File name: | wsecedit.dll.mui |
Size: | 480256 byte |
MD5: | 77b602c99e12103503f687c6e3b0c987 |
SHA1: | 194257390f30c41707b8c100698c7d60ba591d16 |
SHA256: | 69b85c534d40f997365e2a4aa72891d3924cfc452a8f367c75e2f538507a1fb2 |
Operating systems: | Windows 10 |
Extension: | MUI |
If an error occurred or the following message in Polish language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.
id | Polish | English |
---|---|---|
1 | Klasa rozszerzeń WSecEdit | WSecEdit Extension Class |
2 | Nazwa | Name |
3 | Opis | Description |
4 | Zasady | Policy |
5 | Ustawienie bazy danych | Database Setting |
6 | Ustawienie komputera | Computer Setting |
7 | Szablon zabezpieczeń | Security Template |
8 | Szablony | Templates |
9 | Ostatnia konfiguracja/analiza | Last Configuration/Analysis |
10 | Szablony zabezpieczeń zdefiniowane do skonfigurowania lub zanalizowania komputera. | Security templates defined to configure or analyze a computer. |
12 | Zasady zabezpieczeń | Security Policy |
13 | Przypisywanie praw użytkownika | User Rights Assignment |
14 | Grupy z ograniczeniami | Restricted Groups |
15 | Usługi systemowe | System Services |
16 | Rejestr | Registry |
17 | System plików | File System |
19 | Przypisania praw użytkownika | User rights assignments |
21 | Ustawienia usług systemowych | System service settings |
22 | Ustawienia zabezpieczeń rejestru | Registry security settings |
23 | Ustawienia zabezpieczeń systemu plików | File system security settings |
24 | Szablony zabezpieczeń | Security Templates |
25 | (nie zapisane) | (not saved) |
26 | Ustawienia zabezpieczeń | Security Settings |
27 | Klasa konfiguracji zabezpieczeń WSecEdit | WSecEdit Security Configuration Class |
28 | Klasa menedżera zabezpieczeń WSecEdit | WSecEdit Security Manager Class |
29 | Czy na pewno chcesz usunąć %s? | Are you sure you want to delete %s? |
30 | Czy chcesz usunąć wszystkie zaznaczone elementy? | Do you want to delete all selected items? |
31 | &Analizuj komputer teraz... Porównuje bieżące ustawienia komputera z ustawieniami zabezpieczeń przechowywanymi w bazie danych. |
&Analyze Computer Now... Compares the current computer settings against the security settings in the database |
34 | &Eksportuj szablon... Eksportuje szablon podstawowy dla bieżącego komputera. |
&Export Template... Exports the base template for the current computer |
35 | &Dodaj pliki... Dodaje nowe pliki do tego szablonu. |
Add Fi&les... Adds new files to this template |
36 | Ścież&ka wyszukiwania nowego szablonu... Dodaje lokalizację szablonu do ścieżki wyszukiwania szablonów zabezpieczeń (.inf - format INF). |
&New Template Search Path... Adds a template location to the Security Templates' search path (.inf - INF format) |
37 | Nowy s&zablon... Tworzy nowy szablon. |
&New Template... Creates a new template |
38 | &Usuń ścieżkę Usuwa wybraną lokalizację ze ścieżki wyszukiwania. |
&Remove Path Removes the selected location from the search path |
39 | Odśw&ież Odświeża tę lokalizację w celu wyświetlenia ostatnio dodanych szablonów. |
Re&fresh Updates this location to display recently added templates |
40 | &Konfiguruj komputer teraz... Konfiguruje komputer zgodnie z wybranym szablonem. |
Con&figure Computer Now... Configures the computer according to the selected template |
42 | System Windows nie może zaimportować szablonu z %s | Windows cannot import the template from %s |
43 | Z&apisz jako... Zapisuje szablon pod nową nazwą. |
Save &As... Saves the template with a new name |
44 | &Kopiuj Kopiuje wybrane informacje z szablonu do Schowka. |
&Copy Copies the selected template information to the Clipboard |
45 | &Wklej Wkleja informacje ze Schowka do szablonu. |
&Paste Pastes Clipboard information into the template |
46 | GPO źródła | Source GPO |
47 | &Odśwież Odświeża dane. |
&Refresh Refreshes data |
48 | Ten obiekt można dodać tylko przy aktywnych zabezpieczeniach | Security is required to add this object |
49 | System Windows nie może zaimportować szablonu zabezpieczeń | Windows cannot import the security template |
50 | Zasady haseł | Password Policy |
51 | Maksymalny okres ważności hasła dni |
Maximum password age days |
52 | Minimalny okres ważności hasła dni |
Minimum password age days |
53 | Minimalna długość hasła znaków |
Minimum password length characters |
54 | Wymuszaj tworzenie historii haseł pamiętanych haseł |
Enforce password history passwords remembered |
55 | Hasło musi spełniać wymagania co do złożoności | Password must meet complexity requirements |
56 | Aby móc zmienić hasło, użytkownik musi się najpierw zalogować | User must log on to change the password |
57 | Zasady blokady konta | Account Lockout Policy |
58 | Próg blokady konta nieudanych prób zalogowania |
Account lockout threshold invalid logon attempts |
59 | Wyzeruj licznik blokady konta po minutach |
Reset account lockout counter after minutes |
60 | Czas trwania blokady konta minut |
Account lockout duration minutes |
61 | Czy chcesz usunąć ten szablon? | Do you want to delete this template? |
62 | Baza danych nie jest załadowana. | The database is not loaded. |
63 | Zabezpieczenia sieciowe: Wymuś wylogowanie użytkowników po upłynięciu czasu logowania | Network security: Force logoff when logon hours expire |
65 | Konta: Zmienianie nazwy konta administratora | Accounts: Rename administrator account |
67 | Konta: Zmienianie nazwy konta gościa | Accounts: Rename guest account |
68 | Załaduj ponownie Ponownie ładuje lokalne i efektywne tabele zasad z bazy danych zasad |
Reload Reloads the local and effective policy tables from the policy database |
69 | Nazwa grupy | Group Name |
70 | Dziennik zdarzeń | Event Log |
71 | Maksymalny rozmiar dziennika systemu kilobajtów |
Maximum system log size kilobytes |
72 | Metoda przechowywania dziennika systemu | Retention method for system log |
73 | Przechowuj dziennik systemu przez dni |
Retain system log days |
74 | Maksymalny rozmiar dziennika zabezpieczeń kilobajtów |
Maximum security log size kilobytes |
75 | Metoda przechowywania dziennika zabezpieczeń | Retention method for security log |
76 | Przechowuj dziennik zabezpieczeń przez dni |
Retain security log days |
77 | Maksymalny rozmiar dziennika aplikacji kilobajtów |
Maximum application log size kilobytes |
78 | Metoda przechowywania dziennika aplikacji | Retention method for application log |
79 | Przechowuj dziennik aplikacji przez dni |
Retain application log days |
80 | Zakończ działanie komputera po zapełnieniu dziennika inspekcji zabezpieczeń | Shut down the computer when the security audit log is full |
81 | Zasady inspekcji | Audit Policy |
82 | Tryb inspekcji zdarzeń | Event Auditing Mode |
83 | Przeprowadź inspekcję zdarzeń systemowych | Audit system events |
84 | Przeprowadź inspekcję zdarzeń logowania | Audit logon events |
85 | Przeprowadź inspekcję dostępu do obiektów | Audit object access |
86 | Przeprowadź inspekcję użycia uprawnień | Audit privilege use |
87 | Przeprowadź inspekcję zmian zasad | Audit policy change |
88 | Przeprowadź inspekcję zarządzania kontami | Audit account management |
89 | Przeprowadź inspekcję śledzenia procesów | Audit process tracking |
90 | Opcje zabezpieczeń | Security Options |
92 | Niezdefiniowane | Not Defined |
95 | Nie można dodać członków | Cannot add members |
96 | Nie można wyświetlić zabezpieczeń | Cannot display security |
97 | Nie można dodać użytkowników | Cannot add users |
98 | Nie można dodać obiektu katalogu | Cannot add directory object |
99 | Nie można dodać folderu | Cannot add a folder |
100 | -- Członkowie | -- Members |
102 | Ta nazwa pliku zawiera znaki, których nie może rozpoznać bieżący system operacyjny. Zmień nazwę pliku. | This file name contains some characters that can not be recognized by current system language. Please rename it. |
103 | Uprawnienie | Permission |
104 | Inspekcja | Audit |
106 | System Windows nie może dodać pliku. | Windows cannot add a file. |
107 | Nazwa szablonu nie jest prawidłowa. | The template name is not valid. |
108 | Wystąpił błąd podczas eksportowania magazynowanego szablonu. | An error occurred while exporting the stored template. |
109 | System Windows nie może dodać klucza rejestru | Windows cannot add a registry key |
110 | Pełna kontrola | Full Control |
111 | Modyfikacja | Modify |
112 | Odczyt i wykonywanie | Read and Execute |
113 | Wyświetlanie zawartości folderu | List Folder Contents |
114 | Odczyt | Read |
115 | Zapis | Write |
116 | Przechodzenie przez folder/Wykonywanie pliku | Traverse Folder/Execute File |
117 | Usuwanie | Delete |
120 | Brak | None |
124 | Badanie wartości | Query Value |
125 | Ustawianie wartości | Set Value |
126 | Tworzenie podklucza | Create Subkey |
127 | Wyliczanie podkluczy | Enumerate Subkeys |
128 | Powiadamianie | Notify |
129 | Tworzenie linku | Create Link |
130 | Wykonywanie | Execute |
131 | Nie można utworzyć wątku. | Cannot create a thread |
132 | Nie można było sprawdzić poniższych kont: %1 |
The following accounts could not be validated: %1 |
141 | Nazwa pliku dziennika | Log File Name |
143 | Wykonaj analizę zabezpieczeń | Perform Security Analysis |
144 | Ustawienia zasad zabezpieczeń | Security policy settings |
146 | Konfiguracja i analiza zabezpieczeń v1.0 |
Security Configuration and Analysis v1.0 |
147 | Konfiguracja i analiza zabezpieczeń jest narzędziem administracyjnym służącym do zabezpieczania komputera i analizowania różnych aspektów systemu zabezpieczeń. Pozwala ono na utworzenie lub zmodyfikowanie szablonu zabezpieczeń, zastosowanie szablonu, wykonanie analiz w oparciu o szablon oraz wyświetlenie wyników analizy. | Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results. |
148 | Ostatnią analizę wykonano |
Last analysis was performed on |
149 | Opis podstawowej konfiguracji zabezpieczeń: |
Base security configuration description: |
150 | Komputer skonfigurowano na podstawie następującego szablonu. Analiza nie została wykonana. |
The computer was configured by the following template. Analysis was not performed. |
151 | Baza danych nie została skonfigurowana lub zanalizowana za pomocą narzędzia Konfiguracja i analiza zabezpieczeń. | The database has not been configured or analyzed using Security Configuration and Analysis. |
152 | Informacje o Konfiguracji i analizie zabezpieczeń | About Security Configuration and Analysis |
153 | Informacje o ostatniej analizie | About Last Analysis |
154 | Dodaj lokalizację szablonu do szablonów zabezpieczeń | Add a Template Location to Security Templates |
165 | Nazwa obiektu | Object Name |
166 | Niezgodne wartości | Inconsistent Values |
168 | Otwieranie szablonu | Open Template |
169 | Szablon zabezpieczeń (.inf)|*.inf|| | Security Template (.inf)|*.inf|| |
170 | inf | inf |
171 | Otwieranie pliku dziennika błędów | Open Error Log File |
172 | log | log |
173 | Pliki dziennika (.log)|*.log|| | Log files (.log)|*.log|| |
193 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations |
194 | System Windows nie może otworzyć pliku szablonu. | Windows cannot open template file. |
195 | System Windows nie może odczytać informacji o szablonie. | Windows cannot read template information. |
196 | We wybranej bazie danych nie ma żadnych informacji z analiz do wyświetlenia. Użyj opcji menu Analizuj, by rozpocząć korzystanie z tego narzędzia. | There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool. |
197 | 0 | 0 |
198 | W razie potrzeby | As needed |
199 | Według dni | By days |
200 | Ręcznie | Manually |
201 | Włączony | Enabled |
202 | Wyłączony | Disabled |
210 | Członkowie | Members |
211 | Członek grupy | Member Of |
214 | CLASSES_ROOT | CLASSES_ROOT |
215 | MACHINE | MACHINE |
216 | USERS | USERS |
217 | Sukces | Succeeded |
229 | Nieznany błąd | Unknown error |
232 | \Security\Templates | \Security\Templates |
233 | Uzyskiwanie dostępu do tego komputera z sieci | Access this computer from the network |
234 | Zezwalaj na logowanie lokalne | Allow log on locally |
235 | Nie można zapisać | Failed to save |
236 | &Zapisz Zapisuje szablon. |
&Save Save the template |
237 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit | Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
238 | Dodaj folder | Add Folder |
239 | Dodaj &folder... Dodaje nowy folder do tego szablonu. |
Add &Folder... Adds a new folder to this template |
240 | Dodaj &klucz... Dodaje nowy klucz do tego szablonu. |
Add &Key... Adds a new key to this template |
241 | Dodaj &grupę... Dodaje nową grupę do tego szablonu. |
Add &Group... Adds a new group to this template |
248 | Nazwa usługi | Service Name |
249 | Autostart | Startup |
250 | Zanalizowano | Analyzed |
251 | Skonfigurowano | Configured |
252 | Automatycznie | Automatic |
254 | OK | OK |
255 | Zbadaj | Investigate |
256 | Zabezpieczenia bazy danych dla | Database Security for |
257 | Ostatnio analizowane zabezpieczenia dla | Last Analyzed Security for |
258 | Zabezpieczenia dla | Security for |
262 | Członkostwo grupy | Group Membership |
263 | Członkowie tej grupy | Members of this group |
266 | Zasady konta | Account Policies |
267 | Zasady blokowania hasła i konta | Password and account lockout policies |
268 | Zasady lokalne | Local Policies |
269 | Zasady inspekcji, praw użytkowników i opcji zabezpieczeń | Auditing, user rights and security options policies |
271 | Ustawienia dziennika zdarzeń i przeglądarka zdarzeń | Event Log settings and Event Viewer |
272 | Przeprowadź inspekcję dostępu do usługi katalogowej | Audit directory service access |
273 | Przeprowadzanie inspekcji zdarzeń logowania na kontach | Audit account logon events |
275 | Odmawiaj dostępu lokalnej grupie gości do dziennika systemu | Prevent local guests group from accessing system log |
276 | Odmawiaj dostępu lokalnej grupie gości do dziennika zabezpieczeń | Prevent local guests group from accessing security log |
277 | Odmawiaj dostępu lokalnej grupie gości do dziennika aplikacji | Prevent local guests group from accessing application log |
278 | Zawsze | Always |
281 | Ignoruj | Ignore |
284 | Zamień | Replace |
286 | Logowanie w trybie wsadowym | Log on as a batch job |
287 | Logowanie w trybie usługi | Log on as a service |
288 | Obiekty usługi Active Directory | Active Directory Objects |
289 | Menedżer zabezpieczeń obiektów usługi Active Directory | Security management of Active Directory objects |
290 | Dodaj &obiekt katalogu Dodaje obiekt usługi Active Directory do tego szablonu. |
Add Directory &Object Adds an Active Directory object to this template |
293 | Wyświetlanie zawartości folderu/Odczyt danych | List folder / Read data |
294 | Odczyt atrybutów | Read attributes |
295 | Odczyt atrybutów rozszerzonych | Read extended attributes |
296 | Tworzenie plików/Zapis danych | Create files / Write data |
297 | Tworzenie folderów/Dołączanie danych | Create folders / Append data |
298 | Zapis atrybutów | Write attributes |
299 | Zapis atrybutów rozszerzonych | Write extended attributes |
300 | Usuwanie podfolderów i plików | Delete subfolders and files |
302 | Odczyt uprawnień | Read permissions |
303 | Zmiana uprawnień | Change permissions |
304 | Przejęcie na własność | Take ownership |
305 | Synchronizowanie | Synchronize |
306 | Odczyt, zapis i wykonywanie | Read, Write and Execute |
307 | Zapis i wykonywanie | Write and Execute |
308 | Przechodzenie/Wykonywanie | Traverse / Execute |
309 | Tylko ten folder | This folder only |
310 | Ten folder, podfoldery i pliki | This folder, subfolders and files |
311 | Ten folder i podfoldery | This folder and subfolders |
312 | Ten folder i pliki | This folder and files |
313 | Tylko podfoldery i pliki | Subfolders and files only |
314 | Tylko podfoldery | Subfolders only |
315 | Tylko pliki | Files only |
316 | Tylko ten klucz | This key only |
317 | Ten klucz i podklucze | This key and subkeys |
318 | Tylko podklucze | Subkeys only |
321 | Rozpocznij, zatrzymaj i wstrzymaj | Start, stop and pause |
322 | Szablon zapytań | Query template |
323 | Zmień szablon | Change template |
324 | Stan zapytań | Query status |
325 | Wymień zależne | Enumerate dependents |
326 | Rozpocznij | Start |
327 | Zatrzymaj | Stop |
328 | Wstrzymaj i kontynuuj | Pause and continue |
329 | Pytaj | Interrogate |
330 | Kontrola zdefiniowana przez użytkownika | User-defined control |
335 | Tworzenie potomków | Create children |
336 | Usuwanie potomków | Delete children |
337 | Wyświetlanie zawartości | List contents |
338 | Dodawanie/Usuwanie siebie | Add/remove self |
339 | Odczyt właściwości | Read properties |
340 | Zapis właściwości | Write properties |
341 | Tylko ten kontener | This container only |
342 | Ten kontener i podkontenery | This container and subcontainers |
343 | Tylko podkontenery | Subcontainers only |
344 | [[Konfiguracja zasad komputera lokalnego ]] | [[Local Computer Policy Configuration ]] |
345 | Konto nie daje się zablokować. | Account will not lock out. |
346 | Hasło można zmienić natychmiast. | Password can be changed immediately. |
347 | Hasło nie jest wymagane. | No password required. |
348 | Nie przechowuj historii haseł. | Do not keep password history. |
349 | Hasło wygaśnie za: | Password will expire in: |
350 | Hasło można zmienić później: | Password can be changed after: |
351 | Hasło musi mieć co najmniej: | Password must be at least: |
352 | Przechowuj historię haseł dla: | Keep password history for: |
353 | Konto zostanie zablokowane po: | Account will lock out after: |
354 | Konto jest zablokowane na: | Account is locked out for: |
355 | Zastąp zdarzenia starsze niż: | Overwrite events older than: |
356 | Hasło nie wygaśnie. | Password will not expire. |
357 | Konto pozostanie zablokowane, dopóki nie odblokuje go administrator. | Account is locked out until administrator unlocks it. |
359 | Zapisz hasła korzystając z szyfrowania odwracalnego | Store passwords using reversible encryption |
360 | Zasady protokołu Kerberos | Kerberos Policy |
361 | Wymuszaj ograniczenia logowania użytkowników | Enforce user logon restrictions |
362 | Maksymalna tolerancja synchronizacji zegara komputerowego minut |
Maximum tolerance for computer clock synchronization minutes |
363 | Maksymalny okres istnienia biletu usługi minut |
Maximum lifetime for service ticket minutes |
364 | Maksymalny okres istnienia biletu użytkownika godzin |
Maximum lifetime for user ticket hours |
365 | Maksymalny okres istnienia odnowienia biletu użytkownika dni |
Maximum lifetime for user ticket renewal days |
366 | Dodaj członka | Add Member |
368 | Za mało pamięci do wyświetlenia tej sekcji | There is not enough memory to display this section |
369 | Nie są dostępne żadne informacje na temat ostatniej analizy | No information is available about the last analysis |
370 | System Windows nie może zapisać zmienionych szablonów. | Windows cannot save changed templates. |
372 | Konfiguracja i analiza zabezpieczeń | Security Configuration and Analysis |
374 | &Importuj szablon... Importuje szablon do tej bazy danych. |
&Import Template... Import a template into this database |
376 | System Windows nie może utworzyć lub otworzyć %s | Windows cannot create or open %s |
377 | Zlokalizuj plik dziennika błędów | Locate error log file |
378 | sdb | sdb |
379 | Pliki baz danych zabezpieczeń (*.sdb)|*.sdb|Wszystkie pliki (*.*)|*.*|| | Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*|| |
380 | Zastosuj szablon do komputera | Apply Template to Computer |
381 | Ścieżka do pliku z dziennikiem błędów, w którym rejestrowany będzie przebieg konfiguracji komputera | Error log file path to record the progress of configuring the computer |
382 | &Zabezpieczenia... | &Security... |
383 | Edytuj zabezpieczenia dla tego elementu | Edit security for this item |
384 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration |
385 | &Zabezpieczenia... Edytuje zabezpieczenia dla tego elementu. |
&Security... Edit security for this item |
386 | EnvironmentVariables | EnvironmentVariables |
387 | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| |
388 | O&twieranie bazy danych... Otwiera istniejącą lub nową bazę danych. |
O&pen Database... Open an existing or new database |
389 | &Nowa baza danych... Tworzy i otwiera nową bazę danych. |
&New Database... Create and open a new database |
390 | Us&taw opis... Tworzy opis dla szablonów w tym katalogu. |
Set Descri&ption... Create a description for the templates in this directory |
392 | \help\sce.chm | \help\sce.chm |
395 | Wszystkie pliki (*.*)|*.*|| | All files (*.*)|*.*|| |
396 | Baza danych: %s | Database: %s |
397 | Podczas próby otwarcia bazy danych wystąpił nieznany błąd. | An unknown error occurred when attempting to open the database. |
398 | Aby można było używać bazy danych, należy ją najpierw zanalizować. W celu wykonania analizy wybierz odpowiednie polecenie z menu Baza danych. | Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis. |
399 | Baza danych, którą chcesz otworzyć, nie istnieje. W menu Baza danych, kliknij polecenie Importuj szablon. | The database you are attempting to open does not exist. On the Database menu, click Import Template. |
400 | Baza danych jest uszkodzona. Informacje na temat naprawiania bazy danych można znaleźć w Pomocy online. | The database is corrupt. For information about fixing the database, see online Help. |
401 | Za mało pamięci do załadowania bazy danych. Zamknij niektóre programy i spróbuj ponownie. | There is not enough memory available to load the database. Close some programs and then try again. |
402 | Odmówiono dostępu do bazy danych. Jeśli prawa dostępu do bazy danych nie zostaną zmienione, do jej używania niezbędne są uprawnienia administratora. | Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it. |
403 | \Security\Database | \Security\Database |
404 | Czy chcesz zapisać zmiany wprowadzone w %s? | Do you want to save changes to %s? |
405 | Istnieje oczekujący po imporcie szablon. Aby go zapisać, kliknij przycisk Anuluj i uruchom analizę lub konfigurację przed zaimportowaniem następnego szablonu. Aby zignorować poprzednio zaimportowany szablon, kliknij przycisk OK. |
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK. |
406 | Wszystkie wybrane pliki | All Selected Files |
407 | Odmowa logowania lokalnego | Deny log on locally |
408 | Odmowa dostępu do tego komputera z sieci | Deny access to this computer from the network |
409 | Odmowa logowania w trybie usługi | Deny log on as a service |
410 | Odmowa logowania w trybie wsadowym | Deny log on as a batch job |
411 | Dodawanie grupy | Add Group |
412 | &Grupa: | &Group: |
413 | Nie zanalizowane | Not Analyzed |
414 | Wystąpił błąd podczas analizy | Error Analyzing |
416 | Sugerowane ustawienie | Suggested Setting |
417 | Zasady lokalne ... Utwórz plik szablonu na podstawie ustawień zasad lokalnych |
Local Policy ... Create template file from the local policy settings |
418 | Zasady efektywne ... Utwórz plik szablonu na podstawie ustawień zasad efektywnych |
Effective Policy ... Create template file from the effective policy settings |
419 | Konfiguracja i analiza zabezpieczeń Aby otworzyć istniejącą bazę danych Kliknij prawym przyciskiem myszy element zakresu Konfiguracja i analiza zabezpieczeń Wybierz polecenie Otwórz bazę danych Wybierz bazę danych i kliknij przycisk Otwórz Aby utworzyć nową bazę danych Kliknij prawym przyciskiem myszy element zakresu Konfiguracja i analiza zabezpieczeń Wybierz polecenie Otwórz bazę danych Wpisz nazwę nowej bazy danych, a następnie kliknij przycisk Otwórz Wybierz szablon zabezpieczeń do importu i kliknij przycisk Otwórz | Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open |
420 | ||
422 | Baza danych, którą chcesz otworzyć, nie istnieje. | The database you are attempting to open does not exist. |
423 | Możesz utworzyć nową, lokalną bazę danych zasad, wybierając polecenie Importuj zasady z menu Ustawienia zabezpieczeń. | You can create a new local policy database by choosing Import Policy from the Security Settings menu commands. |
424 | Odmówiono dostępu do bazy danych. | Access to database has been denied. |
425 | Wyświet&l plik dziennika Przełącza widok pliku dziennika lub drzewa folderu, kiedy zaznaczony jest węzeł Konfiguracja i analiza zabezpieczeń. |
View Lo&g File Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected |
426 | Teraz możesz skonfigurować lub zanalizować swój komputer, korzystając z ustawień zabezpieczeń z tej bazy danych. Aby skonfigurować komputerKliknij prawym przyciskiem myszy element zakresu Konfiguracja i analiza zabezpieczeńWybierz polecenie Konfiguruj komputer terazW oknie dialogowym wpisz nazwę pliku dziennika, który chcesz wyświetlić, po czym kliknij przycisk OKUWAGA: Po zakończeniu konfiguracji należy przeprowadzić analizę, by móc przeglądać informacje we własnej bazie danychAby zanalizować ustawienia zabezpieczeń komputera Kliknij prawym przyciskiem myszy element zakresu Konfiguracja i analiza zabezpieczeńWybierz polecenie Analizuj komputer terazW oknie dialogowym wpisz ścieżkę do pliku i kliknij przycisk OKUWAGA: Aby wyświetlić plik dziennika tworzony w trakcie konfiguracji lub analizy, wybierz polecenie Wyświetl plik dziennika z menu kontekstowego Konfiguracja i analiza zabezpieczeń. | You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu. |
427 | Wystąpił błąd podczas próby odczytu ze wskazanej lokalizacji | Error Reading Location |
429 | Ustawienie zasad | Policy Setting |
430 | &Kreator zabezpieczeń... Kreator roli serwera zabezpieczeń |
Secure &Wizard... Secure Server Role Wizard |
431 | System Windows nie może zaimportować nieprawidłowego szablonu %s | Windows cannot import invalid template %s |
432 | Konta: Stan konta administratora | Accounts: Administrator account status |
433 | Konta: Stan konta gościa | Accounts: Guest account status |
434 | Właściwości | Properties |
435 | Nazwa użytkownika jest nieprawidłowa. Jest pusta lub może nie zawierać żadnego z następujących znaków: %1 |
The username is not valid. It is empty or it may not contain any of the following characters: %1 |
436 | Brak minimum | No minimum |
437 | Nazwy użytkowników i grup nie mogą zawierać żadnego z następujących znaków: %1 |
User and group names may not contain any of the following characters: %1 |
438 | System nie może odnaleźć określonej ścieżki: %1 |
The system can not find the path specified: %1 |
439 | Nazwa pliku nie może zawierać żadnego z następujących znaków: %1 |
File name may not contain any of the following characters: %1 |
440 | Należy wybrać tryb uruchamiania. | A startup mode must be selected. |
441 | Nie można usunąć obiektu "%1", ponieważ otwarte okno wyświetla jego właściwości. Aby usunąć ten obiekt, zamknij to okno i ponownie wybierz polecenie Usuń. |
Object "%1" cannot be deleted because an open window is displaying its properties. To delete this object, close that window and select "Delete" again. |
442 | Trwa konfigurowanie członkostwa dla %.17s... | Configure Membership for %.17s... |
443 | Wyzeruj licznik blokady konta po | Reset account lockout counter after |
444 | &Ustaw opis... Tworzy opis dla tego szablonu. |
Set Descri&ption... Create a description for this template |
445 | Opis nie może zawierać żadnego z następujących znaków: %1 |
Description may not contain any of the following characters: %1 |
446 | Ustawienie szablonu | Template Setting |
449 | Upewnij się, że masz odpowiednie uprawnienia do tego obiektu. | Make sure that you have the right permissions to this object. |
450 | Upewnij się, że ten obiekt istnieje. | Make sure that this object exists. |
451 | Nie można użyć folderu %1. Wybierz inny folder. | The folder %1 cannot be used. Choose another folder. |
452 | Mój komputer | My Computer |
453 | Nazwa pliku jest za długa. | The file name is too long. |
552 | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm |
697 | Nazwa pliku może zawierać nie tylko następujące znaki: %1 |
File name may not only contain any of the following characters: %1 |
698 | %1 Ta nazwa pliku jest zarezerwowaną nazwą urządzenia. Wybierz inną nazwę. |
%1 This file name is a reserved device name. Choose another name. |
699 | Typ pliku jest nieprawidłowy. | The file type is not correct. |
700 | Aby wykonać żądaną operację, musisz być członkiem grupy Administratorzy. | You must be a member of the Administrators group to perform the requested operation. |
701 | Nazwa pliku %1 jest nieprawidłowa. Ponownie wprowadź nazwę pliku w poprawnym formacie, takim jak c:\lokalizacja\plik.%2. |
The file name %1 is not valid. Reenter the file name in the correct format, such as c:\location\file.%2. |
702 | Nie utworzono mapowania między nazwami kont a identyfikatorami zabezpieczeń | No mapping between account names and security IDs was done |
709 | Aby ustawienie miało wpływ na konta domeny, musi być zdefiniowane w domyślnych zasadach domeny. | To affect domain accounts, this setting must be defined in default domain policy. |
718 | Zasady zabezpieczeń lokalnych | Local Security Policy |
740 | %1%2 | %1%2 |
741 | %1%2 %3 |
%1%2 %3 |
745 | Specjalny | Special |
753 | Ustawienia zabezpieczeń dotyczące dostępu zdalnego do menedżera SAM | Security Settings for Remote Access to SAM |
754 | Dostęp zdalny | Remote Access |
762 | Centralne zasady dostępu | Central Access Policy |
763 | Centralne zasady dostępu zastosowane do systemu plików | Central Access Policies applied to the file system |
764 | !!Nieznana zasada!!: | !!Unknown policy!!: |
765 | %1 %2 | %1 %2 |
1900 | Wymuszaj tworzenie historii haseł
To ustawienie zabezpieczeń określa liczbę unikatowych nowych haseł, które muszą być skojarzone z kontem użytkownika, zanim będzie można ponowie użyć starego hasła. Wartość musi należeć do przedziału od 0 do 24 haseł. Ta zasada umożliwia administratorom zwiększenie poziomu zabezpieczeń, ponieważ pozwala zagwarantować, że stare hasła nie będą używane ponownie. Wartość domyślna: 24 na kontrolerach domeny. 0 na serwerach autonomicznych. Uwaga: domyślnie komputery członkowskie mają taką samą konfigurację jak ich kontrolery domeny. Aby zachować efektywność historii haseł, nie należy zezwalać na zmienianie haseł zaraz po poprzedniej zmianie, włączając ustawienie zasad zabezpieczeń Minimalny okres ważności hasła. Aby uzyskać informacje dotyczące ustawienia zasad zabezpieczeń Minimalny okres ważności hasła, zobacz Minimalny okres ważności hasła. |
Enforce password history
This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords. This policy enables administrators to enhance security by ensuring that old passwords are not reused continually. Default: 24 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age. |
1901 | Maksymalny okres ważności hasła
To ustawienie zabezpieczeń określa liczbę dni, przez jaką można używać hasła, zanim system nie zażąda, aby użytkownik je zmienił. Można określić, aby hasła wygasały po upływie od 1 do 999 dni, ale można też określić, że hasła nigdy nie będą wygasać, wprowadzając liczbę dni równą 0. Jeśli maksymalny okres ważności hasła należy do przedziału od 1 do 999 dni, minimalny okres ważności hasła musi być od niego mniejszy. Jeśli maksymalny okres ważności hasła jest równy 0, minimalny okres ważności hasła może być dowolną wartością z przedziału od 0 do 998 dni. Uwaga: Istnieje najważniejsza wskazówka dotycząca zabezpieczeń, która zaleca, aby hasła wygasały po upływie od 30 do 90 dni, w zależności od danego środowiska. Dzięki temu osoba atakująca ma ograniczoną ilość czasu na złamanie hasła użytkownika i uzyskanie dostępu do zasobów sieciowych. Wartość domyślna: 42. |
Maximum password age
This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days. Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources. Default: 42. |
1902 | Minimalny okres ważności hasła
To ustawienie zabezpieczeń określa liczbę dni, przez jaką hasło musi być używane, zanim użytkownik będzie mógł je zmienić. Można ustawić wartość z przedziału od 1 do 998 lub zezwolić na natychmiastową zmianę hasła, ustawiając liczbę dni równą 0. Minimalny okres ważności hasła musi być mniejszy niż maksymalny okres ważności hasła, chyba że maksymalny okres ważności hasła jest ustawiony na 0, co oznacza, że hasła nigdy nie wygasają. Jeśli maksymalny okres ważności hasła jest równy 0, minimalny okres ważności hasła może być dowolną wartością z przedziału od 0 do 998 dni. Minimalny okres ważności hasła musi mieć wartość większą niż 0, jeśli ma obowiązywać zasada Wymuszaj tworzenie historii haseł. Bez minimalnego okresu ważności hasła użytkownicy mogą szybko zmienić hasło tyle razy, aby móc wrócić do ulubionego, starego hasła. Ponieważ ustawienie domyślne nie jest zgodne z tym zaleceniem, administrator może określić hasło dla użytkownika, a następnie zażądać, aby podczas logowania użytkownik zmienił hasło zdefiniowane przez administratora. Jeśli ustawienie historii haseł ma wartość 0, użytkownik nie musi wybierać nowego hasła. Z tego powodu ustawienie Wymuszaj tworzenie historii haseł domyślnie ma wartość 1. Wartość domyślna: 1 na kontrolerach domeny. 0 na serwerach autonomicznych. Uwaga: domyślnie komputery członkowskie mają taką samą konfigurację jak ich kontrolery domeny. |
Minimum password age
This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998. Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default. Default: 1 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1903 | Minimalna długość hasła
To ustawienie zabezpieczeń określa minimalną liczbę znaków, z których może składać się hasło konta użytkownika. Można ustawić wartość z przedziału od 1 do 14 lub wskazać, że hasło nie jest wymagane, ustawiając liczbę znaków równą 0. Wartość domyślna: 7 na kontrolerach domeny. 0 na serwerach autonomicznych. Uwaga: domyślnie komputery członkowskie mają taką samą konfigurację jak ich kontrolery domeny. |
Minimum password length
This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0. Default: 7 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1904 | Hasło musi spełniać wymagania co do złożoności
To ustawienie zabezpieczeń określa, czy hasła muszą spełniać wymagania dotyczące złożoności. Jeśli ta zasada jest włączona, hasła muszą spełniać następujące minimalne wymagania: Nie mogą zawierać nazwy konta użytkownika ani części jego pełnej nazwy dłuższej niż dwa kolejne znaki. Muszą składać się z co najmniej sześciu znaków. Musza zawierać znaki z trzech spośród następujących czterech kategorii: Wielkie litery alfabetu łacińskiego (od A do Z) Małe litery alfabetu łacińskiego (od a do z) Cyfry systemu dziesiętnego (od 0 do 9) Znaki niealfabetyczne (na przykład !, $, #, %) Wymagania dotyczące złożoności są wymuszane podczas zmienienia lub tworzenia hasła. Wartość domyślna: Włączone na kontrolerach domeny. Wyłączone na serwerach autonomicznych. Uwaga: domyślnie komputery członkowskie mają taką samą konfigurację jak ich kontrolery domeny. |
Password must meet complexity requirements
This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length Contain characters from three of the following four categories: English uppercase characters (A through Z) English lowercase characters (a through z) Base 10 digits (0 through 9) Non-alphabetic characters (for example, !, $, #, %) Complexity requirements are enforced when passwords are changed or created. Default: Enabled on domain controllers. Disabled on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1905 | Zapisz hasła, korzystając z szyfrowania odwracalnego
