wsecedit.dll.mui Модуль интерфейса конфигурации безопасности 943f8d60f759beee394c93a27d3d22fe

File info

File name: wsecedit.dll.mui
Size: 469504 byte
MD5: 943f8d60f759beee394c93a27d3d22fe
SHA1: 86a464c0d010ad5ad748f8ad20319eb8fa63ce55
SHA256: 033343b2120e86ffce83ce8d61b0a36fb5a2ff3bbdce2b322b1da1dd062f717c
Operating systems: Windows 10
Extension: MUI

Translations messages and strings

If an error occurred or the following message in Russian language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.

id Russian English
1Класс расширений WSecEdit WSecEdit Extension Class
2Имя Name
3Описание Description
4Политика Policy
5Параметр базы данных Database Setting
6Параметр компьютера Computer Setting
7Шаблон безопасности Security Template
8Шаблоны Templates
9Последняя конфигурация/Анализ Last Configuration/Analysis
10Шаблоны безопасности для настройки или анализа компьютера. Security templates defined to configure or analyze a computer.
12Политика безопасности Security Policy
13Назначение прав пользователя User Rights Assignment
14Группы с ограниченным доступом Restricted Groups
15Системные службы System Services
16Реестр Registry
17Файловая система File System
21Параметры системной службы System service settings
22Параметры безопасности реестра Registry security settings
23Параметры безопасности файловой системы File system security settings
24Шаблоны безопасности Security Templates
25(не сохранено) (not saved)
26Параметры безопасности Security Settings
27Класс конфигурации безопасности WSecEdit WSecEdit Security Configuration Class
28Класс диспетчера безопасности WSecEdit WSecEdit Security Manager Class
29Вы действительно хотите удалить "%s"? Are you sure you want to delete %s?
30Вы хотите удалить все выделенные элементы? Do you want to delete all selected items?
31&Анализ компьютера...
Сравнение текущих параметров компьютера с параметрами безопасности в базе данных
&Analyze Computer Now...
Compares the current computer settings against the security settings in the database
34&Экспорт шаблона...
Экспорт основного шаблона для данного компьютера
&Export Template...
Exports the base template for the current computer
35Добавить &файлы...
Добавление новых файлов в этот шаблон
Add Fi&les...
Adds new files to this template
36&Новый путь для поиска шаблонов...
Добавление папки к пути поиска шаблонов безопасности. (.inf - формат INF)
&New Template Search Path...
Adds a template location to the Security Templates' search path (.inf - INF format)
37Созд&ать шаблон...
Создание нового шаблона
&New Template...
Creates a new template
38&Удалить путь
Удаление выбранной папки из пути поиска
&Remove Path
Removes the selected location from the search path
39О&бновить
Обновление этой папки для вывода добавленных шаблонов
Re&fresh
Updates this location to display recently added templates
40&Настроить компьютер...
Настройка компьютера в соответствии с выбранным шаблоном
Con&figure Computer Now...
Configures the computer according to the selected template
42Не удалось импортировать шаблон из %s Windows cannot import the template from %s
43Сохр&анить как...
Сохранение шаблона под новым именем
Save &As...
Saves the template with a new name
44Копи&ровать
Копирование выделенной информации из шаблона в буфер обмена
&Copy
Copies the selected template information to the Clipboard
45Вс&тавить
Вставка информации из буфера обмена в шаблон
&Paste
Pastes Clipboard information into the template
46Исходный объект GPO Source GPO
47О&бновить
Обновление данных
&Refresh
Refreshes data
48Для добавления этого объекта требуется безопасность Security is required to add this object
49Не удалось импортировать шаблон безопасности Windows cannot import the security template
50Политика паролей Password Policy
51Максимальный срок действия пароля
дн.
Maximum password age
days
52Минимальный срок действия пароля
дн.
Minimum password age
days
53Минимальная длина пароля
зн.
Minimum password length
characters
54Вести журнал паролей
сохраненных паролей
Enforce password history
passwords remembered
55Пароль должен отвечать требованиям сложности Password must meet complexity requirements
56Для смены пароля пользователь должен войти в систему User must log on to change the password
57Политика блокировки учетной записи Account Lockout Policy
58Пороговое значение блокировки
ошибок входа в систему
Account lockout threshold
invalid logon attempts
59Время до сброса счетчика блокировки
мин.
Reset account lockout counter after
minutes
60Продолжительность блокировки учетной записи
мин.
Account lockout duration
minutes
61Вы хотите удалить этот шаблон? Do you want to delete this template?
62База данных не загружена. The database is not loaded.
63Сетевая безопасность: Принудительный вывод из сеанса по истечении допустимых часов работы Network security: Force logoff when logon hours expire
65Учетные записи: Переименование учетной записи администратора Accounts: Rename administrator account
67Учетные записи: Переименование учетной записи гостя Accounts: Rename guest account
68Перезагрузить
Перезагрузка таблиц локальной и действующей политики из базы данных политики
Reload
Reloads the local and effective policy tables from the policy database
69Имя группы Group Name
70Журнал событий Event Log
71Максимальный размер системного журнала
КБ
Maximum system log size
kilobytes
72Метод сохранения событий в системном журнале Retention method for system log
73Сохранять события в системном журнале
дн.
Retain system log
days
74Максимальный размер журнала безопасности
КБ
Maximum security log size
kilobytes
75Метод сохранения событий в журнале безопасности Retention method for security log
76Сохранять события в журнале безопасности
дн.
Retain security log
days
77Максимальный размер журнала приложений
КБ
Maximum application log size
kilobytes
78Метод сохранения событий в журнале приложений Retention method for application log
79Сохранять события в журнале приложений
дн.
Retain application log
days
80Завершать работу при переполнении журнала аудита безопасности Shut down the computer when the security audit log is full
81Политика аудита Audit Policy
82Режим аудита событий Event Auditing Mode
83Аудит системных событий Audit system events
84Аудит входа в систему Audit logon events
85Аудит доступа к объектам Audit object access
86Аудит использования привилегий Audit privilege use
87Аудит изменения политики Audit policy change
88Аудит управления учетными записями Audit account management
89Аудит отслеживания процессов Audit process tracking
92Не определено Not Defined
95Не удалось добавить члена Cannot add members
96Не удается отобразить безопасность. Cannot display security
97Не удалось добавить пользователя Cannot add users
98Не удается добавить объект каталога Cannot add directory object
99Не удается добавить папку Cannot add a folder
100-- Члены -- Members
102Это имя файла содержит некоторые знаки, которые не соответствуют текущему языку системы. Следует переименовать этот файл. This file name contains some characters that can not be recognized by current system language. Please rename it.
103Разрешение Permission
104Аудит Audit
106Не удалось добавить файл. Windows cannot add a file.
107Неправильное имя шаблона. The template name is not valid.
108Ошибка при экспортировании сохраненного шаблона. An error occurred while exporting the stored template.
109Не удалось добавить раздел реестра Windows cannot add a registry key
110Полный доступ Full Control
111Изменение Modify
112Чтение и выполнение Read and Execute
113Список содержимого папки List Folder Contents
114Чтение Read
115Запись Write
116Обзор папок/Выполнение файлов Traverse Folder/Execute File
117Удаление Delete
120Нет None
124Запрос значения Query Value
125Задание значения Set Value
126Создание подраздела Create Subkey
127Перечисление подразделов Enumerate Subkeys
128Уведомление Notify
129Создание связи Create Link
130Выполнение Execute
131Не удается создать поток Cannot create a thread
132Не удалось проверить следующие учетные записи: %1
The following accounts could not be validated: %1
141Имя файла журнала Log File Name
143Выполнить анализ безопасности Perform Security Analysis
144Параметры политики безопасности Security policy settings
146Анализ и настройка безопасности
версия 1.0
Security Configuration and Analysis
v1.0
147Программа анализа и настройки безопасности используется для управления режимом безопасности компьютера. С ее помощью можно создавать или изменять шаблон безопасности, применять шаблон безопасности, выполнять проверку безопасности на основе шаблона и выводить результаты проверки на экран. Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results.
148Последний раз анализ выполнялся
Last analysis was performed on
149Описание базовой конфигурации безопасности:
Base security configuration description:
150Настройка компьютера выполнена с помощью указанного шаблона.
Анализ не выполнялся.
The computer was configured by the following template.
Analysis was not performed.
151База данных не была настроена или проанализирована с помощью программы анализа и настройки безопасности. The database has not been configured or analyzed using Security Configuration and Analysis.
152О программе About Security Configuration and Analysis
153О последнем анализе About Last Analysis
154Добавление нового размещения шаблонов безопасности Add a Template Location to Security Templates
165Имя объекта Object Name
166Противоречивые значения Inconsistent Values
168Открыть шаблон Open Template
169Шаблон безопасности (.inf)|*.inf|| Security Template (.inf)|*.inf||
170inf inf
171Открытие файла журнала ошибок Open Error Log File
172log log
173Файлы журнала (.log)|*.log|| Log files (.log)|*.log||
193Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations
194Не удалось открыть файл шаблона. Windows cannot open template file.
195Не удалось прочесть данные шаблона. Windows cannot read template information.
196В выбранной базе данных отсутствуют данные анализа, которые можно было бы отобразить. Начните работу с выполнения анализа. There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool.
1970 0
198По мере надобности As needed
199По дням By days
200Вручную Manually
201Включен Enabled
202Отключен Disabled
203Вкл On
204Выкл Off
210Члены группы Members
211Член групп Member Of
214CLASSES_ROOT CLASSES_ROOT
215MACHINE MACHINE
216USERS USERS
217Успешно Succeeded
229Неизвестная ошибка Unknown error
232\Security\Templates \Security\Templates
233Доступ к компьютеру из сети Access this computer from the network
234Локальный вход в систему Allow log on locally
235Не удалось сохранить Failed to save
236Со&хранить
Сохранение шаблона
&Save
Save the template
237Software\Microsoft\Windows NT\CurrentVersion\SecEdit Software\Microsoft\Windows NT\CurrentVersion\SecEdit
238Добавить папку Add Folder
239Добавить &папку...
Добавление новой папки к этому шаблону
Add &Folder...
Adds a new folder to this template
240&Добавить раздел...
Добавление нового раздела к этому шаблону
Add &Key...
Adds a new key to this template
241Добавить &группу...
Добавление новой группы к этому шаблону
Add &Group...
Adds a new group to this template
248Имя службы Service Name
249Автозагрузка Startup
250Проанализировано Analyzed
251Настроено Configured
252Автоматическое Automatic
254ОК OK
255Исследовать Investigate
256Безопасность базы данных для Database Security for
257Последний анализ безопасности для Last Analyzed Security for
258Безопасность для Security for
262Членство в группах Group Membership
263Члены этой группы Members of this group
266Политики учетных записей Account Policies
267Политики паролей и блокировки учетных записей Password and account lockout policies
268Локальные политики Local Policies
269Политики аудита, прав пользователей и параметров безопасности Auditing, user rights and security options policies
271Параметры журнала событий и просмотра событий Event Log settings and Event Viewer
272Аудит доступа к службе каталогов Audit directory service access
273Аудит событий входа в систему Audit account logon events
275Запретить доступ локальной группы гостей к системному журналу Prevent local guests group from accessing system log
276Запретить доступ локальной группы гостей к журналу безопасности Prevent local guests group from accessing security log
277Запретить доступ локальной группы гостей к журналу приложений Prevent local guests group from accessing application log
278всегда Always
281Пропустить Ignore
284Заменить Replace
286Вход в качестве пакетного задания Log on as a batch job
287Вход в качестве службы Log on as a service
288Объекты Active Directory Active Directory Objects
289Управление безопасностью объектов Active Directory Security management of Active Directory objects
290Добавить &объект каталога
Добавление объекта службы каталогов к этому шаблону
Add Directory &Object
Adds an Active Directory object to this template
293Содержание папки / Чтение данных List folder / Read data
294Чтение атрибутов Read attributes
295Чтение дополнительных атрибутов Read extended attributes
296Создание файлов / Запись данных Create files / Write data
297Создание папок / Дозапись данных Create folders / Append data
298Запись атрибутов Write attributes
299Запись дополнительных атрибутов Write extended attributes
300Удаление вложенных папок и файлов Delete subfolders and files
302Чтение разрешений Read permissions
303Смена разрешений Change permissions
304Смена владельца Take ownership
305Синхронизация Synchronize
306Чтение, запись и выполнение Read, Write and Execute
307Запись и выполнение Write and Execute
308Обзор / Выполнение Traverse / Execute
309Только для этой папки This folder only
310Для этой папки, вложенных папок и файлов This folder, subfolders and files
311Для этой папки и вложенных папок This folder and subfolders
312Для этой папки и ее файлов This folder and files
313Только для вложенных папок и файлов Subfolders and files only
314Только для вложенных папок Subfolders only
315Только для файлов Files only
316Только этот раздел This key only
317Этот раздел и его подразделы This key and subkeys
318Только подразделы Subkeys only
321Пуск, стоп и пауза Start, stop and pause
322Запрос шаблона Query template
323Изменение шаблона Change template
324Запрос состояния Query status
325Перечисление зависящих Enumerate dependents
326Пуск Start
327Стоп Stop
328Пауза и возобновление Pause and continue
329Опрос Interrogate
330Пользовательский элемент управления User-defined control
335Создание потомков Create children
336Удаление потомков Delete children
337Список содержимого List contents
338Добавление/Удаление себя Add/remove self
339Чтение свойств Read properties
340Запись свойств Write properties
341Только этот контейнер This container only
342Этот контейнер и его подконтейнеры This container and subcontainers
343Только подконтейнеры Subcontainers only
344[[ Конфигурация политики локального компьютера ]] [[Local Computer Policy Configuration ]]
345Учетная запись не будет блокирована. Account will not lock out.
346Пароль может быть изменен немедленно. Password can be changed immediately.
347Пароль не требуется. No password required.
348Не запоминать прежние пароли. Do not keep password history.
349Срок истечения действия пароля: Password will expire in:
350Пароль можно изменять через: Password can be changed after:
351Длина пароля не менее: Password must be at least:
352Вести журнал для: Keep password history for:
353Блокировать учетную запись после: Account will lock out after:
354Блокировать учетную запись на: Account is locked out for:
355Затирать события старше: Overwrite events older than:
356Срок действия пароля не ограничен. Password will not expire.
357Учетная запись блокирована до снятия блокировки администратором. Account is locked out until administrator unlocks it.
359Хранить пароли, используя обратимое шифрование Store passwords using reversible encryption
360Политика Kerberos Kerberos Policy
361Принудительные ограничения входа пользователей Enforce user logon restrictions
362Максимальная погрешность синхронизации часов компьютера
мин.
Maximum tolerance for computer clock synchronization
minutes
363Максимальный срок жизни билета службы
мин.
Maximum lifetime for service ticket
minutes
364Максимальный срок жизни билета пользователя
ч.
Maximum lifetime for user ticket
hours
365Максимальный срок жизни для возобновления билета пользователя
дн.
Maximum lifetime for user ticket renewal
days
366Добавление участника Add Member
368Недостаточно памяти для отображения этой секции There is not enough memory to display this section
369Нет информации о последнем анализе No information is available about the last analysis
370Не удалось сохранить измененные шаблоны. Windows cannot save changed templates.
372Анализ и настройка безопасности Security Configuration and Analysis
374&Импорт шаблона...
Импорт шаблона в эту базу данных
&Import Template...
Import a template into this database
376Не удалось создать или открыть %s Windows cannot create or open %s
377Найти файл протокола ошибок Locate error log file
378sdb sdb
379Файлы баз данных безопасности (*.sdb)|*.sdb|Все файлы (*.*)|*.*|| Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*||
380Применить шаблон к компьютеру Apply Template to Computer
381Путь к файлу журнала ошибок для записи хода настройки компьютера Error log file path to record the progress of configuring the computer
382&Безопасность... &Security...
383Изменение безопасности для этого элемента Edit security for this item
384Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration
385&Безопасность...
Изменение параметров безопасности для этого элемента
&Security...
Edit security for this item
386EnvironmentVariables EnvironmentVariables
387%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|
388О&ткрыть базу данных...
Открытие существующей или новой базы данных
O&pen Database...
Open an existing or new database
389Созд&ать базу данных...
Создание и открытие новой базы данных
&New Database...
Create and open a new database
390Задать оп&исание...
Создание описания для шаблонов в этой папке
Set Descri&ption...
Create a description for the templates in this directory
392\help\sce.chm \help\sce.chm
395Все файлы (*.*)|*.*|| All files (*.*)|*.*||
396База данных: %s Database: %s
397Неизвестная ошибка при попытке открыть базу данных. An unknown error occurred when attempting to open the database.
398Чтобы воспользоваться базой данных, проанализируйте ее. В меню "База данных" выберите команду выполнения анализа. Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis.
399Попытка открыть несуществующую базу данных. В меню "База данных" выберите команду "Импорт шаблона". The database you are attempting to open does not exist. On the Database menu, click Import Template.
400База данных повреждена. Сведения об исправлении базы данных можно найти в интернет-справке. The database is corrupt. For information about fixing the database, see online Help.
401Недостаточно памяти для загрузки базы данных. Закройте неиспользуемые приложения и повторите попытку. There is not enough memory available to load the database. Close some programs and then try again.
402Отказано в доступе к базе данных. Если разрешения для базы данных не были изменены, для работы с базой данных нужны права администратора. Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it.
403\Security\Database \Security\Database
404Вы хотите сохранить изменения в %s? Do you want to save changes to %s?
405Имеется существующий импортированный шаблон в ожидании. Чтобы сохранить его, нажмите кнопку "Отмена" и запустите анализ или конфигурацию перед импортом другого шаблона. Чтобы проигнорировать ранее импортированный шаблон, нажмите кнопку ОК.
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK.
406Все выбранные файлы All Selected Files
407Запретить локальный вход Deny log on locally
408Отказать в доступе к этому компьютеру из сети Deny access to this computer from the network
409Отказать во входе в качестве службы Deny log on as a service
410Отказать во входе в качестве пакетного задания Deny log on as a batch job
411Добавление группы Add Group
412&Группа: &Group:
413Не анализировано Not Analyzed
414Ошибка при анализе Error Analyzing
416Предлагаемое значение Suggested Setting
417Локальная политика...
Создать шаблон на основе параметров локальной политики
Local Policy ...
Create template file from the local policy settings
418Действующая политика...
Создать шаблон на основе параметров действующей политики
Effective Policy ...
Create template file from the effective policy settings
419Анализ и настройка безопасности Чтобы открыть существующую базу данных Правой кнопкой мыши щелкните элемент области Анализ и настройка безопасности Нажмите кнопку Открыть базу данных Выберите базу данных и нажмите Открыть Чтобы создать новую базу данных Правой кнопкой мыши щелкните элемент области Анализ и настройка безопасности Нажмите кнопку Открыть базу данных Введите имя новой базы данных и нажмите кнопку Открыть Выберите шаблон безопасности для импорта и нажмите кнопку Открыть Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open
420
422База данных, которую вы пытаетесь открыть, не существует. The database you are attempting to open does not exist.
423Вы можете создать новую локальную базу данных политики, выбрав команду Импорт политики из меню Параметры безопасности. You can create a new local policy database by choosing Import Policy from the Security Settings menu commands.
424Отказано в доступе к базе данных. Access to database has been denied.
425Пока&зать файл журнала
Включает отображение файла журнала или дерева папок при выборе узла "Анализ и настройка безопасности"
View Lo&g File
Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected
426Теперь вы можете настраивать или анализировать компьютер, используя параметры безопасности из этой базы данных. Чтобы настроить компьютерЩелкните правой кнопкой мыши элемент области Анализ и настройка безопасностиВыберите пункт Настроить компьютерВ диалоговом окне введите имя файла журнала, который вы хотите просмотреть, и нажмите кнопку OKПримечание. После параметры нужно выполнить анализ для просмотра сведений из базы данныхЧтобы проанализировать параметры безопасности компьютера Щелкните правой кнопкой мыши элемент области Анализ и настройка безопасностиВыберите пункт Анализировать компьютерВ диалоговом окне введите путь к файлу журнала и нажмите кнопку OKПримечание. Для просмотра файла журнала, созданного при настройке или анализе, выберите пункт Просмотр файла журнала в контекстном меню Анализ и настройка безопасности. You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu.
427 Ошибка при чтении размещения Error Reading Location
429Параметр политики Policy Setting
430За&щитить мастер...
Защитить мастер ролей сервера
Secure &Wizard...
Secure Server Role Wizard
431Не удалось импортировать неправильный шаблон безопасности %s Windows cannot import invalid template %s
432Учетные записи: Состояние учетной записи 'Администратор' Accounts: Administrator account status
433Учетные записи: Состояние учетной записи 'Гость' Accounts: Guest account status
434Свойства Properties
435Недопустимое имя пользователя. Оно пусто или содержит один из следующих недопустимых знаков:
%1
The username is not valid. It is empty or it may not contain any of the following characters:
%1
436Минимума нет No minimum
437Имя пользователя и группы не может содержать ни одного из следующих знаков:
%1
User and group names may not contain any of the following characters:
%1
438Не удалось найти указанный путь:
%1
The system can not find the path specified:
%1
439Имя файла не может содержать ни одного из следующих знаков:
%1
File name may not contain any of the following characters:
%1
440Необходимо выбрать режим запуска. A startup mode must be selected.
441Не удается удалить объект "%1", так как его свойства выводятся в одном из открытых окон.
Чтобы удалить этот объект, закройте окно и снова выберите "Удалить".
Object "%1" cannot be deleted because an open window is displaying its properties.
To delete this object, close that window and select "Delete" again.
442Настройка членства для %.17s... Configure Membership for %.17s...
443Время до сброса счетчика блокировки Reset account lockout counter after
444Задать опи&сание...
Создание описания для этого шаблона
Set Descri&ption...
Create a description for this template
445Описание не может содержать ни одного из следующих знаков:
%1
Description may not contain any of the following characters:
%1
446Параметр шаблона Template Setting
449Убедитесь в том, что вы имеете достаточные права на этот объект. Make sure that you have the right permissions to this object.
450Убедитесь в том, что этот объект существует. Make sure that this object exists.
451Невозможно использовать папку %1. Выберите другую папку. The folder %1 cannot be used. Choose another folder.
452Мой компьютер My Computer
453Слишком длинное имя файла. The file name is too long.
552spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm
697Имя файла не должно содержать ни одного из следующих знаков:
%1
File name may not only contain any of the following characters:
%1
698%1
Это имя зарезервировано как имя устройства.
Укажите другое имя файла.
%1
This file name is a reserved device name.
Choose another name.
699Неправильный тип файла. The file type is not correct.
700Для выполнения запрашиваемого действия нужно быть членом группы администраторов. You must be a member of the Administrators group to perform the requested operation.
701Имя файла %1 неправильно.
Введите имя файла в правильном формате, например, c:\location\file.%2.
The file name %1 is not valid.
Reenter the file name in the correct format, such as c:\location\file.%2.
702Сопоставление между именами пользователей и идентификаторами безопасности не было произведено No mapping between account names and security IDs was done
709Чтобы воздействовать на учетные записи в домене, этот параметр должен быть задан в политике домена по умолчанию. To affect domain accounts, this setting must be defined in default domain policy.
718Локальная политика безопасности Local Security Policy
740%1%2 %1%2
741%1%2
%3
%1%2
%3
745Особые Special
753Параметры безопасности для удаленного доступа к SAM Security Settings for Remote Access to SAM
754Удаленный доступ Remote Access
762Централизованная политика доступа Central Access Policy
763Централизованные политики доступа, примененные к файловой системе Central Access Policies applied to the file system
764!!Неизвестная политика!!: !!Unknown policy!!:
765%1 %2 %1 %2
1900Вести журнал паролей

