Cópia de Segurança e de Restauro | Audit: Audit the use of Backup and Restore privilege |
59004 | Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança | Audit: Shut down system immediately if unable to log security audits |
59005 | Dispositivos: impedir que os utilizadores instalem controladores de impressora | Devices: Prevent users from installing printer drivers |
59010 | Dispositivos: permitir desancoragem sem ter de iniciar sessão | Devices: Allow undock without having to log on |
59011 | Controlador de domínio: permite aos operadores de servidor agendar tarefas | Domain controller: Allow server operators to schedule tasks |
59012 | Controlador de domínio: recusar mudanças de palavra-passe de conta de computador | Domain controller: Refuse machine account password changes |
59013 | Controlador de domínio: requisitos de assinatura do servidor LDAP | Domain controller: LDAP server signing requirements |
59015 | Requer assinatura | Require signing |
59016 | Membro de domínio: desativar mudanças de palavra-passe de conta de computador | Domain member: Disable machine account password changes |
59017 | Membro de domínio: duração máxima da palavra-passe de conta de computador | Domain member: Maximum machine account password age |
59018 | Membro de domínio: encriptar digitalmente ou assinar dados de canais protegidos (sempre) | Domain member: Digitally encrypt or sign secure channel data (always) |
59019 | Membro de domínio: encriptar digitalmente dados de canais protegidos (sempre que for possível) | Domain member: Digitally encrypt secure channel data (when possible) |
59020 | Membro de domínio: assinar digitalmente dados de canais protegidos (sempre que for possível) | Domain member: Digitally sign secure channel data (when possible) |
59021 | Membro de domínio: exigir chave de sessão (Windows 2000 ou posterior) forte | Domain member: Require strong (Windows 2000 or later) session key |
59022 | Início de sessão interativo: não requerer Ctrl+Alt+Del para iniciar sessão | Interactive logon: Do not require CTRL+ALT+DEL |
59023 | Início de sessão interativo: não apresentar o último utilizador | Interactive logon: Don't display last signed-in |
59024 | Início de sessão interativo: mostra informação de utilizador quando a sessão está bloqueada | Interactive logon: Display user information when the session is locked |
59025 | Nome a apresentar do utilizador, nomes de utilizador e de domínio | User display name, domain and user names |
59026 | Apenas nome a apresentar do utilizador | User display name only |
59027 | Não mostrar informação de utilizador | Do not display user information |
59028 | Início de sessão interativo: texto da mensagem para utilizadores a tentar iniciar sessão | Interactive logon: Message text for users attempting to log on |
59029 | Início de sessão interativo: título da mensagem para utilizadores a tentar iniciar sessão | Interactive logon: Message title for users attempting to log on |
59030 | Início de sessão interativo: Número de inícios de sessão anteriores na cache (no caso do controlador de domínio não estar disponível) | Interactive logon: Number of previous logons to cache (in case domain controller is not available) |
59031 | Início de sessão interativo: pedir ao utilizador para alterar a palavra-passe antes de expirar | Interactive logon: Prompt user to change password before expiration |
59032 | Início de sessão interativo: requerer autenticação de controladores de domínio para desbloquear estação de trabalho | Interactive logon: Require Domain Controller authentication to unlock workstation |
59033 | Início de sessão interativo: Requerer Windows Hello para Empresas ou um smart card | Interactive logon: Require Windows Hello for Business or smart card |
59034 | Início de sessão interativo: comportamento de remoção de Smart card | Interactive logon: Smart card removal behavior |
59035 | Nenhuma ação | No Action |
59036 | Bloquear estação de trabalho | Lock Workstation |
59037 | Forçar terminar a sessão | Force Logoff |
59038 | Desligar se for uma sessão remota dos Serviços de Ambiente de Trabalho Remoto | Disconnect if a remote Remote Desktop Services session |
59039 | Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) | Microsoft network client: Digitally sign communications (always) |
59040 | Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar) | Microsoft network client: Digitally sign communications (if server agrees) |
59041 | Cliente de rede da Microsoft: enviar palavra-passe não encriptada para ligar a servidores SMB de terceiros | Microsoft network client: Send unencrypted password to third-party SMB servers |
59042 | Servidor de rede da Microsoft: período de tempo em inatividade necessário antes de suspender a sessão | Microsoft network server: Amount of idle time required before suspending session |