To ustawienie zabezpieczeń określa, czy system operacyjny używa szyfrowania odwracalnego do przechowywania haseł. Ta zasada umożliwia obsługę aplikacji używających protokołów, które wymagają znajomości hasła użytkownika na potrzeby uwierzytelniania. Przechowywanie haseł przy użyciu szyfrowania odwracalnego w istocie nie różni się od przechowywania haseł w postaci zwykłego tekstu. Dlatego też nigdy nie należy włączać tej zasady, chyba że wymagania aplikacji będą ważniejsze niż wymagania dotyczące ochrony haseł. Ta zasada jest wymagana podczas uwierzytelniania za pomocą protokołu uwierzytelniania typu Challenge-Handshake na potrzeby dostępu zdalnego lub usług uwierzytelniania internetowego (IAS). Jest także wymagana, gdy w Internetowych usługach informacyjnych (IIS) jest używane uwierzytelnianie szyfrowane. Wartość domyślna: Wyłączone. |
Store passwords using reversible encryption
This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Default: Disabled. |
1906 | Czas trwania blokady konta
To ustawienie zabezpieczeń określa liczbę minut, przez jaką zablokowane konto pozostanie zablokowane przed automatycznym odblokowaniem go. Wartości tego ustawienia mogą należeć do przedziału od 0 minut do 99 999 minut. Jeśli czas trwania blokady konta będzie mieć wartość 0, konto pozostanie zablokowane, dopóki administrator nie odblokuje go osobiście. Jeśli zdefiniowano próg blokady konta, czas trwania blokady konta musi być większy lub równy czasowi resetowania. Wartość domyślna: brak, ponieważ to ustawienie zasad dotyczy tylko sytuacji, gdy jest określony próg blokady konta. |
Account lockout duration
This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1907 | Próg blokady konta
To ustawienie zabezpieczeń określa liczbę nieudanych prób logowania, jaka powoduje zablokowanie konta użytkownika. Zablokowanego konta nie można używać, dopóki nie zostanie zresetowane przez administratora lub nie upłynie czas trwania blokady konta. Liczba nieudanych prób logowania może należeć do przedziału od 0 do 999. Ustawienie wartości 0 spowoduje, że konto nigdy nie będzie blokowane. Nieudane próby podania hasła na stacjach roboczych lub serwerach członkowskich, które zostały zablokowane za pomocą kombinacji klawiszy CTRL+ALT+DELETE lub są chronione hasłem wygaszaczy ekranu, są traktowane jako nieudane próby logowania. Wartość domyślna: 0. |
Account lockout threshold
This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts. Default: 0. |
1908 | Wyzeruj licznik blokady konta po
To ustawienie zabezpieczeń określa liczbę minut, jaka musi upłynąć od nieudanej próby logowania, aby licznik nieudanych prób logowania został wyzerowany. Wartości tego ustawienia mogą należeć do przedziału od 1 minuty do 99 999 minut. Jeśli zdefiniowano próg blokady konta, ten czas resetowania musi być mniejszy lub równy czasowi trwania blokady konta. Wartość domyślna: brak, ponieważ to ustawienie zasad dotyczy tylko sytuacji, gdy jest określony próg blokady konta. |
Reset account lockout counter after
This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes. If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1909 | Wymuszaj ograniczenia logowania użytkowników
To ustawienie zabezpieczeń określa, czy centrum dystrybucji kluczy (KDC) protokołu Kerberos w wersji 5 sprawdza zgodność każdego żądania biletu sesji z zasadami praw użytkownika danego konta użytkownika. Sprawdzanie poprawności każdego żądania biletu sesji jest opcjonalne, ponieważ ta dodatkowa czynność zabiera czas i może spowolnić sieciowy dostęp do usług. Wartość domyślna: Włączone. |
Enforce user logon restrictions
This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services. Default: Enabled. |
1910 | Maksymalny okres istnienia biletu usługi
To ustawienie zabezpieczeń określa maksymalną ilość czasu (w minutach), w trakcie którego można używać udzielonego biletu sesji w celu uzyskiwania dostępu do określonej usługi. Wartość tego ustawienia musi być większa niż 10 minut i nie może przekraczać wartości ustawienia Maksymalny okres istnienia biletu użytkownika. Jeśli podczas żądania połączenia z serwerem klient przedstawi wygasły bilet sesji, serwer zwróci komunikat o błędzie. Klient musi zażądać nowego biletu sesji w centrum dystrybucji kluczy (KDC) protokołu Kerberos w wersji 5. Jednak po uwierzytelnieniu połączenia nie ma już znaczenia, czy bilet sesji pozostanie ważny. Bilety sesji są używane wyłącznie w celu uwierzytelniania nowych połączeń z serwerami. Kolejne operacje nie są przerywane, jeśli bilet sesji użyty w celu uwierzytelnienia połączenia wygaśnie w trakcie korzystania z połączenia. Wartość domyślna: 600 minut (10 godzin). |
Maximum lifetime for service ticket
This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket. If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection. Default: 600 minutes (10 hours). |
1911 | Maksymalny okres istnienia biletu użytkownika
To ustawienie zabezpieczeń określa maksymalną ilość czasu (w godzinach), w trakcie którego można używać biletu uprawniającego do przyznania biletu (TGT) użytkownika. Wartość domyślna: 10 godzin. |
Maximum lifetime for user ticket
This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used. Default: 10 hours. |
1912 | Maksymalny okres istnienia odnowienia biletu użytkownika
To ustawienie zabezpieczeń określa liczbę dni, przez jaką można odnowić bilet uprawniający do przyznania biletu (TGT) użytkownika. Wartość domyślna: 7 dni. |
Maximum lifetime for user ticket renewal
This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed. Default: 7 days. |
1913 | Maksymalna tolerancja synchronizacji zegara komputera
To ustawienie zabezpieczeń określa maksymalną tolerowaną przez protokół Kerberos w wersji 5 różnicę (w minutach) między godziną zegara klienta a godziną na kontrolerze domeny z systemem Windows Server 2003, który zapewnia uwierzytelnianie Kerberos. W celu zapobiegania „atakom typu powtórzenie” sygnatury czasowe stanowią część definicji protokołu Kerberos w wersji 5. Aby sygnatury czasowe działały poprawnie, zegary klienta i kontrolera domeny muszą być jak najlepiej zsynchronizowane. Innymi słowy oba komputery muszą mieć taką samą godzinę i datę. Ponieważ zegary dwóch komputerów często nie są zsynchronizowane, administratorzy mogą używać tej zasady, aby określić maksymalną akceptowaną przez protokół Kerberos w wersji 5 różnicę między godziną zegara klienta a godziną zegara kontrolera domeny. Jeśli różnica między godziną zegara klienta a godziną zegara kontrolera domen jest mniejsza niż maksymalna różnica czasu określona w tej zasadzie, wszystkie sygnatury czasowe używane w sesji między tymi dwoma komputerami będą uważane za autentyczne. Ważne W systemach starszych niż Vista to ustawienie nie jest trwałe. Jeśli po skonfigurowaniu tego ustawienia komputer zostanie uruchomiony ponownie, zostanie przywrócona wartość domyślna tego ustawienia. Wartość domyślna: 5 minut. |
Maximum tolerance for computer clock synchronization
This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication. To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic. Important This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value. Default: 5 minutes. |
1914 | Przeprowadź inspekcję zdarzeń logowania na kontach
To ustawienie zabezpieczeń określa, czy każda weryfikacja poświadczeń konta na tym komputerze ma być poddawana inspekcji w systemie operacyjnym. Zdarzenia logowania na kontach są generowane, gdy poświadczenia konta są weryfikowane przez komputer autorytatywny dla tego konta. Członkowie domeny i komputery nieprzyłączone do domeny są autorytatywne dla swoich kont lokalnych, kontrolery domen są autorytatywne dla wszystkich kont w domenie. Weryfikacja poświadczeń może służyć logowaniu lokalnemu lub — w przypadku konta domeny usługi Active Directory na kontrolerze domeny — logowaniu na innym komputerze. Weryfikacja poświadczeń jest bezstanowa, zatem nie istnieje zdarzenie wylogowania odpowiadające zdarzeniu logowania na koncie. Jeśli to ustawienie zasad jest zdefiniowane, administrator może określić, czy inspekcji mają być poddawane wyłącznie sukcesy, wyłącznie niepowodzenia, zarówno sukcesy, jak i niepowodzenia, czy te zdarzenia wcale nie będą poddawane inspekcji (ani sukcesy, ani niepowodzenia). Wartości domyślne w wersjach dla klienta: Weryfikacja poświadczeń: Brak inspekcji Operacje biletów usługi Kerberos: Brak inspekcji Inne zdarzenia logowania na kontach: Brak inspekcji Usługa uwierzytelniania Kerberos: Brak inspekcji Wartości domyślne w wersjach dla serwera: Weryfikacja poświadczeń: Sukces Operacje biletów usługi Kerberos: Sukces Inne zdarzenia logowania na kontach: Brak inspekcji Usługa uwierzytelniania Kerberos: Sukces Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, należy użyć ustawień w węźle Konfiguracja zaawansowanych zasad inspekcji. Aby uzyskać więcej informacji dotyczących konfiguracji zaawansowanych zasad inspekcji, zobacz https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account logon events
This security setting determines whether the OS audits each time this computer validates an account’s credentials. Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Credential Validation: No Auditing Kerberos Service Ticket Operations: No Auditing Other Account Logon Events: No Auditing Kerberos Authentication Service: No Auditing Default values on Server editions: Credential Validation: Success Kerberos Service Ticket Operations: Success Other Account Logon Events: No Auditing Kerberos Authentication Service: Success Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1915 | Przeprowadź inspekcję zarządzania kontami
To ustawienie zabezpieczeń określa, czy każde zdarzenie zarządzania kontami na komputerze ma być poddawane inspekcji. Przykłady zdarzeń zarządzania kontami są następujące: Utworzenie, zmiana lub usunięcie konta użytkownika lub grupy. Zmiana nazwy, wyłączenie lub włączenie konta użytkownika. Ustawienie lub zmiana hasła. Jeśli to ustawienie zasad jest zdefiniowane, można określić, czy inspekcji mają być poddawane sukcesy, niepowodzenia, czy zdarzenia tego typu wcale nie będą poddawane inspekcji. Inspekcje sukcesów generują wpis inspekcji, gdy zdarzenie zarządzania kontami zakończy się pomyślnie. Inspekcje niepowodzeń generują wpis inspekcji, gdy zdarzenie zarządzania kontami nie powiedzie się. Aby dla tego ustawienia wybrać wartość Brak inspekcji, w oknie dialogowym Właściwości dotyczącym tego ustawienia zasad zaznacz pole wyboru Definiuj następujące ustawienia zasad oraz wyczyść pola wyboru Sukces i Niepowodzenie. Wartości domyślne w wersjach dla klienta: Zarządzanie kontami użytkowników: Sukces Zarządzanie kontami komputerów: Brak inspekcji Zarządzanie grupami zabezpieczeń: Sukces Zarządzanie grupami dystrybucyjnymi: Brak inspekcji Zarządzanie grupami aplikacji: Brak inspekcji Inne zdarzenia zarządzania kontami: Brak inspekcji Wartości domyślne w wersjach dla serwera: Zarządzanie kontami użytkowników: Sukces Zarządzanie kontami komputerów: Sukces Zarządzanie grupami zabezpieczeń: Sukces Zarządzanie grupami dystrybucyjnymi: Brak inspekcji Zarządzanie grupami aplikacji: Brak inspekcji Inne zdarzenia zarządzania kontami: Brak inspekcji Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, należy użyć ustawień w węźle Konfiguracja zaawansowanych zasad inspekcji. Aby uzyskać więcej informacji dotyczących konfiguracji zaawansowanych zasad inspekcji, zobacz https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account management
This security setting determines whether to audit each event of account management on a computer. Examples of account management events include: A user account or group is created, changed, or deleted. A user account is renamed, disabled, or enabled. A password is set or changed. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default values on Client editions: User Account Management: Success Computer Account Management: No Auditing Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Default values on Server editions: User Account Management: Success Computer Account Management: Success Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1916 | Przeprowadź inspekcję dostępu do usługi katalogowej
To ustawienie zabezpieczeń określa, czy próby uzyskania dostępu przez użytkownika do obiektów usługi Active Directory mają być poddawane inspekcji w systemie operacyjnym. Inspekcja jest generowana jedynie w przypadku obiektów, dla których określono systemowe listy kontroli dostępu (SACL), i tylko wtedy, gdy typ żądanego dostępu (np. zapis, odczyt lub modyfikacja) oraz konto zgłaszające żądanie są zgodne z ustawieniami na liście SACL. Administrator może określić, czy inspekcji mają być poddawane tylko sukcesy, tylko niepowodzenia, zarówno sukcesy, jak i niepowodzenia, czy te zdarzenia wcale nie będą poddawane inspekcji (ani sukcesy, ani niepowodzenia). Jeśli inspekcja sukcesów jest włączona, wpis inspekcji jest generowany za każdym razem, gdy dowolne konto pomyślnie uzyska dostęp do obiektu usługi Active Directory, dla którego jest określona zgodna lista SACL. Jeśli inspekcja niepowodzeń jest włączona, wpis inspekcji jest generowany za każdym razem, gdy nie powiedzie się uzyskanie dostępu przez dowolnego użytkownika do obiektu usługi Active Directory, dla którego jest określona zgodna lista SACL. Wartości domyślne w wersjach dla klienta: Dostęp do usługi katalogowej: Brak inspekcji Zmiany usługi katalogowej: Brak inspekcji Replikacja usługi katalogowej: Brak inspekcji Szczegółowa replikacja usługi katalogowej: Brak inspekcji Wartości domyślne w wersjach dla serwera: Dostęp do usługi katalogowej: Sukces Zmiany usługi katalogowej: Brak inspekcji Replikacja usługi katalogowej: Brak inspekcji Szczegółowa replikacja usługi katalogowej: Brak inspekcji Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, należy użyć ustawień w węźle Konfiguracja zaawansowanych zasad inspekcji. Aby uzyskać więcej informacji dotyczących konfiguracji zaawansowanych zasad inspekcji, zobacz https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit directory service access
This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified. Default values on Client editions: Directory Service Access: No Auditing Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Default values on Server editions: Directory Service Access: Success Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1917 | Przeprowadź inspekcję zdarzeń logowania
To ustawienie zabezpieczeń określa, czy każda próba zalogowania się do tego komputera lub wylogowania się podjęta przez użytkownika ma być poddawana inspekcji w systemie operacyjnym. Zdarzenie wylogowania jest generowane wtedy, gdy sesja logowania konta zalogowanego użytkownika zostaje zakończona. Jeśli to ustawienie zasad jest zdefiniowane, administrator może określić, czy inspekcji mają być poddawane wyłącznie sukcesy, wyłącznie niepowodzenia, zarówno sukcesy, jak i niepowodzenia, czy te zdarzenia wcale nie będą poddawane inspekcji (ani sukcesy, ani niepowodzenia). Wartości domyślne w wersjach dla klienta: Logowanie: Sukces Wylogowanie: Sukces Blokada konta: Sukces Tryb główny protokołu IPsec: Brak inspekcji Tryb szybki protokołu IPsec: Brak inspekcji Tryb rozszerzony protokołu IPsec: Brak inspekcji Logowanie specjalne: Sukces Inne zdarzenia logowania/wylogowywania: Brak inspekcji Serwer zasad sieciowych: Sukces, Niepowodzenie Wartości domyślne w wersjach dla serwera: Logowanie: Sukces, Niepowodzenie Wylogowanie: Sukces Blokada konta: Sukces Tryb główny protokołu IPsec: Brak inspekcji Tryb szybki protokołu IPsec: Brak inspekcji Tryb rozszerzony protokołu IPsec: Brak inspekcji Logowanie specjalne: Sukces Inne zdarzenia logowania/wylogowywania: Brak inspekcji Serwer zasad sieciowych: Sukces, Niepowodzenie Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, należy użyć ustawień w węźle Konfiguracja zaawansowanych zasad inspekcji. Aby uzyskać więcej informacji dotyczących konfiguracji zaawansowanych zasad inspekcji, zobacz https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit logon events
This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer. Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Logon: Success Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Default values on Server editions: Logon: Success, Failure Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1918 | Przeprowadź inspekcję dostępu do obiektów
To ustawienie zabezpieczeń określa, czy próby uzyskania dostępu przez użytkownika do obiektów spoza usługi Active Directory mają być poddawane inspekcji w systemie operacyjnym. Inspekcja jest generowana jedynie w przypadku obiektów, dla których określono systemowe listy kontroli dostępu (SACL), i tylko wtedy, gdy typ żądanego dostępu (np. zapis, odczyt lub modyfikacja) oraz konto zgłaszające żądanie są zgodne z ustawieniami na liście SACL. Administrator może określić, czy inspekcji mają być poddawane tylko sukcesy, tylko niepowodzenia, zarówno sukcesy, jak i niepowodzenia, czy te zdarzenia wcale nie będą poddawane inspekcji (ani sukcesy, ani niepowodzenia). Jeśli inspekcja sukcesów jest włączona, wpis inspekcji jest generowany za każdym razem, gdy dowolne konto pomyślnie uzyska dostęp do obiektu spoza usługi Active Directory, dla którego jest określona zgodna lista SACL. Jeśli inspekcja niepowodzeń jest włączona, wpis inspekcji jest generowany za każdym razem, gdy nie powiedzie się uzyskanie dostępu przez dowolnego użytkownika do obiektu spoza usługi Active Directory, dla którego jest określona zgodna lista SACL. Uwaga: listę SACL można ustawić w obiekcie systemu plików przy użyciu karty Zabezpieczenia w oknie dialogowym Właściwości dotyczącym tego obiektu. Wartość domyślna: Brak inspekcji Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, należy użyć ustawień w węźle Konfiguracja zaawansowanych zasad inspekcji. Aby uzyskać więcej informacji dotyczących konfiguracji zaawansowanych zasad inspekcji, zobacz https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit object access
This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified. Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box. Default: No auditing. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1919 | Przeprowadź inspekcję zmian zasad
To ustawienie zabezpieczeń określa, czy każda próba zmiany zasad przypisywania praw użytkownika, zasad inspekcji, zasad konta lub zasad zaufania ma być poddawana inspekcji w systemie operacyjnym. Administrator może określić, czy inspekcji mają być poddawane tylko sukcesy, tylko niepowodzenia, zarówno sukcesy, jak i niepowodzenia, czy te zdarzenia wcale nie będą poddawane inspekcji (ani sukcesy, ani niepowodzenia). Jeśli inspekcja sukcesów jest włączona, wpis inspekcji jest generowany wtedy, gdy próba zmiany zasad przypisywania praw użytkownika, zasad inspekcji lub zasad zaufania powiedzie się. Jeśli inspekcja niepowodzeń jest włączona, wpis inspekcji jest generowany wtedy, gdy próba zmiany zasad przypisywania praw użytkownika, zasad inspekcji lub zasad zaufania jest podejmowana przez konto nieautoryzowane do wprowadzania żądanych zmian zasad. Wartość domyślna: Zmiana zasad inspekcji: Sukces Zmiana zasad uwierzytelniania: Sukces Zmiana zasad autoryzacji: Brak inspekcji Zmiana zasad na poziomie reguły MPSSVC: Brak inspekcji Zmiana zasad platformy filtrowania: Brak inspekcji Inne zdarzenia zmiany zasad: Brak inspekcji Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, należy użyć ustawień w węźle Konfiguracja zaawansowanych zasad inspekcji. Aby uzyskać więcej informacji dotyczących konfiguracji zaawansowanych zasad inspekcji, zobacz https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit policy change
This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful. If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change. Default: Audit Policy Change: Success Authentication Policy Change: Success Authorization Policy Change: No Auditing MPSSVC Rule-Level Policy Change: No Auditing Filtering Platform Policy Change: No Auditing Other Policy Change Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1920 | Przeprowadź inspekcję użycia uprawnień
To ustawienie zabezpieczeń określa, czy każdy przypadek skorzystania z prawa użytkownika ma być poddawany inspekcji. Jeśli to ustawienie zasad jest zdefiniowane, można określić, czy inspekcji mają być poddawane sukcesy, niepowodzenia, czy zdarzenia tego typu wcale nie będą poddawane inspekcji. Inspekcje sukcesów generują wpis inspekcji, gdy skorzystanie z prawa użytkownika powiedzie się. Inspekcje niepowodzeń generują wpis inspekcji, gdy skorzystanie z prawa użytkownika nie powiedzie się. Aby dla tego ustawienia wybrać wartość Brak inspekcji, w oknie dialogowym Właściwości dotyczącym tego ustawienia zasad zaznacz pole wyboru Definiuj następujące ustawienia zasad oraz wyczyść pola wyboru Sukces i Niepowodzenie. Wartość domyślna: Brak inspekcji Inspekcje nie są generowane w przypadku korzystania z następujących praw użytkownika, nawet jeśli w ustawieniu Przeprowadź inspekcję użycia uprawnień określono inspekcje sukcesów lub niepowodzeń. Włączenie inspekcji tych praw użytkownika mogłoby spowodować generowanie dużej liczby zdarzeń w dzienniku zabezpieczeń oraz zmniejszenie wydajności komputera. Aby następujące prawa użytkownika były poddawane inspekcji, włącz klucz rejestru FullPrivilegeAuditing. Obejdź sprawdzanie przy przechodzeniu Debuguj programy Utwórz obiekt tokenu Zamień token na poziomie procesu Generuj inspekcje zabezpieczeń Wykonuj kopie zapasowe plików i katalogów Przywracaj pliki i katalogi Przestroga Niepoprawne edytowanie rejestru może spowodować poważne uszkodzenie systemu. Przed wprowadzeniem zmian w rejestrze należy wykonać kopię zapasową wszystkich cennych danych, które znajdują się na komputerze. Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, należy użyć ustawień w węźle Konfiguracja zaawansowanych zasad inspekcji. Aby uzyskać więcej informacji dotyczących konfiguracji zaawansowanych zasad inspekcji, zobacz https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit privilege use
This security setting determines whether to audit each instance of a user exercising a user right. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default: No auditing. Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key. Bypass traverse checking Debug programs Create a token object Replace process level token Generate security audits Back up files and directories Restore files and directories Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1921 | Przeprowadź inspekcję śledzenia procesów
To ustawienie zabezpieczeń określa, czy zdarzenia związane z procesami, takie jak utworzenie procesu, zakończenie procesu, duplikacja dojścia i pośredni dostęp do obiektu, mają być poddawane inspekcji w systemie operacyjnym. Jeśli to ustawienie zasad jest zdefiniowane, administrator może określić, czy inspekcji mają być poddawane tylko sukcesy, tylko niepowodzenia, zarówno sukcesy, jak i niepowodzenia, czy te zdarzenia wcale nie będą poddawane inspekcji (ani sukcesy, ani niepowodzenia). Jeśli inspekcja sukcesów jest włączona, wpis inspekcji jest generowany za każdym razem, gdy system operacyjny wykona jedno z tych działań związanych z procesami. Jeśli inspekcja niepowodzeń jest włączona, wpis inspekcji jest generowany za każdym razem, gdy system operacyjny nie może wykonać jednego z tych działań. Wartość domyślna: Brak inspekcji Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, należy użyć ustawień w węźle Konfiguracja zaawansowanych zasad inspekcji. Aby uzyskać więcej informacji dotyczących konfiguracji zaawansowanych zasad inspekcji, zobacz https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit process tracking
This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities. If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities. Default: No auditing\r Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1922 | Przeprowadź inspekcję zdarzeń systemowych
To ustawienie zabezpieczeń określa, czy następujące zdarzenia mają być poddawane inspekcji w systemie operacyjnym: • Próba zmiany czasu systemowego • Próba uruchomienia lub zamknięcia systemu zabezpieczeń • Próba załadowania składników uwierzytelniania rozszerzonego • Utrata zdarzeń poddawanych inspekcji z powodu awarii systemu inspekcji • Rozmiar dziennika zabezpieczeń przekraczający skonfigurowany próg ostrzegawczy Jeśli to ustawienie zasad jest zdefiniowane, administrator może określić, czy inspekcji mają być poddawane tylko sukcesy, tylko niepowodzenia, zarówno sukcesy, jak i niepowodzenia, czy te zdarzenia wcale nie będą poddawane inspekcji (ani sukcesy, ani niepowodzenia). Jeśli inspekcja sukcesów jest włączona, wpis inspekcji jest generowany za każdym razem, gdy system operacyjny pomyślnie wykona jedno z tych działań. Jeśli inspekcja niepowodzeń jest włączona, wpis inspekcji jest generowany za każdym razem, gdy system operacyjny mimo podjętej próby nie może wykonać jednego z tych działań. Wartość domyślna: Zmiana stanu zabezpieczeń — Sukces Rozszerzenie systemu zabezpieczeń — Brak inspekcji Integralność systemu — Sukces, Niepowodzenie Sterownik IPsec — Brak inspekcji Inne zdarzenia systemowe — Sukces, Niepowodzenie Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, należy użyć ustawień w węźle Konfiguracja zaawansowanych zasad inspekcji. Aby uzyskać więcej informacji dotyczących konfiguracji zaawansowanych zasad inspekcji, zobacz https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit system events
This security setting determines whether the OS audits any of the following events: • Attempted system time change • Attempted security system startup or shutdown • Attempt to load extensible authentication components • Loss of audited events due to auditing system failure • Security log size exceeding a configurable warning threshold level. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully. If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities. Default: Security State Change Success Security System Extension No Auditing System Integrity Success, Failure IPsec Driver No Auditing Other System Events Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1923 | Uzyskiwanie dostępu do tego komputera z sieci
To prawo użytkownika określa, którzy użytkownicy i grupy mogą łączyć się z komputerem przez sieć. To prawo użytkownika nie ma wpływu na usługi pulpitu zdalnego. Uwaga: w poprzednich wersjach systemu Windows Server usługi pulpitu zdalnego były nazywane usługami terminalowymi. Wartość domyślna na stacjach roboczych i serwerach: Administratorzy Operatorzy kopii zapasowych Użytkownicy Wszyscy Wartość domyślna na kontrolerach domeny: Administratorzy Użytkownicy uwierzytelnieni Kontrolery domeny przedsiębiorstwa Wszyscy Dostęp zgodny z systemami starszymi niż Windows 2000 |
Access this computer from the network
This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default on workstations and servers: Administrators Backup Operators Users Everyone Default on domain controllers: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access |
1924 | Działanie jako część systemu operacyjnego
To prawo użytkownika umożliwia procesom personifikowanie dowolnego użytkownika bez uwierzytelniania. Taki proces może uzyskać dostęp do tych samych zasobów lokalnych co dany użytkownik. Procesy wymagające tego uprawnienia powinny używać konta System lokalny, które zawiera już to uprawnienie, zamiast odrębnego konta użytkownika, któremu to uprawnienie trzeba specjalnie przypisać. Jeśli w organizacji są używane tylko serwery z systemami z rodziny Windows Server 2003, nie trzeba przypisywać użytkownikom tego uprawnienia. Jeśli jednak w organizacji są używane serwery z systemem Windows 2000 lub Windows NT 4.0, przypisanie tego uprawnienia może być konieczne, aby można było używać aplikacji wymieniających hasła w postaci zwykłego tekstu. Przestroga Przypisanie tego prawa użytkownika może stanowić zagrożenie bezpieczeństwa. To prawo użytkownika należy przypisywać tylko zaufanym użytkownikom. Wartość domyślna: Brak. |
Act as part of the operating system
This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: None. |
1925 | Dodawanie stacji roboczych do domeny
To ustawienie zabezpieczeń określa, które grupy lub użytkownicy mogą dodawać stacje robocze do domeny. To ustawienie zabezpieczeń jest prawidłowe tylko na kontrolerach domeny. Domyślnie każdy uwierzytelniony użytkownik ma to prawo i może utworzyć do 10 kont komputerów w domenie. Dodanie konta komputera do domeny umożliwia komputerowi korzystanie z sieci opartej na usłudze Active Directory. Na przykład dodanie stacji roboczej do domeny umożliwia stacji roboczej rozpoznawanie kont i grup istniejących w usłudze Active Directory. Wartość domyślna: Uwierzytelnieni użytkownicy na kontrolerach domeny. Uwaga: użytkownicy, którzy mają uprawnienie do tworzenia obiektów komputera w kontenerze komputerów usługi Active Directory, również mogą tworzyć konta komputerów w domenie. Różnica polega na tym, że użytkownicy mający uprawnienia w kontenerze nie są ograniczeni możliwością tworzenia tylko 10 kont komputerów. Ponadto właścicielem kont komputerów tworzonych za pomocą ustawienia Dodawanie stacji roboczych do domeny jest grupa administratorów domeny, a właścicielem kont komputerów tworzonych przy użyciu uprawnień w kontenerze komputerów jest ich twórca. Jeśli użytkownik ma uprawnienia w kontenerze oraz prawo użytkownika Dodawanie stacji roboczych do domeny, komputer jest dodawany przy użyciu uprawnień w kontenerze komputerów, a nie prawa użytkownika. |
Add workstations to domain
This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right. |
1926 | Dostosuj przydziały pamięci dla procesów
To uprawnienie określa, kto może zmienić maksymalny rozmiar pamięci używanej przez proces. To prawo użytkownika jest definiowane w obiekcie zasad grupy (GPO) domyślnego kontrolera domeny i w zasadach zabezpieczeń lokalnych stacji roboczych oraz serwerów. Uwaga: To uprawnienie jest użyteczne podczas dostrajania systemu, ale może być też używane nieprawidłowo, na przykład w ataku typu „odmowa usługi”. Wartość domyślna: Administratorzy Usługa lokalna Usługa sieciowa. |
Adjust memory quotas for a process
This privilege determines who can change the maximum memory that can be consumed by a process. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack. Default: Administrators Local Service Network Service. |
1927 | Logowanie lokalne
Określa, którzy użytkownicy mogą logować się do tego komputera. Ważne Modyfikacja tego ustawienia może mieć wpływ na zgodność z klientami, usługami i aplikacjami. Aby uzyskać informacje o zgodności związane z tym ustawieniem, zobacz temat Zezwalanie na logowanie lokalne (https://go.microsoft.com/fwlink/?LinkId=24268) w witrynie internetowej firmy Microsoft. Wartość domyślna: • Na stacjach roboczych i serwerach: Administratorzy, Operatorzy kopii zapasowych, Użytkownicy zaawansowani, Użytkownicy i Gość. • Na kontrolerach domeny: Operatorzy kont, Administratorzy, Operatorzy kopii zapasowych i Operatorzy drukowania. |
Log on locally
Determines which users can log on to the computer. Important Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website. Default: • On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest. • On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators. |
1928 | Zezwalaj na logowanie za pomocą usług pulpitu zdalnego
To ustawienie zabezpieczeń określa, którzy użytkownicy i grupy mają uprawnienie do logowania się za pomocą klienta usług pulpitu zdalnego. Wartość domyślna: Na stacjach roboczych i serwerach: Administratorzy, Użytkownicy pulpitu zdalnego Na kontrolerach domeny: Administratorzy Ważne To ustawienie nie będzie obowiązywać na komputerach z systemem Windows 2000, który nie został zaktualizowany za pomocą dodatku Service Pack 2. |
Allow log on through Remote Desktop Services
This security setting determines which users or groups have permission to log on as a Remote Desktop Services client. Default: On workstation and servers: Administrators, Remote Desktop Users. On domain controllers: Administrators. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1929 | Wykonuj kopie zapasowe plików i katalogów
To prawo użytkownika określa, którzy użytkownicy nie potrzebują uprawnień do plików i katalogów, rejestru oraz innych trwałych obiektów, aby wykonać kopię zapasową systemu. W szczególności działanie tego prawa użytkownika jest podobne do skutków udzielenia użytkownikowi lub grupie następujących uprawnień do wszystkich plików i folderów w systemie: Przechodzenie przez folder/Wykonywanie pliku Wyświetlanie zawartości folderu/Odczyt danych Odczyt atrybutów Odczyt atrybutów rozszerzonych Odczyt uprawnień Przestroga Przypisanie tego prawa użytkownika może stanowić zagrożenie bezpieczeństwa. Ponieważ nie istnieje metoda zagwarantowania, że użytkownik wykonujący kopię zapasową danych nie wykradnie ich lub nie skopiuje w celu rozpowszechniania, to prawo użytkownika należy przypisywać tylko zaufanym użytkownikom. Wartość domyślna na stacjach roboczych i serwerach: Administratorzy Operatorzy kopii zapasowych Wartość domyślna na kontrolerach domeny: Administratorzy Operatorzy kopii zapasowych Operatorzy serwerów |
Back up files and directories
This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Read Permissions Caution Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users. Default on workstations and servers: Administrators Backup Operators. Default on domain controllers:Administrators Backup Operators Server Operators |
1930 | Obejdź sprawdzanie przy przechodzeniu
To prawo użytkownika określa, którzy użytkownicy mogą przechodzić przez drzewa katalogów, nawet jeśli nie mają uprawnień w katalogu, przez który przechodzą. To uprawnienie nie umożliwia użytkownikowi wyświetlania zawartości katalogu, a jedynie przechodzenie przez katalogi. To prawo użytkownika jest definiowane w obiekcie zasad grupy (GPO) domyślnego kontrolera domeny i w zasadach zabezpieczeń lokalnych stacji roboczych oraz serwerów. Wartość domyślna na stacjach roboczych i serwerach: Administratorzy Operatorzy kopii zapasowych Użytkownicy Wszyscy Usługa lokalna Usługa sieciowa Wartość domyślna na kontrolerach domeny: Administratorzy Użytkownicy uwierzytelnieni Wszyscy Usługa lokalna Usługa sieciowa Dostęp zgodny z systemami starszymi niż Windows 2000 |
Bypass traverse checking
This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Backup Operators Users Everyone Local Service Network Service Default on domain controllers: Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access |
1931 | Zmień czas systemowy
To prawo użytkownika określa, którzy użytkownicy i grupy mogą zmieniać datę i godzinę wewnętrznego zegara komputera. Użytkownicy, którym przypisano to prawo użytkownika, mogą wpływać na wygląd dzienników zdarzeń. Po zmianie czasu systemowego rejestrowane zdarzenia będą odzwierciedlać nowy czas, a nie rzeczywisty czas wystąpienia zdarzenia. To prawo użytkownika jest definiowane w obiekcie zasad grupy (GPO) domyślnego kontrolera domeny i w zasadach zabezpieczeń lokalnych stacji roboczych oraz serwerów. Wartość domyślna na stacjach roboczych i serwerach: Administratorzy Usługa lokalna Wartość domyślna na kontrolerach domeny: Administratorzy Operatorzy serwerów Usługa lokalna |
Change the system time
This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Local Service Default on domain controllers: Administrators Server Operators Local Service |
1932 | Utwórz plik stronicowania
To prawo użytkownika określa, którzy użytkownicy i grupy mogą wywołać wewnętrzny interfejs programowania aplikacji (API) w celu utworzenia i zmiany rozmiaru pliku stronicowania. To prawo użytkownika jest używane wewnętrznie przez system operacyjny i zazwyczaj nie trzeba go przypisywać żadnym użytkownikom. Aby uzyskać informacje dotyczące sposobu określania rozmiaru pliku stronicowania dla danego dysku, zobacz Zmienianie rozmiaru pliku stronicowania pamięci wirtualnej. Wartość domyślna: Administratorzy. |
Create a pagefile