Этот параметр безопасности определяет число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Число паролей должно составлять от 0 до 24.

Эта политика позволяет администраторам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться постоянно.

По умолчанию:

24 на контроллерах домена.
0 на автономных серверах.

Примечание. По умолчанию компьютеры-члены домена используют конфигурацию своих контроллеров домена.
Чтобы сохранить эффективность журнала паролей, не позволяйте изменять пароль снова сразу после того, как он был изменен. Включите также параметр политики безопасности "Минимальный срок действия пароля". Сведения о параметре политики безопасности "Минимальный срок действия пароля" см. в разделе "Минимальный срок действия пароля".
Enforce password history

This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords.

This policy enables administrators to enhance security by ensuring that old passwords are not reused continually.

Default:

24 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age.
1901Максимальный срок действия пароля

Этот параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Срок действия пароля может составлять от 1 до 999 дней; значение 0 соответствует неограниченному сроку действия пароля. Если значение максимального срока действия пароля составляет от 1 до 999 дней, то значение минимального срока действия пароля должно быть меньше максимального. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней.

Примечание. Рекомендуется устанавливать для срока действия паролей значение от 30 до 90 дней, в зависимости от рабочей среды. В этом случае у злоумышленника ограничено время, в течение которого он может взломать пароль пользователя и получить доступ к сетевым ресурсам.

По умолчанию: 42.
Maximum password age

This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days.

Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources.

Default: 42.
1902Минимальный срок действия пароля

Этот параметр безопасности определяет период времени (в днях), в течение которого необходимо использовать пароль, прежде чем пользователь сможет его изменить. Можно установить значение от 1 до 998 дней либо разрешить изменять пароль сразу, установив значение 0 дней.