59043 | Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre) | Microsoft network server: Digitally sign communications (always) |
59044 | Servidor de rede da Microsoft: Assinar digitalmente comunicações (se o cliente concordar) | Microsoft network server: Digitally sign communications (if client agrees) |
59045 | Servidor de rede da Microsoft: desligar clientes quando expirar o horário de início de sessão | Microsoft network server: Disconnect clients when logon hours expire |
59046 | Acesso à rede: não permitir o armazenamento de palavras-passe e credenciais para autenticação de rede | Network access: Do not allow storage of passwords and credentials for network authentication |
59047 | Acesso à rede: não permitir a enumeração anónima de contas SAM | Network access: Do not allow anonymous enumeration of SAM accounts |
59048 | Acesso à rede: não permitir enumerações anónimas de contas e partilhas SAM | Network access: Do not allow anonymous enumeration of SAM accounts and shares |
59049 | Acesso à rede: Permitir que as permissões Todos sejam aplicadas a utilizadores anónimos | Network access: Let Everyone permissions apply to anonymous users |
59050 | Acesso à rede: restringir o acesso anónimo a partilhas e pipes nomeados | Network access: Restrict anonymous access to Named Pipes and Shares |
59051 | Acesso à rede: pipes nomeados que podem ser acedidos anonimamente | Network access: Named Pipes that can be accessed anonymously |
59052 | Acesso à rede: partilhas que podem ser acedidas anonimamente | Network access: Shares that can be accessed anonymously |
59053 | Acesso à rede: caminhos e subcaminhos do registo acessíveis remotamente | Network access: Remotely accessible registry paths and sub-paths |
59054 | Acesso à rede: caminhos do registo acessíveis remotamente | Network access: Remotely accessible registry paths |
59055 | Acesso à rede: Modelo de partilha e seg. para contas locais | Network access: Sharing and security model for local accounts |
59056 | Clássico - os utilizadores locais executam a autenticação pelos próprios meios | Classic - local users authenticate as themselves |
59057 | Apenas Convidado - os utilizadores locais autenticam como Convidado | Guest only - local users authenticate as Guest |
59058 | Segurança de rede: não armazenar o valor hash do LAN Manager na alteração seguinte da palavra-passe | Network security: Do not store LAN Manager hash value on next password change |
59059 | Segurança de rede: nível de autenticação LAN Manager | Network security: LAN Manager authentication level |
59060 | Enviar respostas de LM & NTLM | Send LM & NTLM responses |
59061 | Enviar LM & NTLM - usar segurança de sessão NTLMv2 se negociada | Send LM & NTLM - use NTLMv2 session security if negotiated |
59062 | Enviar apenas resposta de NTLM | Send NTLM response only |
59063 | Enviar apenas resposta de NTLMv2 | Send NTLMv2 response only |
59064 | Enviar apenas resposta NTLMv2. Recusar LM | Send NTLMv2 response only. Refuse LM |
59065 | Enviar apenas resposta NTLMv2. Recusar LM & NTLM | Send NTLMv2 response only. Refuse LM & NTLM |
59066 | Segurança de rede: segurança de sessão mínima para clientes baseados em NTLM SSP (incluindo clientes RPC protegidos) | Network security: Minimum session security for NTLM SSP based (including secure RPC) clients |
59067 | Segurança de rede: segurança de sessão mínima para servidores baseados em NTLM SSP (incluindo servidores RPC protegidos) | Network security: Minimum session security for NTLM SSP based (including secure RPC) servers |
59070 | Exigir segurança de sessão NTLMv2 | Require NTLMv2 session security |
59071 | Requer encriptação de 128 bits | Require 128-bit encryption |
59072 | Segurança de rede: requisitos de assinatura do cliente LDAP | Network security: LDAP client signing requirements |
59074 | Negociar assinatura | Negotiate signing |
59076 | Consola de recuperação: Permitir início de sessão administrativo automático | Recovery console: Allow automatic administrative logon |
59077 | Consola de recuperação: permitir cópia de disquetes e acesso a todas as unidades e pastas | Recovery console: Allow floppy copy and access to all drives and all folders |
59078 | Encerrar: permite que o sistema seja encerrado sem ter de iniciar sessão | Shutdown: Allow system to be shut down without having to log on |
59079 | Encerrar: limpa o ficheiro de paginação de memória virtual quando o sistema é encerrado | Shutdown: Clear virtual memory pagefile |
59080 | Objetos de sistema: aumentar as permissões predefinidas de objetos de sistema internos (ex.: hiperligações simbólicas) | System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) |