This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users. For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file. Default: Administrators. |
1933 | Utwórz obiekt tokenu
To ustawienie zabezpieczeń określa, jakich kont mogą używać procesy w celu utworzenia tokenu, który następnie będzie używany do uzyskiwania dostępu do dowolnych zasobów lokalnych, gdy proces utworzy token dostępu za pomocą wewnętrznego interfejsu programowania aplikacji (API). To prawo użytkownika jest używane wewnętrznie przez system operacyjny. Jeśli nie jest to konieczne, nie należy przypisywać tego prawa użytkownika użytkownikowi, grupie ani procesowi innemu niż System lokalny. Przestroga Przypisanie tego prawa użytkownika może stanowić zagrożenie bezpieczeństwa. Tego prawa użytkownika nie należy przypisywać użytkownikowi, grupie ani procesowi, który nie powinien mieć możliwości przejęcia kontroli nad systemem. Wartość domyślna: Brak. |
Create a token object
This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token. This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default: None |
1934 | Utwórz obiekty globalne
To ustawienie zabezpieczeń określa, czy użytkownicy mogą tworzyć obiekty globalne dostępne dla wszystkich sesji. Użytkownicy mogą tworzyć obiekty dostępne we własnej sesji, nawet jeśli nie mają tego uprawnienia. Użytkownicy mogący tworzyć obiekty globalne mogą wpływać na procesy działające w sesjach innych użytkowników, co może prowadzić do awarii aplikacji lub uszkodzenia danych. Przestroga Przypisanie tego prawa użytkownika może stanowić zagrożenie bezpieczeństwa. To prawo użytkownika należy przypisywać tylko zaufanym użytkownikom. Wartość domyślna: Administratorzy Usługa lokalna Usługa sieciowa Usługa |
Create global objects
This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption. Caution Assigning this user right can be a security risk. Assign this user right only to trusted users. Default: Administrators Local Service Network Service Service |
1935 | Utwórz trwałe obiekty udostępnione
To prawo użytkownika określa, których kont procesy mogą używać do tworzenia obiektu katalogu przy użyciu menedżera obiektów. To prawo użytkownika jest używane wewnętrznie przez system operacyjny i jest wykorzystywane przez składniki działające w trybie jądra, które rozszerzają obszar nazw obiektów. Ponieważ składniki działające w trybie jądra mają już przypisane to prawo użytkownika, nie trzeba go specjalnie przypisywać. Wartość domyślna: Brak. |
Create permanent shared objects
This user right determines which accounts can be used by processes to create a directory object using the object manager. This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it. Default: None. |
1936 | Debuguj programy
To prawo użytkownika określa, którzy użytkownicy mogą dołączać debuger do dowolnego procesu lub jądra. Deweloperzy debugujący własne aplikacje nie muszą przypisywać sobie tego prawa użytkownika. Jednak deweloperzy muszą mieć to prawo użytkownika, aby mogli debugować nowe składniki systemu. To prawo użytkownika zapewnia pełny dostęp do ważnych i krytycznych składników systemu operacyjnego. Przestroga Przypisanie tego prawa użytkownika może stanowić zagrożenie bezpieczeństwa. To prawo użytkownika należy przypisywać tylko zaufanym użytkownikom. Wartość domyślna: Administratorzy |
Debug programs
This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators |
1937 | Odmowa dostępu do tego komputera z sieci
To ustawienie zabezpieczeń określa, którzy użytkownicy nie mogą uzyskać dostępu do tego komputera z sieci. To ustawienie zasad jest nadrzędne wobec ustawienia Dostęp do tego komputera z sieci, jeśli konto użytkownika podlega obu tym zasadom. Wartość domyślna: Gość |
Deny access to this computer from the network
This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies. Default: Guest |
1938 | Odmowa logowania w trybie wsadowym
To ustawienie zabezpieczeń określa, które konta nie mogą logować się w trybie wsadowym. To ustawienie zasad zastępuje ustawienie zasad Logowanie w trybie wsadowym, jeśli konto użytkownika podlega obu tym zasadom. Wartość domyślna: Brak. |
Deny log on as a batch job
This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies. Default: None. |
1939 | Odmowa logowania w trybie usługi
To ustawienie zabezpieczeń określa, które konta usług nie mogą rejestrować procesu w trybie usługi. To ustawienie zasad jest nadrzędne wobec ustawienia Logowanie w trybie usługi, jeśli konto użytkownika podlega obu tym zasadom. Uwaga: to ustawienie zabezpieczeń nie dotyczy kont System, Usługa lokalna i Usługa sieciowa. Wartość domyślna: Brak. |
Deny log on as a service
This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies. Note: This security setting does not apply to the System, Local Service, or Network Service accounts. Default: None. |
1940 | Odmowa logowania lokalnego
To ustawienie zabezpieczeń określa, którzy użytkownicy nie mogą logować się do tego komputera. To ustawienie zasad jest nadrzędne wobec ustawienia Zezwalaj na logowanie lokalne, jeśli konto użytkownika podlega obu tym zasadom. Ważne Zastosowanie tej zasady zabezpieczeń do grupy Wszyscy spowoduje, że żaden użytkownik nie będzie mógł logować się lokalnie. Wartość domyślna: Brak. |
Deny log on locally
This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies. Important If you apply this security policy to the Everyone group, no one will be able to log on locally. Default: None. |
1941 | Odmawiaj logowania za pomocą usług pulpitu zdalnego
To ustawienie zabezpieczeń określa, którzy użytkownicy i grupy nie mogą logować się za pomocą klienta usług pulpitu zdalnego. Wartość domyślna: Brak Ważne To ustawienie nie będzie obowiązywać na komputerach z systemem Windows 2000, który nie został zaktualizowany za pomocą dodatku Service Pack 2. |
Deny log on through Remote Desktop Services
This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client. Default: None. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1942 | Określ konta komputerów i użytkowników jako zaufanych w kwestii delegowania
To ustawienie zabezpieczeń określa, którzy użytkownicy mogą określać wartość ustawienia Zaufany w kwestii delegowania dla obiektu komputera lub użytkownika. Użytkownik lub obiekt, któremu udzielono tego uprawnienia, musi mieć dostęp z prawem zapisu do flag kontrolnych konta dla obiektu komputera lub użytkownika. Proces serwera działający na komputerze (lub w kontekście użytkownika), który jest zaufany w kwestii delegowania, może uzyskiwać dostęp do zasobów na innym komputerze, używając wydelegowanych poświadczeń klienta, dopóki dla konta klienta nie zostanie ustawiona flaga sterowania kontem Konto nie może być delegowane. To prawo użytkownika jest definiowane w obiekcie zasad grupy (GPO) domyślnego kontrolera domeny i w zasadach zabezpieczeń lokalnych stacji roboczych oraz serwerów. Przestroga Nieprawidłowe użycie tego prawa użytkownika lub ustawienia Zaufany w kwestii delegowania może spowodować, że sieć będzie podatna na zaawansowane ataki za pomocą koni trojańskich, które personifikują przychodzących klientów i używają ich poświadczeń w celu uzyskania dostępu do zasobów sieciowych. Wartość domyślna: Administratorzy na kontrolerach domeny. |
Enable computer and user accounts to be trusted for delegation
This security setting determines which users can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Caution Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources. Default: Administrators on domain controllers. |
1943 | Wymuszaj zamknięcie z systemu zdalnego
To ustawienie zabezpieczeń określa, którzy użytkownicy mogą zamknąć system operacyjny komputera ze zdalnej lokalizacji w sieci. Nieprawidłowe użycie tego prawa użytkownika może spowodować odmowę usługi. To prawo użytkownika jest definiowane w obiekcie zasad grupy (GPO) domyślnego kontrolera domeny i w zasadach zabezpieczeń lokalnych stacji roboczych oraz serwerów. Wartość domyślna: Na stacjach roboczych i serwerach: Administratorzy. Na kontrolerach domeny: Administratorzy, Operatorzy serwerów. |
Force shutdown from a remote system
This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default: On workstations and servers: Administrators. On domain controllers: Administrators, Server Operators. |
1944 | Generuj inspekcje zabezpieczeń
To ustawienie zabezpieczeń określa, których kont procesy mogą używać w celu dodawania wpisów do dziennika zabezpieczeń. Dziennik zabezpieczeń służy do śledzenia nieautoryzowanego dostępu do systemu. Nieprawidłowe użycie tego prawa użytkownika może spowodować wygenerowanie wielu zdarzeń inspekcji, co może doprowadzić do ukrycia dowodów ataku albo spowodować odmowę usługi, jeśli będzie włączone ustawienie zasad zabezpieczeń Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji. Aby uzyskać więcej informacji, zobacz ustawienie Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji. Wartość domyślna: Usługa lokalna Usługa sieciowa. |
Generate security audits
This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits Default: Local Service Network Service. |
1945 | Personifikuj klienta po uwierzytelnieniu
Przypisanie tego uprawnienia użytkownikowi umożliwia programom, które działają w jego imieniu, personifikację klienta. Wymaganie tego prawa użytkownika w przypadku personifikacji tego typu uniemożliwia nieautoryzowanym użytkownikom użycie klienta w celu ustanowienia połączenia (na przykład za pomocą zdalnego wywołania procedury [RPC] lub potoków nazwanych) z utworzoną przez nich usługą i spersonifikowanie klienta, co mogłoby spowodować uzyskanie przez nieautoryzowanego użytkownika uprawnień na poziomie administracyjnym lub na poziomie systemu. Przestroga Przypisanie tego prawa użytkownika może stanowić zagrożenie bezpieczeństwa. To prawo użytkownika należy przypisywać tylko zaufanym użytkownikom. Wartość domyślna: Administratorzy Usługa lokalna Usługa sieciowa Usługa Uwaga: Domyślnie do tokenów dostępu usług uruchamianych przez Menedżera sterowania usługami jest dodawana wbudowana grupa Usługa. Grupa Usługa jest również dodawana do tokenów dostępu serwerów modelu COM (Component Object Model) uruchamianych przez infrastrukturę COM, które są skonfigurowane do działania na określonym koncie. W wyniku tego te usługi otrzymują to prawo użytkownika przy uruchomieniu. Ponadto użytkownik może też spersonifikować token dostępu, jeśli będzie spełniony dowolny z poniższych warunków. Personifikowany token dostępu jest przeznaczony dla tego użytkownika. Użytkownik utworzył w tej sesji logowania token dostępu, logując się do sieci za pomocą jawnych poświadczeń. Żądany poziom jest niższy niż Personifikuj, na przykład Anonimowy lub Identyfikuj. Ze względu na te czynniki użytkownicy zazwyczaj nie potrzebują tego prawa użytkownika. Aby uzyskać więcej informacji, przeprowadź wyszukiwanie w zestawie Microsoft Platform SDK, używając słowa kluczowego SeImpersonatePrivilege. Ostrzeżenie Po włączeniu tego ustawienia programy, które uprzednio miały uprawnienia Personifikuj mogą je stracić i przestać działać. |
Impersonate a client after authentication
Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators Local Service Network Service Service Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started. In addition, a user can also impersonate an access token if any of the following conditions exist. The access token that is being impersonated is for this user. The user, in this logon session, created the access token by logging on to the network with explicit credentials. The requested level is less than Impersonate, such as Anonymous or Identify. Because of these factors, users do not usually need this user right. For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK. Warning If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run. |
1946 | Zwiększ priorytet planowania
To ustawienie zabezpieczeń określa, które konta mogą używać procesu z prawem Zapis właściwości, aby uzyskać dostęp do innego procesu w celu zwiększenia priorytetu wykonania przypisanego to tego procesu. Użytkownik mający to uprawnienie może zmienić priorytet planowania procesu za pomocą interfejsu użytkownika Menedżer zadań. Wartość domyślna: Administratorzy. |
Increase scheduling priority
This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface. Default: Administrators. |
1947 | Ładuj i zwalniaj sterowniki urządzeń
To prawo użytkownika określa, którzy użytkownicy mogą dynamicznie ładować i zwalniać sterowniki urządzeń lub inny kod w trybie jądra. To prawo użytkownika nie ma wpływu na sterowniki urządzeń Plug and Play. Zaleca się, aby nie przypisywać tego uprawnienia innym użytkownikom. Przestroga Przypisanie tego prawa użytkownika może stanowić zagrożenie bezpieczeństwa. Tego prawa użytkownika nie należy przypisywać użytkownikowi, grupie lub procesowi, który nie powinien mieć możliwości przejęcia sterowania systemem. Wartość domyślna na stacjach roboczych i serwerach: Administratorzy. Wartość domyślna na kontrolerach domeny: Administratorzy Operatorzy drukowania |
Load and unload device drivers
This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default on workstations and servers: Administrators. Default on domain controllers: Administrators Print Operators |
1948 | Blokuj strony w pamięci
To ustawienie zabezpieczeń określa, które konta mogą używać procesu w celu zachowania danych w pamięci fizycznej, co uniemożliwi systemowi stronicowanie tych danych w pamięci wirtualnej na dysku. Użycie tego uprawnienia może znacząco wpłynąć na wydajność systemu z powodu zmniejszenia ilości dostępnej pamięci o dostępie losowym (RAM). Wartość domyślna: Brak. |
Lock pages in memory
This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM). Default: None. |
1949 | Logowanie w trybie wsadowym
To ustawienie zabezpieczeń umożliwia użytkownikowi zalogowanie się w trybie kolejki zadań i jest dostępne wyłącznie w celu zapewnienia zgodności ze starszymi wersjami systemu Windows. Na przykład gdy użytkownik przesyła zadanie w trybie harmonogramu zadań, usługa Harmonogram zadań loguje tego użytkownika jako użytkownika w trybie wsadowym, a nie użytkownika interakcyjnego. Wartość domyślna: Administratorzy Operatorzy kopii zapasowych. |
Log on as a batch job
This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows. For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user. Default: Administrators Backup Operators. |
1950 | Logowanie w trybie usługi
To ustawienie zabezpieczeń pozwala podmiotowi zabezpieczeń zalogować się jako usługa. Usługi mogą zostać skonfigurowane do działania w ramach konta System lokalny, Usługa lokalna lub Usługa sieciowa, które mają wbudowane uprawnienie do logowania się jako usługa. Każda usługa działająca w ramach oddzielnego konta użytkownika musi otrzymać to uprawnienie. Wartość domyślna: Brak. |
Log on as a service
This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right. Default setting: None. |
1951 | Zarządzaj dziennikami inspekcji i zabezpieczeń
To ustawienie zabezpieczeń określa, którzy użytkownicy mogą określać opcje inspekcji dostępu do obiektów dla pojedynczych zasobów, takich jak pliki, obiekty usługi Active Directory i klucze rejestru. To ustawienie zabezpieczeń nie umożliwia użytkownikowi ogólnego włączania inspekcji dostępu do plików i obiektów. Aby włączyć tę inspekcję, należy skonfigurować ustawienie Przeprowadź inspekcję dostępu do obiektów w lokalizacji Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Zasady inspekcji. Za pomocą Podglądu zdarzeń można wyświetlić zdarzenia poddane inspekcji, które zostały zarejestrowane w dzienniku zabezpieczeń. Użytkownik mający to uprawnienie może także wyświetlić i wyczyścić dziennik zabezpieczeń. Wartość domyślna: Administratorzy. |
Manage auditing and security log
This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured. You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log. Default: Administrators. |
1952 | Modyfikuj wartości środowiskowe oprogramowania układowego
To ustawienie zabezpieczeń określa, kto może modyfikować wartości środowiskowe oprogramowania układowego. Zmienne środowiskowe oprogramowania układowego to ustawienia przechowywane w trwałej pamięci RAM komputerów z procesorami innymi niż x86. Efekty użycia tego ustawienia są zależne od procesora. W przypadku komputerów z procesorami x86 jedyną wartością środowiskową oprogramowania układowego, którą można zmodyfikować, przypisując to prawo użytkownika, jest ustawienie Ostatnia znana dobra konfiguracja, które powinno być modyfikowane tylko przez system. Na komputerach z procesorem Itanium informacje dotyczące rozruchu są przechowywane w trwałej pamięci RAM. Użytkownicy muszą mieć przypisane to prawo użytkownika, aby mogli uruchamiać program bootcfg.exe i zmieniać ustawienie Domyślny system operacyjny na karcie Uruchamianie i odzyskiwanie w oknie dialogowym Właściwości systemu. Na wszystkich komputerach to prawo użytkownika jest wymagane do instalowania lub uaktualniania systemu Windows. Uwaga: To ustawienie zabezpieczeń nie ma wpływu na to, kto może modyfikować zmienne środowiskowe systemu i zmienne środowiskowe użytkownika wyświetlane na karcie Zaawansowane w oknie dialogowym Właściwości systemu. Aby uzyskać informacje dotyczące sposobu modyfikowania tych zmiennych, zobacz temat Aby dodać lub zmienić wartości zmiennych środowiskowych. Wartość domyślna: Administratorzy. |
Modify firmware environment values
This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor. On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system. On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties. On all computers, this user right is required to install or upgrade Windows. Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables. Default: Administrators. |
1953 | Wykonuj zadania konserwacji woluminów
To ustawienie zabezpieczeń określa, którzy użytkownicy i grupy mogą uruchamiać zadania konserwacji woluminu, takie jak defragmentacja zdalna. Przypisując to prawo użytkownika, należy zachować ostrożność. Użytkownicy mający to prawo użytkownika mogą eksplorować dyski i rozszerzać pliki o pamięć zawierającą inne dane. Po otwarciu rozszerzonych plików użytkownik może mieć możliwość odczytania i zmodyfikowania uzyskanych danych. Wartość domyślna: Administratorzy |
Perform volume maintenance tasks
This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation. Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data. Default: Administrators |
1954 | Profiluj pojedynczy proces
To ustawienie zabezpieczeń określa, którzy użytkownicy mogą używać narzędzi monitorowania wydajności w celu monitorowania wydajności procesów niesystemowych. Wartość domyślna: Administratorzy, Użytkownicy zaawansowani. |
Profile single process
This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes. Default: Administrators, Power users. |
1955 | Profiluj wydajność systemu
To ustawienie zabezpieczeń określa, którzy użytkownicy mogą używać narzędzi do monitorowania wydajności w celu monitorowania wydajności procesów systemowych. Wartość domyślna: Administratorzy. |
Profile system performance
This security setting determines which users can use performance monitoring tools to monitor the performance of system processes. Default: Administrators. |
1956 | Usuń komputer ze stacji dokującej
To ustawienie zabezpieczeń określa, czy użytkownik może odłączyć komputer przenośny od jego stacji dokującej bez konieczności logowania. Jeśli ta zasada będzie włączona, użytkownik będzie musiał zalogować się przed odłączeniem komputera przenośnego od stacji dokującej. Jeśli ta zasada będzie wyłączona, użytkownik będzie mógł wyjąć komputer przenośny ze stacji dokującej bez konieczności logowania się. Wartość domyślna: Administratorzy, Użytkownicy zaawansowani, Użytkownicy |
Remove computer from docking station
This security setting determines whether a user can undock a portable computer from its docking station without logging on. If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on. Default: Administrators, Power Users, Users |
1957 | Zamień token na poziomie procesu
To ustawienie zabezpieczeń określa, które konta użytkownika mogą wywoływać funkcję CreateProcessAsUser() interfejsu API, dzięki czemu jedna usługa będzie mogła uruchomić inną usługę. Przykładem procesu używającego tego prawa użytkownika jest Harmonogram zadań. Aby uzyskać informacje dotyczące usługi Harmonogram zadań, zobacz temat Harmonogram zadań — omówienie. Wartość domyślna: Usługa sieciowa, Usługa lokalna. |
Replace a process level token
This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview. Default: Network Service, Local Service. |
1958 | Przywracaj pliki i katalogi
To ustawienie zabezpieczeń określa, którzy użytkownicy mogą obchodzić uprawnienia do plików, katalogów, rejestru i innych trwałych obiektów podczas przywracania plików i katalogów z kopii zapasowych. Określa także, którzy użytkownicy mogą ustawić ważny podmiot zabezpieczeń jako właściciela obiektu. Działanie tego prawa użytkownika jest podobne do skutków udzielenia użytkownikowi lub grupie następujących uprawnień do wszystkich plików i folderów w systemie: Przechodzenie przez folder/Wykonywanie pliku Zapis Przestroga Przypisanie tego prawa użytkownika może stanowić zagrożenie bezpieczeństwa. Ponieważ użytkownicy mający to prawo użytkownika mogą zastępować ustawienia rejestru, ukrywać dane i przejmować na własność obiekty systemu, to prawo użytkownika należy przypisywać tylko zaufanym użytkownikom. Wartość domyślna: Stacje robocze i serwery: Administratorzy, Operatorzy kopii zapasowych. Kontrolery domeny: Administratorzy, Operatorzy kopii zapasowych, Operatorzy serwerów. |
Restore files and directories
This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File Write Caution Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users. Default: Workstations and servers: Administrators, Backup Operators. Domain controllers: Administrators, Backup Operators, Server Operators. |
1959 | Zamknij system
To ustawienie zabezpieczeń określa, którzy użytkownicy zalogowani lokalnie na komputerze mogą zamknąć system operacyjny za pomocą polecenia Zamknij. Nieprawidłowe użycie tego prawa użytkownika może spowodować odmowę usługi. Wartość domyślna na stacjach roboczych: Administratorzy, Operatorzy kopii zapasowych, Użytkownicy. Wartość domyślna na serwerach: Administratorzy, Operatorzy kopii zapasowych. Wartość domyślna na kontrolerach domeny: Administratorzy, Operatorzy kopii zapasowych, Operatorzy serwerów, Operatorzy drukowania. |
Shut down the system
This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service. Default on Workstations: Administrators, Backup Operators, Users. Default on Servers: Administrators, Backup Operators. Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators. |
1960 | Synchronizuj dane usługi katalogowej
To ustawienie zabezpieczeń określa, którzy użytkownicy i grupy mają upoważnienie do synchronizowania wszystkich danych usługi katalogowej. To prawo nosi też nazwę synchronizacji usługi Active Directory. Wartość domyślna: Brak. |
Synchronize directory service data
This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization. Defaults: None. |
1961 | Przejmij na własność pliki lub inne obiekty
To ustawienie zabezpieczeń określa, którzy użytkownicy mogą przejmować na własność dowolny obiekt podlegający zabezpieczeniom, w tym obiekty usługi Active Directory, pliki i foldery, drukarki, klucze rejestru, procesy oraz wątki. Przestroga Przypisanie tego prawa użytkownika może stanowić zagrożenie bezpieczeństwa. Ponieważ właściciele obiektów mają nad nimi pełną kontrolę, to prawo użytkownika należy przypisywać tylko zaufanym użytkownikom. Wartość domyślna: Administratorzy. |
Take ownership of files or other objects
This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. Caution Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users. Default: Administrators. |
1962 | Konta: stan konta administratora
To ustawienie zabezpieczeń określa, czy lokalne konto Administrator jest włączone, czy wyłączone. Uwagi Jeśli po wyłączeniu konta Administrator zostanie podjęta próba ponownego włączenia tego konta, a bieżące hasło administratora nie będzie spełniać wymagań dotyczących hasła, ponowne włączenie konta nie będzie możliwe. W takim przypadku inny członek grupy Administratorzy musi zresetować hasło konta Administrator. Aby uzyskać informacje dotyczące sposobu resetowania hasła, zobacz temat Aby zresetować hasło. Wyłączenie konta Administrator może w pewnych warunkach doprowadzić do problemów z konserwacją. Po rozruchu w trybie awaryjnym wyłączone konto Administrator zostanie włączone tylko jeśli komputer nie jest przyłączony do domeny i nie ma innych lokalnych aktywnych kont administratorów. Jeśli komputer jest przyłączony do domeny, wyłączone konto administratora nie zostanie włączone. Wartość domyślna: Wyłączone. |
Accounts: Administrator account status
This security setting determines whether the local Administrator account is enabled or disabled. Notes If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password. Disabling the Administrator account can become a maintenance issue under certain circumstances. Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled. Default: Disabled. |
1963 | Konta: stan konta gościa
To ustawienie zabezpieczeń określa, czy konto Gość jest włączone, czy wyłączone. Wartość domyślna: Wyłączone. Uwaga: jeśli konto Gość będzie wyłączone, a opcja zabezpieczeń Dostęp sieciowy: udostępnianie i model zabezpieczeń dla kont lokalnych będzie mieć wartość Tylko gość, logowania sieciowe, takie jak logowania wykonywane przez Serwer sieci Microsoft (usługa SMB), będą kończyć się niepowodzeniem. |
Accounts: Guest account status
This security setting determines if the Guest account is enabled or disabled. Default: Disabled. Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail. |
1964 | Konta: ogranicz używanie pustych haseł przez konta lokalne tylko do logowania do konsoli
To ustawienie zabezpieczeń określa, czy kont lokalnych, które nie są chronione hasłem, można używać do logowania z lokalizacji innych niż fizyczna konsola komputera. Jeśli to ustawienie jest włączone, konta lokalne, które nie są chronione hasłem, będą umożliwiać logowanie tylko za pomocą klawiatury komputera. Wartość domyślna: Włączone Ostrzeżenie: Na komputerach, które nie znajdują się w fizycznie bezpiecznych lokalizacjach, należy zawsze wymuszać zasady dotyczące silnych haseł dla wszystkich kont użytkowników lokalnych. W przeciwnym razie każda osoba mająca fizyczny dostęp do komputera będzie mogła zalogować się przy użyciu konta użytkownika, które nie ma hasła. Jest to szczególnie ważne w przypadku komputerów przenośnych. Zastosowanie tej zasady zabezpieczeń do grupy Wszyscy spowoduje, że żaden użytkownik nie będzie mógł logować się za pomocą usług pulpitu zdalnego. Uwagi To ustawienie nie ma wpływu na logowania z użyciem kont domeny. Aplikacje używające funkcji zdalnego logowania interakcyjnego mogą obchodzić to ustawienie. Uwaga: w poprzednich wersjach systemu Windows Server usługi pulpitu zdalnego były nazywane usługami terminalowymi. |
Accounts: Limit local account use of blank passwords to console logon only
This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard. Default: Enabled. Warning: Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services. Notes This setting does not affect logons that use domain accounts. It is possible for applications that use remote interactive logons to bypass this setting. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. |
1965 | Konta: zmień nazwę konta administratora
To ustawienie zabezpieczeń określa, czy z identyfikatorem zabezpieczeń (SID) konta Administrator jest skojarzona inna nazwa konta. Zmiana nazwy dobrze znanego konta Administrator utrudnia nieautoryzowanym osobom odgadnięcie nazwy tego uprzywilejowanego konta i jego hasła. Wartość domyślna: Administrator. |
Accounts: Rename administrator account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination. Default: Administrator. |
1966 | Konta: zmień nazwę konta gościa
To ustawienie zabezpieczeń określa, czy z identyfikatorem zabezpieczeń (SID) konta Gość jest skojarzona inna nazwa konta. Zmiana nazwy dobrze znanego konta Gość utrudnia nieautoryzowanym osobom odgadnięcie nazwy tego konta i jego hasła. Wartość domyślna: Gość. |
Accounts: Rename guest account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination. Default: Guest. |
1967 | Inspekcja: przeprowadź inspekcję dostępu do globalnych obiektów systemu
To ustawienie zabezpieczeń określa, czy ma być poddawany inspekcji dostęp do globalnych obiektów systemu. Jeśli ta zasada jest włączona, obiekty systemu, takie jak obiekty mutex, zdarzenia, semafory, oraz urządzenia systemu DOS są tworzone z domyślną systemową listą kontroli dostępu (SACL). Tylko obiekty nazwane otrzymują listę SACL; listy SACL nie są przypisywane obiektom bez nazw. Jeśli będzie również włączona zasada inspekcji Przeprowadź inspekcję dostępu do obiektów, dostęp do tych obiektów systemu będzie poddawany inspekcji. Uwaga: w przypadku konfigurowania tego ustawienia zabezpieczeń zmiany nie zaczną obowiązywać, dopóki system Windows nie zostanie uruchomiony ponownie. Wartość domyślna: Wyłączone. |
Audit: Audit the access of global system objects
This security setting determines whether to audit the access of global system objects. If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1968 | Inspekcja: przeprowadź inspekcję użycia prawa do wykonywania kopii zapasowych i przywracania
To ustawienie zabezpieczeń określa, czy w razie włączenia zasady Przeprowadź inspekcję użycia uprawnień ma być poddawane inspekcji użycie wszystkich uprawnień użytkownika, w tym wykonywania kopii zapasowych i przywracania. Włączenie tej opcji, gdy jest włączona zasada Przeprowadź inspekcję użycia uprawnień, spowoduje generowanie zdarzenia inspekcji dotyczącego każdego pliku, który jest umieszczany w kopii zapasowej lub przywracany. Po wyłączeniu tej zasady użycie uprawnienia wykonywania kopii zapasowych i przywracania nie będzie poddawane inspekcji, nawet gdy będzie włączona zasada Przeprowadź inspekcję użycia uprawnień. Uwaga: W wersjach systemu Windows starszych niż Vista w przypadku konfigurowania tego ustawienia zabezpieczeń zmiany nie zaczną obowiązywać, dopóki system Windows nie zostanie uruchomiony ponownie. Włączenie tego ustawienia może wywołać BARDZO DUŻO zdarzeń podczas operacji tworzenia kopii zapasowej, czasem setki na sekundę. Wartość domyślna: Wyłączone. |
Audit: Audit the use of Backup and Restore privilege
This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored. If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation. Default: Disabled. |
1969 | Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji
To ustawienie określa, czy system ma zostać zamknięty, gdy nie będzie można zarejestrować zdarzeń zabezpieczeń. Jeśli to ustawienie zabezpieczeń będzie włączone, spowoduje zatrzymanie systemu w sytuacji, gdy z dowolnego powodu nie będzie można zarejestrować inspekcji zabezpieczeń. Zazwyczaj zdarzenia nie można zarejestrować, gdy dziennik inspekcji zabezpieczeń jest zapełniony, a metodą przechowywania dziennika zabezpieczeń jest Nie zastępuj zdarzeń lub Zastępuj zdarzenia według dni. Jeśli dziennik zabezpieczeń będzie zapełniony i nie będzie można zastąpić istniejącego wpisu, a także będzie włączona ta opcja zabezpieczeń, zostanie wyświetlony następujący błąd zatrzymania: STOP: C0000244 {Inspekcja nie powiodła się} Próba wygenerowania inspekcji zabezpieczeń nie powiodła się. Aby usunąć błąd, administrator musi się zalogować, zarchiwizować dziennik (opcjonalnie), wyczyścić dziennik, a następnie w razie potrzeby zresetować tę opcję. Dopóki to ustawienie zabezpieczeń nie zostanie zresetowane, w systemie nie będą mogli logować się użytkownicy, którzy nie należą do grupy Administratorzy, nawet jeśli dziennik zabezpieczeń nie będzie pełny. Uwaga: W wersjach systemu Windows starszych niż Vista w przypadku konfigurowania tego ustawienia zabezpieczeń zmiany nie zaczną obowiązywać, dopóki system Windows nie zostanie uruchomiony ponownie. Wartość domyślna: Wyłączone. |
Audit: Shut down system immediately if unable to log security audits
This security setting determines whether the system shuts down if it is unable to log security events. If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days. If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1970 | Urządzenia: zezwalaj na oddokowywanie bez potrzeby logowania się
To ustawienie zabezpieczeń określa, czy można oddokować komputer przenośny bez konieczności logowania się. Jeśli ta zasada będzie włączona, logowanie nie będzie wymagane i w celu oddokowania komputera będzie można użyć przycisku wysuwania sprzętu zewnętrznego. Jeśli ta zasada będzie wyłączona, użytkownik będzie musiał się zalogować i mieć uprawnienie Usuń komputer ze stacji dokującej, aby oddokować komputer. Wartość domyślna: Włączone. Przestroga Wyłączenie tej zasady może zachęcić użytkowników do fizycznego odłączenia komputera przenośnego od stacji dokującej za pomocą metod innych niż użycie przycisku wysuwania sprzętu zewnętrznego. Ponieważ może to spowodować uszkodzenie sprzętu, to ustawienie można wyłączyć tylko na komputerach przenośnych, które można zabezpieczyć fizycznie. |
Devices: Allow undock without having to log on
This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer. Default: Enabled. Caution Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable. |
1971 | Urządzenia: zezwalaj na formatowanie i wysuwanie wymiennego nośnika
To ustawienie zabezpieczeń określa, kto może formatować i wysuwać nośniki wymienne NTFS. Taką możliwość można udostępnić następującym użytkownikom: Administratorzy Administratorzy i użytkownicy interakcyjni Wartość domyślna: ta zasada nie jest zdefiniowana i wyłącznie administratorzy mają tę możliwość. |
Devices: Allowed to format and eject removable media
This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to: Administrators Administrators and Interactive Users Default: This policy is not defined and only Administrators have this ability. |
1972 | Urządzenia: zapobiegaj instalacji sterowników drukarek przez użytkowników podczas łączenia z udostępnionymi drukarkami
Aby komputer umożliwiał drukowanie na drukarce udostępnionej, sterownik drukarki udostępnionej musi być zainstalowany na komputerze lokalnym. To ustawienie zabezpieczeń określa, kto może zainstalować sterownik drukarki w ramach procesu łączenia z drukarką udostępnioną. Jeśli to ustawienie jest włączone, tylko członkowie grup Administratorzy mogą zainstalować sterownik drukarki w ramach procesu łączenia z drukarka udostępnioną. Jeśli to ustawienie jest wyłączone, każdy użytkownik może instalować sterownik drukarki w ramach procesu łączenia z drukarką udostępnioną. Wartość domyślna na serwerach: Włączone. Wartość domyślna na stacjach roboczych: Wyłączone. Uwagi To ustawienie nie ma wpływu na możliwość dodawania drukarki lokalnej. To ustawienie nie dotyczy członków grupy Administratorzy. |
Devices: Prevent users from installing printer drivers when connecting to shared printers
For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer. Default on servers: Enabled. Default on workstations: Disabled Notes This setting does not affect the ability to add a local printer. This setting does not affect Administrators. |
1973 | Urządzenia: ogranicz dostęp do stacji CD-ROM tylko do użytkownika zalogowanego lokalnie