Минимальный срок действия пароля должен быть меньше максимального, кроме случая, когда максимальный срок равен 0 дней и, следовательно, срок действия пароля никогда не истечет. Если максимальный срок действия пароля равен 0 дней, то минимальный срок может принимать любые значения в диапазоне от 0 до 998 дней.

Установите значение минимального срока действия пароля больше 0, если вы хотите включить ведение журнала паролей. Без установки минимального срока действия пароля пользователь может изменять пароли повторно, пока не получит свой старый предпочитаемый пароль. На значение по умолчанию эта рекомендация не распространяется, благодаря чему администратор может назначить пользователю пароль, а затем потребовать, чтобы пользователь сменил его при входе в систему. Если для журнала паролей установлено значение 0, пользователю не нужно выбирать новый пароль. По этой причине значение для журнала паролей по умолчанию равно 1.

По умолчанию:

1 — на контроллерах домена.
0 — на изолированных серверах.

Примечание. По умолчанию компьютеры, входящие в домен, используют конфигурацию своих контроллеров домена.
Minimum password age

This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0.

The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.

Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default.

Default:

1 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1903Минимальная длина пароля

Этот параметр безопасности определяет минимальное количество знаков, которое должно содержаться в пароле пользователя. Можно установить значение от 1 до 14 знаков, либо 0 знаков, если пароль не требуется.

По умолчанию:

7 - на контроллерах домена.
0 - на автономных серверах.

Примечание. По умолчанию компьютеры-члены домена используют конфигурацию своих контроллеров домена.
Minimum password length

This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0.

Default:

7 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1904Пароль должен отвечать требованиям сложности

Этот параметр безопасности определяет, должен ли пароль отвечать требованиям сложности.

Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям.

Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков
Иметь длину не менее 6 знаков
Содержать знаки трех из четырех перечисленных ниже категорий:
Латинские заглавные буквы (от A до Z)
Латинские строчные буквы (от a до z)
Цифры (от 0 до 9)
Отличающиеся от букв и цифр знаки (например, !, $, #, %)
Требования сложности применяются при создании или изменении пароля.



По умолчанию:

Включены на контроллерах домена.
Отключены на автономных серверах.

Примечание. По умолчанию компьютеры-члены домена используют конфигурацию своих контроллеров домена.
Password must meet complexity requirements

This security setting determines whether passwords must meet complexity requirements.

If this policy is enabled, passwords must meet the following minimum requirements:

Not contain the user's account name or parts of the user's full name that exceed two consecutive characters
Be at least six characters in length
Contain characters from three of the following four categories:
English uppercase characters (A through Z)
English lowercase characters (a through z)
Base 10 digits (0 through 9)
Non-alphabetic characters (for example, !, $, #, %)
Complexity requirements are enforced when passwords are changed or created.



Default:

Enabled on domain controllers.
Disabled on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1905Хранить пароли, используя обратимое шифрование

Этот параметр безопасности определяет, используется ли операционной системой для хранения паролей обратимое шифрование.

Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности. Хранение паролей с помощью обратимого шифрования - по существу то же самое, что и хранение паролей открытым текстом. По этой причине данная политика не должна применяться, пока требования приложения не станут более весомыми, чем требования по защите паролей.

Эта политика необходима при использовании проверки подлинности протокола CHAP через удаленный доступ или службу проверки подлинности в Интернете (IAS). Она также необходима при использовании краткой проверки подлинности в IIS.

По умолчанию: Отключена.
Store passwords using reversible encryption

This security setting determines whether the operating system stores passwords using reversible encryption.

This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.

This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS).

Default: Disabled.
1906Продолжительность блокировки учетной записи

Этот параметр безопасности определяет количество минут, в течение которых учетная запись остается заблокированной до ее автоматической разблокировки. Допустимые значения: от 0 до 99999 минут. Если продолжительность блокировки учетной записи равна 0, то учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее.

Если определено пороговое значение блокировки учетной записи, то длительность блокировки учетной записи должна быть больше или равна времени сброса.

По умолчанию: Не задано, т.к. этот параметр политики принимает значения, только если определено пороговое значение блокировки учетной записи.
Account lockout duration

This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it.

If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1907Пороговое значение блокировки

Этот параметр безопасности определяет количество неудачных попыток входа в систему, приводящее к блокировке учетной записи пользователя. Заблокированная учетная запись не может использоваться до тех пор, пока не будет сброшена администратором, либо пока не истечет период блокировки этой учетной записи. Количество неудачных попыток входа в систему может составлять от 0 до 999. Если установить это значение равным 0, то учетная запись никогда не будет разблокирована.

Неудачные попытки ввода паролей на рабочих станциях или серверах-членах домена, заблокированных с помощью клавиш CTRL+ALT+DELETE или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему.

По умолчанию: 0.
Account lockout threshold

This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts.

Default: 0.
1908Время до сброса счетчика блокировки

Этот параметр безопасности определяет количество минут, которые должны пройти после неудачной попытки входа в систему до того, как счетчик неудачных попыток входа будет сброшен до 0. Допустимые значения: от 1 до 99999 минут.

Если определено пороговое значение блокировки учетной записи, то время сброса должно быть меньше или равно длительности блокировки учетной записи.

По умолчанию: Не задано, т.к. этот параметр политики принимает значения, только если задано пороговое значение блокировки учетной записи.
Reset account lockout counter after

This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes.

If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1909Принудительные ограничения входа пользователей

Этот параметр безопасности определяет, подтверждает ли центр распространения ключей Kerberos V5 каждый запрос билета сеанса к политике прав пользователя учетной записи. Подтверждение каждого запроса билета сеанса необязательно, т.к. этот дополнительный шаг отнимает время и может замедлить доступ к сетевым службам.

По умолчанию: Включен.
Enforce user logon restrictions

This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services.

Default: Enabled.
1910Максимальный срок жизни билета службы

Этот параметр безопасности определяет максимальное количество времени (минут), в течение которого предоставленный билет сеанса может использоваться для доступа к соответствующей службе. Значение этого параметра должно быть больше 10 минут и меньше или равно значению параметра максимального срока жизни билета пользователя.

Если клиент предоставляет истекший билет сеанса при запросе подключения к серверу, то сервер возвращает сообщение об ошибке. Клиент должен запросить новый билет сеанса в центре распространения ключей Kerberos V5. Тем не менее, если подключение проверено, уже не важно, проверен ли билет сеанса. Билеты сеанса используются только для проверки новых подключений к серверам. Текущая работа не прерывается, если использовавшийся для проверки подключения билет истекает во время подключения.

По умолчанию: 600 минут (10 часов).
Maximum lifetime for service ticket

This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket.

If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection.

Default: 600 minutes (10 hours).
1911Максимальный срок жизни билета пользователя

Этот параметр безопасности определяет максимальное количество времени (часов), в течение которого может быть использован билет предоставления билета (TGT).

По умолчанию: 10 часов.
Maximum lifetime for user ticket

This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used.

Default: 10 hours.
1912Максимальный срок жизни для возобновления билета пользователя

Этот параметр безопасности определяет период времени (в днях), в течение которого может быть возобновлен билет предоставления билета (TGT).

По умолчанию: 7 дней.
Maximum lifetime for user ticket renewal

This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed.

Default: 7 days.
1913Максимальная погрешность синхронизации часов компьютера

Этот параметр безопасности определяет максимальную разность времени (минут), которую допускает Kerberos V5 между временем часов клиента и временем на контроллере домена под управлением Windows Server 2003 для обеспечения проверки подлинности Kerberos.

Чтобы предотвратить "атаки повторной передачей пакетов", Kerberos V5 использует метки времени как часть определения своего протокола. Чтобы метки времени работали правильно, часы клиента и контроллера домена должны быть как можно точнее синхронизированы. Другими словами, на обоих компьютерах должны быть установлены одинаковые дата и время. Вследствие того, что часы разных компьютеров часто несинхронизированы, администраторы могут использовать эту политику, чтобы установить максимально допустимую для Kerberos V5 разницу между часами клиентского компьютера и часами контроллера домена. Если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определенной в этой политике, то любая метка времени, используемая в сеансе двух компьютеров, считается подлинной.

Внимание!

Этот параметр не является постоянным на платформах, предшествующих Vista. Если настроить этот параметр, а затем перезагрузить компьютер, то параметр вернется к прежнему значению.

По умолчанию: 5 мин.
Maximum tolerance for computer clock synchronization

This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication.

To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic.

Important

This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value.

Default: 5 minutes.
1914Аудит событий входа в учетную запись

Этот параметр безопасности определяет, будет ли операционная система выполнять аудит каждый раз, когда на компьютере выполняется проверка учетных данных.

События входа в учетную запись создаются при проверке доверенным компьютером учетных данных какой-либо учетной записи. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей; все контроллеры домена являются доверенными для учетных записей в домене. Проверка учетных данных может выполняться при локальном входе или, в случае учетной записи в домене Active Directory на контроллере домена, при входе на другом компьютере. Состояние проверки учетных данных не отслеживается, поэтому для событий входа в учетную запись нет соответствующего события выхода.

Если данный параметр политики задан, то администратор может определить, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен).

Значения по умолчанию для клиентских выпусков.

Проверка учетных данных: аудит не выполняется
Операции с билетами службы Kerberos: аудит не выполняется
Другие события входа в учетную запись: аудит не выполняется
Служба проверки подлинности Kerberos: аудит не выполняется

Значения по умолчанию для серверных выпусков.

Проверка учетных данных: успешные попытки
Операции с билетами службы Kerberos: успешные попытки
Другие события входа в учетную запись: аудит не выполняется
Служба проверки подлинности Kerberos: успешные попытки

Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969.
Audit account logon events

This security setting determines whether the OS audits each time this computer validates an account’s credentials.

Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Credential Validation: No Auditing
Kerberos Service Ticket Operations: No Auditing
Other Account Logon Events: No Auditing
Kerberos Authentication Service: No Auditing

Default values on Server editions:

Credential Validation: Success
Kerberos Service Ticket Operations: Success
Other Account Logon Events: No Auditing
Kerberos Authentication Service: Success

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1915Аудит управления учетными записями

Этот параметр безопасности определяет, необходимо ли выполнять аудит каждого события управления учетными записями на компьютере. Далее указаны примеры событий управления учетными записями.

Учетная запись пользователя либо группа создана, изменена или удалена.
Учетная запись пользователя переименована, отключена или включена.
Пароль установлен или изменен.
При определении данного параметра политики можно указать, какие события подлежат аудиту: успешные, неудачные или никакие (т. е. аудит для данного типа событий не выполняется). При аудите успешных попыток создается запись аудита, когда любое событие управления учетными записями завершается успешно. При аудите неудачных попыток создается запись аудита, когда любое событие управления учетными записями завершается сбоем. Чтобы отключить аудит, в диалоговом окне свойств этого параметра политики выберите флажок "Задать эти параметры политики" и снимите флажки "Успешные" и "Неудачные".

Значения по умолчанию для клиентских выпусков.

Управление учетными записями пользователя: успешные попытки
Управление учетными записями компьютеров: аудит не выполняется
Управление группой безопасности: успешные попытки
Управление группой распространения: аудит не выполняется
Управление группой приложений: аудит не выполняется
Другие события управления учетными записями: аудит не выполняется

Значения по умолчанию для серверных выпусков.

Управление учетными записями пользователя: успешные попытки
Управление учетными записями компьютеров: успешные попытки
Управление группой безопасности: успешные попытки
Управление группой распространения: аудит не выполняется
Управление группой приложений: аудит не выполняется
Другие события управления учетными записями: аудит не выполняется

Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969.
Audit account management

This security setting determines whether to audit each event of account management on a computer. Examples of account management events include:

A user account or group is created, changed, or deleted.
A user account is renamed, disabled, or enabled.
A password is set or changed.
If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default values on Client editions:

User Account Management: Success
Computer Account Management: No Auditing
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Default values on Server editions:

User Account Management: Success
Computer Account Management: Success
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1916Аудит доступа к службе каталогов

Этот параметр безопасности определяет, будет ли операционная система выполнять аудит попыток доступа пользователей к объектам Active Directory. Аудит выполняется только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа (например, "Запись", "Чтение" или "Изменение") и учетная запись, выполняющая запрос, соответствуют параметрам в данном списке.

Администратор может указать, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен).

Если включен аудит успешных попыток, то запись аудита создается при каждой успешной попытке доступа учетной записи к объекту Active Directory с соответствующим системным списком управления доступом.

Если включен аудит неудачных попыток, то запись аудита создается при каждой неудачной попытке доступа учетной записи к объекту Active Directory с соответствующим системным списком управления доступом.

Значения по умолчанию для клиентских выпусков.