59081 | Objetos de sistema: proprietário predefinido para objetos criados por membros do grupo Administradores | System objects: Default owner for objects created by members of the Administrators group |
59082 | Grupo Administradores | Administrators group |
59083 | Criador de objetos | Object creator |
59084 | Objetos de sistema: exigir a não sensibilidade às maiúsculas e minúsculas para subsistemas não Windows | System objects: Require case insensitivity for non-Windows subsystems |
59085 | Criptografia do sistema: utilizar algoritmos em conformidade com FIPS para encriptação, criação de algoritmos hash e assinatura | System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing |
59086 | Criptografia de sistema: para proteção de chave forte para as chaves armazenadas neste computador | System cryptography: Force strong key protection for user keys stored on the computer |
59087 | A interação do utilizador não é necessária quando as novas chaves são utilizadas e armazenadas | User input is not required when new keys are stored and used |
59088 | O utilizador é avisado quando uma chave é utilizada pela primeira vez | User is prompted when the key is first used |
59089 | O utilizador tem de introduzir uma palavra-passe de cada vez que utilizam uma chave | User must enter a password each time they use a key |
59090 | Definições de sistema: Utilize Regras de Certificados nos Executáveis do Windows para Políticas de Restrição de Software | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies |
59091 | Definições de sistema: subsistemas opcionais | System settings: Optional subsystems |
59092 | inícios de sessão | logons |
59093 | dias | days |
59094 | minutos | minutes |
59095 | segundos | seconds |
59096 | DCOM: restrições de lançamento de computador na sintaxe da Linguagem de Definição de Descritor de Segurança (SDDL) | DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59097 | DCOM: restrições de acesso de computador na sintaxe da Linguagem de Definição de Descritor de Segurança (SDDL) | DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59098 | Dispositivos: restringir o acesso ao CD-ROM apenas aos utilizadores com início de sessão local | Devices: Restrict CD-ROM access to locally logged-on user only |
59099 | Dispositivos: permitido para formatar e ejetar suportes NTFS amovíveis | Devices: Allowed to format and eject removable media |
59100 | Administradores | Administrators |
59101 | Administradores e Utilizadores Avançados | Administrators and Power Users |
59102 | Administradores e Utilizadores Interativos | Administrators and Interactive Users |
59103 | Dispositivos: restringir o acesso à disquete apenas aos utilizadores com início de sessão local | Devices: Restrict floppy access to locally logged-on user only |
59104 | Auditoria: forçar definições de subcategoria de política de auditoria (Windows Vista ou superior) a substituir definições de categoria de política de auditoria | Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings |
59105 | Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos | Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers |
59106 | Permitir tudo | Allow all |
59107 | Negar tudo | Deny all |
59108 | Segurança de rede: Restringir NTLM: Tráfego NTLM de entrada | Network security: Restrict NTLM: Incoming NTLM traffic |
59110 | Negar contas de domínio | Deny all domain accounts |
59111 | Negar todas as contas | Deny all accounts |
59112 | Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio | Network security: Restrict NTLM: NTLM authentication in this domain |
59113 | Desativar | Disable |
59114 | Negar para contas de domínio perante servidores de domínio | Deny for domain accounts to domain servers |
59115 | Negar para contas de domínio | Deny for domain accounts |
59116 | Negar para servidores de domínio | Deny for domain servers |
59118 | Segurança de rede: Restringir NTLM: Adicionar exceções de servidores remotos para autenticação NTLM | Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication |
59119 | Segurança de rede: Restringir NTLM: Adicionar exceções de servidores neste domínio | Network security: Restrict NTLM: Add server exceptions in this domain |
59120 | Segurança de rede: Permitir a utilização de sessão NULL LocalSystem como contingência | Network security: Allow LocalSystem NULL session fallback |
59121 | Segurança de rede: Configurar tipos de encriptação permitidos para Kerberos | Network security: Configure encryption types allowed for Kerberos |
59122 | DES_CBC_CRC | DES_CBC_CRC |
59123 | DES_CBC_MD5 | DES_CBC_MD5 |
59124 | RC4_HMAC_MD5 | RC4_HMAC_MD5 |
59125 | AES128_HMAC_SHA1 | AES128_HMAC_SHA1 |
59126 | AES256_HMAC_SHA1 | AES256_HMAC_SHA1 |
59127 | Tipos de encriptação futuros | Future encryption types |
59129 | Segurança de rede: permitir que os pedidos de autenticação PKU2U para este computador utilizem identidades online.