To ustawienie zabezpieczeń określa, czy stacja CD-ROM jest jednocześnie dostępna dla użytkowników lokalnych i zdalnych. Jeśli ta zasada jest włączona, dostęp do nośnika wymiennego w stacji CD-ROM może uzyskać tylko użytkownik zalogowany interakcyjnie. Jeśli ta zasada jest włączona i żaden użytkownik nie zalogował się interakcyjnie na komputerze, stacja CD-ROM jest dostępna z sieci. Wartość domyślna: ta zasada nie jest zdefiniowana i dostęp do stacji CD-ROM nie jest ograniczony do lokalnie zalogowanego użytkownika. |
Devices: Restrict CD-ROM access to locally logged-on user only
This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network. Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user. |
1974 | Urządzenia: ogranicz dostęp do stacji dyskietek tylko do użytkownika zalogowanego lokalnie
To ustawienie zabezpieczeń określa, czy nośnik w stacji dyskietek jest jednocześnie dostępny dla użytkowników lokalnych i zdalnych. Jeśli ta zasada jest włączona, dostęp do nośnika wymiennego w stacji dyskietek może uzyskać tylko użytkownik zalogowany interakcyjnie. Jeśli ta zasada jest włączona i żaden użytkownik nie zalogował się interakcyjnie na komputerze, dyskietka jest dostępna z sieci. Wartość domyślna: ta zasada nie jest zdefiniowana i dostęp do stacji dyskietek nie jest ograniczony do lokalnie zalogowanego użytkownika. |
Devices: Restrict floppy access to locally logged-on user only
This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network. Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user. |
1975 | Urządzenia: zachowanie przy instalacji niepodpisanego sterownika
To ustawienie zabezpieczeń określa, co się dzieje w przypadku próby zainstalowania sterownika urządzenia (w kontekście interfejsu API Instalatora), który nie został przetestowany w laboratoriach jakości sprzętu dla systemów Windows (WHQL). Dostępne są następujące opcje: Zakończ pomyślnie Ostrzegaj, ale zezwalaj na instalację Nie zezwalaj na instalację Wartość domyślna: Ostrzegaj, ale zezwalaj na instalację. |
Devices: Unsigned driver installation behavior
This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL). The options are: Silently succeed Warn but allow installation Do not allow installation Default: Warn but allow installation. |
1976 | Kontroler domeny: zezwalaj operatorom serwera na planowanie zadań
To ustawienie zabezpieczeń określa, czy operatorzy serwerów mogą przysyłać zadania w kontekście funkcji planowania AT. Uwaga: to ustawienie zabezpieczeń ma wpływ tylko na funkcję planowania AT i nie ma wpływu na funkcje usługi Harmonogram zadań. Wartość domyślna: ta zasada nie jest zdefiniowana, co oznacza, że system traktuje ją tak, jakby była wyłączona. |
Domain controller: Allow server operators to schedule tasks
This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility. Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility. Default: This policy is not defined, which means that the system treats it as disabled. |
1977 | Kontroler domeny: wymagania podpisywania serwera LDAP
To ustawienie zabezpieczeń określa, czy serwer LDAP wymaga negocjowania podpisywania z klientami LDAP, tak jak opisano poniżej: Brak: Podpisywanie danych nie jest wymagane do utworzenia powiązania z serwerem. Jeśli klient zażąda podpisywania danych, serwer obsłuży to żądanie. Wymagaj podpisu: jeśli nie jest używany protokół TLS\SSL, musi być uzgadniana opcja podpisywania danych LDAP. Wartość domyślna: ta zasada nie jest zdefiniowana, co oznacza, że ma takie samo działanie jak wartość Brak. Przestroga Jeśli na serwerze zostanie określone ustawienie Wymagaj podpisu, należy również określić je na kliencie. Jeśli to ustawienie nie zostanie określone na kliencie, zostanie utracone połączenie z serwerem. Uwagi To ustawienie nie ma wpływu na proste powiązanie LDAP lub proste powiązanie LDAP za pomocą protokołu SSL. Żaden klient LDAP firmy Microsoft dostarczany z systemem Windows XP Professional nie używa prostego powiązania LDAP lub prostego powiązania LDAP za pomocą protokołu SSL w celu komunikacji z kontrolerem domeny. Jeśli będzie wymagane podpisywanie, proste powiązanie LDAP i proste powiązanie LDAP za pomocą protokołu SSL będą odrzucane. Żaden klient LDAP firmy Microsoft działający w systemie Windows XP Professional lub systemie z rodziny Windows Server 2003 nie używa prostego powiązania LDAP lub prostego powiązania LDAP za pomocą protokołu SSL w celu utworzenia powiązania z usługą katalogową. |
Domain controller: LDAP server signing requirements
This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows: None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it. Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated. Default: This policy is not defined, which has the same effect as None. Caution If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server. Notes This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller. If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service. |
1978 | Kontroler domeny: odrzucaj zmiany hasła konta komputera
To ustawienie zabezpieczeń określa, czy kontrolery domeny będą odrzucać przychodzące z komputerów członkowskich żądania zmiany haseł kont komputerów. Domyślnie na komputerach członkowskich hasło konta komputera jest zmieniane co 30 dni. Jeśli to ustawienie będzie włączone, kontroler domeny będzie odrzucał żądania zmiany hasła konta komputera. Jeśli to ustawienie jest włączone, kontroler domeny nie może akceptować żadnych zmian hasła konta komputera. Wartość domyślna: ta zasada nie jest zdefiniowana, co oznacza, że system traktuje ją jako wyłączoną. |
Domain controller: Refuse machine account password changes
This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests. If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password. Default: This policy is not defined, which means that the system treats it as Disabled. |
1979 | Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału - zawsze
To ustawienie zabezpieczeń określa, czy cały ruch w bezpiecznym kanale zainicjowany przez członka domeny musi być podpisywany albo szyfrowany. Gdy komputer jest dołączany do domeny, jest tworzone konto komputera. Gdy po utworzeniu tego konta jest uruchamiany system, hasło konta komputera jest używane w celu utworzenia bezpiecznego kanału do kontrolera domeny, w której znajduje się komputer. Ten bezpieczny kanał służy do wykonywania operacji, takich jak uwierzytelnianie przechodnie NTLM, wyszukiwanie nazw/SID LSA itp. To ustawienie zabezpieczeń określa, czy cały ruch w bezpiecznym kanale zainicjowany przez członka domeny spełnia minimalne wymagania dotyczące zabezpieczeń. W szczególności określa, czy cały ruch w bezpiecznym kanale zainicjowany przez członka domeny musi być podpisywany albo szyfrowany. Jeśli ta zasada będzie włączona, bezpieczny kanał nie zostanie ustanowiony, dopóki nie zostanie uzgodnione podpisywanie lub szyfrowanie całego ruchu w bezpiecznym kanale. Jeśli ta zasada będzie wyłączona, szyfrowanie i podpisywanie całego ruchu w bezpiecznym kanale będzie uzgadniane z kontrolerem domeny, a poziom podpisywania i szyfrowania będzie zależeć od wersji kontrolera domeny oraz ustawień następujących dwóch zasad: Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału - gdy to możliwe Członek domeny: podpisuj cyfrowo dane bezpiecznego kanału - gdy to możliwe Wartość domyślna: Włączone. Uwagi Jeśli ta zasada jest włączona, przyjmowane jest założenie, że jest także włączona zasada Członek domeny: podpisuj cyfrowo dane bezpiecznego kanału - gdy to możliwe, niezależnie od jej bieżącego ustawienia. Pozwala to zagwarantować, że członek domeny podejmie próbę uzgodnienia co najmniej podpisywania ruchu w bezpiecznym kanale. Jeśli ta zasada jest włączona, przyjmowane jest założenie, że jest także włączona zasada Członek domeny: podpisuj cyfrowo dane bezpiecznego kanału - gdy to możliwe, niezależnie od jej bieżącego ustawienia. Pozwala to zagwarantować, że członek domeny podejmie próbę uzgodnienia co najmniej podpisywania ruchu w bezpiecznym kanale. Informacje logowania transmitowane za pośrednictwem bezpiecznego kanału są zawsze szyfrowane, niezależnie od tego, czy uzgodniono szyfrowanie całego ruchu w bezpiecznym kanale. |
Domain member: Digitally encrypt or sign secure channel data (always)
This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies: Domain member: Digitally encrypt secure channel data (when possible) Domain member: Digitally sign secure channel data (when possible) Default: Enabled. Notes: If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not. |
1980 | Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału - gdy to możliwe
To ustawienie zabezpieczeń określa, czy członek domeny będzie podejmować próbę uzgodnienia szyfrowania dla całego zainicjowanego przez siebie ruchu w bezpiecznym kanale. Gdy komputer jest dołączany do domeny, jest tworzone konto komputera. Gdy po utworzeniu tego konta jest uruchamiany system, hasło konta komputera jest używane w celu utworzenia bezpiecznego kanału do kontrolera domeny, w której znajduje się komputer. Ten bezpieczny kanał służy do wykonywania operacji takich jak uwierzytelnianie przechodnie NTLM, wyszukiwanie nazw/SID LSA itp. To ustawienie określa, czy członek domeny będzie podejmować próbę uzgodnienia szyfrowania dla całego zainicjowanego przez siebie ruchu w bezpiecznym kanale. Jeśli to ustawienie będzie włączone, członek domeny będzie żądać szyfrowania całego ruchu w bezpiecznym kanale. Jeśli kontroler domeny obsługuje szyfrowanie całego ruchu w bezpiecznym kanale, cały ruch w bezpiecznym kanale będzie szyfrowany. W przeciwnym razie będą szyfrowane tylko informacje logowania przesyłane w bezpiecznym kanale. Jeśli to ustawienie będzie wyłączone, członek domeny nie będzie podejmować prób uzgodnienia szyfrowania bezpiecznego kanału. Wartość domyślna: Włączone. Ważne Nie ma powodu, aby wyłączyć to ustawienie. Oprócz niepotrzebnego zmniejszenia poziomu poufności bezpiecznego kanału, wyłączenie tego ustawienia może niepotrzebnie zmniejszyć przepustowość bezpiecznego kanału, ponieważ jednoczesne wywołania interfejsu API są dozwolone tylko wtedy, gdy bezpieczny kanał jest podpisany lub zaszyfrowany. Uwaga: kontrolery domeny są także członkami domeny i ustanawiają bezpieczne kanały do innych kontrolerów domeny w swojej domenie oraz kontrolerów domeny w zaufanych domenach. |
Domain member: Digitally encrypt secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption. Default: Enabled. Important There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted. Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1981 | Członek domeny: podpisuj cyfrowo dane bezpiecznego kanału — gdy to możliwe
To ustawienie zabezpieczeń określa, czy członek domeny będzie podejmował próbę uzgodnienia podpisywania dla całego zainicjowanego przez siebie ruchu w bezpiecznym kanale. Gdy komputer jest dołączany do domeny, jest tworzone konto komputera. Gdy po utworzeniu tego konta jest uruchamiany system, hasło konta komputera jest używane w celu utworzenia bezpiecznego kanału do kontrolera domeny, w której znajduje się komputer. Ten bezpieczny kanał służy do wykonywania operacji, takich jak uwierzytelnianie przechodnie NTLM, wyszukiwanie nazw/SID LSA itp. To ustawienie określa, czy członek domeny będzie podejmował próbę uzgodnienia podpisywania dla całego zainicjowanego przez siebie ruchu w bezpiecznym kanale. Jeśli będzie włączone, członek domeny będzie żądał podpisywania całego ruchu w bezpiecznym kanale. Jeśli kontroler domeny obsługuje podpisywanie całego ruchu w bezpiecznym kanale, cały ruch w bezpiecznym kanale będzie podpisywany, dzięki czemu nie będzie możliwe modyfikowanie danych w trakcie przesyłania. Wartość domyślna: Włączone. Uwagi Jeśli jest włączona zasada Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału — zawsze, przyjmowane jest założenie, że ta zasada jest włączona, niezależnie od jej bieżącego ustawienia. Kontrolery domeny są także członkami domeny i ustanawiają bezpieczne kanały do innych kontrolerów domeny w swojej domenie oraz kontrolerów domeny w zaufanych domenach. |
Domain member: Digitally sign secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit. Default: Enabled. Notes: If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting. Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1982 | Członek domeny: maksymalny okres ważności hasła konta komputera
To ustawienie zabezpieczeń określa, jak często członek domeny będzie podejmował próby zmiany swojego hasła konta komputera. Wartość domyślna: 30 dni. Ważne To ustawienie jest stosowane do komputerów z systemem Windows 2000, ale na tych komputerach nie można uzyskać do niego dostępu za pomocą Menedżera konfiguracji zabezpieczeń. |
Domain member: Maximum machine account password age
This security setting determines how often a domain member will attempt to change its computer account password. Default: 30 days. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1983 | Członek domeny: wymagaj silnego klucza sesji (system Windows 2000 lub nowszy)
To ustawienie zabezpieczeń określa, czy do obsługi zaszyfrowanych danych w bezpiecznym kanale jest wymagany silny klucz 128—bitowy. Gdy komputer jest dołączany do domeny, jest tworzone konto komputera. Gdy po utworzeniu tego konta jest uruchamiany system, hasło konta komputera jest używane w celu utworzenia bezpiecznego kanału do kontrolera domeny, w której znajduje się komputer. Ten bezpieczny kanał służy do wykonywania operacji takich jak uwierzytelnianie przechodnie NTLM, wyszukiwanie nazw/SID LSA itp. W zależności od wersji systemu Windows uruchomionego na kontrolerze domeny, z którym komunikuje się członek domeny, oraz ustawień parametrów: Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału — zawsze Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału — gdy to możliwe zostanie określone, że niektóre lub wszystkie informacje transmitowane w bezpiecznym kanale będą szyfrowane. To ustawienie zasad określa, czy do obsługi szyfrowanych informacji w bezpiecznym kanale jest wymagany silny klucz 128—bitowy. Jeśli to ustawienie będzie włączone, nie będzie można ustanowić bezpiecznego kanału, dopóki nie będzie można wykonać szyfrowania 128—bitowego. Jeśli to ustawienie będzie wyłączone, siła klucza będzie uzgadniana z kontrolerem domeny. Wartość domyślna: Włączone. Ważne Aby można było korzystać z zalet tej zasady na członkowskich stacjach roboczych i serwerach, na wszystkich kontrolerach domeny stanowiących domenę komputera członkowskiego musi być zainstalowany system Windows 2000 lub nowszy. Aby można było korzystać z zalet tej zasady na kontrolerach domeny, na wszystkich kontrolerach domeny w danej domenie oraz we wszystkich zaufanych domenach musi być zainstalowany system Windows 2000 lub nowszy. |
Domain member: Require strong (Windows 2000 or later) session key
This security setting determines whether 128-bit key strength is required for encrypted secure channel data. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on. Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters: Domain member: Digitally encrypt or sign secure channel data (always) Domain member: Digitally encrypt secure channel data (when possible) Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted. If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller. Default: Enabled. Important In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later. In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later. |
1984 | Członek domeny: wyłącz zmiany hasła konta komputera
Określa, czy członek domeny będzie okresowo zmieniał swoje hasło konta komputera. Jeśli to ustawienie będzie włączone, członek domeny nie będzie podejmował próby zmiany swojego hasła konta komputera. Jeśli to ustawienie będzie wyłączone, członek domeny będzie podejmował próby zmiany swojego hasła konta komputera zgodnie z ustawieniem zasady Członek domeny: maksymalny okres ważności hasła konta komputera, które domyślnie ma wartość 30 dni. Wartość domyślna: Wyłączone. Uwagi Nie należy włączać tego ustawienia zabezpieczeń. Hasła kont komputerów służą do ustanawiania bezpiecznych kanałów komunikacji między członkami i kontrolerami domeny oraz między samymi kontrolerami domeny w obrębie jednej domeny. Po ustanowieniu bezpiecznego kanału jest on używany do transmitowania poufnych informacji, które są niezbędne w procesach podejmowania decyzji dotyczących uwierzytelniania i autoryzacji. Tego ustawienia nie należy używać w celu obsługi scenariuszy uruchamiania jednego z kilku systemów operacyjnych używających jednego konta komputera. Aby uruchomić jeden z dwóch systemów operacyjnych dołączonych do tej samej domeny, należy w każdej z tych instalacji określić inną nazwę komputera. |
Domain member: Disable machine account password changes
Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days. Default: Disabled. Notes This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions. This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names. |
1985 | Logowanie interakcyjne: nie wyświetlaj ostatnio zalogowanego użytkownika
To ustawienie zabezpieczeń określa, czy na ekranie logowania systemu Windows będzie wyświetlana nazwa użytkownika osoby, która jako ostatnia zalogowała się do tego komputera. Jeśli ta zasada zostanie włączona, nazwa użytkownika nie będzie wyświetlana. Jeśli ta zasada będzie wyłączona, nazwa użytkownika będzie wyświetlana. Wartość domyślna: Wyłączone. |
Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
1986 | Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL+ALT+DEL
To ustawienie zabezpieczeń określa, czy będzie wymagane naciśnięcie klawiszy CTRL+ALT+DEL, aby użytkownik mógł się zalogować. Jeśli to ustawienie zasad będzie włączone na komputerze, użytkownik nie będzie musiał naciskać klawiszy CTRL+ALT+DEL, aby się zalogować. Brak konieczności naciśnięcia klawiszy CTRL+ALT+DEL powoduje, że użytkownicy są narażeni na ataki polegające na przechwytywaniu haseł. Wymaganie naciśnięcia klawiszy CTRL+ALT+DEL przed zalogowaniem pozwala zagwarantować, że użytkownicy będą wprowadzać hasła w bezpiecznym środowisku. Jeśli to ustawienie zasad będzie wyłączone, każdy użytkownik będzie musiał nacisnąć klawisze CTRL+ALT+DEL przed zalogowaniem się do systemu Windows. Wartość domyślna na komputerach domeny: włączone: co najmniej system Windows 8/wyłączone: system Windows 7 lub starszy. Wartość domyślna na komputerach autonomicznych: włączone. |
Interactive logon: Do not require CTRL+ALT+DEL
This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on. If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords. If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows. Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier. Default on stand-alone computers: Enabled. |
1987 | Logowanie interakcyjne: tekst komunikatu dla użytkowników próbujących się zalogować
To ustawienie zabezpieczeń określa tekst komunikatu, który jest wyświetlany podczas logowania się użytkowników. Ten tekst często jest używany z przyczyn prawnych, na przykład w celu ostrzeżenia użytkowników o konsekwencjach nieprawidłowego wykorzystania informacji firmowych lub o możliwości poddania inspekcji czynności, które użytkownicy wykonują na komputerze. Wartość domyślna: brak komunikatu. |
Interactive logon: Message text for users attempting to log on
This security setting specifies a text message that is displayed to users when they log on. This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited. Default: No message. |
1988 | Logowanie interakcyjne: tytuł komunikatu dla użytkowników próbujących się zalogować
To ustawienie zabezpieczeń zezwala na określenie tytułu, który będzie wyświetlany na pasku tytułu okna zawierającego wartość ustawienia Logowanie interakcyjne: tekst komunikatu dla użytkowników próbujących się zalogować. Wartość domyślna: brak komunikatu. |
Interactive logon: Message title for users attempting to log on
This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on. Default: No message. |
1989 | Logowanie interakcyjne: liczba poprzednich zalogowań do zapisania w pamięci podręcznej (w przypadku niedostępności kontrolera domeny)
Informacje logowania każdego unikatowego użytkownika są zapisywane lokalnie, więc jeśli kontroler domeny będzie niedostępny podczas kolejnych prób logowania tych użytkowników, będą oni mogli się zalogować. Informacje logowania, które są zapisane w pamięci podręcznej, pochodzą z poprzedniej sesji logowania. Jeśli kontroler domeny jest niedostępny, a informacje logowania użytkownika nie znajdują się w pamięci podręcznej, zostanie wyświetlony monit z następującym komunikatem: Nie ma obecnie serwerów logowania dostępnych do obsługi żądania logowania. W tym ustawieniu zasad wartość 0 powoduje wyłączenie zapisywania danych logowania w pamięci podręcznej. Dowolna wartość większa niż 50 umożliwia zapisanie w pamięci podręcznej tylko 50 prób logowania. System Windows obsługuje maksymalnie 50 wpisów pamięci podręcznej, a liczba wpisów wykorzystywanych przez użytkownika zależy od poświadczenia. Przykładowo, w pamięci podręcznej systemu Windows można przechowywać maksymalnie 50 kont użytkowników z unikatowymi hasłami, ale jedynie 25 kont użytkowników kart inteligentnych, ponieważ w tym drugim przypadku przechowywane są zarówno informacje o haśle, jak i informacje o karcie interaktywnej. Gdy użytkownik z informacjami logowania zapisanymi w pamięci podręcznej zaloguje się ponownie, jego indywidualne informacje w pamięci podręcznej zostaną zastąpione. Wartość domyślna: Windows Server 2008: 25 Wszystkie inne wersje: 10 |
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message: There are currently no logon servers available to service the logon request. In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced. Default: Windows Server 2008: 25 All Other Versions: 10 |
1990 | Logowanie interakcyjne: monituj użytkownika o zmianę hasła przed jego wygaśnięciem
Określa, z jakim wyprzedzeniem (w dniach) użytkownicy będą ostrzegani o wygaśnięciu hasła. Dzięki ostrzeżeniu z wyprzedzeniem użytkownik będzie mieć czas na przygotowanie odpowiednio silnego hasła. Wartość domyślna: 5 dni. |
Interactive logon: Prompt user to change password before expiration
Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong. Default: 5 days. |
1991 | Logowanie interakcyjne: wymagaj uwierzytelnienia kontrolera domeny do odblokowania
W celu odblokowania zablokowanego komputera należy podać informacje logowania. W przypadku kont domeny to ustawienie zabezpieczeń określa, czy w celu odblokowania komputera konieczne jest skontaktowanie się z kontrolerem domeny. Jeśli to ustawienie jest wyłączone, użytkownik może odblokować komputer, używając zbuforowanych poświadczeń. Jeśli to ustawienie jest włączone, kontroler domeny musi uwierzytelnić konto domeny używane do odblokowania komputera. Wartość domyślna: wyłączone. Ważne To ustawienie jest stosowane do komputerów z systemem Windows 2000, ale na tych komputerach nie można uzyskać do niego dostępu za pomocą Menedżera konfiguracji zabezpieczeń. |
Interactive logon: Require Domain Controller authentication to unlock
Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer. Default: Disabled. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1992 | Logowanie interakcyjne: wymagaj funkcji Windows Hello dla firm lub karty inteligentnej
To ustawienie zabezpieczeń określa, że użytkownicy muszą logować się do urządzenia, używając funkcji Windows Hello dla firm lub karty inteligentnej. Dostępne są następujące opcje: Włączone: użytkownicy mogą logować się do urządzenia tylko za pomocą funkcji Windows Hello dla firm lub karty inteligentnej. Wyłączone: użytkownicy mogą logować się do urządzenia, używając dowolnej metody. Ważne To ustawienie zabezpieczeń będzie stosowane na komputerach z systemem Windows 2000 przez wprowadzenie zmian w rejestrze, ale nie będzie widoczne w zestawie narzędzi Menedżer konfiguracji zabezpieczeń. Wymaganie logowania przy użyciu funkcji Windows Hello dla firm nie jest obsługiwane w systemie Windows 10 (wersja 1607) i starszych. |
Interactive logon: Require Windows Hello for Business or smart card
This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card. The options are: Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card. Disabled or not configured: Users can sign-in to the device using any method. Important This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set. Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier. |
1993 | Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej
To ustawienie zabezpieczeń określa, co się stanie, gdy karta inteligentna zalogowanego użytkownika zostanie usunięta z czytnika kart inteligentnych. Możliwe opcje: Brak akcji Zablokuj stację roboczą Wymuszaj wylogowanie Rozłącz w przypadku sesji usług pulpitu zdalnego Kliknięcie opcji Zablokuj stację roboczą w oknie dialogowym Właściwości dotyczącym tej zasady powoduje blokowanie stacji roboczej po usunięciu karty inteligentnej, dzięki czemu użytkownik może wyjść z pomieszczenia, zabierając ze sobą kartę inteligentną, i zachować chronioną sesję. Kliknięcie opcji Wymuszaj wylogowanie w oknie dialogowym Właściwości dotyczącym tej zasady powoduje automatyczne wylogowanie użytkownika po usunięciu karty inteligentnej. Kliknięcie opcji Rozłącz w przypadku sesji usług pulpitu zdalnego powoduje rozłączenie sesji bez wylogowywania użytkownika po usunięciu karty inteligentnej. Dzięki temu użytkownik może później włożyć kartę inteligentną i wznowić sesję (na tym samym lub innym komputerze z czytnikiem kart) bez konieczności ponownego logowania. Jeśli sesja jest lokalna, ta zasada działa identycznie jak polecenie Zablokuj stację roboczą. Uwaga: w poprzednich wersjach systemu Windows Server usługi pulpitu zdalnego były nazywane usługami terminalowymi. Wartość domyślna: ta zasada nie jest zdefiniowana, co oznacza, że system traktuje ją jako Brak akcji. System Windows Vista i nowsze: aby to ustawienie działało, usługa Zasady usuwania karty inteligentnej musi być uruchomiona. |
Interactive logon: Smart card removal behavior
This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader. The options are: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed. If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default: This policy is not defined, which means that the system treats it as No action. On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started. |
1994 | Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)
To ustawienie zabezpieczeń określa, czy składnik klienta SMB będzie wymagał podpisywania pakietów. Protokół SMB (Server Message Block — blok komunikatów serwera) jest podstawą mechanizmu udostępniania plików i drukarek w produktach firmy Microsoft oraz innych operacji sieciowych, takich jak zdalne administrowanie systemem Windows. Aby zapobiec atakom typu „man in the middle” polegającym na modyfikowaniu przesyłanych pakietów SMB, protokół SMB obsługuje cyfrowe podpisywanie pakietów SMB. To ustawienie zasad określa, czy podpisywanie pakietów SMB musi zostać wynegocjowane, aby była możliwa komunikacja z serwerem SMB. Jeśli to ustawienie zostanie włączone, klient sieci Microsoft nie będzie mógł komunikować się z serwerem sieci Microsoft, dopóki serwer nie zgodzi się na podpisywanie pakietów SMB. Jeśli te zasady zostaną wyłączone, podpisywanie pakietów SMB będzie negocjowane między klientem i serwerem. Wartość domyślna: Wyłączone. Ważne Aby te zasady obowiązywały na komputerach z systemem Windows 2000, musi być także włączone podpisywanie pakietów po stronie klienta. Aby włączyć podpisywanie pakietów SMB po stronie klienta, ustaw zasadę Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera). Uwagi Wszystkie systemy operacyjne Windows obsługują zarówno składnik SMB po stronie klienta, jak i składnik SMB po stronie serwera. W systemie Windows 2000 lub nowszym do włączania lub wymagania podpisywania pakietów przez składniki SMB po stronie klienta i po stronie serwera służą następujące cztery ustawienia zasad: Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) — określa, czy składnik SMB po stronie klienta wymaga podpisywania pakietów. Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) — określa, czy składnik SMB po stronie klienta ma włączone podpisywania pakietów. Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) — określa, czy składnik SMB po stronie serwera wymaga podpisywania pakietów. Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) — określa, czy składnik SMB po stronie serwera ma włączone podpisywanie pakietów. Podpisywanie pakietów SMB może znacząco zmniejszyć wydajność połączeń SMB, w zależności od wersji dialektu, wersji systemu operacyjnego, rozmiaru plików, możliwości odciążania procesora i zachowań we/wy aplikacji. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB client component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted. If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled. Important For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees). Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1995 | Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera)
To ustawienie zabezpieczeń określa, czy klient SMB będzie próbował negocjować podpisywanie pakietów SMB. Protokół SMB (Server Message Block — blok komunikatów serwera) jest podstawą mechanizmu udostępniania plików i drukarek w produktach firmy Microsoft oraz innych operacji sieciowych, takich jak zdalne administrowanie systemem Windows. Aby zapobiec atakom typu „man in the middle” polegającym na modyfikowaniu przesyłanych pakietów SMB, protokół SMB obsługuje cyfrowe podpisywanie pakietów SMB. To ustawienie zasad określa, czy składnik klienta SMB będzie próbował negocjować podpisywanie pakietów SMB podczas nawiązywania połączenia z serwerem SMB. Jeśli to ustawienie zostanie włączone, klient sieci Microsoft będzie żądać od serwera podpisywania pakietów SMB podczas konfigurowania sesji. Jeśli podpisywanie pakietów zostało włączone na serwerze, podpisywanie pakietów będzie negocjowane. Jeśli te zasady zostaną wyłączone, klient SMB nigdy nie będzie negocjował podpisywania pakietów SMB. Wartość domyślna: Włączone. Uwagi Wszystkie systemy operacyjne Windows obsługują zarówno składnik SMB po stronie klienta, jak i składnik SMB po stronie serwera. W systemie Windows 2000 lub nowszym do włączania lub wymagania podpisywania pakietów przez składniki SMB po stronie klienta i po stronie serwera służą następujące cztery ustawienia zasad: Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) — określa, czy składnik SMB po stronie klienta wymaga podpisywania pakietów. Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) — określa, czy składnik SMB po stronie klienta ma włączone podpisywania pakietów. Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) — określa, czy składnik SMB po stronie serwera wymaga podpisywania pakietów. Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) — określa, czy składnik SMB po stronie serwera ma włączone podpisywanie pakietów. Jeśli podpisywanie pakietów SMB jest włączone po stronie serwera oraz po stronie klienta i klient nawiązuje połączenie SMB 1.0 z serwerem, jest podejmowana próba podpisania pakietów SMB. Podpisywanie pakietów SMB może znacząco zmniejszyć wydajność połączeń SMB, w zależności od wersji dialektu, wersji systemu operacyjnego, rozmiaru plików, możliwości odciążania procesora i zachowań we/wy aplikacji. To ustawienie dotyczy tylko połączeń SMB 1.0. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (if server agrees)
This security setting determines whether the SMB client attempts to negotiate SMB packet signing. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server. If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1996 | Klient sieci Microsoft: wyślij niezaszyfrowane hasło w celu nawiązania połączenia z innymi serwerami SMB
Jeśli to ustawienie zabezpieczeń będzie włączone, przekierowanie SMB (Server Message Block) będzie mogło wysyłać hasła w postaci zwykłego tekstu do serwerów SMB firm innych niż Microsoft, które nie obsługują szyfrowania haseł podczas uwierzytelniania. Wysyłanie niezaszyfrowanych haseł stanowi potencjalne zagrożenie bezpieczeństwa. Wartość domyślna: wyłączone. |
Microsoft network client: Send unencrypted password to connect to third-party SMB servers
If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication. Sending unencrypted passwords is a security risk. Default: Disabled. |
1997 | Serwer sieci Microsoft: okres bezczynności wymagany dla wstrzymania sesji
To ustawienie zabezpieczeń określa ilość ciągłego czasu bezczynności, który musi upłynąć w trakcie sesji SMB (Server Message Block), zanim sesja zostanie wstrzymana z powodu braku aktywności. Administratorzy mogą używać tej zasady w celu określania, kiedy komputer ma wstrzymać nieaktywną sesję SMB. Gdy klient wznowi aktywność, sesja zostanie automatycznie ustanowiona ponownie. Wartość 0 tego ustawienia zabezpieczeń oznacza rozłączenie nieaktywnej sesji, gdy tylko jest to możliwe. Wartość maksymalna to 99999, co oznacza 208 dni. Efektem użycia tej wartości jest wyłączenie zasady. Wartość domyślna: ta zasada nie jest zdefiniowana, co oznacza, że system traktuje ją jako 15 minut dla serwerów i niezdefiniowaną dla stacji roboczych. |
Microsoft network server: Amount of idle time required before suspending a session
This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity. Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished. For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy. Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations. |
1998 | Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)
To ustawienie zabezpieczeń określa, czy składnik serwera SMB będzie wymagał podpisywania pakietów. Protokół SMB (Server Message Block — blok komunikatów serwera) jest podstawą mechanizmu udostępniania plików i drukarek w produktach firmy Microsoft oraz innych operacji sieciowych, takich jak zdalne administrowanie systemem Windows. Aby zapobiec atakom typu „man in the middle” polegającym na modyfikowaniu przesyłanych pakietów SMB, protokół SMB obsługuje cyfrowe podpisywanie pakietów SMB. To ustawienie zasad określa, czy podpisywanie pakietów SMB musi zostać wynegocjowane, aby była możliwa komunikacja z klientem SMB. Jeśli to ustawienie zostanie włączone, serwer sieci Microsoft nie będzie mógł komunikować się z klientem sieci Microsoft, dopóki klient nie zgodzi się na podpisywanie pakietów SMB. Jeśli to ustawienie zostanie wyłączone, podpisywanie pakietów SMB będzie negocjowane między klientem i serwerem. Wartość domyślna: Wyłączone na serwerach członkowskich. Włączone na kontrolerach domeny. Uwagi Wszystkie systemy operacyjne Windows obsługują zarówno składnik SMB po stronie klienta, jak i składnik SMB po stronie serwera. W systemie Windows 2000 lub nowszym do włączania lub wymagania podpisywania pakietów przez składniki SMB po stronie klienta i po stronie serwera służą następujące cztery ustawienia zasad: Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) — określa, czy składnik SMB po stronie klienta wymaga podpisywania pakietów. Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) — określa, czy składnik SMB po stronie klienta ma włączone podpisywanie pakietów. Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) — określa, czy składnik SMB po stronie serwera wymaga podpisywania pakietów. Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) — określa, czy składnik SMB po stronie serwera ma włączone podpisywania pakietów. Podobnie, jeśli jest wymagane podpisywanie pakietów SMB po stronie klienta, klient nie będzie mógł ustanowić sesji z serwerami, na których nie jest włączone podpisywanie pakietów. Domyślnie podpisywanie pakietów SMB po stronie serwera jest włączone tylko na kontrolerach domeny. Jeśli jest włączone podpisywanie pakietów SMB po stronie serwera, podpisywanie pakietów SMB będzie negocjowane z klientami, na których włączono podpisywanie SMB po stronie klienta. Podpisywanie pakietów SMB może znacząco zmniejszyć wydajność połączeń SMB, w zależności od wersji dialektu, wersji systemu operacyjnego, rozmiaru plików, możliwości odciążania procesora i zachowań we/wy aplikacji. Ważne Aby te zasady obowiązywały na komputerach z systemem Windows 2000, musi być także włączone podpisywanie pakietów po stronie serwera. Aby włączyć podpisywanie pakietów SMB po stronie serwera, ustaw następujące zasady: Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) Aby serwery z systemem Windows 2000 negocjowały podpisywanie z klientami z systemem Windows NT 4.0, na serwerach z systemem Windows 2000 należy ustawić następującą wartość rejestru równą 1: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB server component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted. If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled for member servers. Enabled for domain controllers. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers. If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. Important For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1999 | Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta)