Доступ к службе каталогов: аудит не выполняется
Изменения службы каталогов: аудит не выполняется
Репликация службы каталогов: аудит не выполняется
Подробная репликация службы каталогов: аудит не выполняется

Значения по умолчанию для серверных выпусков.

Доступ к службе каталогов: успешные попытки
Изменения службы каталогов: аудит не выполняется
Репликация службы каталогов: аудит не выполняется
Подробная репликация службы каталогов: аудит не выполняется

Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969.
Audit directory service access

This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified.

Default values on Client editions:

Directory Service Access: No Auditing
Directory Service Changes: No Auditing
Directory Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Default values on Server editions:

Directory Service Access: Success
Directory Service Changes: No Auditing Directory
Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1917Аудит входа в систему

Этот параметр безопасности определяет, будет ли операционная система выполнять аудит каждой попытки входа пользователя в систему или выхода из нее на данном компьютере.

События выхода из системы создаются каждый раз, когда завершается сеанс учетной записи пользователя в системе. Если этот параметр политики задан, то администратор может указать, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен).

Значения по умолчанию для клиентских выпусков.

Вход в систему: успешные попытки
Выход из системы: успешные попытки
Блокировка учетных записей: успешные попытки
Основной режим IPsec: аудит не выполняется
Быстрый режим IPsec: аудит не выполняется
Расширенный режим IPsec: аудит не выполняется
Специальный вход: успешные попытки
Другие события входа и выхода: аудит не выполняется
Сервер политики сети: успешные и неудачные попытки

Значения по умолчанию для серверных выпусков:
Вход в систему: успешные и неудачные попытки
Выход из системы: успешные попытки
Блокировка учетных записей: успешные попытки
Основной режим IPsec: аудит не выполняется
Быстрый режим IPsec: аудит не выполняется
Расширенный режим IPsec: аудит не выполняется
Специальный вход: успешные попытки
Другие события входа и выхода: аудит не выполняется
Сервер политики сети: успешные и неудачные попытки

Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969.
Audit logon events

This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer.

Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Logon: Success
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Default values on Server editions:
Logon: Success, Failure
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1918Аудит доступа к объектам

Этот параметр безопасности определяет, будет ли операционная система выполнять аудит попыток доступа пользователей к объектам, не относящимся к Active Directory. Аудит выполняется только для объектов, для которых указаны системные списки управления доступом, при условии, что запрашиваемый тип доступа (например, "Запись", "Чтение" и "Изменение") и учетная запись, выполняющая запрос, соответствуют параметрам в таких списках.

Администратор может задать только аудит успешных попыток, только аудит неудачных попыток, аудит успешных и неудачных попыток либо совсем отключить аудит этих событий (как успешных, так и неудачных попыток).

Если включен аудит успешных попыток, запись аудита создается при каждой успешной попытке доступа учетной записи к объекту, который не относится к Active Directory и для которого задан соответствующий системный список управления доступом.

Если включен аудит неудачных попыток, запись аудита создается при каждой неудачной попытке доступа учетной записи к объекту, который не относится к Active Directory и для которого задан соответствующий системный список управления доступом.

Обратите внимание: системный список управления доступом можно задать для объекта файловой системы с помощью вкладки "Безопасность" в диалоговом окне свойств этого объекта.

Значение по умолчанию: нет аудита.

Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969.
Audit object access

This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified.

Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box.

Default: No auditing.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1919Аудит изменений политики

Этот параметр безопасности определяет, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользователей, политики аудита, политики учетных записей или политики доверия.

Администратор может определить, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен).

Если включен аудит успешных попыток, запись аудита создается при каждой успешной попытке изменения политики назначения прав пользователей, политики аудита, политики учетных записей или политики доверия.

Если включен аудит неудачных попыток, запись аудита создается при каждой попытке изменения политики назначения прав пользователей, политики аудита, политики учетных записей или политики доверия с помощью учетной записи, не имеющей разрешения на такие изменения политик.

Значения по умолчанию

Аудит изменений политики: успешные попытки
Изменение политики проверки подлинности: успешные попытки
Изменение политики авторизации: нет аудита
Изменение политики на уровне правил MPSSVC: нет аудита
Изменение политики платформы фильтрации: нет аудита
Другие события изменения политики: нет аудита

Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969.
Audit policy change

This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful.

If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change.

Default:

Audit Policy Change: Success
Authentication Policy Change: Success
Authorization Policy Change: No Auditing
MPSSVC Rule-Level Policy Change: No Auditing
Filtering Platform Policy Change: No Auditing
Other Policy Change Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1920Аудит использования привилегий

Этот параметр безопасности определяет, будет ли выполняться аудит каждого случая применения прав пользователя.

Определяя этот параметр политики, можно задать только аудит успешных попыток, только аудит неудачных попыток либо совсем отключить аудит этих событий (как успешных, так и неудачных попыток). Если включен аудит успешных попыток, запись аудита создается при каждой успешной попытке применения прав пользователя. Если включен аудит неудачных попыток, запись аудита создается при каждой неудачной попытке применения прав пользователя.

Чтобы отключить аудит, в диалоговом окне свойств этого параметра политики установите флажок "Задать эти параметры политики" и снимите флажки "Успешные" и "Неудачные".

По умолчанию: нет аудита.

Записи аудита не создаются при использовании указанных ниже прав пользователя, даже если для аудита использования привилегий задан аудит успешных или неудачных событий. Включение аудита этих прав пользователя приведет к записи большого количества событий в журнал безопасности, что может снизить производительность компьютера. Для аудита этих прав пользователя включите раздел реестра FullPrivilegeAuditing.

Обход перекрестной проверки
Отладка программ
Создание объекта токена
Замена токена уровня процесса
Создание аудитов безопасности
Резервное копирование файлов и каталогов
Восстановление файлов и каталогов

Внимание!

Неправильное редактирование реестра может серьезно повредить систему. Перед изменением реестра сохраните все важные данные на компьютере.

Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969.
Audit privilege use

This security setting determines whether to audit each instance of a user exercising a user right.

If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails.

To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default: No auditing.

Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key.

Bypass traverse checking
Debug programs
Create a token object
Replace process level token
Generate security audits
Back up files and directories
Restore files and directories

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1921Аудит отслеживания процессов

Этот параметр безопасности определяет, будет ли операционная система выполнять аудит связанных с процессами событий, таких как создание процесса, завершение процесса, обработка дублирований, а также непрямой доступ к объектам.

Если этот параметр политики определен, администратор может определить, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен).

Если включен аудит успешных попыток, запись аудита создается каждый раз, когда операционная система успешно выполняет какое-либо из этих действий, связанных с процессами.

Если включен аудит неудачных попыток, запись аудита создается каждый раз, когда операционная система не может выполнить какое-либо из этих действий.

По умолчанию: нет аудита

Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969.
Audit process tracking

This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities.

If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities.

Default: No auditing\r

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1922Аудит системных событий

Этот параметр безопасности определяет, будет ли операционная система выполнять аудит следующих событий.

•Попытка изменения системного времени
•Попытка запуска или отключения системы безопасности
•Попытка загрузки компонентов расширяемой проверки подлинности
•Потеря отслеженных событий из-за сбоя системы аудита
•Размер журнала безопасности превысил настраиваемый уровень порогового значения предупреждений

Если определен этот параметр политики, администратор может определить, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен).

Если включен аудит успешных попыток, создается запись аудита при каждом успешном выполнении операционной системой какого-либо из этих действий.

Если включен аудит неудачных попыток, создается запись аудита при каждой неудачной попытке выполнения операционной системой какого-либо из этих действий.

Значения по умолчанию.
Изменение состояния безопасности: успешные попытки
Расширение системы безопасности: нет аудита
Целостность системы: успешные и неудачные попытки
Драйвер IPsec: нет аудита
Другие системные события: успешные и неудачные попытки

Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969.
Audit system events

This security setting determines whether the OS audits any of the following events:

• Attempted system time change
• Attempted security system startup or shutdown
• Attempt to load extensible authentication components
• Loss of audited events due to auditing system failure
• Security log size exceeding a configurable warning threshold level.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully.

If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities.

Default:
Security State Change Success
Security System Extension No Auditing
System Integrity Success, Failure
IPsec Driver No Auditing
Other System Events Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1923Доступ к компьютеру из сети

Это право пользователя определяет пользователей и группы, которым разрешено подключаться к компьютеру по сети. Это право пользователя не влияет на службы удаленных рабочих столов.

Примечание. Старое название служб удаленных рабочих столов в предыдущих версиях ОС Windows Server - "службы терминалов".

Значения по умолчанию на рабочих станциях и серверах:

Администраторы
Операторы архивации
Пользователи
Все

Значения по умолчанию на контроллерах домена:

Администраторы
Проверенные пользователи
Контроллеры домена предприятия
Все
Доступ, совместимый с версиями ОС, предшествующими Windows 2000
Access this computer from the network

This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone

Default on domain controllers:
Administrators
Authenticated Users
Enterprise Domain Controllers
Everyone
Pre-Windows 2000 Compatible Access
1924Работа в составе операционной системы

Это право пользователя позволяет процессу олицетворять любого пользователя без проверки подлинности. Процесс, таким образом, может получать доступ к тем же локальным ресурсам, что и пользователь.

Процессы, для которых требуется такая привилегия, должны использовать уже содержащую эту привилегию учетную запись LocalSystem, а не отдельную учетную запись пользователя с этой привилегией. Если в организации используются только серверы с операционными системами семейства Windows Server 2003, нет необходимости назначать эту привилегию пользователям. Однако если в организации используются серверы под управлением операционных систем Windows 2000 или Windows NT 4.0, назначение этой привилегии может потребоваться для использования приложений, обменивающихся паролями в обычном текстовом формате.

Внимание!

Назначение этого права пользователю может представлять угрозу безопасности. Назначайте такие права только доверенным пользователям.

По умолчанию: Нет.
Act as part of the operating system

This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user.

Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: None.
1925Добавление рабочих станций в домен

Этот параметр безопасности определяет, какие группы или пользователи могут добавлять рабочие станции в домен.

Этот параметр безопасности действителен только на контроллерах домена. По умолчанию любой пользователь, прошедший проверку подлинности, имеет такие права и может создать до 10 учетных записей компьютеров в домене.

Добавление учетной записи компьютера к домену позволяет компьютеру работать в сетях на основе Active Directory. Например, добавление рабочей станции к домену позволяет этой рабочей станции распознавать учетные записи и группы, существующие в Active Directory.

По умолчанию: пользователи, прошедшие проверку подлинности, на контроллерах домена.

Примечание. Пользователи, имеющие разрешение на создание объектов-компьютеров в контейнере компьютеров Active Directory, также могут создавать учетные записи компьютеров в домене. Различие состоит в том, что возможность создания для пользователей с разрешениями для контейнера не ограничена всего 10 учетными записями компьютеров. При этом собственниками учетных записей компьютеров, созданных посредством добавления рабочих станций к домену, являются администраторы домена, в то время как собственниками учетных записей компьютеров, созданных с помощью разрешений для контейнера компьютеров, являются создатели этих учетных записей. Если у пользователя есть разрешения для контейнера, а также права на добавление рабочих станций в домен, то компьютер добавляется на основе разрешений для контейнера компьютеров, а не прав пользователя.

Add workstations to domain

This security setting determines which groups or users can add workstations to a domain.

This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain.

Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory.

Default: Authenticated Users on domain controllers.

Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right.

1926Настройка квот памяти для процесса

Эта привилегия определяет, кто может изменять максимальный объем памяти, используемый процессом.

Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов.

Примечание. Эта привилегия полезна при настройке системы, но его использование может нанести вред, например, в случае атак типа "отказ в обслуживании".

По умолчанию: Администраторы
Локальная служба
Сетевая служба

Adjust memory quotas for a process

This privilege determines who can change the maximum memory that can be consumed by a process.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack.

Default: Administrators
Local Service
Network Service.

1927Локальный вход в систему

Этот параметр определяет пользователей, которые могут входить в систему на компьютере.

Внимание!

Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Сведения о совместимости для этого параметра см. в разделе "Разрешение локального входа в систему" (https://go.microsoft.com/fwlink/?LinkId=24268 ) на веб-сайте Майкрософт.

Значения по умолчанию

•На рабочих станциях и серверах: администраторы, операторы резервного копирования, опытные пользователи, пользователи и гости.
•На контроллерах домена: операторы учетных записей, администраторы, операторы резервного копирования и операторы печати.
Log on locally

Determines which users can log on to the computer.

Important

Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website.

Default:

• On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest.
• On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators.
1928Разрешать вход в систему через службы удаленных рабочих столов

Этот параметр безопасности определяет, у каких пользователей или групп есть разрешение на вход в систему в качестве клиента служб удаленных рабочих столов.