|
Network security: Allow PKU2U authentication requests to this computer to use online identities.
|
59130 | Auditar tudo | Audit all |
59131 | Segurança de rede: Restringir NTLM: Auditar tráfego NTLM de entrada | Network security: Restrict NTLM: Audit Incoming NTLM Traffic |
59132 | Segurança de rede: Restringir NTLM: Auditar autenticação NTLM neste domínio | Network security: Restrict NTLM: Audit NTLM authentication in this domain |
59133 | Segurança de rede: Permitir que o Sistema Local utilize identidade de computador para NTLM | Network security: Allow Local System to use computer identity for NTLM |
59135 | Ativar auditoria para contas de domínio | Enable auditing for domain accounts |
59136 | Ativar auditoria para todas as contas | Enable auditing for all accounts |
59138 | Ativar para contas de domínio perante servidores de domínio | Enable for domain accounts to domain servers |
59139 | Ativar para contas de domínio | Enable for domain accounts |
59140 | Ativar para servidores de domínio | Enable for domain servers |
59141 | Ativar tudo | Enable all |
59142 | Servidor de rede Microsoft: nível de validação de nome de destino SPN de servidor | Microsoft network server: Server SPN target name validation level |
59143 | Desligado | Off |
59144 | Aceitar se fornecido pelo cliente | Accept if provided by client |
59145 | Necessário a partir do cliente | Required from client |
59146 | Servidor de rede Microsoft: tentativa S4U2Self de obter informações de afirmação | Microsoft network server: Attempt S4U2Self to obtain claim information |
59147 | Predefinição | Default |
59150 | Contas: bloquear contas Microsoft | Accounts: Block Microsoft accounts |
59151 | Esta política está desativada | This policy is disabled |
59152 | Os utilizadores não podem adicionar contas Microsoft | Users can't add Microsoft accounts |
59153 | Os utilizadores não podem adicionar nem iniciar sessão com contas Microsoft | Users can't add or log on with Microsoft accounts |
59154 | Início de sessão interativo: limiar de bloqueio da conta do computador | Interactive logon: Machine account lockout threshold |
59155 | Início de sessão interativo: limite de inatividade do computador | Interactive logon: Machine inactivity limit |
59156 | tentativas de início de sessão inválidas | invalid logon attempts |
59157 | Acesso à rede: restringir clientes autorizados a fazer chamadas remotas para SAM | Network access: Restrict clients allowed to make remote calls to SAM |
59158 | Início de sessão interativo: não apresentar o nome de utilizador no início de sessão | Interactive logon: Don't display username at sign-in |
File Description: | Módulo UI de configuração de proteção |
File Version: | 10.0.15063.0 (WinBuild.160101.0800) |
Company Name: | Microsoft Corporation |
Internal Name: | WSECEDIT |
Legal Copyright: | © Microsoft Corporation. Todos os direitos reservados. |
Original Filename: | WSecEdit.dll.mui |
Product Name: | Sistema operativo Microsoft® Windows® |
Product Version: | 10.0.15063.0 |
Translation: | 0x816, 1200 |