To ustawienie zabezpieczeń określa, czy serwer SMB będzie negocjował podpisywanie pakietów SMB z klientami, którzy tego żądają. Protokół SMB (Server Message Block — blok komunikatów serwera) jest podstawą mechanizmu udostępniania plików i drukarek w produktach firmy Microsoft oraz innych operacji sieciowych, takich jak zdalne administrowanie systemem Windows. Aby zapobiec atakom typu „man in the middle” polegającym na modyfikowaniu przesyłanych pakietów SMB, protokół SMB obsługuje cyfrowe podpisywanie pakietów SMB. To ustawienie zasad określa, czy serwer SMB będzie negocjował podpisywanie pakietów SMB, gdy klient tego zażąda. Jeśli to ustawienie zostanie włączone, serwer sieci Microsoft będzie na żądanie klienta negocjował podpisywanie pakietów SMB. Oznacza to, że jeśli podpisywanie pakietów zostało włączone na kliencie, podpisywanie pakietów będzie negocjowane. Jeśli te zasady zostaną wyłączone, klient SMB nigdy nie będzie negocjował podpisywania pakietów SMB. Wartość domyślna: Włączone tylko na kontrolerach domeny. Ważne Aby serwery z systemem Windows 2000 negocjowały podpisywanie z klientami z systemem Windows NT 4.0, na serwerach z systemem Windows 2000 należy ustawić następującą wartość rejestru równą 1: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature. Uwagi Wszystkie systemy operacyjne Windows obsługują zarówno składnik SMB po stronie klienta, jak i składnik SMB po stronie serwera. W systemie Windows 2000 lub nowszym do włączania lub wymagania podpisywania pakietów przez składniki SMB po stronie klienta i po stronie serwera służą następujące cztery ustawienia zasad: Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) — określa, czy składnik SMB po stronie klienta wymaga podpisywania pakietów. Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) — określa, czy składnik SMB po stronie klienta ma włączone podpisywania pakietów. Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) — określa, czy składnik SMB po stronie serwera wymaga podpisywania pakietów. Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) — określa, czy składnik SMB po stronie serwera ma włączone podpisywanie pakietów. Jeśli podpisywanie pakietów SMB jest włączone po stronie serwera oraz po stronie klienta i klient nawiązuje połączenie SMB 1.0 z serwerem, jest podejmowana próba podpisania pakietów SMB. Podpisywanie pakietów SMB może znacząco zmniejszyć wydajność połączeń SMB, w zależności od wersji dialektu, wersji systemu operacyjnego, rozmiaru plików, możliwości odciążania procesora i zachowań we/wy aplikacji. To ustawienie dotyczy tylko połączeń SMB 1.0. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (if client agrees)
This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it. If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled on domain controllers only. Important For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
2000 | Serwer sieci Microsoft: rozłączaj klientów po upływie limitu czasu logowania
To ustawienie zabezpieczeń określa, czy mają być rozłączani użytkownicy, którzy połączyli się ze swoimi komputerami lokalnymi poza wyznaczonymi godzinami logowania na ich kontach użytkowników. To ustawienie ma wpływ na składnik bloku komunikatów serwera (SMB). Włączenie tej zasady powoduje wymuszanie rozłączenia sesji klienta z usługą SMB, gdy upłyną godziny logowania klienta. Wyłączenie tej zasady spowoduje, że ustanowiona sesja klienta będzie zachowywana po upływie godzin logowania klienta. Wartość domyślna w systemie Windows Vista i nowszych: Włączone. Wartość domyślna w systemie Windows XP: Wyłączone. |
Microsoft network server: Disconnect clients when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default on Windows Vista and above: Enabled. Default on Windows XP: Disabled |
2001 | Dostęp sieciowy: zezwalaj na anonimową translację identyfikatorów SID/nazw
To ustawienie zasad określa, czy użytkownik anonimowy może zażądać atrybutów identyfikatora zabezpieczeń (SID) innego użytkownika. Jeśli ta zasada jest włączona, użytkownik anonimowy może zażądać atrybutu identyfikatora SID innego użytkownika. Użytkownik anonimowy znający identyfikator SID administratora może skontaktować się z komputerem, na którym ta zasada jest włączona, i użyć identyfikatora SID, aby uzyskać nazwę administratora. To ustawienie ma wpływ zarówno na translację identyfikatora SID na nazwę, jak i nazwy na identyfikator SID. Jeśli to ustawienie zasad jest wyłączone, użytkownik anonimowy nie może zażądać atrybutu identyfikatora SID innego użytkownika. Wartość domyślna na stacjach roboczych i serwerach członkowskich: Wyłączone Wartość domyślna na kontrolerach domeny z systemem Windows Server 2008 lub nowszym: Wyłączone Wartość domyślna na kontrolerach domeny z systemem Windows Server 2003 R2 lub starszym: Włączone. |
Network access: Allow anonymous SID/name translation
This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user. If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation. If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user. Default on workstations and member servers: Disabled. Default on domain controllers running Windows Server 2008 or later: Disabled. Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled. |
2002 | Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM
To ustawienie zabezpieczeń określa, jakie dodatkowe uprawnienia będą udzielane na potrzeby anonimowych połączeń z komputerem. System Windows zezwala użytkownikom anonimowym na wykonywanie pewnych czynności, takich jak wyliczanie nazw kont domeny i udziałów sieciowych. Jest to wygodne na przykład wtedy, gdy administrator chce udzielić dostępu użytkownikom z zaufanej domeny, w której domena administratora nie jest zaufana. Ta opcja zabezpieczeń umożliwia nakładanie dodatkowych ograniczeń na połączenia anonimowe, tak jak opisano poniżej: Włączone: Nie zezwalaj na wyliczanie kont SAM. Ta opcja zastępuje ustawienie Wszyscy ustawieniem Użytkownicy uwierzytelnieni w uprawnieniach zabezpieczeń zasobów. Wyłączone: Brak dodatkowych ograniczeń. Polegaj na uprawnieniach domyślnych. Wartość domyślna na stacji roboczej: Włączone. Wartość domyślna na serwerze: Wyłączone. Ważne Ta zasada nie ma wpływu na kontrolery domeny. |
Network access: Do not allow anonymous enumeration of SAM accounts
This security setting determines what additional permissions will be granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. This security option allows additional restrictions to be placed on anonymous connections as follows: Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources. Disabled: No additional restrictions. Rely on default permissions. Default on workstations: Enabled. Default on server:Enabled. Important This policy has no impact on domain controllers. |
2003 | Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
To ustawienie zabezpieczeń określa, czy jest dozwolone anonimowe wyliczanie kont SAM i udziałów. System Windows zezwala anonimowym użytkownikom na wykonywanie pewnych czynności, takich jak wyliczanie nazw kont domeny i udziałów sieciowych. Jest to wygodne na przykład wtedy, gdy administrator chce udzielić dostępu użytkownikom z zaufanej domeny, w której domena administratora nie jest zaufana. Tę zasadę należy włączyć, aby anonimowe wyliczanie kont SAM i udziałów nie było dozwolone. Wartość domyślna: wyłączone. |
Network access: Do not allow anonymous enumeration of SAM accounts and shares
This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy. Default: Disabled. |
2004 | Dostęp sieciowy: nie zezwalaj na przechowywanie haseł ani poświadczeń do uwierzytelniania sieciowego
To ustawienie zabezpieczeń określa, czy Menedżer poświadczeń zapisuje hasła i poświadczenia w celu późniejszego użycia, gdy zostanie uzyskane uwierzytelnienie domeny. Jeśli to ustawienie jest włączone, Menedżer poświadczeń nie przechowuje haseł ani poświadczeń na komputerze. Jeśli to ustawienie zasad jest wyłączone lub nie jest skonfigurowane, Menedżer poświadczeń przechowuje hasła i poświadczenia na tym komputerze w celu późniejszego użycia do uwierzytelniania domeny. Uwaga: w przypadku konfigurowania tego ustawienia zabezpieczeń zmiany nie zaczną obowiązywać, dopóki system Windows nie zostanie uruchomiony ponownie. Wartość domyślna: Wyłączone |
Network access: Do not allow storage of passwords and credentials for network authentication
This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication. If you enable this setting, Credential Manager does not store passwords and credentials on the computer. If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
2005 | Dostęp sieciowy: zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników
To ustawienie zabezpieczeń określa, jakie dodatkowe uprawnienia są udzielane na potrzeby anonimowych połączeń z komputerem. System Windows zezwala użytkownikom anonimowym na wykonywanie pewnych czynności, takich jak wyliczanie nazw kont domeny i udziałów sieciowych. Jest to wygodne na przykład wtedy, gdy administrator chce udzielić dostępu użytkownikom z zaufanej domeny, w której domena administratora nie jest zaufana. Domyślnie identyfikator zabezpieczeń (SID) grupy Wszyscy jest usuwany z tokenu tworzonego dla połączeń anonimowych. Dlatego uprawnienia udzielane grupie Wszyscy nie są stosowane do użytkowników anonimowych. Jeśli ta opcja jest ustawiona, użytkownicy anonimowi mogą uzyskać dostęp do tych zasobów, do których jawnie udzielono dostępu użytkownikowi anonimowemu. Jeśli ta zasada będzie włączona, identyfikator SID grupy Wszyscy będzie dodawany do tokenu tworzonego dla połączeń anonimowych. W takim przypadku użytkownicy anonimowi będą mogli uzyskać dostęp do każdego zasobu, do którego udzielono uprawnień grupie Wszyscy. Wartość domyślna: wyłączone. |
Network access: Let Everyone permissions apply to anonymous users
This security setting determines what additional permissions are granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission. If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions. Default: Disabled. |
2006 | Dostęp sieciowy: nazwane potoki, do których można uzyskiwać dostęp anonimowo
To ustawienie zabezpieczeń określa, które sesje komunikacyjne (potoki) będą mieć atrybuty i uprawnienia umożliwiające dostęp anonimowy. Wartość domyślna: brak. |
Network access: Named pipes that can be accessed anonymously
This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access. Default: None. |
2007 | Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo
To ustawienie zabezpieczeń określa klucze rejestru, do których można uzyskać dostęp z sieci, niezależnie od tego, jacy użytkownicy i grupy figurują na liście kontroli dostępu (ACL) klucza rejestru winreg. Wartość domyślna: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Przestroga Niepoprawne edytowanie rejestru może spowodować poważne uszkodzenie systemu. Przed wprowadzeniem zmian w rejestrze należy wykonać kopię zapasową wszystkich cennych danych, które znajdują się na komputerze. Uwaga: To ustawienie zabezpieczeń nie jest dostępne we wcześniejszych wersjach systemu Windows. Ustawienie zabezpieczeń „Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo” na komputerach z systemem Windows XP odpowiada opcji zabezpieczeń „Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo i ścieżki podrzędne” w systemach z rodziny Windows Server 2003. Aby uzyskać więcej informacji, zobacz temat Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo i ścieżki podrzędne. Wartość domyślna: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
Network access: Remotely accessible registry paths
This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
2008 | Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo i ścieżki podrzędne
To ustawienie zabezpieczeń określa ścieżki rejestru oraz ścieżki podrzędne, do których można uzyskać dostęp z sieci, niezależnie od tego, jacy użytkownicy i grupy są wymienione na liście kontroli dostępu (ACL) klucza rejestru winreg. Wartość domyślna: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Przestroga Niepoprawne edytowanie rejestru może spowodować poważne uszkodzenie systemu. Przed wprowadzeniem zmian w rejestrze należy wykonać kopię zapasową wszystkich cennych danych, które znajdują się na komputerze. Uwaga: W systemie Windows XP to ustawienie zabezpieczeń nosi nazwę Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo. Jeśli to ustawienie zostanie skonfigurowane na komputerze z systemem z rodziny Windows Server 2003 dołączonym do domeny, to ustawienie będzie dziedziczone przez komputery z systemem Windows XP, ale na tych komputerach będzie widoczne jako opcja zabezpieczeń Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo. Aby uzyskać więcej informacji, zobacz Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo i ścieżki podrzędne. |
Network access: Remotely accessible registry paths and subpaths
This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths. |
2009 | Dostęp sieciowy: ogranicz anonimowy dostęp do nazwanych potoków i udziałów
Gdy to ustawienie zabezpieczeń jest włączone, dostęp anonimowy do udziałów i potoków jest ograniczony zgodnie z ustawieniami zasad: Dostęp sieciowy: nazwane potoki, do których można uzyskiwać dostęp anonimowo Dostęp sieciowy: udziały, do których można uzyskiwać dostęp anonimowo Wartość domyślna: włączone. |
Network access: Restrict anonymous access to Named Pipes and Shares
When enabled, this security setting restricts anonymous access to shares and pipes to the settings for: Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously Default: Enabled. |
2010 | Dostęp sieciowy: udziały, do których można uzyskiwać dostęp anonimowo
To ustawienie zabezpieczeń określa udziały sieciowe, do których będą mieć dostęp użytkownicy anonimowi. Wartość domyślna: nie określono. |
Network access: Shares that can be accessed anonymously
This security setting determines which network shares can accessed by anonymous users. Default: None specified. |
2011 | Dostęp sieciowy: udostępnianie i model zabezpieczeń dla kont lokalnych
To ustawienie zabezpieczeń określa, w jaki sposób są uwierzytelniane logowania sieciowe z użyciem kont lokalnych. Jeśli to ustawienie ma wartość Klasyczny, logowania sieciowe z użyciem poświadczeń konta lokalnego są uwierzytelniane przy użyciu tych poświadczeń. Model Klasyczny umożliwia szczegółową kontrolę dostępu do zasobów. Użycie modelu Klasyczny pozwala udzielać różnym użytkownikom różnych typów dostępu do tego samego zasobu. Jeśli to ustawienie ma wartość Tylko gość, logowania sieciowe z użyciem kont lokalnych są automatycznie mapowane na konto Gość. Użycie modelu Gość powoduje, że wszyscy użytkownicy są traktowani tak samo. Wszyscy użytkownicy są uwierzytelniani jako Gość i otrzymują taki sam poziom dostępu do danego zasobu. Możliwe poziomy to Tylko odczyt lub Modyfikacja. Wartość domyślna na komputerach domeny: Klasyczny Wartość domyślna na komputerach autonomicznych: Tylko gość Ważne W przypadku modelu Tylko gość każdy użytkownik, który może uzyskać dostęp do tego komputera z sieci (w tym anonimowi użytkownicy Internetu), może uzyskać dostęp do zasobów udostępnionych. Aby chronić komputer przed nieautoryzowanym dostępem, należy użyć Zapory systemu Windows lub podobnego urządzenia. Podobnie w przypadku modelu Klasyczny konta lokalne muszą być chronione hasłem, ponieważ w przeciwnym razie każda osoba będzie mogła użyć tych kont w celu uzyskania dostępu do udostępnionych zasobów systemu. Uwaga: To ustawienie nie ma wpływu na logowania interakcyjne wykonywane zdalnie za pomocą takich usług, jak Telnet czy usługi pulpitu zdalnego. W poprzednich wersjach systemu Windows Server usługi pulpitu zdalnego były nazywane usługami terminalowymi. Ta zasada nie ma wpływu na komputery z systemem Windows 2000. Gdy komputer nie jest przyłączony do domeny, to ustawienie powoduje również modyfikację kart Udostępnianie i Zabezpieczenia w Eksploratorze Windows, tak aby były one zgodne z używanym modelem udostępniania i zabezpieczeń. |
Network access: Sharing and security model for local accounts
This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource. If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify. Default on domain computers: Classic. Default on stand-alone computers: Guest only Important With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources. Note: This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services Remote Desktop Services was called Terminal Services in previous versions of Windows Server. This policy will have no impact on computers running Windows 2000. When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used. |
2012 | Zabezpieczenia sieciowe: nie przechowuj wartości skrótu programu LAN Manager przy następnej zmianie hasła
To ustawienie zabezpieczeń określa, czy w przypadku zmiany hasła dla nowego hasła będzie przechowywana wartość skrótu programu LAN Manager (LM). Skrót programu LM jest relatywnie słabszy i podatniejszy na ataki niż silniejszy kryptograficznie skrót systemu Windows NT. Ponieważ skrót programu LM jest przechowywany na komputerze lokalnym w bazie danych zabezpieczeń, możliwe jest złamanie haseł w przypadku ataku na bazę danych zabezpieczeń. Wartość domyślna w systemie Windows Vista i nowszych: Włączone. Wartość domyślna w systemie Windows XP: Wyłączone. Ważne System Windows 2000 z dodatkiem Service Pack 2 (SP2) i nowsze oferują zgodność z funkcjami uwierzytelniania poprzednich wersji systemu Windows, takich jak Microsoft Windows NT 4.0. To ustawienie ma wpływ na zdolność komputerów z systemami Windows 2000 Server, Windows 2000 Professional, Windows XP i systemami z rodziny Windows Server 2003 do komunikowania się z komputerami z systemami Windows 95 i Windows 98. |
Network security: Do not store LAN Manager hash value on next password change
This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked. Default on Windows Vista and above: Enabled Default on Windows XP: Disabled. Important Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0. This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98. |
2013 | Zabezpieczenia sieciowe: wymuś wylogowanie użytkowników po upłynięciu czasu logowania
To ustawienie zabezpieczeń określa, czy mają być rozłączani użytkownicy, którzy połączyli się ze swoimi komputerami lokalnymi poza wyznaczonymi godzinami logowania na ich kontach użytkowników. To ustawienie ma wpływ na składnik bloku komunikatów serwera (SMB). Włączenie tej zasady powoduje wymuszanie rozłączenia sesji klienta z serwerem SMB, gdy upłyną godziny logowania klienta. Wyłączenie tej zasady spowoduje, że ustanowiona sesja klienta będzie zachowywana po upływie godzin logowania klienta. Wartość domyślna: włączone. Uwaga: To ustawienie zabezpieczeń zachowuje się jak zasada kont. Dla kont domeny może istnieć tylko jedna zasada kont. Zasada kont musi być zdefiniowana w domyślnych zasadach domeny i jest wymuszana przez kontrolery domeny, które tworzą daną domenę. Kontroler domeny zawsze pobiera zasadę kont z obiektu zasad grupy (GPO) domyślnych zasad domeny, nawet jeśli do jednostki organizacyjnej zawierającej daną domenę zastosowano inną zasadę kont. Domyślnie stacje robocze i serwery dołączone do domeny (na przykład komputery członkowskie) także otrzymują tę samą zasadę kont dla swoich kont lokalnych. Jednak zasady kont lokalnych dla komputerów członkowskich mogą być inne niż zasada kont domeny z powodu zdefiniowania zasady kont dla jednostki organizacyjnej zawierającej daną domenę. Ustawienia protokołu Kerberos nie są stosowane do komputerów członkowskich. |
Network security: Force logoff when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default: Enabled. Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers. |
2014 | Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager
To ustawienie określa, jaki protokół uwierzytelniania typu wezwanie/odpowiedź będzie używany do obsługi logowań sieciowych. Wybór opcji tego ustawienia ma wpływ na poziom protokołu uwierzytelniania używanego przez klientów, negocjowany poziom zabezpieczeń sesji oraz poziom uwierzytelniania akceptowany przez serwery, tak jak opisano poniżej: Wyślij odpowiedzi LM i NTLM: Klienci używają uwierzytelniania LM i NTLM i nigdy nie używają zabezpieczeń sesji NTLMv2; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. Wyślij LM i NTLM — użyj zabezpieczeń sesji NTLMv2 w przypadku negocjowania: Klienci używają uwierzytelniania LM i NTLM, a także używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. Wyślij tylko odpowiedź NTLM: Klienci używają tylko uwierzytelniania NTLM, a także używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. Wyślij tylko odpowiedź NTLMv2: Klienci używają tylko uwierzytelniania NTLMv2, a także używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. Wyślij tylko odpowiedź NTLMv2. Odmów LM: Klienci używają tylko uwierzytelniania NTLMv2, a także używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje; kontrolery domeny odrzucają uwierzytelnianie LM (akceptują tylko uwierzytelnianie NTLM i NTLMv2). Wyślij tylko odpowiedź NTLMv2. Odmów LM i NTLM: Klienci używają tylko uwierzytelniania NTLMv2, a także używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje; kontrolery domeny odrzucają uwierzytelnianie LM i NTLM (akceptują tylko uwierzytelnianie NTLMv2). Ważne To ustawienie ma wpływ na zdolność komputerów z systemami Windows 2000 Server, Windows 2000 Professional, Windows XP Professional i systemami z rodziny Windows Server 2003 do komunikowania się przez sieć z komputerami z systemami Windows NT 4.0 i wcześniejszymi. Na przykład w czasie pisania niniejszych informacji komputery z systemem Windows NT 4.0 z dodatkiem SP4 i wcześniejsze nie obsługiwały uwierzytelniania NTLMv2. Komputery z systemami Windows 95 i Windows 98 nie obsługują uwierzytelniania NTLM. Wartość domyślna: Windows 2000 i Windows XP: Wyślij odpowiedzi typu LM i NTLM. Windows Server 2003: Wyślij tylko odpowiedź NTLM Windows Vista, Windows Server 2008, Windows 7 i Windows Server 2008 R2: Wyślij tylko odpowiedź NTLMv2 |
Network security: LAN Manager authentication level
This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows: Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication). Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication). Important This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM. Default: Windows 2000 and windows XP: send LM & NTLM responses Windows Server 2003: Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only |
2015 | Zabezpieczenia sieci: wymagania podpisywania klienta LDAP
To ustawienie zabezpieczeń określa poziom podpisywania danych, który będzie wymagany w imieniu klientów zgłaszających żądania BIND protokołu LDAP, tak jak opisano poniżej: Brak: żądanie BIND protokołu LDAP jest zgłaszane z opcjami określonymi przez obiekt wywołujący. Negocjuj podpisywanie: Jeśli nie uruchomiono protokołu TLS/SSL (Transport Layer Security/Secure Sockets Layer), żądanie BIND protokołu LDAP jest inicjowane za pomocą zestawu opcji podpisywania danych LDAP, które uzupełniają opcje określone przez obiekt wywołujący. Jeśli uruchomiono protokół TLS/SSL, żądanie BIND protokołu LDAP jest inicjowane za pomocą opcji określonych przez obiekt wywołujący. Wymagaj podpisu: Działa tak samo jak ustawienie Negocjuj podpisywanie. Jeśli jednak pośrednia odpowiedź serwera LDAP saslBindInProgress nie wskazuje, że jest wymagane podpisywanie ruchu LDAP, obiekt wywołujący jest informowany, że żądanie BIND protokołu LDAP nie powiodło się. Przestroga Jeśli na serwerze zostanie określone ustawienie Wymagaj podpisu, należy również określić je na kliencie. Jeśli to ustawienie nie zostanie określone na kliencie, zostanie utracone połączenie z serwerem. Uwaga: To ustawienie nie ma wpływu na żądania ldap_simple_bind i ldap_simple_bind_s. Żaden klient LDAP firmy Microsoft dostarczany z systemem Windows XP Professional nie używa żądania ldap_simple_bind lub ldap_simple_bind_s w celu komunikacji z kontrolerem domeny. Wartość domyślna: Negocjuj podpisywanie. |
Network security: LDAP client signing requirements
This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows: None: The LDAP BIND request is issued with the options that are specified by the caller. Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller. Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed. Caution If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server. Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller. Default: Negotiate signing. |
2016 | Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla klientów opartych na NTLM SSP (włączając klientów secure RPC)
To ustawienie zabezpieczeń zezwala klientowi na żądanie negocjowania szyfrowania 128-bitowego i/lub zabezpieczeń sesji NTLMv2. Te wartości zależą od wartości ustawienia zabezpieczeń Poziom uwierzytelniania programu LAN Manager. Opcje: Wymagaj zabezpieczeń sesji NTLMv2: Połączenie nie powiedzie się, jeśli nie zostanie wynegocjowany protokół NTLMv2. Wymagaj szyfrowania 128-bitowego: Połączenie nie powiedzie się, jeśli nie zostanie wynegocjowane silne szyfrowanie (128-bitowe). Wartość domyślna: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 i Windows Server 2008: Brak wymagań. Windows 7 i Windows Server 2008 R2: Wymagaj szyfrowania 128-bitowego. |
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated. Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2017 | Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla serwerów opartych na NTLM SSP (włączając klientów secure RPC)
To ustawienie zabezpieczeń zezwala serwerowi na żądanie negocjowania szyfrowania 128-bitowego i/lub zabezpieczeń sesji NTLMv2. Te wartości zależą od wartości ustawienia zabezpieczeń Poziom uwierzytelniania programu LAN Manager. Opcje: Wymagaj zabezpieczeń sesji NTLMv2: Połączenie nie powiedzie się, jeśli nie zostanie wynegocjowana integralność komunikatów. Wymagaj szyfrowania 128-bitowego: Połączenie nie powiedzie się, jeśli nie zostanie wynegocjowane silne szyfrowanie (128-bitowe). Wartość domyślna: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 i Windows Server 2008: Brak wymagań. Windows 7 i Windows Server 2008 R2: Wymagaj szyfrowania 128-bitowego. |
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if message integrity is not negotiated. Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2018 | Konsola odzyskiwania: zezwalaj na automatyczne logowanie administracyjne
To ustawienie zabezpieczeń określa, czy w celu uzyskania dostępu do systemu jest konieczne podanie hasła do konta administratora. Po włączeniu tej opcji Konsola odzyskiwania nie wymaga podawania haseł i automatycznie loguje użytkownika w systemie. Wartość domyślna: ta zasada nie jest zdefiniowana i automatyczne logowanie administracyjne nie jest dozwolone. |
Recovery console: Allow automatic administrative logon
This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system. Default: This policy is not defined and automatic administrative logon is not allowed. |
2019 | Konsola odzyskiwania: zezwalaj na kopiowanie na dyskietkę oraz dostęp do wszystkich dysków i folderów
Włączenie tej opcji zabezpieczeń powoduje udostępnienie polecenia SET w Konsoli odzyskiwania, które umożliwia ustawianie następujących zmiennych środowiskowych Konsoli odzyskiwania: AllowWildCards: włącza obsługę symboli wieloznacznych w niektórych poleceniach (na przykład w poleceniu DEL). AllowAllPaths: zezwala na dostęp do wszystkich plików i folderów na komputerze. AllowRemovableMedia: zezwala na kopiowanie plików na nośniki wymienne, na przykład dyskietki. NoCopyPrompt: wyłącza monit ostrzegający o zastępowaniu istniejącego pliku. Wartość domyślna: ta zasada nie jest zdefiniowana i polecenie SET w Konsoli odzyskiwania jest niedostępne. |
Recovery console: Allow floppy copy and access to all drives and all folders
Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables: AllowWildCards: Enable wildcard support for some commands (such as the DEL command). AllowAllPaths: Allow access to all files and folders on the computer. AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk. NoCopyPrompt: Do not prompt when overwriting an existing file. Default: This policy is not defined and the recover console SET command is not available. |
2020 | Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania
To ustawienie zabezpieczeń określa, czy można zamknąć komputer bez konieczności wylogowania się z systemu Windows. Po włączeniu tej zasady polecenie Zamknij jest dostępne na ekranie logowania do systemu Windows. Po wyłączeniu tej zasady polecenie zamykania nie jest wyświetlane na ekranie logowania do systemu Windows. W takiej sytuacji użytkownik musi pomyślnie zalogować się do systemu i mieć uprawnienie do zamknięcia systemu, aby zamknąć system. Wartość domyślna na stacjach roboczych: Włączone. Wartość domyślna na serwerach: Wyłączone. |
Shutdown: Allow system to be shut down without having to log on
This security setting determines whether a computer can be shut down without having to log on to Windows. When this policy is enabled, the Shut Down command is available on the Windows logon screen. When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown. Default on workstations: Enabled. Default on servers: Disabled. |
2021 | Zamknięcie: wyczyść plik stronicowania pamięci wirtualnej
To ustawienie zabezpieczeń określa, czy plik stronicowania pamięci wirtualnej jest czyszczony podczas zamykania systemu. Plik stronicowania systemu jest używany przez funkcję obsługi pamięci wirtualnej do zapisywania na dysku nieużywanych stron pamięci. W działającym systemie plik stronicowania jest otwierany wyłącznie przez system operacyjny i jest dobrze chroniony. Jednak na komputerach, w których skonfigurowano możliwość rozruchu innych systemów operacyjnych, może być konieczne zagwarantowanie, że systemowy plik stronicowania jest czyszczony podczas zamykania systemu. Uniemożliwi to dostęp nieautoryzowanych użytkowników do poufnych informacji z pamięci procesów, które mogły zostać zapisane w pliku stronicowania, nawet wtedy, gdy uda im się uzyskać bezpośredni dostęp do tego pliku. Włączenie tej zasady powoduje czyszczenie systemowego pliku stronicowania podczas zamykania systemu. Włączenie tej opcji zabezpieczeń powoduje także wyzerowanie pliku hibernacji (hiberfil.sys), gdy hibernacja jest wyłączona. Wartość domyślna: wyłączone. |
Shutdown: Clear virtual memory pagefile
This security setting determines whether the virtual memory pagefile is cleared when the system is shut down. Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile. When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled. Default: Disabled. |
2022 | Kryptografia systemu: wymuś mocną ochronę klucza dla kluczy użytkowników przechowywanych na komputerze
To ustawienie zabezpieczeń określa, czy użycie kluczy prywatnych użytkowników wymaga podania hasła. Dostępne są następujące opcje: Wprowadzanie danych przez użytkownika nie jest wymagane przy zachowywaniu i używaniu nowych kluczy Użytkownik jest monitowany przy pierwszym użyciu klucza Użytkownik musi wprowadzić hasło za każdym razem, gdy używa klucza Aby uzyskać więcej informacji, zobacz Infrastruktura kluczy publicznych. Wartość domyślna: ta zasada nie jest zdefiniowana. |
System Cryptography: Force strong key protection for user keys stored on the computer
This security setting determines if users' private keys require a password to be used. The options are: User input is not required when new keys are stored and used User is prompted when the key is first used User must enter a password each time they use a key For more information, see Public key infrastructure. Default: This policy is not defined. |
2023 | Kryptografia systemu: użyj algorytmów kryptograficznych zgodnych ze standardem FIPS 140, w tym algorytmów szyfrowania, generowania skrótów i podpisywania
W przypadku dostawcy usług zabezpieczeń (SSP) Schannel to ustawienie zabezpieczeń wyłącza słabsze protokoły SSL i powoduje obsługę tylko protokołów TLS jako klient i serwer (jeśli ma to zastosowanie). Jeśli to ustawienie jest włączone, dostawca zabezpieczeń TLS/SSL używa wyłącznie algorytmów kryptograficznych z certyfikatem FIPS 140: 3DES i AES do szyfrowania, kryptografii klucza publicznego RSA lub ECC do wymiany kluczy i uwierzytelniania TLS oraz wyłącznie algorytmów SHA (SHA1, SHA256, SHA384 i SHA512) do generowania skrótów na potrzeby protokołu TLS. W przypadku usługi szyfrowania systemu plików (EFS) ustawienie powoduje obsługę algorytmów szyfrowania Triple DES (Data Encryption Standard) i AES (Advanced Encryption Standard) do szyfrowania danych w plikach obsługiwanych przez system plików NTFS. Domyślnie system EFS do szyfrowania danych w plikach używa algorytmu AES z kluczem 256-bitowym w systemach z rodzin Windows Server 2003 i Windows Vista oraz algorytmu DESX w systemie Windows XP. Aby uzyskać informacje na temat systemu EFS, zobacz temat System szyfrowania plików. W przypadku usług pulpitu zdalnego ustawienie powoduje obsługę tylko algorytmu szyfrowania Triple DES do szyfrowania komunikacji sieciowej usług pulpitu zdalnego. Uwaga: w poprzednich wersjach systemu Windows Server usługi pulpitu zdalnego były nazywane usługami terminalowymi. W przypadku funkcji BitLocker tę zasadę należy włączyć przed wygenerowaniem jakiegokolwiek klucza szyfrowania. Hasła odzyskiwania utworzone, gdy ta zasada jest włączona, nie są zgodne z funkcją BitLocker w systemach Windows 8, Windows Server 2012 i wcześniejszych wersjach systemu operacyjnego. W przypadku zastosowania tej zasady na komputerach z systemami operacyjnymi w wersji wcześniejszej niż Windows 8.1 lub Windows Server 2012 R2 funkcja BitLocker uniemożliwia tworzenie i używanie haseł odzyskiwania. Zamiast tego należy używać kluczy odzyskiwania. Wartość domyślna: Wyłączone. Uwaga: standard FIPS (Federal Information Processing Standard) 140 to implementacja zabezpieczeń przeznaczona do certyfikowania oprogramowania kryptograficznego. Oprogramowanie z certyfikatem FIPS 140 jest wymagane przez rząd USA i inne znaczące organizacje. |
System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms
For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements. For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System. For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead. Default: Disabled. Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions. |
2024 | Obiekty systemu: domyślny właściciel dla obiektów utworzonych przez członków grupy Administratorzy.