Значения по умолчанию:

На рабочих станциях и серверах: Администраторы; Пользователи удаленного рабочего стола.
На контроллерах домена: Администраторы.

Внимание!

Этот параметр не действует на компьютерах с Windows 2000 без установленного пакета обновления 2 (SP2).

Allow log on through Remote Desktop Services

This security setting determines which users or groups have permission to log on as a Remote Desktop Services client.

Default:

On workstation and servers: Administrators, Remote Desktop Users.
On domain controllers: Administrators.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.

1929Архивация файлов и каталогов

Это право пользователя определяет, какие пользователи могут игнорировать разрешения для файлов, каталогов, реестра и других постоянных объектов с целью архивации системы.

В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе:

Обзор папок/Выполнение файлов
Содержимое папки/Чтение данных
Чтение атрибутов
Чтение расширенных атрибутов
Чтение разрешений

Внимание!

Назначение этого права пользователю может представлять угрозу безопасности. Поскольку невозможно точно знать, что именно пользователь делает с данными - создает архив, крадет или копирует с целью распространения - назначайте это право только доверенным пользователям.

По умолчанию на рабочих станциях и серверах: Администраторы
Операторы архивации.

По умолчанию на контроллерах домена:Администраторы
Операторы архивации
Операторы сервера

Back up files and directories

This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
List Folder/Read Data
Read Attributes
Read Extended Attributes
Read Permissions

Caution

Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users.

Default on workstations and servers: Administrators
Backup Operators.

Default on domain controllers:Administrators
Backup Operators
Server Operators

1930Обход проверки при обзоре

Это право пользователя определяет, какие пользователи могут производить обзор деревьев каталога, даже если у этих пользователей отсутствуют разрешения на каталог. Эта привилегия не позволяет пользователям просматривать содержимое каталога, а позволяет только выполнять обзор.

Это право пользователя определено в объекте групповой политики (GPO) контроллеров домена по умолчанию и в локальной политике безопасности рабочих станций и серверов.

По умолчанию на рабочих станциях и серверах:
Администраторы
Операторы архивации
Пользователи
Все
Локальная служба
Сетевая служба

По умолчанию на контроллерах домена:
Администраторы
Проверенные пользователи
Все
Локальная служба
Сетевая служба
Доступ, совместимый с пред-Windows 2000

Bypass traverse checking

This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone
Local Service
Network Service

Default on domain controllers:
Administrators
Authenticated Users
Everyone
Local Service
Network Service
Pre-Windows 2000 Compatible Access

1931Изменение системного времени

Это право пользователя определяет, какие пользователи и группы могут изменять время и дату внутренних часов компьютера. Пользователи с данным правом могут влиять на вид журналов событий. Если системное время было изменено, записи отслеженных событий отразят новое время, а не действительное время совершения событий.

Это право пользователя определено в объекте групповой политики (GPO) контроллеров домена по умолчанию и в локальной политике безопасности рабочих станций и серверов.

По умолчанию на рабочих станциях и серверах:
Администраторы
Локальная служба

По умолчанию на контроллерах домена:
Администраторы
Операторы сервера
Локальная служба

Change the system time

This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Local Service

Default on domain controllers:
Administrators
Server Operators
Local Service

1932Создание файла подкачки

Это право определяет пользователей и группы, которые могут вызывать встроенный интерфейс API для создания и изменения размера файла подкачки. Это право используется операционной системой для внутренних целей и обычно не нуждается в назначении каким-либо пользователям.

Сведения о том, как задать размер файла подкачки для данного диска, см. в разделе "Изменение размера файла подкачки виртуальной памяти".

По умолчанию: Администраторы.

Create a pagefile

This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users.

For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file.

Default: Administrators.

1933Создание объекта типа токен

Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессами для создания маркеров, которые затем могут быть использованы для получения доступа к любым локальным ресурсам, если для создания маркера доступа процесс использует внутренний интерфейс (API).

Данное право используется операционной системой для внутренних целей. Если нет необходимости, не предоставляйте это право никаким пользователям, группам или процессам кроме пользователя "Локальная система".

Внимание!

Назначение этого права пользователю может представлять угрозу безопасности. Не назначайте это право пользователю, группе или процессу, которым нежелательно позволять управлять системой.
По умолчанию: нет

Create a token object

This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token.

This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.
Default: None

1934Создание глобальных объектов

Этот параметр безопасности определяет, могут ли пользователи создавать глобальные объекты, доступные для всех сеансов. Пользователи по-прежнему могут создавать отдельные объекты для их сеансов, не имея данного права. Создание глобальных объектов может влиять на процессы, выполняемые в сеансах других пользователей, ведя к ошибкам приложений и повреждению данных.

Внимание!

Назначение этого права пользователя может представлять угрозу безопасности. Назначайте его только доверенным пользователям.

По умолчанию:

Администраторы
Локальная служба
Сетевая служба
Служба

Create global objects

This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption.

Caution

Assigning this user right can be a security risk. Assign this user right only to trusted users.

Default:

Administrators
Local Service
Network Service
Service
1935Создание постоянных общих объектов

Это право пользователя определяет, какие учетные записи могут использоваться процессами для создания объекта каталога при помощи диспетчера объектов.

Это право пользователя используется внутри операционной системы и полезно для компонентов в режиме ядра, расширяющих пространство имен объекта. Поскольку это право уже назначено компонентам, выполняющимся в режиме ядра, его не нужно специально назначать.

По умолчанию: нет.

Create permanent shared objects

This user right determines which accounts can be used by processes to create a directory object using the object manager.

This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it.

Default: None.
1936Отладка программ

Это право пользователя определяет, какие пользователи могут подключать отладчик к любому процессу или ядру. то право не нужно назначать разработчикам, выполняющим отладку собственных приложений. Оно потребуется разработчикам для отладки новых системных компонентов. Это право пользователя обеспечивает полный доступ к важным компонентам операционной системы.

Внимание!

Назначение этого права пользователя может представлять угрозу безопасности. Назначайте его только доверенным пользователям.

По умолчанию: Администраторы

Debug programs

This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: Administrators
1937Отказать в доступе к этому компьютеру из сети

Этот параметр безопасности определяет, каким пользователям будет отказано в доступе к компьютеру из сети. Этот параметр заменяет параметр политики "Разрешить доступ к компьютеру из сети", если к учетной записи пользователя применяются об политики.

По умолчанию: Гость.

Deny access to this computer from the network

This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies.

Default: Guest
1938Отказать во входе в качестве пакетного задания

Этот параметр безопасности определяет, каким учетным записям будет отказано во входе в систему в виде пакетного задания. Данный параметр замещает параметр "Разрешить вход в систему как пакетному заданию", если к учетной записи пользователя применяются оба параметра.

По умолчанию: Отсутствует.

Deny log on as a batch job

This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies.

Default: None.

1939Отказать во входе в качестве службы

Этот параметр безопасности определяет, каким учетным записям служб будет отказано в регистрации процесса как службы. Этот параметр политики заменяет параметр "Разрешить вход в систему как службе", если к учетной записи применяются об политики.

Примечание. Этот параметр безопасности не применяется к учетным записям "Система", "Локальная служба" или "Сетевая служба".

По умолчанию: нет.

Deny log on as a service

This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies.

Note: This security setting does not apply to the System, Local Service, or Network Service accounts.

Default: None.
1940Запретить локальный вход

Этот параметр безопасности определяет, каким пользователям будет отказано во входе в систему. Этот параметр политики заменяет параметр "Разрешить локальный вход в систему", если к учетной записи применяются обе политики.

Внимание!

Если этот параметр безопасности применяется к группе "Все", никто не сможет войти в систему локально.

По умолчанию: нет.

Deny log on locally

This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies.

Important

If you apply this security policy to the Everyone group, no one will be able to log on locally.

Default: None.
1941Запретить вход в систему через службы удаленных рабочих столов

Этот параметр безопасности определяет, каким пользователям и группам будет запрещено входить в систему как клиенту служб удаленных рабочих столов.

Значение по умолчанию: нет.

Внимание!

Этот параметр не действует на компьютерах, работающих под управлением Windows 2000 без пакета обновлений 2 (SP2).
Deny log on through Remote Desktop Services

This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client.

Default: None.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.
1942Разрешить доверять учетным записям компьютеров и пользователей при делегировании

Этот параметр безопасности определяет, какие пользователи могут устанавливать параметр "Делегирование разрешено" для пользователя или объекта-компьютера.

Пользователь или объект, получившие эту привилегию, должны иметь доступ на запись к управляющим флагам учетной записи пользователя или объекта-компьютера. Серверный процесс, выполняемый на компьютере (или в пользовательском контексте), которому разрешено делегирование, может получить доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, пока в учетной записи клиента не будет установлен управляющий флаг "Учетная запись не может быть делегирована".

Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов.

Внимание!

Неправильное применение этого права пользователя или параметра "Делегирование разрешено" может сделать сеть уязвимой к изощренным атакам с помощью вредоносных программ типа "Троянский конь", которые имитируют входящих клиентов и используют их учетные данные для получения доступа к сетевым ресурсам.

По умолчанию: администраторы на контроллерах домена.
Enable computer and user accounts to be trusted for delegation

This security setting determines which users can set the Trusted for Delegation setting on a user or computer object.

The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Caution

Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources.

Default: Administrators on domain controllers.
1943Принудительное удаленное завершение работы

Этот параметр безопасности определяет, каким пользователям разрешено удаленное завершение работы компьютера. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.

Это право пользователя определено в объекте групповой политики (GPO) контроллеров домена по умолчанию и в локальной политике безопасности рабочих станций и серверов.

По умолчанию:

На рабочих станциях и серверах: Администраторы.
На контроллерах домена: Администраторы, Операторы сервера.

Force shutdown from a remote system

This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default:

On workstations and servers: Administrators.
On domain controllers: Administrators, Server Operators.
1944Создание аудитов безопасности

Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа в систему. Неправильное применение этого права пользователя может стать причиной формирования множества событий аудита, которые могут скрыть свидетельства атаки или вызвать отказ в обслуживании, если включен параметр безопасности "Аудит: немедленно завершить работу системы при невозможности протоколирования аудита безопасности". Дополнительные сведения см. в разделе "Аудит: немедленно завершить работу системы при невозможности протоколирования аудита безопасности"

По умолчанию: Локальная служба
Сетевая служба.

Generate security audits

This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits

Default: Local Service
Network Service.
1945Имитация клиента после проверки подлинности

Выдача пользователю этой привилегии позволяет программам, выполняемым от имени этого пользователя, олицетворять клиента. Требование этого права для подобного олицетворения не позволяет неавторизованному пользователю убедить клиента подключиться (например, через вызов удаленной процедуры (RPC) или именованные каналы) к созданной им службе, а затем олицетворить клиента, что даст возможность повысить его полномочия до административного или системного уровня.

Внимание!

Назначение этого права пользователю может представлять угрозу безопасности. Назначайте такие права только доверенным пользователям.

По умолчанию:

Администраторы
Локальная служба
Сетевая служба
Служба

Примечание. По умолчанию к токенам доступа служб, запущенных диспетчером управления службами, добавляется встроенная группа "Служба". Встроенная группа "Служба" также добавляется к токенам доступа COM-серверов, запущенных COM-инфраструктурой и настроенных на выполнение под определенной учетной записью. Поэтому данные службы получают это пользовательское право при запуске.

Кроме того, пользователь может олицетворять токен доступа и при выполнении любого из следующих условий.

Олицетворяемый токен доступа назначен данному пользователю.
В данном сеансе входа пользователь создал токен доступа, явно указав учетные данные при входе.
Запрошенный уровень ниже, чем "Олицетворять", например:"Анонимный" или "Идентифицировать".
Поэтому пользователям обычно не требуется это пользовательское право.

Дополнительные сведения можно найти поиском SeImpersonatePrivilege в Microsoft Platform SDK.

Внимание!

Включение этого параметра может привести к потере привилегии "Олицетворять" программами, имеющим эту привилегию, и заблокировать их выполнение.
Impersonate a client after authentication

Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default:

Administrators
Local Service
Network Service
Service

Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started.

In addition, a user can also impersonate an access token if any of the following conditions exist.

The access token that is being impersonated is for this user.
The user, in this logon session, created the access token by logging on to the network with explicit credentials.
The requested level is less than Impersonate, such as Anonymous or Identify.
Because of these factors, users do not usually need this user right.

For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK.

Warning

If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run.
1946Увеличить приоритет выполнения

Этот параметр безопасности определяет, какие учетные записи могут использовать процесс, имеющий право доступа "Запись свойства" для другого процесса, для повышения приоритета выполнения, назначенного другому процессу. Пользователь, имеющий данную привилегию, может изменять приоритет выполнения процесса через пользовательский интерфейс диспетчера задач.

По умолчанию: Администраторы.

Increase scheduling priority

This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface.