Opis To ustawienie zabezpieczeń określa, który podmiot zabezpieczeń (identyfikator SID) będzie Właścicielem obiektów po ich utworzeniu przez członka grupy Administratorzy. Wartość domyślna: Windows XP: identyfikator SID użytkownika, Windows 2003: grupa Administratorzy |
System objects: Default owner for objects created by members of the Administrators group
Description This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group. Default: Windows XP: User SID Windows 2003 : Administrators Group |
2025 | Obiekty systemu: wymagaj nierozróżniania wielkości liter dla podsystemów innych niż Windows
To ustawienie zabezpieczeń określa, czy dla wszystkich podsystemów jest wymuszane ignorowanie wielkości liter. W podsystemie Win32 wielkość liter jest ignorowana. Jednak jądro obsługuje ignorowanie wielkości liter przez inne podsystemy, na przykład POSIX. Po włączeniu tego ustawienia ignorowanie wielkości liter jest wymuszane dla wszystkich obiektów katalogu, linków symbolicznych i obiektów we/wy, w tym obiektów plików. Wyłączenie tego ustawienia nie zezwala podsystemowi Win32 na rozróżnianie wielkości liter. Wartość domyślna: włączone. |
System objects: Require case insensitivity for non-Windows subsystems
This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX. If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive. Default: Enabled. |
2026 | Obiekty systemu: wzmocnij uprawnienia domyślne wewnętrznych obiektów systemu (np. linków symbolicznych)
To ustawienie zabezpieczeń określa siłę poufnej listy kontroli dostępu (DACL) dla obiektów. Usługa Active Directory przechowuje globalną listę udostępnianych zasobów systemowych, takich jak nazwy urządzeń DOS, muteksy i semafory. Dzięki niej procesy mogą lokalizować i współużytkować obiekty. Obiekt każdego typu jest tworzony z domyślną listą DACL, określającą użytkowników, którzy mają dostęp do obiektów i udzielone uprawnienia. Włączenie tej zasady powoduje, że domyślna lista DACL jest silniejsza i umożliwia użytkownikom, którzy nie są administratorami, modyfikowanie udostępnionych obiektów, których ci użytkownicy nie utworzyli. Wartość domyślna: włączone. |
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)
This security setting determines the strength of the default discretionary access control list (DACL) for objects. Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted. If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create. Default: Enabled. |
2027 | Ustawienia systemowe: opcjonalne podsystemy
To ustawienie zabezpieczeń określa, które podsystemy mogą zostać opcjonalnie uruchomione w celu obsługi aplikacji użytkownika. Można dzięki niemu określić tyle podsystemów, ile wymaga dane środowisko. Wartość domyślna: POSIX. |
System settings: Optional subsystems
This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands. Default: POSIX. |
2028 | Ustawienia systemowe: użyj reguł certyfikatów do plików wykonywalnych systemu Windows dla Zasad ograniczeń oprogramowania
To ustawienie zabezpieczeń określa, czy podczas próby uruchomienia przez użytkownika lub proces programu z rozszerzeniem nazwy pliku exe mają być przetwarzane certyfikaty cyfrowe. Służy ono do włączania lub wyłączania reguł certyfikatów, które są typem reguły zasad ograniczeń oprogramowania. Zasady ograniczeń oprogramowania pozwalają utworzyć regułę certyfikatu, która zezwoli lub nie na uruchamianie oprogramowania podpisanego zabezpieczeniem Authenticode, w zależności od certyfikatu cyfrowego skojarzonego z tym oprogramowaniem. To ustawienie zabezpieczeń musi być włączone, aby reguły certyfikatów obowiązywały. Po włączeniu reguł certyfikatów zasady ograniczeń oprogramowania będą sprawdzać na liście odwołania certyfikatów (CRL), czy certyfikat i podpis oprogramowania są ważne. Może to prowadzić do wolniejszego uruchamiania podpisanych programów. Tę funkcję można wyłączyć. W oknie dialogowym Właściwości: Zaufani wydawcy wyczyść pola wyboru Wydawca i Sygnatura czasowa. Aby uzyskać więcej informacji, zobacz Ustawianie opcji zaufanych wydawców. Wartość domyślna: wyłączone. |
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting. When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options. Default: Disabled. |
2029 | Maksymalny rozmiar dziennika aplikacji
To ustawienie zabezpieczeń określa maksymalny rozmiar dziennika zdarzeń aplikacji. Teoretyczne maksimum wynosi 4 GB, ale praktycznie limit jest niższy (ok. 300 MB). Uwagi Rozmiary plików dziennika muszą być wielokrotnością 64 KB. Po wprowadzeniu wartości, która nie jest wielokrotnością 64 KB, program Podgląd zdarzeń zaokrągli rozmiar pliku dziennika do wielokrotności 64 KB. To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Należy zdefiniować rozmiar dziennika zdarzeń i opcje zawijania dziennika tak, aby odpowiadały wymaganiom biznesowym i wymaganiom w zakresie zabezpieczeń określonym podczas projektowania planu zabezpieczeń przedsiębiorstwa. Warto rozważyć implementację tych ustawień dziennika zdarzeń na poziomie witryny, domeny lub jednostki organizacyjnej, aby móc skorzystać z ustawień zasad grupy. Wartość domyślna: w systemach z rodziny Windows Server 2003 — 16 MB; w systemie Windows XP Professional z dodatkiem Service Pack 1 — 8 MB; w systemie Windows XP Professional — 512 KB. |
Maximum application log size
This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2030 | Maksymalny rozmiar dziennika zabezpieczeń
To ustawienie zabezpieczeń określa maksymalny rozmiar dziennika zdarzeń zabezpieczeń. Teoretyczne maksimum wynosi 4 GB, ale praktycznie limit jest niższy (ok. 300 MB). Uwagi Rozmiary plików dziennika muszą być wielokrotnością 64 KB. Po wprowadzeniu wartości, która nie jest wielokrotnością 64 KB, program Podgląd zdarzeń zaokrągli rozmiar pliku dziennika do wielokrotności 64 KB. To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Należy zdefiniować rozmiar dziennika zdarzeń i opcje zawijania dziennika tak, aby odpowiadały wymaganiom biznesowym i wymaganiom w zakresie zabezpieczeń określonym podczas projektowania planu zabezpieczeń przedsiębiorstwa. Warto rozważyć implementację tych ustawień dziennika zdarzeń na poziomie witryny, domeny lub jednostki organizacyjnej, aby móc skorzystać z ustawień zasad grupy. Wartość domyślna: w systemach z rodziny Windows Server 2003 — 16 MB; w systemie Windows XP Professional z dodatkiem Service Pack 1 — 8 MB; w systemie Windows XP Professional — 512 KB. |
Maximum security log size
This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2031 | Maksymalny rozmiar dziennika systemu
To ustawienie zabezpieczeń określa maksymalny rozmiar dziennika zdarzeń systemu. Teoretyczne maksimum wynosi 4 GB, ale praktycznie limit jest niższy (ok. 300 MB). Uwagi Rozmiary plików dziennika muszą być wielokrotnością 64 KB. Po wprowadzeniu wartości, która nie jest wielokrotnością 64 KB, program Podgląd zdarzeń zaokrągli rozmiar pliku dziennika do wielokrotności 64 KB. To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Należy zdefiniować rozmiar dziennika zdarzeń i opcje zawijania dziennika tak, aby odpowiadały wymaganiom biznesowym i wymaganiom w zakresie zabezpieczeń określonym podczas projektowania planu zabezpieczeń przedsiębiorstwa. Warto rozważyć implementację tych ustawień dziennika zdarzeń na poziomie witryny, domeny lub jednostki organizacyjnej, aby móc skorzystać z ustawień zasad grupy. Wartość domyślna: w systemach z rodziny Windows Server 2003 — 16 MB; w systemie Windows XP Professional z dodatkiem Service Pack 1 — 8 MB; w systemie Windows XP Professional — 512 KB. |
Maximum system log size
This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2032 | Odmawiaj dostępu do dziennika aplikacji lokalnej grupie gości i użytkownikom korzystającym z logowania anonimowego
To ustawienie zabezpieczeń określa, czy dostęp gości do dziennika zdarzeń aplikacji ma być blokowany. Uwagi To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Dotyczy ono tylko komputerów z systemami Windows 2000 i Windows XP. Wartość domyślna: włączone w Windows XP, wyłączone w Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2033 | Odmawiaj dostępu do dziennika zabezpieczeń lokalnej grupie gości i użytkownikom korzystającym z logowania anonimowego
To ustawienie zabezpieczeń określa, czy dostęp gości do dziennika zdarzeń aplikacji ma być blokowany. Uwagi To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Dotyczy ono tylko komputerów z systemami Windows 2000 i Windows XP. Wartość domyślna: włączone w Windows XP, wyłączone w Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2034 | Odmawiaj dostępu do dziennika systemu lokalnej grupie gości i użytkownikom korzystającym z logowania anonimowego
To ustawienie zabezpieczeń określa, czy dostęp gości do dziennika zdarzeń aplikacji ma być blokowany. Uwagi To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Dotyczy ono tylko komputerów z systemami Windows 2000 i Windows XP. Wartość domyślna: włączone w Windows XP, wyłączone w Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2035 | Zachowuj dziennik aplikacji
To ustawienie zabezpieczeń określa liczbę dni, przez jaką zdarzenia mają być zachowywane w dzienniku aplikacji, o ile dla dziennika aplikacji wybrano metodę przechowywania Według dni. Wartość tę należy ustawić tylko wtedy, gdy archiwizuje się dziennik w zaplanowanych okresach i gdy maksymalny rozmiar dziennika aplikacji jest na tyle duży, aby umożliwić zachowywanie zdarzeń w podanym okresie. Uwaga: To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Wartość domyślna: brak. |
Retain application log
This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2036 | Zachowuj dziennik zabezpieczeń
To ustawienie zabezpieczeń określa liczbę dni, przez jaką zdarzenia mają być zachowywane w dzienniku zabezpieczeń, o ile dla dziennika zabezpieczeń wybrano metodę przechowywania Według dni. Wartość tę należy ustawić tylko wtedy, gdy archiwizuje się dziennik w zaplanowanych okresach i gdy maksymalny rozmiar dziennika zabezpieczeń jest na tyle duży, aby umożliwić zachowywanie zdarzeń w podanym okresie. Uwagi: To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Użytkownik musi posiadać uprawnienie Zarządzanie dziennikami inspekcji i zabezpieczeń, aby uzyskać dostęp do dziennika zabezpieczeń. Wartość domyślna: brak. |
Retain security log
This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2037 | Zachowuj dziennik systemu
To ustawienie zabezpieczeń określa liczbę dni, przez jaką zdarzenia mają być zachowywane w dzienniku systemu, o ile dla dziennika systemu wybrano metodę przechowywania Według dni. Wartość tę należy ustawić tylko wtedy, gdy archiwizuje się dziennik w zaplanowanych okresach i gdy maksymalny rozmiar dziennika systemu jest odpowiednio duży, aby umożliwić zachowywanie zdarzeń w podanym okresie. Uwaga: To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Wartość domyślna: brak. |
Retain system log
This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2038 | Metoda przechowywania dziennika aplikacji
To ustawienie zabezpieczeń określa metodę „zawijania” dziennika aplikacji. Jeśli dziennik aplikacji nie jest archiwizowany, w oknie dialogowym Właściwości dla tej zasady zaznacz pole wyboru Definiuj następujące ustawienie zasad, a następnie kliknij opcję Zastąp zdarzenia w razie potrzeby. Jeśli dziennik aplikacji jest archiwizowany w zaplanowanych okresach, w oknie dialogowym Właściwości dla tej zasady zaznacz pole wyboru Definiuj następujące ustawienie zasad, a następnie kliknij opcję Zastąp zdarzenia według dni i określ odpowiednią liczbę dni w ustawieniu Zachowuj dziennik aplikacji. Sprawdź, czy maksymalny rozmiar dziennika aplikacji jest odpowiednio duży, aby pomieścić zdarzenia z tego okresu. Jeśli konieczne jest zachowanie wszystkich zdarzeń w dzienniku, w oknie dialogowym Właściwości dla tej zasady zaznacz pole wyboru Definiuj następujące ustawienie zasad, a następnie kliknij opcję Nie zastępuj zdarzeń (ręczne czyszczenie dziennika). Ta opcja wymaga, aby dziennik był czyszczony ręcznie. W tym wypadku po osiągnięciu przez dziennik rozmiaru maksymalnego nowe zdarzenia są odrzucane. Uwaga: To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Wartość domyślna: brak. |
Retention method for application log
This security setting determines the "wrapping" method for the application log. If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2039 | Metoda przechowywania dziennika zabezpieczeń
To ustawienie zabezpieczeń określa metodę „zawijania” dziennika zabezpieczeń. Jeśli dziennik zabezpieczeń nie jest archiwizowany, w oknie dialogowym Właściwości dla tej zasady zaznacz pole wyboru Definiuj następujące ustawienie zasad, a następnie kliknij opcję Zastąp zdarzenia w razie potrzeby. Jeśli dziennik jest archiwizowany w zaplanowanych okresach, w oknie dialogowym Właściwości dla tej zasady zaznacz pole wyboru Definiuj następujące ustawienie zasad, a następnie kliknij opcję Zastąp zdarzenia według dni i określ odpowiednią liczbę dni w ustawieniu Zachowuj dziennik zabezpieczeń. Sprawdź, czy maksymalny rozmiar dziennika zabezpieczeń jest na tyle duży, aby pomieścić zdarzenia z tego okresu. Jeśli konieczne jest zachowanie wszystkich zdarzeń w dzienniku, w oknie dialogowym Właściwości dla tej zasady zaznacz pole wyboru Definiuj następujące ustawienie zasad, a następnie kliknij opcję Nie zastępuj zdarzeń (ręczne czyszczenie dziennika). Ta opcja wymaga, aby dziennik był czyszczony ręcznie. Przy tym ustawieniu po osiągnięciu przez dziennik rozmiaru maksymalnego nowe zdarzenia są odrzucane. Uwagi: To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Użytkownik musi posiadać uprawnienie Zarządzanie dziennikami inspekcji i zabezpieczeń, aby uzyskać dostęp do dziennika zabezpieczeń. Wartość domyślna: brak. |
Retention method for security log
This security setting determines the "wrapping" method for the security log. If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2040 | Metoda przechowywania dziennika systemu
To ustawienie zabezpieczeń określa metodę „zawijania” dziennika systemu. Jeśli dziennik systemu nie jest archiwizowany, w oknie dialogowym Właściwości dla tej zasady zaznacz pole wyboru Definiuj następujące ustawienie zasad, a następnie kliknij opcję Zastąp zdarzenia w razie potrzeby. Jeśli dziennik jest archiwizowany w zaplanowanych okresach, w oknie dialogowym Właściwości dla tej zasady zaznacz pole wyboru Definiuj następujące ustawienie zasad, a następnie kliknij opcję Zastąp zdarzenia według dni i określ odpowiednią liczbę dni w ustawieniu Zachowuj dziennik systemu. Sprawdź, czy maksymalny rozmiar dziennika systemu jest na tyle duży, aby pomieścić zdarzenia z tego okresu. Jeśli konieczne jest zachowanie wszystkich zdarzeń w dzienniku, w oknie dialogowym Właściwości dla tej zasady zaznacz pole wyboru Definiuj następujące ustawienie zasad, a następnie kliknij opcję Nie zastępuj zdarzeń (ręczne czyszczenie dziennika). Ta opcja wymaga, aby dziennik był czyszczony ręcznie. Przy tym ustawieniu po osiągnięciu przez dziennik rozmiaru maksymalnego nowe zdarzenia są odrzucane. Uwaga: To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Wartość domyślna: brak. |
Retention method for system log
This security setting determines the "wrapping" method for the system log. If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval .If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2041 | Grupy z ograniczeniami
To ustawienie zabezpieczeń umożliwia administratorowi definiowanie dwóch właściwości dla grup istotnych w aspekcie zabezpieczeń (grup z ograniczeniami). Te dwie właściwości to Członkowie i Członek grupy. Lista Członkowie pozwala definiować użytkowników, którzy należą i którzy nie należą do grupy z ograniczeniami. Lista Członek grupy określa inne grupy, do których należy grupa z ograniczeniami. Po wymuszeniu zasady Grupy z ograniczeniami każdy członek grupy z ograniczeniami, którego nie ma na liście Członkowie, jest usuwany. Każdy użytkownik wpisany na listę Członkowie, który nie jest w danym momencie członkiem grupy z ograniczeniami, jest dodawany do grupy. Zasada Grupy z ograniczeniami pozwala kontrolować przynależność do grup. Przy użyciu tej zasady można określić członków stanowiących część grupy. Wszyscy członkowie, którzy nie zostali określeni w zasadach są usuwani podczas konfiguracji lub odświeżania. Dodatkowo opcja konfiguracji odwrotnej przynależności zapewnia, że każda grupa z ograniczeniami należy tylko do tych grup, które są wymienione w kolumnie Członek grupy. Można na przykład utworzyć zasadę Grupy z ograniczeniami, która zezwoli tylko określonym użytkownikom (na przykład Alicji i Janowi) należeć do grupy Administratorzy. Po odświeżeniu zasady tylko Alicja i Jan pozostaną jako członkowie w grupie Administratorzy. Zasadę Grupy z ograniczeniami można zastosować na dwa sposoby: Zdefiniuj zasadę w szablonie zabezpieczeń, który zostanie zastosowany podczas konfiguracji na komputerze lokalnym. Zdefiniuj ustawienie bezpośrednio na obiekcie zasad grupy, dzięki czemu zasada zacznie będzie stosowana podczas każdego odświeżania zasad. Ustawienia zabezpieczeń są odświeżane co 90 minut na stacji roboczej i na serwerze oraz co 5 minut na kontrolerze domeny. Ustawienia te są także odświeżane co 16 godzin bez względu na to, czy uległy zmianie. Wartość domyślna: nie określono. Przestroga Po zdefiniowaniu zasady Grupy z ograniczeniami podczas odświeżania zasad grupy każdy członek, którego nie ma na liście członków zasady Grupy z ograniczeniami, zostanie usunięty. Może to dotyczyć także członków domyślnych, na przykład administratorów. Uwagi Zasada Grupy z ograniczeniami powinna być używana przede wszystkim do konfigurowania przynależności do grup lokalnych na stacji roboczej lub na serwerach członkowskich. Pusta lista Członkowie oznacza, że grupa z ograniczeniami nie ma członków; pusta lista Członek grupy oznacza, że nie określono grup, do których należy grupa z ograniczeniami. |
Restricted Groups
This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups). The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to. When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added. You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column. For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group. There are two ways to apply Restricted Groups policy: Define the policy in a security template, which will be applied during configuration on your local computer. Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes. Default: None specified. Caution If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators. Notes Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers. An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified. |
2042 | Ustawienia zabezpieczeń usług systemowych
Umożliwia administratorowi definiowanie trybu uruchamiania (ręczny, automatyczny lub wyłączony), a także uprawnień dostępu (uruchamianie, zatrzymywanie lub wstrzymywanie) dla wszystkich usług systemowych. Wartość domyślna: niezdefiniowane. Uwagi To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. Po wybraniu automatycznego trybu uruchamiania usług systemowych należy przeprowadzić odpowiednie testy, aby sprawdzić, czy usługi mogą być uruchamiane bez interwencji użytkownika. W celu optymalizacji wydajności należy ustawić ręczny tryb uruchamiania dla niepotrzebnych lub nieużywanych usług. |
System Services security settings
Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services. Default: Undefined. Notes This setting does not appear in the Local Computer Policy object. If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention. For performance optimization, set unnecessary or unused services to Manual. |
2043 | Ustawienia zabezpieczeń rejestru
Umożliwia administratorowi definiowanie uprawnień dostępu (na poufnych listach kontroli dostępu — DACL) i ustawień inspekcji (na systemowych listach kontroli dostępu — SACL) do kluczy rejestru przy użyciu Menedżera konfiguracji zabezpieczeń. Wartość domyślna: niezdefiniowane. Uwaga: To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. |
Registry security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2044 | Ustawienia zabezpieczeń systemu plików
Umożliwia administratorowi definiowanie uprawnień dostępu (na poufnych listach kontroli dostępu — DACL) i ustawień inspekcji (na systemowych listach kontroli dostępu — SACL) do obiektów systemu plików przy użyciu Menedżera konfiguracji zabezpieczeń. Wartość domyślna: niezdefiniowane. Uwaga: To ustawienie nie jest widoczne w obiekcie Lokalne zasady komputera. |
File System security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2045 | Inspekcja: wymuś ustawienia podkategorii zasad inspekcji (system Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad inspekcji.
System Windows Vista i nowsze wersje systemu Windows umożliwiają dokładniejsze zarządzanie zasadami inspekcji za pomocą podkategorii tych zasad. Ustawienie zasad inspekcji na poziomie kategorii spowoduje zastąpienie nowej funkcji zasad inspekcji podkategorii. Zasady grupy pozwalają tylko na ustawienie zasad inspekcji na poziomie kategorii, a istniejący zestaw zasad grupy może zastąpić ustawienia podkategorii na nowych komputerach po ich przyłączeniu do domeny lub uaktualnieniu do systemu Windows Vista lub nowszego. Aby umożliwić zarządzanie zasadami inspekcji za pomocą podkategorii bez potrzeby zmieniania zasad grupy, w systemie Windows Vista i nowszych istnieje nowa wartość rejestru — SCENoApplyLegacyAuditPolicy — która zapobiega zastosowaniu zasad inspekcji na poziomie kategorii za pośrednictwem zasad grupy i narzędzia administracyjnego Zasady zabezpieczeń lokalnych. Jeśli ustawione tutaj zasady inspekcji na poziomie kategorii są niezgodne z obecnie generowanymi zdarzeniami, powodem może być ustawienie tego klucza rejestru. Wartość domyślna: Włączone |
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool. If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set. Default: Enabled |
2046 | Kontrola konta użytkownika: Użyj trybu zatwierdzania przez administratora dla wbudowanego konta administratora
To ustawienie zasad steruje sposobem działania trybu zatwierdzania przez administratora dla wbudowanego konta administratora. Możliwe opcje: • Włączone: użytkownik wbudowanego konta administratora używa trybu zatwierdzania przez administratora. Domyślnie każda operacja wymagająca podniesienia uprawnień spowoduje utworzenie monitu o zatwierdzenie operacji. • Wyłączone (wartość domyślna): użytkownik wbudowanego konta administratora będzie uruchamiać wszystkie aplikacje z pełnymi uprawnieniami administracyjnymi. |
User Account Control: Use Admin Approval Mode for the built-in Administrator account
This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account. The options are: • Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation. • Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege. |
2047 | DCOM: Ograniczenia dotyczące dostępu do komputera w składni języka SDDL (Security Descriptor Definition Language)
To ustawienie zasad określa, którzy użytkownicy lub które grupy mogą uzyskiwać zdalny lub lokalny dostęp do aplikacji DCOM. To ustawienie służy do kontrolowania obszaru ataku na danym komputerze na potrzeby aplikacji DCOM. Za pomocą tego ustawienia zasad można określić uprawnienia dostępu do wszystkich komputerów dla konkretnych użytkowników aplikacji DCOM w przedsiębiorstwie. Po określeniu użytkowników lub grup, którym mają zostać nadane uprawienia, pole deskryptora zabezpieczeń jest wypełnianie reprezentacją tych grup i uprawnień w języku SDDL (Security Descriptor Definition Language). W przypadku pozostawienia pustego deskryptora zabezpieczeń ustawienie zasad jest definiowane w szablonie, ale nie jest wymuszane. Użytkownikom i grupom można nadać jawne uprawnienia zezwalające lub odmawiające zarówno dla dostępu lokalnego, jak i zdalnego. Ustawienia rejestru tworzone w wyniku włączenia ustawienia zasad DCOM: Ograniczenia dotyczące dostępu do komputera w składni języka SDDL (Security Descriptor Definition Language) mają pierwszeństwo (wyższy priorytet) w stosunku do poprzednich ustawień rejestru na tym obszarze. Usługa Remote Procedure Call Services (RpcSs) sprawdza, czy w nowych kluczach rejestru w sekcji zasad występują ograniczenia dotyczące komputera, i te wpisy rejestru mają pierwszeństwo w stosunku do istniejących kluczy rejestru w sekcji OLE. To oznacza, że poprzednio istniejące ustawienia rejestru już nie obowiązują i w przypadku wprowadzenia zmian istniejących ustawień uprawnienia dostępu do komputera dotyczące użytkowników nie są zmieniane. Przy konfigurowaniu listy użytkowników i grup należy zachować ostrożność. Możliwe wartości tego ustawienia zasad są następujące: Puste. Ta wartość reprezentuje sposób usuwania klucza wymuszania zasad zgodny z zasadami zabezpieczeń lokalnych. Ta wartość powoduje usunięcie zasad, a następnie ustawienie dla nich stanu Niezdefiniowane. Aby ustawić wartość Puste, należy użyć edytora list ACL i opróżnić listę, a następnie nacisnąć przycisk OK. SDDL. To jest reprezentacja w języku SDDL (Security Descriptor Definition Language) grup i uprawnień określonych podczas włączania tych zasad. Niezdefiniowane. To jest wartość domyślna. Uwaga Jeśli administratorowi odmówiono uprawnień dostępu do aplikacji DCOM z powodu zmian wprowadzonych w modelu DCOM w systemie Windows, administrator może zarządzać dostępem do komputera na poziomie modelu DCOM za pomocą ustawienia zasad DCOM: Ograniczenia dotyczące dostępu do komputera w składni języka SDDL (Security Descriptor Definition Language). Za pomocą tego ustawienia administrator może określić, którzy użytkownicy i które grupy mogą uzyskiwać dostęp do aplikacji DCOM na komputerze zarówno lokalnie, jak i zdalnie. Spowoduje to przywrócenie administratorowi i użytkownikom kontroli nad aplikacją DCOM. W tym celu należy otworzyć ustawienie DCOM: Ograniczenia dotyczące dostępu do komputera w składni języka SDDL (Security Descriptor Definition Language) i kliknąć przycisk Edytuj zabezpieczenia. Następnie należy określić grupy do uwzględnienia oraz uprawnienia dostępu do komputera dotyczące tych grup. Spowoduje to zdefiniowanie tego ustawienia oraz ustawienie odpowiedniej wartości w języku SDDL. |
DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access. The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups. The possible values for this policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2048 | DCOM: Ograniczenia dotyczące uruchamiania komputera w składni języka SDDL (Security Descriptor Definition Language)
To ustawienie zasad określa, którzy użytkownicy lub które grupy mogą uruchamiać lub uaktywniać aplikacje DCOM zdalnie lub lokalnie. To ustawienie służy do kontrolowania obszaru ataku na danym komputerze na potrzeby aplikacji DCOM. Za pomocą tego ustawienia można udzielić dostępu do wszystkich komputerów użytkownikom aplikacji DCOM. Gdy podczas definiowania tego ustawienia określi się użytkowników lub grupy, którym mają zostać nadane uprawnienia, pole deskryptora zabezpieczeń jest wypełniane reprezentacją tych grup i uprawnień w języku SDDL (Security Descriptor Definition Language). W przypadku pozostawienia pustego deskryptora zabezpieczeń ustawienie zasad jest definiowane w szablonie, ale nie jest wymuszane. Użytkownikom i grupom można nadać jawne uprawnienia zezwalające lub odmawiające dla uruchamiania lokalnego, uruchamiania zdalnego, aktywacji lokalnej i aktywacji zdalnej. Ustawienia rejestru tworzone w wyniku tych zasad mają pierwszeństwo w stosunku do poprzednich ustawień rejestru na tym obszarze. Usługa Remote Procedure Call Services (RpcSs) sprawdza, czy w nowych kluczach rejestru w sekcji zasad występują ograniczenia dotyczące komputera; te wpisy mają pierwszeństwo w stosunku do istniejących kluczy rejestru w sekcji OLE. Możliwe wartości tego ustawienia zasad grupy są następujące: Puste. Ta wartość reprezentuje sposób usuwania klucza wymuszania zasad zgodny z zasadami zabezpieczeń lokalnych. Ta wartość powoduje usunięcie zasad i ustawienie dla nich stanu Niezdefiniowane. Aby ustawić wartość Puste, należy użyć edytora list ACL i opróżnić listę, a następnie nacisnąć przycisk OK. SDDL. To jest reprezentacja w języku SDDL (Security Descriptor Definition Language) grup i uprawnień określonych podczas włączania tych zasad. Niezdefiniowane. To jest wartość domyślna. Uwaga Jeśli administrator napotyka odmowę dostępu przy próbach uaktywniania i uruchamiania aplikacji DCOM z powodu zmian wprowadzonych w modelu DCOM w tej wersji systemu Windows, można użyć tego ustawienia do sterowania uaktywnianiem i uruchamianiem aplikacji DCOM na komputerze. Administrator może określić, którzy użytkownicy i które grupy mogą uruchamiać i uaktywniać aplikacje DCOM na komputerze w sposób lokalny i zdalny, korzystając z ustawienia zasad DCOM: Ograniczenia dotyczące uruchamiania komputera w składni języka SDDL (Security Descriptor Definition Language). Spowoduje to przywrócenie administratorowi i określonym użytkownikom kontroli nad aplikacją DCOM. W tym celu należy otworzyć ustawienie DCOM: Ograniczenia dotyczące uruchamiania komputera w składni języka SDDL (Security Descriptor Definition Language) i kliknąć przycisk Edytuj zabezpieczenia. Następnie należy określić grupy do uwzględnienia oraz uprawnienia do uruchamiania komputera dotyczące tych grup. Spowoduje to zdefiniowanie tego ustawienia oraz ustawienie odpowiedniej wartości w języku SDDL. |
DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE. The possible values for this Group Policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2049 | Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora
To ustawienie zabezpieczeń określa zachowanie monitu o podniesienie uprawnień dla administratorów. Możliwe opcje: • Podnieś uprawnienia bez monitowania: dzięki tej opcji użytkownicy kont z uprawnieniami mogą wykonywać operacje wymagające podniesienia uprawnień bez zgody ani poświadczeń. Uwaga: tej opcji należy używać tylko w środowiskach z największymi ograniczeniami. • Monituj o poświadczenia na bezpiecznym pulpicie: operacja wymagająca podniesienia uprawnień użytkownika spowoduje utworzenie na bezpiecznym pulpicie monitu o wprowadzenie nazwy użytkownika z uprawnieniami i hasła. Jeśli użytkownik poda prawidłowe poświadczenia, operacja będzie kontynuowana z największymi dostępnymi uprawnieniami użytkownika. • Monituj o zgodę na bezpiecznym pulpicie: operacja wymagająca podniesienia uprawnień spowoduje utworzenie monitu dla użytkownika bezpiecznego pulpitu o wybranie opcji zezwolenia lub odmowy. Jeśli użytkownik wybierze opcję zezwolenia, operacja będzie kontynuowana z najwyższymi dostępnymi uprawnieniami. • Monituj o poświadczenia: operacja wymagająca podniesienia uprawnień spowoduje utworzenie monitu dla użytkownika o wprowadzenie nazwy użytkownika administracyjnego i hasła. Jeśli ten użytkownik wprowadzi prawidłowe poświadczenia, operacja będzie kontynuowana z odpowiednimi uprawnieniami. • Monituj o zgodę: operacja wymagająca podniesienia uprawnień spowoduje utworzenie monitu dla użytkownika o wybranie opcji zezwolenia lub odmowy. Jeśli użytkownik wybierze opcję zezwolenia, operacja będzie kontynuowana z najwyższymi dostępnymi uprawnieniami. • Monituj o zgodę na pliki binarne niepochodzące z systemu Windows (wartość domyślna): operacja związana z aplikacją firmy innej niż Microsoft wymagająca podniesienia uprawnień spowoduje utworzenie monitu dla użytkownika bezpiecznego pulpitu o wybranie opcji zezwolenia lub odmowy. Jeśli użytkownik wybierze opcję zezwolenia, operacja będzie kontynuowana z najwyższymi dostępnymi uprawnieniami. |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
This policy setting controls the behavior of the elevation prompt for administrators. The options are: • Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege. • Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. |
2050 | Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych
To ustawienie zabezpieczeń określa zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych. Możliwe opcje: • Monituj o poświadczenia (domyślna): operacja wymagająca podniesienia uprawnień spowoduje utworzenie monitu dla użytkownika o wprowadzenie nazwy i hasła użytkownika administracyjnego. Jeśli użytkownik wprowadzi prawidłowe poświadczenia, operacja będzie kontynuowana z odpowiednimi uprawnieniami. • Automatycznie odrzucaj żądania podniesienia: operacja wymagająca podniesienia uprawnień powoduje wyświetlenie konfigurowanego komunikatu o odmowie dostępu. W przypadku przedsiębiorstw, w których są używane pulpity standardowych użytkowników, można wybrać to ustawienie, aby ograniczyć liczbę zgłoszeń pomocy technicznej. • Monituj o poświadczenia na bezpiecznym pulpicie: operacja wymagająca podniesienia uprawnień spowoduje utworzenie monitu dla użytkownika o wprowadzenie innej nazwy i hasła innego użytkownika. Jeśli użytkownik wprowadzi prawidłowe poświadczenia, operacja będzie kontynuowana z odpowiednimi uprawnieniami. |
User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users. The options are: • Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. |
2051 | Kontrola konta użytkownika: wykryj instalacje aplikacji i monituj o podniesienie uprawnień
To ustawienie zabezpieczeń steruje zachowaniem wykrywania instalacji aplikacji dla komputera. Możliwe opcje: • Włączone (wartość domyślna): wykrycie pakietu instalacyjnego aplikacji, dla której jest wymagane podniesienie uprawnień, spowoduje utworzenie monitu o wprowadzenie nazwy i hasła użytkownika administracyjnego. Jeśli użytkownik wprowadzi prawidłowe poświadczenia, operacja będzie kontynuowana z odpowiednimi uprawnieniami. • Wyłączone: pakiety instalacyjne aplikacji nie są wykrywane i nie są tworzone monity o podniesienie uprawnień. W przedsiębiorstwach, w których są używane standardowe pulpity użytkowników i delegowane instalacje oprogramowania oparte na zasadach grup lub program Systems Management Server (SMS), należy wyłączyć to ustawienie zasad. W takim przypadku wykrywanie instalacji jest niepotrzebne. |
User Account Control: Detect application installations and prompt for elevation
This policy setting controls the behavior of application installation detection for the computer. The options are: • Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary. |
2052 | Kontrola konta użytkownika: podnieś uprawnienia tylko tych plików wykonywalnych, które są podpisane i mają sprawdzoną poprawność
To ustawienie zabezpieczeń wymusza sprawdzanie podpisów infrastruktury kluczy publicznych (PKI) dla każdej aplikacji interakcyjnej, która żąda podniesienia uprawnień. Administratorzy przedsiębiorstwa mogą kontrolować listę dozwolonych aplikacji administratora przez dodanie certyfikatów znajdujących się w magazynie zaufanych wydawców na komputerach lokalnych. Możliwe opcje: • Włączone: wymusza sprawdzanie poprawności ścieżki certyfikatów PKI danego pliku wykonywalnego przed zezwoleniem na jego uruchomienie. • Wyłączone (wartość domyślna): nie wymusza sprawdzania poprawności ścieżki certyfikatów PKI danego pliku wykonywalnego przed zezwoleniem na jego uruchomienie. |
User Account Control: Only elevate executable files that are signed and validated
This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers. The options are: • Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run. • Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run. |
2053 | Kontrola konta użytkownika: Podnieś uprawnienia tylko tych aplikacji z poziomem UIAccess, które są zainstalowane w bezpiecznych lokalizacjach
To ustawienie zabezpieczeń kontroluje, czy aplikacje żądające wykonywania z poziomem integralności UIAccess muszą znajdować się w bezpiecznej lokalizacji w systemie plików. Bezpieczne lokalizacje ograniczają się do następujących katalogów: - …\Program Files\ wraz z podkatalogami, - …\Windows\system32, - …\Program Files (x86)\ wraz z podkatalogami dla 64-bitowych wersji systemu Windows. Uwaga: system Windows wymusza sprawdzanie podpisu infrastruktury kluczy publicznych (PKI) w każdej aplikacji interaktywnej, która żąda wykonywania z poziomem integralności UIAccess, niezależnie od stanu tego ustawienia zabezpieczeń. Możliwe opcje: • Włączone (wartość domyślna): tylko aplikacja znajdująca się w bezpiecznej lokalizacji w systemie plików będzie uruchamiana z poziomem integralności UIAccess. • Wyłączone: aplikacja będzie uruchamiana z poziomem integralności UIAccess, nawet jeśli nie znajduje się w bezpiecznej lokalizacji w systemie plików. |
User Account Control: Only elevate UIAccess applications that are installed in secure locations
This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following: - …\Program Files\, including subfolders - …\Windows\system32\ - …\Program Files (x86)\, including subfolders for 64-bit versions of Windows Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting. The options are: • Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity. • Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system. |
2054 | Kontrola konta użytkownika: Włącz tryb zatwierdzania przez administratora
To ustawienie zabezpieczeń kontroluje zachowanie wszystkich zasad funkcji Kontrola konta użytkownika dla komputera. Możliwe opcje: • Włączone (wartość domyślna): tryb zatwierdzania przez administratora jest włączony. Umożliwienie wbudowanemu kontu administratora i wszystkim użytkownikom należącym do grupy Administratorzy działania w trybie zatwierdzania przez administratora wymaga włączenia tej zasady i ustawienia powiązanych ustawień zasad funkcji Kontrola konta użytkownika. • Wyłączone: tryb zatwierdzania przez administratora i wszystkie powiązane ustawienia zasad funkcji Kontrola konta użytkownika są wyłączone. Uwaga: jeśli to ustawienie zasad jest wyłączone, Centrum zabezpieczeń powiadomi o zmniejszeniu ogólnych zabezpieczeń systemu operacyjnego. |
User Account Control: Turn on Admin Approval Mode
This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer. The options are: • Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode. • Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced. |
2055 | Kontrola konta użytkownika: Przełącz na bezpieczny pulpit przy monitowaniu o podniesienie uprawnień
To ustawienie zabezpieczeń kontroluje, czy monit związany z żądaniem podniesienia uprawnień pojawi się na pulpicie użytkowników interakcyjnych, czy na pulpicie bezpiecznym. Możliwe opcje: • Włączone (wartość domyślna): wszystkie żądania podniesienia uprawnień będą domyślnie kierowane na bezpieczny pulpit niezależnie od ustawień zasad zachowania monitów dla administratorów i użytkowników standardowych. • Wyłączone: wszystkie żądania podniesienia uprawnień będą kierowane na pulpit użytkowników interakcyjnych. Używane są ustawienia zasad zachowania monitów dla administratorów i użytkowników standardowych. |
User Account Control: Switch to the secure desktop when prompting for elevation
This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop. The options are: • Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users. • Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used. |
2056 | Kontrola konta użytkownika: Wirtualizuj błędy zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników
To ustawienie zabezpieczeń kontroluje przekierowywanie błędów zapisu starszych aplikacji do zdefiniowanych lokalizacji zarówno w rejestrze, jak i w systemie plików. Ta funkcja ogranicza aplikacje, które wcześniej były uruchamiane z uprawnieniami administratora i zapisywały dane aplikacji w czasie wykonywania do katalogów %ProgramFiles%, %Windir%, %Windir%\system32 lub HKLM\Software\. Możliwe opcje: • Włączone (wartość domyślna): błędy zapisu aplikacji są przekierowywane podczas wykonywania do zdefiniowanych lokalizacji użytkowników w systemie plików i rejestrze. • Wyłączone: zapis danych w chronionych lokalizacjach wykonywany przez aplikacje będzie się kończyć niepowodzeniem. |
User Account Control: Virtualize file and registry write failures to per-user locations
This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software. The options are: • Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry. • Disabled: Applications that write data to protected locations fail. |
2057 | Utwórz linki symboliczne
To uprawnienie określa, czy użytkownik może utworzyć link symboliczny z komputera, do którego jest zalogowany. Wartość domyślna: Administrator OSTRZEŻENIE: Tego uprawnienia należy udzielać tylko zaufanym użytkownikom. W aplikacjach, w których nie przewidziano obsługi linków symbolicznych, linki te mogą narazić na atak luki w zabezpieczeniach. Uwaga To ustawienie może być używane w powiązaniu z ustawieniem systemu plików dotyczącym linków symbolicznych, które można modyfikować za pomocą narzędzia wiersza polecenia, aby sterować rodzajami linków symbolicznych dozwolonymi na komputerze. Wpisz ciąg „fsutil behavior set symlinkevalution /?” w wierszu polecenia, aby uzyskać więcej informacji o narzędziu fsutil i linkach symbolicznych. |
Create Symbolic Links
This privilege determines if the user can create a symbolic link from the computer he is logged on to. Default: Administrator WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them. Note This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links. |
2058 | Modyfikuj etykietę obiektu
To uprawnienie określa konta użytkowników, którzy mogą modyfikować etykietę integralności obiektów, takich jak pliki, klucze rejestru lub procesy, których właścicielami są inni użytkownicy. Procesy uruchomione na koncie użytkownika mogą zmodyfikować etykietę obiektu należącego do tego użytkownika, ustawiając dla niej niższy poziom, nawet bez tego uprawnienia. Wartość domyślna: brak |
Modify an object label
This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege. Default: None |
2059 | Kontrola konta użytkownika: zezwalaj aplikacjom z funkcją UIAccess na monitowanie o podniesienie uprawnień bez używania bezpiecznego pulpitu.
To ustawienie zabezpieczeń kontroluje, czy programy z funkcją dostępności interfejsu użytkownika (UIAccess lub UIA, User Interface Accessibility) mogą automatycznie wyłączać bezpieczny pulpit na potrzeby monitowania o podniesienie uprawnień przez użytkownika standardowego. Włączone: programy z funkcją UIA, włącznie z Pomocą zdalną systemu Windows, będą mogły automatycznie wyłączają bezpieczny pulpit w przypadku monitowania o podniesienie uprawnień. Jeśli ustawienie zasad „Kontrola konta użytkownika: przełącz na bezpieczny pulpit przy monitowaniu o podniesienie uprawnień” nie zostanie wyłączone, monity będą się pojawiać na pulpicie użytkownika interakcyjnego, a nie na bezpiecznym pulpicie. Wyłączone (wartość domyślna): bezpieczny pulpit może zostać wyłączony tylko przez użytkownika pulpitu interakcyjnego lub przez wyłączenie ustawienia zasad „Kontrola konta użytkownika: przełącz na bezpieczny pulpit przy monitowaniu o podniesienie uprawnień”. |
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.
This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user. • Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. • Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting. |
2060 | To ustawienie jest używane przez menedżera poświadczeń podczas tworzenia kopii zapasowej/przywracania. Żadne konto nie powinno mieć tego uprawnienia, ponieważ jest ono przypisywane tylko usłudze Winlogon. Zapisane poświadczenia użytkowników mogą zostać narażone, jeśli uprawnienie to zostanie nadane innym jednostkom. | This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities. |
2061 | Zmień strefę czasową
To uprawnienie użytkownika określa, którzy użytkownicy i grupy mogą zmieniać strefę czasową używaną przez komputer do wyświetlania czasu lokalnego, który jest równy czasowi systemowemu komputera plus przesunięcie strefy czasowej. Czas systemowy jest bezwzględny i nie ma niego wpływu zmiana strefy czasowej. To uprawnienie użytkownika jest określane w obiekcie zasad grupy (GPO) domyślnego kontrolera domeny oraz w zasadach zabezpieczeń lokalnych stacji roboczych i serwerów. Wartość domyślna: Administratorzy, Użytkownicy |
Change the Time Zone
This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers. Default: Administrators, Users |
2062 | Zwiększ zestaw roboczy procesu
Uprawnienie to określa, które konta użytkowników mogą zwiększać i zmniejszać rozmiar zestawu roboczego procesu. Wartość domyślna: Użytkownicy Zestaw roboczy procesu to zestaw stron pamięci aktualnie widocznych dla procesu w fizycznej pamięci RAM. Strony te są rezydentne i dostępne do użycia przez aplikacje bez wyzwalania błędu strony. Minimalny i maksymalny rozmiar zestawu roboczego ma wpływ na zachowanie stronicowania pamięci wirtualnej procesu. Ostrzeżenie: Zwiększenie rozmiaru zestawu roboczego procesu zmniejsza ilość pamięci fizycznej dostępnej dla reszty systemu. |
Increase a process working set
This privilege determines which user accounts can increase or decrease the size of a process’s working set. Default: Users The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process. Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system. |
2063 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Wychodzący ruch NTLM do serwerów zdalnych
To ustawienie zasad umożliwia odmówienie zezwolenia na ruch lub inspekcję ruchu NTLM wychodzącego z komputera z systemem Windows 7 lub Windows Server 2008 R2 do dowolnych zdalnych serwerów z systemem Windows. Wybranie opcji „Zezwól na cały ruch” lub nieskonfigurowanie tego ustawienia zasad spowoduje, że komputer kliencki będzie mógł uwierzytelniać tożsamości na serwerze zdalnym przy użyciu uwierzytelniania NTLM. Wybranie opcji „Przeprowadź inspekcję całego ruchu” spowoduje, że komputer kliencki będzie zapisywał w dzienniku zdarzenie dla każdego żądania uwierzytelniania NTLM wysłanego do serwera zdalnego. Umożliwi to identyfikację tych serwerów, które otrzymują żądania uwierzytelniania NTLM pochodzące z komputera klienckiego. Wybranie opcji „Odmów zezwolenia na cały ruch” spowoduje, że komputer kliencki nie będzie mógł uwierzytelniać tożsamości na serwerze zdalnym przy użyciu uwierzytelniania NTLM. Przy użyciu ustawienia zasad „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Dodaj wyjątki dla serwerów zdalnych w celu uwierzytelniania NTLM” można zdefiniować listę serwerów zdalnych, na których komputery klienckie mogą używać uwierzytelniania NTLM. Ta zasada jest obsługiwana w systemach Windows 7 lub Windows Server 2008 R2 i nowszych. Uwaga: zdarzenia inspekcji lub blokowania są rejestrowane na tym komputerze w dzienniku operacji dostępnym w obszarze Dziennik aplikacji i usług/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server. If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication. If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer. If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2064 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przychodzący ruch NTLM
To ustawienie zasad umożliwia zezwolenie lub odmówienie zezwolenia na przychodzący ruch NTLM. Wybranie opcji „Zezwól na cały ruch” lub nieskonfigurowanie tego ustawienia spowoduje, że serwer będzie zezwalał na wszystkie żądania uwierzytelniania NTLM. Wybranie opcji „Odmów zezwolenia na ruch kont domeny” spowoduje, że serwer będzie odrzucał żądania uwierzytelnienia NTLM dla logowania do domeny i wyświetli komunikat o błędzie dotyczący zablokowania usługi NTLM. Wybranie opcji „Odmów zezwolenia na ruch wszystkich kont” spowoduje, że serwer będzie odrzucał wszystkie przychodzące żądania uwierzytelnienia NTLM i wyświetli komunikat o błędzie dotyczący zablokowania usługi NTLM. Ta zasada jest obsługiwana w systemach Windows 7 lub Windows Server 2008 R2 i nowszych. Uwaga: zdarzenia blokowania są rejestrowane na tym komputerze w dzienniku operacji znajdującym się w obszarze Dziennik aplikacji i usług/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Incoming NTLM traffic
This policy setting allows you to deny or allow incoming NTLM traffic. If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests. If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon. If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2065 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Uwierzytelnianie NTLM w tej domenie
To ustawienie zasad umożliwia zezwolenie lub odmówienie zezwolenia na uwierzytelnianie NTLM w domenie przy użyciu tego kontrolera domeny. Ta zasada nie wpływa na interakcyjne logowanie do kontrolera tej domeny. Wybranie opcji „Wyłącz” lub nieskonfigurowanie tego ustawienia zasad spowoduje, że kontroler domeny będzie zezwalał na przekazywane żądań uwierzytelniania NTLM w domenie. Wybranie opcji „Odmów zezwolenia na ruch z kont domeny do serwerów domeny” spowoduje, że kontroler domeny będzie odrzucał wszystkie próby logowania przy użyciu uwierzytelniania NTLM do wszystkich serwerów w domenie, które używają kont domeny, oraz zwróci błąd zablokowania NTLM, o ile nazwa serwera nie znajduje się na liście wyjątków w ramach ustawienia zasad „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Dodaj wyjątki dla serwerów z tej domeny”. Wybranie opcji „Odmów zezwolenia na ruch konta domeny” spowoduje, że kontroler domeny będzie odrzucał wszystkie próby logowania przy użyciu uwierzytelniania NTLM dla kont domeny oraz zwróci błąd zablokowania NTLM, o ile nazwa serwera nie znajduje się na liście wyjątków w ramach ustawienia zasad „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Dodaj wyjątki dla serwerów z tej domeny”. Wybranie opcji „Odmów zezwolenia na ruch serwerów domeny” spowoduje, że kontroler domeny będzie odrzucał wszystkie żądania uwierzytelnienia NTLM dla wszystkich serwerów w domenie i zwróci błąd zablokowania NTLM, o ile nazwa serwera nie znajduje się na liście wyjątków w ramach ustawienia zasad „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Dodaj wyjątki dla serwerów z tej domeny”. Wybranie opcji „Odmów zezwolenia na cały ruch” spowoduje, że kontroler domeny będzie odrzucał wszystkie przekazywane żądania uwierzytelnienia NTLM z serwerów i kont w domenie oraz zwróci błąd zablokowania NTLM, o ile nazwa serwera nie znajduje się na liście wyjątków w ramach ustawienia zasad „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Dodaj wyjątki dla serwerów z tej domeny”. Ta zasada jest obsługiwana w systemie Windows Server 2008 R2 lub nowszym. Uwaga: zdarzenia blokowania są rejestrowane na tym komputerze w dzienniku operacji znajdującym się w obszarze Dziennik aplikacji i usług/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: NTLM authentication in this domain
This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller. If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain. If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2066 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Dodaj wyjątki dla serwerów zdalnych w celu uwierzytelniania NTLM
To ustawienie zasad umożliwia utworzenie listy wyjątków zawierającej te serwery zdalne, dla których klienci mogą stosować uwierzytelnianie NTLM, jeśli skonfigurowano zasadę „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Wychodzący ruch NTLM do serwerów zdalnych”. Jeśli to ustawienie zasad zostało skonfigurowane, użytkownik może zdefiniować listę serwerów zdalnych, przy połączeniach z którymi klienci mogą używać uwierzytelniania NTLM. Jeśli to ustawienie zasad pozostanie nieskonfigurowane, nie będą stosowane żadne wyjątki. Format nazewnictwa serwerów dla tej listy wyjątków to umieszczona w osobnym wierszu w pełni kwalifikowana nazwa domenowa (FQDN) lub nazwa serwera NetBIOS używana przez aplikację. W celu obsługi wyjątków nazwa używana przez wszystkie aplikacje musi znajdować się na liście, a zapewnienie dokładności wyjątków wymaga podania na liście nazwy serwera w dwóch formatach. Jako symbolu wieloznacznego w dowolnym miejscu ciągu można użyć pojedynczej gwiazdki (*). |
Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured. If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character. |
2067 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Dodaj wyjątki dla serwerów z tej domeny
To ustawienie zasad umożliwia utworzenie listy wyjątków zawierającej te serwery w domenie, dla których klienci mogą używać przekazywanych żądań uwierzytelniania NTLM, jeśli ustawiono zasadę „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Odmów zezwolenia na uwierzytelnianie NTLM w tej domenie”. Jeśli to ustawienie zasad zostało skonfigurowane, użytkownik może zdefiniować listę serwerów w tej domenie, przy połączeniach z którymi klienci mogą używać uwierzytelniania NTLM. Jeśli to ustawienie zasad pozostanie nieskonfigurowane, nie będą stosowana żadne wyjątki. Format nazewnictwa serwerów dla tej listy wyjątków to umieszczona w osobnym wierszu w pełni kwalifikowana nazwa domenowa (FQDN) lub nazwa serwera NetBIOS używana przez aplikację. Jako symbolu wieloznacznego na początku lub na końcu ciągu można użyć pojedynczej gwiazdki (*). |
Network security: Restrict NTLM: Add server exceptions in this domain
This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set. If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character. |
2068 | Zabezpieczenia sieciowe: Zezwalaj kontu LocalSystem na awaryjne używanie pustych sesji
Zezwala na przełączanie połączeń NTLM do pustych sesji, gdy są używane z kontem LocalSystem. Wartość domyślna to PRAWDA w systemach Windows Vista i starszych oraz FAŁSZ w systemie Windows 7. |
Network security: Allow LocalSystem NULL session fallback
Allow NTLM to fall back to NULL session when used with LocalSystem. The default is TRUE up to Windows Vista and FALSE in Windows 7. |
2069 | Zabezpieczenia sieciowe: konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos
To ustawienie zasad umożliwia wybranie typów szyfrowania, które mogą być używane przez protokół Kerberos. Jeśli ta opcja nie została wybrana, dany typ szyfrowania nie będzie dozwolony. To ustawienie może wpłynąć na zgodność pracy z komputerami klienckimi, usługami i aplikacjami. Dozwolony jest wybór wielokrotny. Ta zasada jest obsługiwana przez systemy Windows 7 lub Windows Server 2008 R2 i nowsze. |
Network security: Configure encryption types allowed for Kerberos
This policy setting allows you to set the encryption types that Kerberos is allowed to use. If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted. This policy is supported on at least Windows 7 or Windows Server 2008 R2. |
2071 | Zabezpieczenia sieciowe: Zezwalaj na wysyłanie żądań uwierzytelniania PKU2U do tego komputera w celu używania tożsamości online.
Ta zasada będzie domyślnie wyłączona na komputerach przyłączonych do domeny. Uniemożliwi to tożsamościom online uwierzytelnianie na komputerze przyłączonym do domeny. |
Network security: Allow PKU2U authentication requests to this computer to use online identities.
This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine. |
2072 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowadź inspekcję przychodzącego ruchu NTLM
To ustawienie zasad umożliwia przeprowadzanie inspekcji przychodzącego ruchu NTLM. Wybranie opcji „Wyłącz” lub nieskonfigurowanie ustawienia zasad spowoduje, że serwer nie będzie rejestrował zdarzeń dla przychodzącego ruchu NTLM. Wybranie opcji „Włącz inspekcję dla kont domeny” spowoduje, że serwer będzie rejestrował zdarzenia dla przekazywanych żądań uwierzytelnienia NTLM, które zostałyby zablokowane, gdyby dla ustawienia zasad „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przychodzący ruch NTLM” wybrano opcję „Odmów zezwolenia na ruch wszystkich kont domeny”. Wybranie opcji „Włącz inspekcję dla wszystkich kont” spowoduje, że serwer będzie rejestrował zdarzenia dla wszystkich żądań uwierzytelnienia NTLM, które zostałyby zablokowane, gdyby dla ustawienia zasad „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przychodzący ruch NTLM” wybrano opcję „Odmów zezwolenia na ruch wszystkich kont”. To ustawienie zasad jest obsługiwane w systemach Windows 7 lub Windows Server 2008 R2 i nowszych. Uwaga: zdarzenia inspekcji są rejestrowane na tym komputerze w dzienniku operacji znajdującym się w obszarze Dziennik aplikacji i usług/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit Incoming NTLM Traffic
This policy setting allows you to audit incoming NTLM traffic. If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic. If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option. If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2073 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowadź inspekcję uwierzytelniania NTLM w tej domenie
To ustawienie zasad umożliwia inspekcję uwierzytelniania NTLM w domenie należącej do tego kontrolera domeny. Wybranie opcji „Wyłącz” lub nieskonfigurowanie tego ustawienia zasad spowoduje, że kontroler domeny nie będzie rejestrował zdarzeń dla uwierzytelnienia NTLM w tej domenie. Wybranie opcji „Włącz dla ruchu z kont domeny do serwerów domeny” spowoduje, że kontroler domeny będzie rejestrował zdarzenia dla prób logowania się przy użyciu uwierzytelnienia NTLM dla ruchu z kont domeny do serwerów domeny w przypadku, gdy uwierzytelnienie NTLM zostałoby odrzucone z powodu wybrania opcji „Odmów zezwolenia na ruch z kont domeny do serwerów domeny” dla ustawienia zasad „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Odmów zezwolenia na uwierzytelnianie NTLM w tej domenie”. Wybranie opcji „Włącz dla kont domeny” spowoduje, że kontroler domeny będzie rejestrował zdarzenia dla prób logowania uwierzytelnienia NTLM przy użyciu kont domeny w sytuacji, gdy uwierzytelnianie NTLM zostałoby odrzucone z powodu wybrania opcji „Odmów zezwolenia na ruch kont domeny” dla ustawienia zasady „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Odmów zezwolenia na uwierzytelnianie NTLM w tej domenie”. Wybranie opcji „Włącz dla serwerów domeny” spowoduje, że kontroler domeny będzie rejestrował zdarzenia dla żądań uwierzytelniania NTLM do wszystkich serwerów w domenie w sytuacji, gdy uwierzytelnianie NTLM zostałoby odrzucone z powodu wybrania opcji „Odmów zezwolenia ruch serwerów domeny” w ustawieniu zasady „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Odmów zezwolenia na uwierzytelnianie NTLM w tej domenie”. Wybranie opcji Włącz wszystko spowoduje, kontroler domeny będzie rejestrował wszystkie przekazywane żądania uwierzytelnienia NTLM, w sytuacji, gdy uwierzytelnienie NTLM zostałoby odrzucone z powodu wybrania opcji „Odmów zezwolenia na cały ruch” w ustawieniu zasad „Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Odmów zezwolenia na uwierzytelnianie NTLM w tej domenie”. Ta zasada jest obsługiwana w systemie Windows Server 2008 R2 lub nowszych. Uwaga: zdarzenia inspekcji są rejestrowane na tym komputerze w dzienniku operacji znajdującym się w obszarze Dziennik aplikacji i usług/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit NTLM authentication in this domain
This policy setting allows you to audit NTLM authentication in a domain from this domain controller. If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain. If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2074 | Zabezpieczenia sieciowe: Zezwalaj lokalnemu systemowi na uwierzytelnianie NTLM przy użyciu tożsamości komputera
To ustawienie zasad powoduje, że usługi systemu lokalnego używające negocjacji mogą korzystać z tożsamości komputera podczas przechodzenia na uwierzytelnianie NTLM. Włączenie tego ustawienia zasad spowoduje, że usługi działające jako system lokalny i używające negocjacji użyją tożsamości komputera. Może to spowodować, że określone żądania uwierzytelnienia między systemami operacyjnymi Windows zakończą się niepowodzeniem i zostanie zarejestrowany błąd. Wyłączenie tego ustawienia zasad spowoduje, że usługi działające jako system lokalny i używające negocjacji podczas przechodzenia na uwierzytelnianie NTLM będą się uwierzytelniać anonimowo. Domyślnie to ustawienie zasad jest włączone w systemie Windows 7 i nowszych wersjach. Domyślnie to ustawienie zasad jest wyłączone w systemie Windows Vista. To ustawienie zasad jest obsługiwane w systemach Windows Vista, Windows Server 2008 i nowszych wersjach. Uwaga: systemy Windows Vista i Windows Server 2008 nie udostępniają tego ustawienia w zasadach grupy. |
Network security: Allow Local System to use computer identity for NTLM
This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication. If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error. If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously. By default, this policy is enabled on Windows 7 and above. By default, this policy is disabled on Windows Vista. This policy is supported on at least Windows Vista or Windows Server 2008. Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy. |
2075 | Serwer sieci Microsoft: poziom weryfikacji nazwy obiektu docelowego serwera SPN
To ustawienie zasad określa poziom weryfikacji wykonywanej przez komputer z udostępnionymi folderami lub drukarkami (serwer) dla głównej nazwy usługi (SPN) podanej przez klienta, gdy ustanawia on sesję przy użyciu protokołu bloku komunikatów serwera (SMB). Protokół SMB (Server Message Block — blok komunikatów serwera) jest podstawą mechanizmu udostępniania plików i drukarek oraz innych operacji sieciowych, takich jak zdalne administrowanie systemem Windows. Protokół SMB obsługuje weryfikację głównej nazwy usługi (SPN) serwera SMB w obiekcie blob służącym do uwierzytelnienia, podawanym przez klienta SMB w celu zapobieżenia pewnej kategorii ataków przeciwko serwerom SMB (tzw. ataki typu SMB relay). To ustawienie dotyczy obu wersji protokołu: SMB 1 i SMB 2. To ustawienie zabezpieczeń określa poziom weryfikacji wykonywanej przez serwer SMB dla głównej nazwy usługi (SPN) podanej przez klienta SMB, gdy próbuje on ustanowić sesję z serwerem SMB. Dostępne są następujące opcje: Wyłączone — serwer SMB nie wymaga od klienta SMB nazwy SPN ani jej nie weryfikuje. Zaakceptuj, jeśli podana przez klienta – serwer SMB zaakceptuje nazwę SPN podaną przez klienta, zweryfikuje ją i zezwoli na ustanowienie sesji, jeśli nazwa jest zgodna z listą nazw SMB serwera. Jeśli nazwa SPN NIE jest zgodna, żądanie ustanowienia sesji dla tego klienta SMB zostanie odrzucone. Wymagana od klienta — klient SMB MUSI wysłać nazwę SPN podczas ustanawiania sesji oraz podana nazwa SPN MUSI być zgodna z serwerem SMB, od którego jest żądane nawiązanie połączenia. Jeśli klient nie poda nazwy SPN lub podana przez niego nazwa nie jest zgodna, próba ustanowienia sesji jest odrzucana. Wartość domyślna: Wyłączone Wszystkie systemy operacyjne Windows obsługują zarówno składnik SMB po stronie klienta, jak i składnik SMB po stronie serwera. To ustawienie ma wpływ na działanie serwera SMB, a jego implementacja powinna być starannie przemyślana i przetestowana, aby zapobiec problemom w działaniu funkcji udostępniania plików i drukarek. Dodatkowe informacje na temat implementacji i użycia tej funkcji do zabezpieczenia serwerów SMB znajdują się w witrynie internetowej firmy Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505). |
Microsoft network server: Server SPN target name validation level
This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol. The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2. This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server. The options are: Off – the SPN is not required or validated by the SMB server from a SMB client. Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied. Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied. Default: Off All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505). |
2076 | Serwer sieci Microsoft: próbuj uzyskać informacje o oświadczeniach przy użyciu funkcji S4U2Self
To ustawienie zabezpieczeń służy do obsługi klientów używających systemów innych niż Windows 8 próbujących uzyskać dostęp do udziału plików, w którym wymagane są oświadczenia użytkowników. To ustawienie określa, czy lokalny serwer plików spróbuje uzyskać oświadczenia podmiotu zabezpieczeń klienta sieci z domeny konta klienta przy użyciu funkcji Kerberos Service-For-User-To-Self (S4U2Self). Należy włączać to ustawienie tylko wtedy, gdy serwer plików kontroluje dostęp do plików przy użyciu oświadczeń użytkowników, a także jeśli serwer plików obsługuje podmioty zabezpieczeń klienta, których konta mogą być w domenie obejmującej komputery klienckie i kontrolery domen, na których działa system Windows wcześniejszy niż Windows 8. To ustawienie powinno być skonfigurowane jako automatyczne (domyślne), aby serwer plików mógł automatycznie ocenić, czy są potrzebne oświadczenia dla użytkownika. Administrator może skonfigurować to ustawienie jako „Włączone” tylko wtedy, gdy lokalne zasady dostępu do plików uwzględniają oświadczenia użytkowników. Włączenie tego ustawienia zabezpieczeń powoduje, że serwer plików systemu Windows sprawdza token dostępu uwierzytelnionego podmiotu zabezpieczeń klienta i ustala, czy zawiera on informacje o oświadczeniach. W przypadku braku takich oświadczeń serwer plików próbuje skontaktować się z kontrolerem domeny systemu Windows Server 2012 przy użyciu funkcji Kerberos S4U2Self w domenie konta klienta i uzyskać token dostępu z włączonymi oświadczeniami dla podmiotu zabezpieczeń klienta. Token z włączonymi oświadczeniami może być potrzebny, aby uzyskać dostęp do plików lub folderów, w których zastosowano zasady kontroli dostępu oparte na oświadczeniach. Jeśli to ustawienie jest wyłączone, serwer plików systemu Windows nie spróbuje uzyskać tokenu dostępu z włączonymi oświadczeniami dla podmiotu zabezpieczeń klienta. Domyślne: automatycznie. |
Microsoft network server: Attempt S4U2Self to obtain claim information
This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8. This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims. When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied. If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal. Default: Automatic. |
2077 | Konta: blokuj konta Microsoft
To ustawienie zasad uniemożliwia użytkownikom dodawanie nowych kont Microsoft na tym komputerze. Wybranie opcji „Użytkownicy nie mogą dodawać kont Microsoft” spowoduje, że użytkownicy nie będą mogli tworzyć nowych kont Microsoft na tym komputerze, przełączać konta lokalnego na konto Microsoft ani łączyć konta domeny z identyfikatorem Microsoft. Ta opcja jest preferowana, jeśli jest potrzebne ograniczenie używania kont Microsoft w przedsiębiorstwie. Po wybraniu opcji „Użytkownicy nie mogą dodawać kont Microsoft ani logować się za ich pomocą” istniejący użytkownicy kont Microsoft nie będą mogli zalogować się do systemu Windows. Wybranie tej opcji może uniemożliwić istniejącym administratorom tego komputera logowanie się i zarządzanie systemem. Jeśli ta zasada będzie wyłączona lub nie zostanie skonfigurowana (zalecane), użytkownicy będą mogli używać kont Microsoft w ramach systemu Windows. |
Accounts: Block Microsoft accounts
This policy setting prevents users from adding new Microsoft accounts on this computer. If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise. If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system. If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows. |
2078 | Logowanie interakcyjne: próg konta komputera.
Zasady blokowania komputera są wymuszane tylko w przypadku komputerów z aktywną ochroną woluminów systemu operacyjnego za pomocą funkcji Bitlocker. Upewnij się, że zostały włączone odpowiednie zasady tworzenia kopii zapasowych haseł odzyskiwania. To ustawienie zabezpieczeń określa liczbę nieudanych prób logowania, która powoduje zablokowanie komputera. Zablokowany komputer można odzyskać tylko przez podanie klucza odzyskiwania w konsoli. Użytkownik może ustawić od 1 do 999 nieudanych prób logowania. Jeśli zostanie ustawiona wartość 0, komputer nie będzie blokowany. Wartości od 1 do 3 są interpretowane jako wartość 4. Nieudane próby wprowadzenia hasła w stacjach roboczych lub serwerach członkowskich zablokowanych za pomocą klawiszy CTRL+ALT+DELETE lub wygaszaczy chronionych hasłem są uwzględniane jako nieudane próby logowania. Zasady blokowania komputera są wymuszane tylko w przypadku komputerów z aktywną ochroną woluminów systemu operacyjnego za pomocą funkcji BitLocker. Upewnij się, że zostały włączone odpowiednie zasady tworzenia kopii zapasowych haseł odzyskiwania. Wartość domyślna: 0. |
Interactive logon: Machine account threshold.