Default: Administrators.
1947Загрузка и выгрузка драйверов устройств

Это право пользователя определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Это право пользователя не применяется к драйверам устройств Plug and Play. Не рекомендуется назначать эту привилегию другим пользователям.

Внимание!

Назначение этого права пользователю может представлять угрозу безопасности. Не назначайте это право пользователю, группе или процессу, которым нежелательно позволять управлять системой.

По умолчанию на рабочих станциях и серверах: Администраторы.

По умолчанию на контроллерах домена:
Администраторы
Операторы печати

Load and unload device drivers

This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.

Default on workstations and servers: Administrators.

Default on domain controllers:
Administrators
Print Operators
1948Блокировать страницы в памяти

Этот параметр безопасности определяет, какие учетные записи могут использовать процессы для сохранения данных в физической памяти для предотвращения сброса этих данных в виртуальную память на диске. Применение этой привилегии может существенно повлиять на производительность системы, снижая объем доступной оперативной памяти (RAM).

По умолчанию: нет.

Lock pages in memory

This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM).

Default: None.
1949Вход в качестве пакетного задания

Этот параметр безопасности позволяет пользователю входить в систему при помощи средства, использующего очередь пакетных заданий, и предоставляется только для совместимости с предыдущими версиями Windows.

Например, если пользователь передает задание при помощи планировщика заданий, последний регистрирует этого пользователя в системе как пользователя с пакетным входом, а не как интерактивного пользователя.


По умолчанию: Администраторы
Операторы архивации.
Log on as a batch job

This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows.

For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user.


Default: Administrators
Backup Operators.
1950Вход в качестве службы

Этот параметр безопасности разрешает субъекту безопасности входить в систему в качестве службы. Службы можно настроить для запуска под учетными записями "Локальная система", "Локальная служба" или "Сетевая служба", встроенными в право для входа в систему в качестве службы. Это право требуется назначить любой службе, которая выполняется под отдельной учетной записью пользователя.

По умолчанию: нет.
Log on as a service

This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right.

Default setting: None.
1951Управлять аудитом и журналом безопасности

Этот параметр безопасности определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра.

Данный параметр безопасности не разрешает пользователю включить аудит доступа к файлам и объектам в целом. Для включения такого аудита нужно настроить параметр доступа к объекту "Аудит" в пути "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политики аудита".

События аудита можно просмотреть в журнале безопасности средства просмотра событий. Пользователь с данной привилегией может также просматривать и очищать журнал безопасности.

По умолчанию: Администраторы.

Manage auditing and security log

This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys.

This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured.

You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log.

Default: Administrators.
1952Изменение значения параметров аппаратной среды

Этот параметр безопасности определяет, кто может изменять значения параметров аппаратной среды. Переменные аппаратной среды - это параметры, сохраняемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86. Действие параметра зависит от процессора.

На компьютерах архитектуры x86 единственное значение аппаратной среды, которое можно изменить назначением данного права пользователя, - это параметр "Последняя удачная конфигурация", который должен изменяться только системой.
В компьютерах на базе процессоров Itanium загрузочные данные хранятся в энергонезависимой памяти. Данное право пользователя должно назначаться пользователям для выполнения программы bootcfg.exe и изменения параметра "Операционная система по умолчанию" компонента "Загрузка и восстановление" диалогового окна свойств системы.
На всех компьютерах это право пользователя требуется для установки и обновления Windows.

Примечание. Этот параметр безопасности не влияет на пользователей, которые могут изменять системные и пользовательские переменные среды, отображаемые на вкладке "Дополнительно" диалогового окна свойств системы. Сведения о том, как изменять эти переменные, см. в разделе "Добавление или изменение значения переменных среды".

По умолчанию: Администраторы.

Modify firmware environment values

This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor.

On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system.
On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties.
On all computers, this user right is required to install or upgrade Windows.

Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables.

Default: Administrators.
1953Выполнить задачи по обслуживанию томов

Этот параметр безопасности определяет пользователей и группы, которые могут выполнять задачи по обслуживанию томов, например, удаленную дефрагментацию.

При назначении этого права пользователя следует соблюдать осторожность. Пользователи, имеющие данное право, могут просматривать диски и добавлять файлы в память, занятую другими данными. После открытия дополнительных файлов пользователь может читать изменять запрошенные данные.

По умолчанию: Администраторы

Perform volume maintenance tasks

This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation.

Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data.

Default: Administrators
1954Профилирование отдельного процесса

Этот параметр безопасности определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности несистемных процессов.

По умолчанию: Администраторы, Опытные пользователи.
Profile single process

This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes.

Default: Administrators, Power users.
1955Профилирование производительности системы

Этот параметр безопасности определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности системных процессов.

По умолчанию: администраторы.

Profile system performance

This security setting determines which users can use performance monitoring tools to monitor the performance of system processes.

Default: Administrators.

1956Отключение компьютера от стыковочного узла

Этот параметр безопасности определяет, может ли пользователь отстыковать портативный компьютер от стыковочного узла без входа в систему.

Если данный параметр включен, пользователь перед отключением портативного компьютера от стыковочного узла должен войти в систему. Если данный параметр отключен, пользователь может отключить портативный компьютер от стыковочного узла без входа в систему.

По умолчанию: Администраторы, Опытные пользователи, Пользователи.

Remove computer from docking station

This security setting determines whether a user can undock a portable computer from its docking station without logging on.

If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on.

Default: Administrators, Power Users, Users
1957Замена токена уровня процесса

Этот параметр безопасности определяет учетные записи пользователей, которые могут вызывать процедуру API-интерфейса CreateProcessAsUser() для того, чтобы одна служба могла запускать другую. Планировщик заданий - это пример процесса, использующего данное право пользователя. Сведения о планировщике заданий см. в обзоре "Планировщик заданий".

По умолчанию: Сетевая служба, Локальная служба.
Replace a process level token

This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview.

Default: Network Service, Local Service.
1958Восстановление файлов и каталогов

Этот параметр безопасности определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при восстановлении архивных копий файлов и каталогов, а также пользователей, которые могут назначить любого действительного субъекта безопасности владельцем объекта.

В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе:

Обзор папок/Выполнение файлов
Запись

Внимание!

Назначение этого права пользователя может представлять угрозу безопасности. Так как оно дает возможность перезаписывать параметры реестра, скрывать данные и получать во владение системные объекты, назначать его следует только доверенным пользователям.

По умолчанию:

Рабочие станции и серверы: Администраторы, Операторы архивации.
Контроллеры домена: Администраторы, Операторы архивации, Операторы сервера.
Restore files and directories

This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
Write

Caution

Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users.

Default:

Workstations and servers: Administrators, Backup Operators.
Domain controllers: Administrators, Backup Operators, Server Operators.
1959Завершение работы системы

Этот параметр безопасности определяет пользователей, которые после локального входа в систему могут завершить работу операционной системы при помощи команды "Завершить работу". Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.

По умолчанию на рабочих станциях: Администраторы, Операторы архивации, Пользователи.

По умолчанию на серверах: Администраторы, Операторы архивации.

По умолчанию на контроллерах домена: Администраторы, Операторы архивации, Операторы сервера, Операторы печати.

Shut down the system

This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service.

Default on Workstations: Administrators, Backup Operators, Users.

Default on Servers: Administrators, Backup Operators.

Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators.
1960Синхронизировать данные службы каталогов

Этот параметр безопасности определяет пользователей и группы, которые имеют право синхронизировать все данные службы каталогов. Это также называется синхронизацией Active Directory.

По умолчанию: нет.

Synchronize directory service data

This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization.

Defaults: None.
1961Смена владельцев файлов и других объектов

Этот параметр безопасности определяет пользователей, которые могут стать владельцем любого защищаемого объекта системы, в том числе: объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков.

Внимание!

Назначение этого права пользователя может представлять угрозу безопасности. Так как объекты полностью контролируются их владельцами, назначать данное право следует только доверенным пользователям.

По умолчанию: Администраторы.

Take ownership of files or other objects

This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads.

Caution

Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users.

Default: Administrators.
1962Учетные записи: состояние учетной записи "Администратор"

Этот параметр безопасности определяет, включена или отключена учетная запись локального администратора.

Примечания

При несоответствии пароля текущего администратора требованиям к паролю повторно включить учетную запись администратора, если ранее она была отключена, будет нельзя. В этом случае, пароль учетной записи администратора должен быть сброшен другим членом группы администраторов. Сведения о том, как сбросить пароль, см. в разделе "Сброс пароля".
Отключение учетной записи администратора при некоторых обстоятельствах может затруднить обслуживание.

При перезагрузке в безопасном режиме отключенную учетную запись администратора можно включить только в том случае, если компьютер не присоединен к домену и отсутствуют другие активные учетные записи локального администратора. Если компьютер присоединен к домену, отключенная учетная запись администратора не может быть включена.

По умолчанию: Отключено.

Accounts: Administrator account status

This security setting determines whether the local Administrator account is enabled or disabled.

Notes

If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password.
Disabling the Administrator account can become a maintenance issue under certain circumstances.

Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled.

Default: Disabled.
1963Учетные записи: состояние учетной записи "Гость"

Этот параметр безопасности определяет, включена или отключена учетная запись гостя.

По умолчанию: отключено.

Примечание. Если учетная запись гостя отключена, а для параметра безопасности "Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей" установлено значение "Только гости", попытки входа в сеть, выполняемые, например, сервером сетей Майкрософт (служба SMB), завершатся неудачно.

Accounts: Guest account status

This security setting determines if the Guest account is enabled or disabled.

Default: Disabled.

Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail.
1964Учетные записи: ограничить использование пустых паролей только консольным входом

Этот параметр безопасности определяет, могут ли локальные учетные записи, не защищенные паролем, использоваться для входа в систему из местоположений, отличных от физической консоли компьютера. Если параметр включен, то для локальных учетных записей, не защищенных паролем, вход в систему возможен только с клавиатуры компьютера.

Значение по умолчанию: включено.


Внимание!

К компьютерам, находящимся в физически незащищенных местах, всегда должны принудительно применяться параметры надежных паролей для всех локальных учетных записей пользователей. В противном случае любой пользователь, имеющий физический доступ к компьютеру, может войти в систему при помощи пользовательской учетной записи, не имеющей пароля. Это особенно важно для портативных компьютеров.
Если этот параметр безопасности применяется к группе "Все", никто не сможет войти в систему через службы удаленных рабочих столов.

Примечания

Данный параметр не оказывает влияния, если при входе в систему используются учетные записи домена.

Приложения, использующие удаленный интерактивный вход в систему, могут обойти этот параметр.

Старое название служб удаленных рабочих столов в предыдущих версиях ОС Windows Server - "службы терминалов".
Accounts: Limit local account use of blank passwords to console logon only

This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard.

Default: Enabled.


Warning:

Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers.
If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services.

Notes

This setting does not affect logons that use domain accounts.
It is possible for applications that use remote interactive logons to bypass this setting.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.
1965Учетные записи: переименование учетной записи администратора

Этот параметр безопасности определяет, будет ли связано другое имя учетной записи с идентификатором безопасности (SID) учетной записи "Администратор". Переименование учетной записи "Администратор" несколько затрудняет угадывание посторонними лицами комбинации имени и пароля этого привилегированного пользователя.

По умолчанию: Администратор.

Accounts: Rename administrator account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination.

Default: Administrator.
1966Учетные записи: переименование учетной записи гостя

Этот параметр безопасности определяет, будет ли с идентификатором безопасности (SID) учетной записи "Гость" связано другое имя учетной записи. Переименование учетной записи "Гость" несколько затрудняет угадывание посторонними лицами комбинации имени и пароля этого пользователя.

По умолчанию: гость.

Accounts: Rename guest account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination.

Default: Guest.

1967Аудит: аудит доступа к глобальным системным объектам

Этот параметр безопасности определяет, будет ли выполняться аудит доступа к глобальным системным объектам.

Если данный параметр включен, то системные объекты, такие как мьютексы (флаги взаимного исключения), события, семафоры (механизмы блокировки, используемые диспетчерами или распределителями ресурсов) и DOS-устройства, будут создаваться с системным списком управления доступом (SACL) по умолчанию. Список SACL присваивается только именованным объектам; списки SACL не поддерживают объекты, не имеющие имен. Если также включена политика доступа к объектам аудита, будет выполняться аудит доступа к этим системным объектам.

Примечание. Изменения в настройке этого параметра безопасности вступят в силу только после перезагрузки Windows.

По умолчанию: Отключено.

Audit: Audit the access of global system objects

This security setting determines whether to audit the access of global system objects.

If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.
1968Аудит: аудит использования привилегии на архивацию и восстановление

Этот параметр безопасности определяет, будет ли выполняться аудит использования всех привилегий пользователя, в том числе на архивацию и восстановление, если действует политика "Выполнять аудит использования привилегий". Если эта политика действует, включение данного параметра создает событие аудита для каждого файла, с которым выполняются операции архивации или восстановления.