The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled. This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled. Default: 0. |
2079 | Logowanie interakcyjne: limit nieaktywności komputera.
System Windows wykryje nieaktywność sesji logowania, a gdy czas nieaktywności przekroczy limit nieaktywności, zostanie uruchomiony wygaszacz ekranu i nastąpi zablokowanie sesji. Wartość domyślna: niewymuszane. |
Interactive logon: Machine inactivity limit.
Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session. Default: not enforced. |
2080 | Uzyskaj token personifikacji dla innego użytkownika w ramach tej samej sesji.
Przypisanie tego uprawnienia użytkownikowi umożliwia programom, które działają w jego imieniu, uzyskanie tokenu personifikacji innych użytkowników, którzy interakcyjnie zalogowali się w ramach tej samej sesji, jeśli obiekt wywołujący ma token personifikacji użytkownika sesji. Nie dotyczy serwera/klienta z systemem Windows na komputerze stacjonarnym, na którym każdy użytkownik uzyskuje osobną sesję. |
Obtain an impersonation token for another user in the same session.
Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session. |
2081 | Dostęp do sieci: ogranicz klientów, którzy mogą wykonywać wywołania zdalne menedżera SAM
To ustawienie zasad pozwala ograniczyć liczbę zdalnych połączeń RPC z menedżerem SAM. Jeśli to ustawienie nie zostanie wybrane, zostanie użyty domyślny deskryptor zabezpieczeń. Te zasady są obsługiwane w systemie Windows Server 2016 lub nowszym. |
Network access: Restrict clients allowed to make remote calls to SAM
This policy setting allows you to restrict remote rpc connections to SAM. If not selected, the default security descriptor will be used. This policy is supported on at least Windows Server 2016. |
2082 | Logowanie interakcyjne: nie wyświetlaj nazwy użytkownika podczas logowania
To ustawienie zabezpieczeń określa, czy nazwa użytkownika osoby logującej się do tego komputera jest wyświetlana podczas logowania do systemu Windows, po wprowadzeniu poświadczeń oraz przed wyświetleniem pulpitu komputera. Jeśli ta zasada zostanie włączona, nazwa użytkownika nie będzie wyświetlana. Jeśli ta zasada będzie wyłączona, nazwa użytkownika będzie wyświetlana. Wartość domyślna: Wyłączone. |
Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
57343 | Zostaną zmienione ustawienia zabezpieczeń tej usługi. Zmiana zabezpieczeń domyślnych usługi może spowodować problemy wynikające z niespójnej konfiguracji tej usługi i innych usług, które od niej zależą. Czy chcesz kontynuować? |
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it. Do you want to continue? |
57345 | Masz zamiar dokonać importu informacji zawartych w nowym szablonie do lokalnych zasad tego komputera. Operacja ta spowoduje zmianę ustawień zabezpieczeń komputera. Czy chcesz kontynuować? | You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue? |
57346 | Konfigurowanie zabezpieczeń komputera | Configuring Computer Security |
57350 | Bieżąca baza danych konfiguracji zabezpieczeń: Lokalna baza danych zasad %s | Current Security Configuration Database: Local Policy Database %s |
57351 | Bieżąca baza danych konfiguracji zabezpieczeń: Prywatna baza danych %s | Current Security Configuration Database: Private Database %s |
57352 | Trwa generowanie informacji wynikowych analizy | Generating analysis information |
57353 | Import nie powiódł się | Import Failed |
57354 | Zdefiniowano podelementy | Subitems defined |
57355 | Niedostępny | Not Available |
57356 | Nowa usługa | New Service |
57357 | Konfigurowanie: | Configuring: |
57358 | &Dodaj plik... Dodaje nowy plik lub folder do tego szablonu. |
Add &File... Adds a new file or folder to this template |
57359 | Dodaj ten plik lub folder do szablonu: | Add this file or folder to the template: |
57360 | Dodaj plik lub szablon | Add a file or folder |
57361 | Microsoft Corporation | Microsoft Corporation |
57362 | 10.0 | 10.0 |
57363 | Szablony zabezpieczeń jest to przystawka MMC umożliwiająca edycję plików z szablonami zabezpieczeń. | Security Templates is an MMC snap-in that provides editing capabilities for security template files. |
57364 | Konfiguracja i analiza zabezpieczeń jest to przystawka MMC umożliwiająca konfigurację i analizę zabezpieczeń komputera z systemem Windows za pomocą plików szablonów zabezpieczeń. | Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files. |
57365 | Rozszerzenie ustawień zabezpieczeń jest przystawką rozszerzającą przystawkę Zasady grupy, która pomaga w definiowaniu zasad zabezpieczeń dla komputerów w danej domenie. | The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain. |
57366 | I&mportuj zasady... Importuje plik szablonu do tego obiektu zasad. |
&Import Policy... Import a template file into this policy object. |
57367 | E&ksportuj zasady... Eksportuje szablon z tego obiektu zasad do pliku. |
E&xport policy... Export template from this policy to a file. |
57368 | Plik %s już istnieje. Czy chcesz go zastąpić? |
File %s already exists. Do you want to overwrite it? |
57370 | Niepowodzenie | Failure |
57371 | Brak inspekcji | No auditing |
57372 | System Windows nie może zaktualizować zasad. | Windows cannot update the policies. |
57373 | System Windows nie może skopiować sekcji | Windows cannot copy the section |
57374 | Wybierz plik do dodania | Select File to Add |
57375 | Otwieranie bazy danych | Open database |
57376 | Utwórz bazę danych | Create Database |
57377 | Eksportuj zasady do | Export Policy To |
57378 | Importuj zasady z | Import Policy From |
57380 | Importuj szablon | Import Template |
57381 | Eksportuj szablon do | Export Template To |
57382 | Ustawienie zabezpieczeń | Security Setting |
57384 | System Windows nie może otworzyć lokalnej bazy danych zasad. | Windows cannot open the local policy database. |
57385 | Lokalna baza danych zasad | Local Policy Database |
57386 | Lokalna baza danych zabezpieczeń nie może być modyfikowana za pomocą przystawki Konfiguracja i analiza zabezpieczeń. Do jej edycji należy posłużyć się przystawką Zasady grupy. | The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings. |
57387 | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm |
57388 | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm |
57389 | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm |
57390 | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm |
57391 | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm |
57392 | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm |
57394 | Na komputerze obowiązują nowe ustawienia zasad. Czy chcesz zaktualizować widok zasad efektywnych? | There are new policy settings on your computer. Do you want to update your view of the effective policy? |
57395 | Ustawienie komputera na %s | Computer setting on %s |
57396 | Utworzenie bazy danych nie było możliwe, ponieważ nie wybrano pliku szablonu. Aby otworzyć istniejącą bazę danychKliknij prawym przyciskiem myszy element zakresu Konfiguracja i analiza zabezpieczeń. Wybierz polecenie Otwórz bazę danych Wybierz bazę danych i kliknij przycisk OTWÓRZ Aby utworzyć nową bazę danych Kliknij prawym przyciskiem myszy element zakresu Konfiguracja i analiza zabezpieczeń. Wybierz polecenie Otwórz bazę danych. Wpisz nazwę nowej bazy danych, a następnie kliknij przycisk OTWÓRZ. Wybierz plik konfiguracji zabezpieczeń do importu i kliknij przycisk OTWÓRZ. |
This database couldn't be created because no template file was selected. To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN. |
57397 | &Zamień istniejące uprawnienia do wszystkich podkluczy na uprawnienia dziedziczne | &Replace existing permissions on all subkeys with inheritable permissions |
57398 | &Propaguj uprawnienia dziedziczne do wszystkich podkluczy | &Propagate inheritable permissions to all subkeys |
57399 | &Nie zezwalaj na zamianę uprawnień do tego klucza | &Do not allow permissions on this key to be replaced |
57400 | Konfiguruj członkostwo dla %s | Configure Membership for %s |
57401 | Bilet wygasa po: | Ticket expires in: |
57402 | Bilet nie wygasa. | Ticket doesn't expire. |
57403 | Odnowienie biletu wygasa po: | Ticket renewal expires in: |
57404 | Odnowienie biletu jest wyłączone. | Ticket renewal is disabled. |
57405 | Maksymalna tolerancja: | Maximum tolerance: |
57410 | Nazwy użytkowników i grup | User and group names |
57411 | Dodaj użytkownika lub grupę | Add User or Group |
57412 | Nie rozłączaj klientów: | Do not disconnect clients: |
57413 | Rozłącz, gdy okres bezczynności przekracza: | Disconnect when idle time exceeds: |
57414 | Nie buforuj logowania: | Do not cache logons: |
57415 | Bufor: | Cache: |
57416 | Rozpocznij monitowanie na tyle dni przed upływem okresu ważności hasła: | Begin prompting this many days before password expires: |
57418 | &Konfiguruj ten klucz, a następnie | &Configure this key then |
57419 | Nie można zapisać opisu lokalizacji globalnej | Could not save global location description |
57420 | Nie można zapisać opisu lokalizacji | Could not save location description |
57421 | Załaduj ponownie Ponownie ładuje zasady zabezpieczeń |
Reload Reload the security policy |
57422 | Czy zapisać zmiany w %1 przed ponownym załadowaniem? | Save changes to %1 before reloading it? |
57423 | Ustawienia zabezpieczeń lokalnych | Local Security Settings |
57424 | Klasa ustawień zabezpieczeń WSecEdit | WSecEdit Security Settings Class |
57425 | Klasa ustawień zabezpieczeń lokalnych WSecEdit | WSecEdit Local Security Settings Class |
57428 | Przystawka Ustawienia zabezpieczeń lokalnych ułatwia zdefiniowanie zabezpieczeń w systemie lokalnym. | The Local Security Settings snap-in helps you define security on the local system. |
57430 | Klasa ustawień zabezpieczeń RSOP WSecEdit | WSecEdit RSOP Security Settings Class |
57431 | Przystawka rozszerzenia ustawień zabezpieczeń RSOP rozszerza przystawkę RSOP i ułatwia wyświetlanie wynikowych zasad zabezpieczeń dla komputerów w domenie. | The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain. |
57435 | &Zastosuj | &Apply |
57436 | Nie można ustalić ustawień zabezpieczeń zasad grupy stosowanych dla tego komputera. Został zwrócony następujący błąd podczas próby pobrania tych ustawień z bazy danych zasad zabezpieczeń lokalnych (%%windir%%\security\database\secedit.sdb): %s Wszystkie ustawienia zabezpieczeń lokalnych zostaną wyświetlone, ale bez informacji, czy dane ustawienie zabezpieczeń jest lub nie jest zdefiniowane przez zasady grupy. Dowolne ustawienie zabezpieczeń zmodyfikowane za pomocą tego interfejsu użytkownika może być później zastąpione przez zasady na poziomie domeny. |
The Group Policy security settings that apply to this machine could not be determined. The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies. |
57437 | Nie można ustalić ustawień zabezpieczeń zasad grupy stosowanych dla tego komputera. Został zwrócony następujący błąd podczas próby pobrania tych ustawień z bazy danych zasad lokalnych (%%windir%%\security\database\secedit.sdb): %s Wszystkie ustawienia zabezpieczeń lokalnych zostaną wyświetlone, ale bez informacji, czy dane ustawienie zabezpieczeń jest lub nie jest zdefiniowane przez zasady grupy. |
The Group Policy security settings that apply to this machine could not be determined. The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. |
57438 | Plik dziennika: | Log file: |
57439 | Nazwa zasady | Policy Name |
57440 | Ustawienie | Setting |
57441 | Zasada %1 została poprawnie zastosowana. | The policy %1 was correctly applied. |
57442 | Wystąpił błąd podczas konfigurowania obiektu podrzędnego tego obiektu. (Lub aparat zasad dokonał nieudanej próby skonfigurowania obiektu podrzędnego określonego ustawienia zasad). Więcej informacji można znaleźć w pliku %windir%\security\logs\winlogon.log | There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log |
57443 | Zasada %1 spowodowała następujący błąd: %2. Więcej informacji można znaleźć w pliku %windir%\security\logs\winlogon.log na komputerze docelowym. | The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57444 | Zasada %1 spowodowała nieprawidłowy stan i została zarejestrowana. Więcej informacji można znaleźć w pliku %%windir%%\security\logs\winlogon.log na komputerze docelowym. | The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information. |
57445 | Aparat zasad nie dokonał próby skonfigurowania ustawienia. Więcej informacji można znaleźć w pliku %windir%\security\logs\winlogon.log na komputerze docelowym. | The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57446 | &Wyświetl zabezpieczenia... | &View Security... |
57447 | Nie można eksportować szablonu do %1. Zwrócony kod błędu: %2 |
Couldn't export template to %1. The error returned was: %2 |
57448 | Czy zapisać zmiany w bazie danych zabezpieczeń? | Save changes to Security Database? |
57449 | Odmawiaj logowania za pomocą usług pulpitu zdalnego | Deny log on through Remote Desktop Services |
57450 | Zezwalaj na logowanie za pomocą usług pulpitu zdalnego | Allow log on through Remote Desktop Services |
57451 | Nie można dodać ścieżki wyszukiwania szablonu | Couldn't add template search path |
57453 | \Security\Logs | \Security\Logs |
57454 | Część zabezpieczeń tych zasad grupy może być edytowana tylko w emulatorze PDC. | The security portion of this group policy may only be edited on the PDC Emulator. |
57455 | To ustawienie nie jest zgodne z komputerami z systemem Windows 2000 Service Pack 1 lub starszym. Stosuj obiekty zasad grupy zawierające to ustawienie tylko do komputerów z nowszą wersją systemu operacyjnego. | This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system. |
57456 | Zamknij wszystkie strony właściwości przed usunięciem %1 | Close all property pages before deleting %1 |
57457 | Wartość musi być z zakresu między %d a %d | Value must be between %d and %d |
57458 | Dostęp sieciowy: zezwalaj na anonimową translację identyfikatorów SID/nazw | Network access: Allow anonymous SID/Name translation |
57459 | Administratorzy muszą mieć udzielone prawo logowania lokalnego. | Administrators must be granted the logon local right. |
57460 | Nie możesz odmówić wszystkim użytkownikom lub administratorom logowania lokalnego. | You cannot deny all users or administrator(s) from logging on locally. |
57461 | Dla niektórych kont nie można wykonać translacji. | Some accounts cannot be translated. |
57462 | Aby zastosować zmiany lub zamknąć ten arkusz właściwości, zamknij wszystkie okna pomocnicze. | To apply your changes or close this property sheet, close all secondary windows. |
57463 | Nie można otworzyć okna. System Windows nie może utworzyć wątku interfejsu użytkownika dla tego arkusza właściwości. | The window cannot be opened. Windows cannot create a UI thread for the property sheet. |
57464 | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm |
57465 | Co to jest? | What's this? |
57466 | sct | sct |
57467 | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm |
57468 | Wartość musi się znajdować w zakresie od %d do %d lub 0 | Value must be between %d and %d or 0 |
57469 | To ustawienie ma wpływ tylko na systemy operacyjne starsze niż Windows Server 2003. | This setting affects only operating systems earlier than Windows Server 2003. |
57470 | Modyfikowanie tego ustawienia może mieć wpływ na zgodność z klientami, usługami i aplikacjami. %1 |
Modifying this setting may affect compatibility with clients, services, and applications. %1 |
57471 | Aby uzyskać więcej informacji, zobacz %1. (Q%2!lu!) | For more information, see %1. (Q%2!lu!) |
57472 | Zmieniasz to ustawienie na wartość, która może mieć wpływ na zgodność z klientami, usługami i aplikacjami. %1 Czy chcesz kontynuować operację zmiany? |
You are about to change this setting to a value that may affect compatibility with clients, services, and applications. %1 Do you want to continue with the change? |
57473 | Administratorzy i USŁUGA muszą mieć udzielone uprawnienie do personifikowania klienta po uwierzytelnieniu uprawnienia. | Administrators and SERVICE must be granted the impersonate client after authentication privilege |
57474 | Wymuszenie tego ustawienia może się nie powieść, jeśli inne zasady są skonfigurowane do zastąpienia zasad inspekcji na poziomie kategorii. %1 |
This setting might not be enforced if other policy is configured to override category level audit policy. %1 |
57475 | Aby uzyskać więcej informacji, zobacz temat %1 w dokumentacji technicznej zasad zabezpieczeń. | For more information, see %1 in the Security Policy Technical Reference. |
58000 | Brak tekstu objaśnienia dla tej akcji. | No explain text for this action |
58003 | Komputer zostanie zablokowany po | Machine will be locked after |
58100 | Zarządzanie centralnymi zasadami dostępu... Dodaj centralne zasady dostępu do tego szablonu lub usuń je |
Manage Central Access Policies... Add/Remove Central Access Policies to this template |
58107 | Ta zasada dostępu obejmuje następujące reguły zasad: | This Access Policy includes the following Policy rules: |
58108 | Stan | Status |
58109 | Pobieranie centralnych zasad dostępu z usługi Active Directory... | Downloading central access policies from active directory... |
58110 | Błąd: nie można pobrać centralnych zasad dostępu | Error: Central access policies could not be downloaded |
58111 | Gotowy... | Ready... |
58113 | Nie można odnaleźć tej centralnej zasady dostępu. Być może została ona usunięta z usługi Active Directory lub ma nieprawidłowe ustawienia. Przywróć zasadę w Centrum administracyjnym usługi Active Directory lub usuń tę zasadę z konfiguracji. | This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration. |
59001 | Konta: ogranicz używanie pustych haseł przez konta lokalne tylko do logowania do konsoli | Accounts: Limit local account use of blank passwords to console logon only |
59002 | Inspekcja: inspekcjonuj dostęp do globalnych obiektów systemu | Audit: Audit the access of global system objects |
59003 | Inspekcja: inspekcjonuj użycie prawa do wykonywania kopii zapasowych i przywracania | Audit: Audit the use of Backup and Restore privilege |
59004 | Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji | Audit: Shut down system immediately if unable to log security audits |
59005 | Urządzenia: zapobiegaj instalacji sterowników drukarek przez użytkowników | Devices: Prevent users from installing printer drivers |
59010 | Urządzenia: zezwalaj na oddokowywanie bez potrzeby logowania się | Devices: Allow undock without having to log on |
59011 | Kontroler domeny: zezwalaj operatorom serwera na planowanie zadań | Domain controller: Allow server operators to schedule tasks |
59012 | Kontroler domeny: odrzucaj zmiany hasła konta komputera | Domain controller: Refuse machine account password changes |
59013 | Kontroler domeny: wymagania podpisywania serwera LDAP | Domain controller: LDAP server signing requirements |
59015 | Podpisywanie wymagane | Require signing |
59016 | Członek domeny: wyłącz zmiany hasła konta komputera | Domain member: Disable machine account password changes |
59017 | Członek domeny: maksymalny wiek hasła konta komputera | Domain member: Maximum machine account password age |
59018 | Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału - zawsze | Domain member: Digitally encrypt or sign secure channel data (always) |
59019 | Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału - gdy to możliwe | Domain member: Digitally encrypt secure channel data (when possible) |
59020 | Członek domeny: podpisuj cyfrowo dane bezpiecznego kanału - gdy to możliwe | Domain member: Digitally sign secure channel data (when possible) |
59021 | Członek domeny: wymagaj silnego klucza sesji (system Windows 2000 lub nowszy) | Domain member: Require strong (Windows 2000 or later) session key |
59022 | Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL+ALT+DEL | Interactive logon: Do not require CTRL+ALT+DEL |
59023 | Logowanie interakcyjne: nie wyświetlaj ostatnio zalogowanego użytkownika | Interactive logon: Don't display last signed-in |
59024 | Logowanie interakcyjne: wyświetlaj informacje o użytkowniku, gdy sesja jest zablokowana | Interactive logon: Display user information when the session is locked |
59025 | Nazwa wyświetlana użytkownika, nazwa domeny i nazwa użytkownika | User display name, domain and user names |
59026 | Tylko nazwa wyświetlana użytkownika | User display name only |
59027 | Nie wyświetlaj informacji o użytkowniku | Do not display user information |
59028 | Logowanie interakcyjne: tekst komunikatu dla użytkowników próbujących się zalogować | Interactive logon: Message text for users attempting to log on |
59029 | Logowanie interakcyjne: tytuł komunikatu dla użytkowników próbujących się zalogować | Interactive logon: Message title for users attempting to log on |
59030 | Logowanie interakcyjne: liczba poprzednich zalogowań do zbuforowania (w przypadku niedostępności kontrolera domeny) | Interactive logon: Number of previous logons to cache (in case domain controller is not available) |
59031 | Logowanie interakcyjne: monituj użytkownika o zmianę hasła przed jego wygaśnięciem | Interactive logon: Prompt user to change password before expiration |
59032 | Logowanie interakcyjne: wymagaj uwierzytelnienia kontrolera domeny do odblokowania stacji roboczej | Interactive logon: Require Domain Controller authentication to unlock workstation |
59033 | Logowanie interakcyjne: wymagaj funkcji Windows Hello dla firm lub karty inteligentnej | Interactive logon: Require Windows Hello for Business or smart card |
59034 | Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentej | Interactive logon: Smart card removal behavior |
59035 | Brak akcji | No Action |
59036 | Zablokuj stację roboczą | Lock Workstation |
59037 | Wymuszaj wylogowanie | Force Logoff |
59038 | Rozłącz w przypadku sesji usług pulpitu zdalnego | Disconnect if a remote Remote Desktop Services session |
59039 | Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) | Microsoft network client: Digitally sign communications (always) |
59040 | Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) | Microsoft network client: Digitally sign communications (if server agrees) |
59041 | Klient sieci Microsoft: wyślij niezaszyfrowane hasło w celu nawiązania połączenia z innymi serwerami SMB | Microsoft network client: Send unencrypted password to third-party SMB servers |
59042 | Serwer sieci Microsoft: okres bezczynności wymagany dla wstrzymania sesji | Microsoft network server: Amount of idle time required before suspending session |
59043 | Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) | Microsoft network server: Digitally sign communications (always) |
59044 | Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) | Microsoft network server: Digitally sign communications (if client agrees) |
59045 | Serwer sieci Microsoft: rozłączaj klientów po upływie limitu czasu logowania | Microsoft network server: Disconnect clients when logon hours expire |
59046 | Dostęp sieciowy: nie zezwalaj na przechowywanie haseł ani poświadczeń do uwierzytelniania sieciowego | Network access: Do not allow storage of passwords and credentials for network authentication |
59047 | Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM | Network access: Do not allow anonymous enumeration of SAM accounts |
59048 | Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów | Network access: Do not allow anonymous enumeration of SAM accounts and shares |
59049 | Dostęp sieciowy: zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników | Network access: Let Everyone permissions apply to anonymous users |
59050 | Dostęp sieciowy: ogranicz anonimowy dostęp do nazwanych potoków i udziałów | Network access: Restrict anonymous access to Named Pipes and Shares |
59051 | Dostęp sieciowy: nazwane potoki, do których można uzyskiwać dostęp anonimowo | Network access: Named Pipes that can be accessed anonymously |
59052 | Dostęp sieciowy: udziały, do których można uzyskiwać dostęp anonimowo | Network access: Shares that can be accessed anonymously |
59053 | Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo i ścieżki podrzędne | Network access: Remotely accessible registry paths and sub-paths |
59054 | Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo | Network access: Remotely accessible registry paths |
59055 | Dostęp sieciowy: udostępnianie i model zabezpieczeń dla kont lokalnych | Network access: Sharing and security model for local accounts |
59056 | Klasyczny - uwierzytelnianie użytkowników lokalnych, jako samych siebie | Classic - local users authenticate as themselves |
59057 | Tylko gość - uwierzytelnianie użytkowników lokalnych, jako gościa | Guest only - local users authenticate as Guest |
59058 | Zabezpieczenia sieci: nie przechowuj wartości skrótu (hash) programu LAN Manager dla następnej zmiany hasła | Network security: Do not store LAN Manager hash value on next password change |
59059 | Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager | Network security: LAN Manager authentication level |
59060 | Wyślij odpowiedzi LM i NTLM | Send LM & NTLM responses |
59061 | Wyślij LM i NTLM - użyj zabezpieczeń sesji NTLMv2 w przypadku negocjowania | Send LM & NTLM - use NTLMv2 session security if negotiated |
59062 | Wyślij tylko odpowiedź NTLM | Send NTLM response only |
59063 | Wyślij tylko odpowiedź NTLMv2 | Send NTLMv2 response only |
59064 | Wyślij tylko odpowiedź NTLMv2. Odmów LM | Send NTLMv2 response only. Refuse LM |
59065 | Wyślij tylko odpowiedź NTLMv2. Odmów LM i NTLM | Send NTLMv2 response only. Refuse LM & NTLM |
59066 | Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla klientów opartych na NTLM SSP (włączając secure RPC) | Network security: Minimum session security for NTLM SSP based (including secure RPC) clients |
59067 | Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla serwerów opartych na NTLM SSP (włączając secure RPC) | Network security: Minimum session security for NTLM SSP based (including secure RPC) servers |
59070 | Wymaga zabezpieczeń sesji NTLMv2 | Require NTLMv2 session security |
59071 | Wymagaj szyfrowania 128-bitowego | Require 128-bit encryption |
59072 | Zabezpieczenia sieci: wymagania podpisywania klienta LDAP | Network security: LDAP client signing requirements |
59074 | Negocjuj podpisywanie | Negotiate signing |
59076 | Konsola odzyskiwania: zezwalaj na automatyczne logowanie administracyjne | Recovery console: Allow automatic administrative logon |
59077 | Konsola odzyskiwania: zezwalaj na kopiowanie na dyskietkę oraz dostęp do wszystkich dysków i folderów | Recovery console: Allow floppy copy and access to all drives and all folders |
59078 | Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania | Shutdown: Allow system to be shut down without having to log on |
59079 | Zamknięcie: wyczyść plik stronicowania pamięci wirtualnej | Shutdown: Clear virtual memory pagefile |
59080 | Obiekty systemu: wzmocnij uprawnienia domyślne wewnętrznych obiektów systemu (np. linków symbolicznych) | System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) |
59081 | Obiekty systemu: domyślny właściciel dla obiektów utworzonych przez członków grupy Administratorzy | System objects: Default owner for objects created by members of the Administrators group |
59082 | Grupa Administratorzy | Administrators group |
59083 | Twórca obiektów | Object creator |
59084 | Obiekty systemu: wymagaj nierozróżniania wielkości liter dla podsystemów innych niż Windows | System objects: Require case insensitivity for non-Windows subsystems |
59085 | Kryptografia systemu: użyj zgodnych algorytmów FIPS dla celów szyfrowania, tworzenia skrótu i podpisywania | System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing |
59086 | Kryptografia systemu: wymuś mocną ochronę klucza dla kluczy użytkowników przechowywanych na komputerze | System cryptography: Force strong key protection for user keys stored on the computer |
59087 | Wprowadzanie danych przez użytkownika nie jest wymagane przy zachowywaniu i używaniu nowych kluczy | User input is not required when new keys are stored and used |
59088 | Użytkownik jest monitowany przy pierwszym użyciu klucza | User is prompted when the key is first used |
59089 | Użytkownik musi wprowadzić hasło za każdym razem, gdy używa klucza | User must enter a password each time they use a key |
59090 | Ustawienia systemowe: użyj reguł certyfikatów do plików wykonywalnych systemu Windows dla Zasad ograniczeń oprogramowania | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies |
59091 | Ustawienia systemowe: opcjonalne podsystemy | System settings: Optional subsystems |
59092 | logowania | logons |
59093 | dni | days |
59094 | min | minutes |
59095 | s | seconds |
59096 | DCOM: Ograniczenia dotyczące uruchamiania komputera w składni języka SDDL (Security Descriptor Definition Language) | DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59097 | DCOM: Ograniczenia dotyczące dostępu do komputera w składni języka SDDL (Security Descriptor Definition Language) | DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59098 | Urządzenia: ogranicz dostęp do stacji CD-ROM tylko do użytkownika zalogowanego lokalnie | Devices: Restrict CD-ROM access to locally logged-on user only |
59099 | Urządzenia: zezwolono na formatowanie i wysunięcie wymiennego nośnika | Devices: Allowed to format and eject removable media |
59100 | Administratorzy | Administrators |
59101 | Administratorzy i użytkownicy zaawansowani | Administrators and Power Users |
59102 | Administratorzy i użytkownicy interakcyjni | Administrators and Interactive Users |
59103 | Urządzenia: ogranicz dostęp do stacji dyskietek tylko do użytkownika zalogowanego lokalnie | Devices: Restrict floppy access to locally logged-on user only |
59104 | Inspekcja: wymuś ustawienia podkategorii zasad inspekcji (system Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad inspekcji | Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings |
59105 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Wychodzący ruch NTLM do serwerów zdalnych | Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers |
59106 | Zezwalaj na cały ruch | Allow all |
59107 | Odmów zezwolenia na cały ruch | Deny all |
59108 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przychodzący ruch NTLM | Network security: Restrict NTLM: Incoming NTLM traffic |
59110 | Odmów zezwolenia na ruch wszystkich kont domeny | Deny all domain accounts |
59111 | Odmów zezwolenia na ruch wszystkich kont | Deny all accounts |
59112 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Uwierzytelnianie NTLM w tej domenie | Network security: Restrict NTLM: NTLM authentication in this domain |
59113 | Wyłącz | Disable |
59114 | Odmów zezwolenia na ruch z kont domeny do serwerów domeny | Deny for domain accounts to domain servers |
59115 | Odmów zezwolenia na ruch kont domeny | Deny for domain accounts |
59116 | Odmów zezwolenia na ruch serwerów domeny | Deny for domain servers |
59118 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Dodaj wyjątki dla serwerów zdalnych w celu uwierzytelniania NTLM | Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication |
59119 | Zabezpieczenia sieciowe: Ograniczania ruchu NTLM: Dodaj wyjątki dla serwerów z tej domeny | Network security: Restrict NTLM: Add server exceptions in this domain |
59120 | Zabezpieczenia sieciowe: Zezwalaj kontu systemowi lokalnemu na używanie pustych sesji | Network security: Allow LocalSystem NULL session fallback |
59121 | Zabezpieczenia sieciowe: konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos | Network security: Configure encryption types allowed for Kerberos |
59122 | DES_CBC_CRC | DES_CBC_CRC |
59123 | DES_CBC_MD5 | DES_CBC_MD5 |
59124 | RC4_HMAC_MD5 | RC4_HMAC_MD5 |
59125 | AES128_HMAC_SHA1 | AES128_HMAC_SHA1 |
59126 | AES256_HMAC_SHA1 | AES256_HMAC_SHA1 |
59127 | Przyszłe typy szyfrowania | Future encryption types |
59129 | Zabezpieczenia sieciowe: Zezwalaj na wysyłanie żądań uwierzytelniania PKU2U do tego komputera w celu używania tożsamości online.
|
Network security: Allow PKU2U authentication requests to this computer to use online identities.
|
59130 | Przeprowadź inspekcję wszystkiego | Audit all |
59131 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowadź inspekcję przychodzącego ruchu NTLM | Network security: Restrict NTLM: Audit Incoming NTLM Traffic |
59132 | Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowadź inspekcję uwierzytelniania NTLM w tej domenie | Network security: Restrict NTLM: Audit NTLM authentication in this domain |
59133 | Zabezpieczenia sieciowe: Zezwalaj lokalnemu systemowi na uwierzytelnianie NTLM przy użyciu tożsamości komputera | Network security: Allow Local System to use computer identity for NTLM |
59135 | Włącz inspekcję dla kont domeny | Enable auditing for domain accounts |
59136 | Włącz inspekcję dla wszystkich kont | Enable auditing for all accounts |
59138 | Włącz dla ruchu z kont domeny do serwerów domeny | Enable for domain accounts to domain servers |
59139 | Włącz dla kont domeny | Enable for domain accounts |
59140 | Włącz dla serwerów domeny | Enable for domain servers |
59141 | Włącz wszystko | Enable all |
59142 | Serwer sieci Microsoft: poziom sprawdzania poprawności docelowej głównej nazwy usługi serwera | Microsoft network server: Server SPN target name validation level |
59143 | Wyłączone | Off |
59144 | Zaakceptuj, jeśli dostarczone przez klienta | Accept if provided by client |
59145 | Wymagane od klienta | Required from client |
59146 | Serwer sieci Microsoft: próbuj uzyskać informacje o oświadczeniach przy użyciu funkcji S4U2Self | Microsoft network server: Attempt S4U2Self to obtain claim information |
59147 | Domyślny | Default |
59148 | Włączone | Enabled |
59150 | Konta: blokuj konta Microsoft | Accounts: Block Microsoft accounts |
59151 | Ta zasada jest wyłączona | This policy is disabled |
59152 | Użytkownicy nie mogą dodawać kont Microsoft | Users can't add Microsoft accounts |
59153 | Użytkownicy nie mogą dodawać kont Microsoft ani logować się za ich pomocą | Users can't add or log on with Microsoft accounts |
59154 | Logowanie interakcyjne: próg blokady konta komputera | Interactive logon: Machine account lockout threshold |
59155 | Logowanie interakcyjne: limit nieaktywności komputera | Interactive logon: Machine inactivity limit |
59156 | nieprawidłowe próby logowania | invalid logon attempts |
59157 | Dostęp do sieci: ogranicz klientów, którzy mogą wykonywać wywołania zdalne menedżera SAM | Network access: Restrict clients allowed to make remote calls to SAM |
59158 | Logowanie interakcyjne: nie wyświetlaj nazwy użytkownika podczas logowania | Interactive logon: Don't display username at sign-in |
File Description: | Moduł interfejsu użytkownika konfiguracji zabezpieczeń |
File Version: | 10.0.15063.0 (WinBuild.160101.0800) |
Company Name: | Microsoft Corporation |
Internal Name: | WSECEDIT |
Legal Copyright: | © Microsoft Corporation. Wszelkie prawa zastrzeżone. |
Original Filename: | WSecEdit.dll.mui |
Product Name: | System operacyjny Microsoft® Windows® |
Product Version: | 10.0.15063.0 |
Translation: | 0x415, 1200 |