Если эта политика отключена, аудит использования привилегии на архивацию и восстановление не выполняется даже при включенном параметре "Выполнять аудит использования привилегий".

Примечание. В версиях Windows, предшествующих Vista, изменения в результате настройки этого параметра безопасности вступят в силу только после перезагрузки Windows. Включение этого параметра может вызвать очень много событий (иногда несколько сот в секунду) во время архивации.

По умолчанию: Отключено.

Audit: Audit the use of Backup and Restore privilege

This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored.

If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation.

Default: Disabled.

1969Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности

Этот параметр безопасности определяет, будет ли завершена работа системы при невозможности протоколирования событий безопасности.

Если этот параметр безопасности включен, система будет остановлена при невозможности протоколирования аудита безопасности по любой причине. Обычно протоколирование событий становится невозможным при переполнении журнала аудита безопасности, а его метод сохранения определен либо как "Не затирать события", либо как "Затирать старые события по дням".

Если журнал аудита безопасности переполнен и существующая запись не может быть затерта, а данный параметр безопасности включен, возникнет следующая Stop-ошибка:

STOP: C0000244 {Неудачная попытка аудита}
Неудачная попытка выполнения аудита безопасности.
Для восстановления администратор должен войти в систему, заархивировать (необязательно) и очистить журнал и, при желании, сбросить данный параметр. Пока данный параметр безопасности не будет сброшен, никто из пользователей, за исключением членов группы администраторов, не может войти в систему, даже если журнал безопасности не будет заполнен.

Примечание. Изменения в настройке этого параметра безопасности вступят в силу только после перезагрузки Windows.

По умолчанию: Отключено.

Audit: Shut down system immediately if unable to log security audits

This security setting determines whether the system shuts down if it is unable to log security events.

If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days.

If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears:

STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.
To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

1970Устройства: разрешать отстыковку без входа в систему

Этот параметр безопасности определяет возможность отстыковки ноутбука без входа в систему. Если он включен, вход в систему не требуется и для отстыковки ноутбука может быть использована внешняя аппаратная кнопка извлечения. Если параметр отключен, пользователь должен войти в систему и, при наличии привилегии "Отключить компьютер от стыковочного узла", отстыковать ноутбук.

По умолчанию: включен.

Внимание!

Если параметр отключен, пользователи могут пытаться физически отсоединить ноутбук от стыковочного узла, применяя способы, отличные от использования внешней аппаратной кнопки извлечения. Так как это может стать причиной поломки оборудования, данный параметр должен отключаться только для физически защищенных моделей ноутбуков.

Devices: Allow undock without having to log on

This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer.

Default: Enabled.

Caution

Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable.

1971Устройства: разрешить форматирование и извлечение съемных носителей

Этот параметр безопасности определяет, кому разрешено форматирование и извлечение съемных NTFS-носителей. Эта возможность может быть предоставлена:

администраторам
администраторам и интерактивным пользователям

По умолчанию: данная политика не определена и такая возможность есть только у администраторов.

Devices: Allowed to format and eject removable media

This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to:

Administrators
Administrators and Interactive Users

Default: This policy is not defined and only Administrators have this ability.

1972Устройства: запретить пользователям установку драйверов принтеров при подключении к общим принтерам

Чтобы локальный компьютер мог использовать общий принтер, на нем должен быть установлен драйвер этого общего принтера. Этот параметр безопасности определяет, кому разрешено устанавливать драйвер принтера при добавлении общего принтера. Если этот параметр включен, при добавлении общего принтера драйвер принтера могут устанавливать только администраторы. Если параметр отключен, устанавливать драйвер принтера при добавлении общего принтера может любой пользователь.

По умолчанию на серверах: Включено.
По умолчанию на рабочих станциях: Отключено


Примечания

Этот параметр не влияет на возможность добавления локального принтера.
Параметр не затрагивает администраторов.

Devices: Prevent users from installing printer drivers when connecting to shared printers

For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer.

Default on servers: Enabled.
Default on workstations: Disabled


Notes

This setting does not affect the ability to add a local printer.
This setting does not affect Administrators.
1973Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям

Этот параметр безопасности определяет, будет ли дисковод компакт-дисков доступен одновременно и локальным, и удаленным пользователям.

Если данный параметр включен, доступ к компакт-дискам разрешен только пользователям, вошедшим в систему интерактивно. Если данный параметр включен, но никто не вошел в систему интерактивно, дисковод компакт-дисков будет доступен через сеть.

По умолчанию: данная политика не определена, и доступ к компакт-дискам не ограничивается только пользователями, вошедшими в систему интерактивно.

Devices: Restrict CD-ROM access to locally logged-on user only

This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network.

Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user.

1974Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям

Этот параметр безопасности определяет, будет ли съемный дисковод гибких дисков доступен одновременно и локальным, и удаленным пользователям.

Если данный параметр включен, доступ к съемным дисководам гибких дисков разрешен только пользователям, вошедшим в систему интерактивно. Если данный параметр включен, но никто не вошел в систему интерактивно, дисковод гибких дисков будет доступен через сеть.

По умолчанию: данная политика не определена, и доступ к дисководу гибких дисков не ограничивается только пользователями, вошедшими в систему интерактивно.

Devices: Restrict floppy access to locally logged-on user only

This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network.

Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user.

1975Устройства: Поведение при установке неподписанного драйвера

Этот параметр безопасности определяет, что произойдет при попытке установки драйвера устройства (средствами API-интерфейса установки), который не был проверен в лабораториях Microsoft Windows Hardware Quality Labs (WHQL).

Возможные варианты:

Успешная установка без предупреждения
Предупреждать, но разрешать установку
Не разрешать установку
По умолчанию: Предупреждать, но разрешать установку.

Devices: Unsigned driver installation behavior

This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL).

The options are:

Silently succeed
Warn but allow installation
Do not allow installation
Default: Warn but allow installation.

1976Контроллер домена: Разрешить операторам сервера задавать выполнение заданий по расписанию

Этот параметр безопасности определяет, разрешено ли операторам сервера запускать задания при помощи средства AT.

Примечание. Данный параметр безопасности влияет только на средство AT; он не влияет на средство "Планировщик заданий".
По умолчанию: Этот параметр не определен; это означает, что система рассматривает его как отключенный.

Domain controller: Allow server operators to schedule tasks

This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility.

Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility.
Default: This policy is not defined, which means that the system treats it as disabled.

1977Контроллер домена: требования цифровой подписи для LDAP-сервера

Этот параметр безопасности определяет, будет ли LDAP-сервер требовать согласовывать подписывание с LDAP-клиентами следующим образом:

Нет: для привязки к серверу подписывание данных не требуется. Если клиент запросит подписывание данных, сервер его поддержит.
Требовать подпись: если не используется TLS\SSL, параметр подписывания данных LDAP должен быть согласован.

По умолчанию: параметр не определен, это имеет тот же эффект, что и "Нет".

Внимание!

Если сервер настроен на "Требовать подпись", соответственно должен быть настроен и клиент. Если клиент не настроен, связь с сервером будет утеряна.

Примечания

Этот параметр не оказывает влияния на простое связывание LDAP или простое связывание LDAP через SSL. Клиенты Microsoft LDAP в составе Windows XP Professional для взаимодействия с контроллером домена не используют простое связывание LDAP или простое связывание LDAP через SSL.
Если подписывание необходимо, то запросы с простым связыванием LDAP или простым связыванием LDAP через SSL отвергаются. Клиенты Microsoft LDAP под управлением Windows XP Professional или систем семейства Windows Server 2003 не используют простое связывание LDAP или простое связывание LDAP через SSL для привязки к службе каталогов.

Domain controller: LDAP server signing requirements

This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows:

None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it.
Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated.

Default: This policy is not defined, which has the same effect as None.

Caution

If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server.

Notes

This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller.
If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service.

1978Контроллер домена: запретить изменение паролей учетных записей компьютера

Этот параметр безопасности определяет, будут ли контроллеры домена отвергать запросы компьютеров, входящих в домен, на изменение паролей их учетных записей. По умолчанию компьютеры, входящие в домен, меняют пароли своих учетных записей каждые 30 дней. Если параметр включен, контроллер домена будет отвергать запросы на изменение паролей учетных записей.

Включенный параметр не позволит контроллеру домена принять любые изменения паролей учетных записей компьютеров.

По умолчанию: данный параметр не определен; это означает, что система рассматривает его как отключенный.

Domain controller: Refuse machine account password changes

This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests.

If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password.

Default: This policy is not defined, which means that the system treats it as Disabled.

1979Член домена: всегда требуется цифровая подпись или шифрование данных безопасного канала

Этот параметр безопасности определяет необходимость подписывания или шифрования всего трафика безопасного канала, инициированного членом домена.

При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала с контроллером домена используется пароль учетной записи компьютера. Этот безопасный канал используется для таких операций, как выполнение проверки подлинности NTLM, поиск имени или кода LSA и т. д.

Этот параметр безопасности определяет, соответствует ли минимальным требованиям безопасности весь трафик безопасного канала, инициированного членом домена. В частности, он определяет необходимость подписывания или шифрования всего трафика безопасного канала, инициированного членом домена. Если параметр включен, то безопасный канал не будет установлен до тех пор, пока не будет согласовано либо подписывание, либо шифрование всего его трафика. Если параметр отключен, то подписывание и шифрование всего трафика безопасного канала согласуется с контроллером домена; в этом случае уровень подписывания и шифрования зависит от версии контроллера домена и значений следующих двух параметров:

Член домена: шифровать данные безопасного канала, когда это возможно
Член домена: подписывать данные безопасного канала, когда это возможно

По умолчанию: включен.

Примечания:

Если данный параметр включен, параметр "Член домена: подписывать данные безопасного канала, когда это возможно" считается включенным, независимо от его текущего состояния. Благодаря этому члены домена будут пытаться согласовать по крайней мере подписывание трафика безопасного канала.
Если данный параметр включен, параметр "Член домена: подписывать данные безопасного канала, когда это возможно" считается включенным, независимо от его текущего состояния. Благодаря этому члены домена будут пытаться согласовать по крайней мере подписывание трафика безопасного канала.
Учетные данные, передаваемые по безопасному каналу, всегда шифруются, независимо от согласования шифрования остального трафика.

Domain member: Digitally encrypt or sign secure channel data (always)

This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies:

Domain member: Digitally encrypt secure channel data (when possible)
Domain member: Digitally sign secure channel data (when possible)

Default: Enabled.

Notes:

If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not.

1980Член домена: цифровое шифрование данных безопасного канала, когда это возможно

Этот параметр безопасности определяет, будет ли член домена пытаться согласовать шифрование всего инициируемого им трафика безопасного канала.

При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала с контроллером домена используется пароль учетной записи компьютера. Этот безопасный канал используется для таких операций, как проверка подлинности NTLM, поиск имени или кода LSA и т. д.

Этот параметр определяет, будет ли член домена пытаться согласовать шифрование всего трафика безопасного канала, который он инициирует. Если параметр включен, член домена будет запрашивать шифрование всего трафика безопасного канала. Если контроллер домена поддерживает шифрование всего трафика безопасного канала, то весь трафик безопасного канала будет шифроваться. В противном случае шифроваться будут только учетные данные, передаваемые по безопасному каналу. Если параметр отключен, член домена не будет пытаться согласовывать шифрование безопасного канала.

По умолчанию: включен.

Внимание!

Нет никаких оснований для отключения этого параметра. Помимо возможного снижения уровня конфиденциальности безопасного канала, отключение данного параметра может привести к неоправданному снижению пропускной способности безопасного канала, так как параллельные вызовы API-процедур, использующих безопасный канал, возможны только при подписанном или шифрованном безопасном канале.

Примечание. Контроллеры домена также являются членами домена и устанавливают безопасные каналы с другими контроллерами домена как в том же, так и в доверенных доменах.

Domain member: Digitally encrypt secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption.

Default: Enabled.

Important

There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted.

Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1981Член домена: подписывать данные безопасного канала, когда это возможно

Этот параметр безопасности определяет, пытается ли член домена согласовать подписывание всего инициированного им трафика безопасного канала.

При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала с контроллером домена используется пароль учетной записи компьютера. Этот безопасный канал используется для таких операций, как выполнение проверки подлинности NTLM, поиск имени или кода LSA и т. д.

Этот параметр безопасности определяет, пытается ли член домена согласовать подписывание всего инициированного им трафика безопасного канала. Если этот параметр включен, член домена будет требовать подписывания всего трафика безопасного канала. Если контроллер домена поддерживает подписывание всего трафика безопасного канала, то будет подписываться весь трафик безопасного канала, что обеспечит невозможность его изменения при передаче.

По умолчанию: включен.

Примечания

Если включен параметр "Член домена: всегда требуется цифровая подпись или шифрование данных безопасного канала", то данный параметр считается включенным вне зависимости от его текущего значения.
Контроллеры домена также являются членами домена и устанавливают безопасные каналы с другими контроллерами домена как в том же домене, так и в доверенных доменах.

Domain member: Digitally sign secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit.

Default: Enabled.

Notes:

If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting.
Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1982Член домена: максимальный срок действия пароля учетных записей компьютера

Этот параметр безопасности определяет, как часто член домена будет пытаться изменить пароль учетной записи компьютера.

По умолчанию: 30 дней.

Внимание!

Этот параметр применяется к компьютерам под управлением Windows 2000, но не доступен на них через диспетчер конфигурации безопасности.

Domain member: Maximum machine account password age

This security setting determines how often a domain member will attempt to change its computer account password.

Default: 30 days.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1983Член домена: требовать стойкий сеансовый ключ (Windows 2000 или выше)

Этот параметр безопасности определяет, требуется ли для зашифрованных данных безопасного канала 128-разрядный ключ.

При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала с контроллером домена используется пароль учетной записи компьютера. Этот безопасный канал используется для совершения таких операций, как сквозная проверка подлинности NTLM, поиск имени или ИД безопасности LSA и т. д.

В зависимости от версии Windows, используемой на контроллере домена, с которым осуществляется соединение, а также от значений параметров:

Член домена: всегда требуется цифровая подпись или шифрование данных безопасного канала
Член домена: шифровать данные безопасного канала, когда это возможно
Будут зашифрованы все или некоторые данные, передаваемые по безопасному каналу. Этот параметр политики определяет, требуется ли для зашифрованных данных безопасного канала 128-разрядный ключ.

Если этот параметр включен, безопасное соединение будет установлено только в том случае, если возможно 128-разрядное шифрование. Если этот параметр отключен, стойкость ключа согласуется с контроллером домена.

По умолчанию: включен.

Внимание!

Чтобы использовать этот параметр на рабочих станциях и серверах, входящих в домен, все контроллеры, формирующие домен, должны работать под управлением операционной системы Windows 2000 или более поздней версии.
Чтобы использовать этот параметр на контроллерах домена, все контроллеры в этом домене, а также в доверенных доменах должны работать под управлением операционной системы Windows 2000 или более поздней версии.

Domain member: Require strong (Windows 2000 or later) session key

This security setting determines whether 128-bit key strength is required for encrypted secure channel data.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on.

Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters:

Domain member: Digitally encrypt or sign secure channel data (always)
Domain member: Digitally encrypt secure channel data (when possible)
Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted.

If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller.

Default: Enabled.

Important

In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later.
In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later.

1984Член домена: отключить изменение пароля учетных записей компьютера

Определяет, производится ли периодическое изменение пароля учетной записи компьютера члена домена. При включении этого параметра член домена не пытается изменить пароль учетной записи компьютера. Если этот параметр отключен, член домена пытается изменить пароль учетной записи компьютера согласно значению параметра "Член домена: максимальный срок действия пароля учетной записи компьютера", имеющего по умолчанию значение "каждые 30 дней".

По умолчанию: Отключено.

Примечания

Не следует включать этот параметр безопасности. Пароли учетных записей используются для установления безопасных каналов связи между членами домена и контроллерами домена, а также между самими контроллерами внутри домена. После установления связи безопасный канал используется для передачи конфиденциальных данных, необходимых для выполнения проверки подлинности и авторизации.
Этот параметр не следует использовать для поддержки сценариев двойной загрузки, использующих одну и ту же учетную запись компьютера. Для двойной загрузки двух установок, объединенных в одном домене, присвойте этим установкам разные имена компьютеров.

Domain member: Disable machine account password changes

Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days.

Default: Disabled.

Notes

This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions.
This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names.
1985Интерактивный вход в систему: не отображать учетные данные последнего пользователя
Этот параметр безопасности определяет, будет ли на экране входа в Windows отображаться имя последнего пользователя, выполнившего вход на этом компьютере.
Если эта политика включена, имя пользователя не будет отображаться.

Если этот параметр отключен, имя пользователя будет отображаться.

По умолчанию: отключено.


Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


1986Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL

Этот параметр безопасности определяет, требуется ли нажатие клавиш CTRL+ALT+DEL перед входом в систему.

Если эта политика включена, нажатие клавиш CTRL+ALT+DEL перед входом в систему не требуется. Отсутствие необходимости нажимать клавиши CTRL+ALT+DEL перед входом в систему делает пользователей уязвимыми для атак с попыткой перехвата паролей. Обязательное нажатие клавиш CTRL+ALT+DEL перед входом в систему гарантирует передачу данных по доверенному каналу при вводе паролей пользователями.

Если эта политика отключена, нажатие клавиш CTRL+ALT+DEL обязательно для любого пользователя перед входом в Windows.

По умолчанию на компьютерах домена: включено (не ранее Windows 8)/отключено (Windows 7 и более ранних версий).
По умолчанию на изолированных рабочих станциях: включено.

Interactive logon: Do not require CTRL+ALT+DEL

This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on.

If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords.

If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows.

Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier.
Default on stand-alone computers: Enabled.

1987Интерактивный вход: текст сообщения для пользователей при входе в систему

Этот параметр безопасности указывает текстовое сообщение, отображаемое при входе пользователей в систему.

Этот текст часто используется в правовых целях, например, чтобы предупредить пользователей о последствиях разглашения коммерческой тайны или о том, что их действия могут контролироваться.

По умолчанию: нет сообщения.

Interactive logon: Message text for users attempting to log on

This security setting specifies a text message that is displayed to users when they log on.

This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited.

Default: No message.

1988Интерактивный вход в систему: Заголовок сообщения для пользователей при входе в систему

Этот параметр безопасности позволяет указать заголовок окна, содержащего сообщение, указанное в параметре "Интерактивный вход: Текст сообщения для пользователей при входе в систему".

По умолчанию: Сообщение отсутствует.

Interactive logon: Message title for users attempting to log on

This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on.

Default: No message.

1989Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)

Сведения о входе в систему каждого уникального пользователя кэшируются локально, чтобы обеспечить возможность входа в систему в случае отсутствия доступа к контроллеру домена во время последующих попыток входа. Хранятся кэшированные сведения о входе в систему из предыдущего сеанса. Если доступ к контроллеру домена отсутствует, а сведения о входе в систему для данного пользователя не кэшированы, выводится сообщение:

В настоящее время нет доступных серверов входа для обслуживания запроса входа в систему.

В этом параметре политики значение 0 отключает кэширование входа в систему. При любом значении выше 50 кэшируется только 50 попыток входа в систему. Windows поддерживает не более 50 записей кэша, при этом число потребляемых записей на пользователя зависит от учетных данных. Например, в системе Windows может быть кэшировано до 50 уникальных учетных записей пользователя с паролями, но не более 25 учетных записей пользователя со смарт-картой, так как сохраняются сведения как о пароле, так и о смарт-карте. При повторном входе в систему пользователя с кэшированными сведениями о входе сведения данного пользователя в кэше заменяются.

По умолчанию:

Windows Server 2008: 25

Все другие версии: 10

Interactive logon: Number of previous logons to cache (in case domain controller is not available)

Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message:

There are currently no logon servers available to service the logon request.

In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced.

Default:

Windows Server 2008: 25

All Other Versions: 10

1990Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее

Определяет, за сколько дней пользователи предупреждаются об истечении срока действия пароля. Это предварительное предупреждение дает пользователю время на создание пароля достаточной стойкости.

По умолчанию: 5 дней.

Interactive logon: Prompt user to change password before expiration

Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong.

Default: 5 days.

1991Интерактивный вход в систему: Требовать проверки на контроллере домена для отмены блокировки компьютера

Для разблокировки блокированного компьютера необходимо предоставить данные входа. Для учетных записей доменов этот параметр безопасности определяет, необходимо ли установить связь с контроллером домена для разблокировки компьютера. Если этот параметр отключен, пользователь может разблокировать компьютер с помощью кэшированных учетных данных. Если этот параметр включен, используемая для разблокировки компьютера учетная запись домена должна быть проверена контроллером домена на подлинность.

По умолчанию: Отключен.

Внимание!

Этот параметр применяется к компьютерам под управлением Windows 2000, но не доступен на них через диспетчер конфигурации безопасности.

Interactive logon: Require Domain Controller authentication to unlock

Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer.

Default: Disabled.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1992Интерактивный вход в систему: требовать Windows Hello для бизнеса или смарт-карту

Этот параметр безопасности требует, чтобы пользователи осуществляли вход на устройстве с помощью Windows Hello для бизнеса или смарт-карты.

Возможные варианты:

Включено: пользователи могут выполнять вход на устройстве только с помощью Windows Hello для бизнеса или смарт-карты.
Отключено или не настроено: пользователи могут выполнять вход на устройстве любым способом.

Внимание!

Этот параметр применяется к любому компьютеру под управлением Windows 2000 путем внесения изменений в реестр, однако данный параметр безопасности не отображается в наборе средств защиты диспетчера конфигураций.

Возможность требования входа в систему с помощью Windows Hello для бизнеса не поддерживается в ОС Windows 10 версии 1607 или более ранней версии.

Interactive logon: Require Windows Hello for Business or smart card

This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card.

The options are:

Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card.
Disabled or not configured: Users can sign-in to the device using any method.

Important

This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set.

Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier.

1993Интерактивный вход: поведение при извлечении смарт-карты

Этот параметр безопасности определяет, что происходит при извлечении смарт-карты вошедшего пользователя из устройства чтения смарт-карт.

Возможные варианты:

Нет действия
Заблокировать рабочую станцию
Принудительный выход из системы
Отключение в случае удаленного сеанса служб удаленных рабочих столов

При выборе пункта "Заблокировать рабочую станцию" в диалоговом окне свойств этого параметра при извлечении смарт-карты рабочая станция блокируется, что позволяет пользователям покидать рабочее место, забрав смарт-карту с собой, но оставляя открытым защищенный сеанс.

При выборе пункта "Принудительный выход из системы" в диалоговом окне свойств этого параметра при извлечении смарт-карты выполняется автоматический выход из системы.

При выборе пункта "Отключение в случае удаленного сеанса служб удаленных рабочих столов" при извлечении смарт-карты сеанс завершается без выхода пользователя из системы. Это позволяет пользователю вставить смарт-карту и возобновить сеанс позднее на том же компьютере либо на другом компьютере с устройством чтения смарт-карт без необходимости снова входить в систему. Если сеанс выполняется на локальном компьютере, тогда эта политика действует так же, как при блокировании рабочей станции.

Примечание. Старое название служб удаленных рабочих столов в предыдущих версиях ОС Windows Server — "службы терминалов".

По умолчанию: данная политика не определена; это означает, что система рассматривает параметр как имеющий значение "Нет действия".

В ОС Windows Vista и более поздних версиях: чтобы этот параметр работал, должна быть запущена служба политики извлечения смарт-карт.

Interactive logon: Smart card removal behavior

This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader.

The options are:

No Action
Lock Workstation
Force Logoff
Disconnect if a Remote Desktop Services session

If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session.

If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed.

If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default: This policy is not defined, which means that the system treats it as No action.

On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started.

1994Сетевой клиент Майкрософт: использовать цифровую подпись (всегда)

Этот параметр безопасности определяет, требует ли SMB-компонент клиента подпись для пакетов.

Протокол блоков сообщений сервера (SMB) предоставляет основу для совместного доступа к файлам и принтерам Майкрософт, а также для многих других сетевых операций (например, для удаленного администрирования Windows). Для предотвращения атак с перехватом, когда SMB-пакеты изменяются при передаче, протокол SMB поддерживает установку цифровой подписи для SMB-пакетов. Этот параметр политики определяет, необходимо ли согласование подписи SMB-пакетов перед тем, как будет разрешена дальнейшая связь с SMB-сервером.

Когда этот параметр включен, сетевой клиент Майкрософт не будет соединяться с сетевым сервером Майкрософт, если сервер не выдаст согласие на установку подписи для SMB-пакетов. Когда этот параметр отключен, между клиентом и сервером выполняется согласование подписывания SMB-пакетов.

По умолчанию: отключено.

Внимание!

Чтобы этот параметр действовал для компьютеров под управлением Windows 2000, необходимо включить подписывание пакетов на стороне клиента. Чтобы включить подписывание SMB-пакетов на стороне клиента, установите параметр "Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера)".

Примечания

Все операционные системы Windows поддерживают как клиентский, так и серверный компоненты SMB. В операционной системе Windows 2000 и более поздних версий требование или включение подписывания пакетов для клиентского и серверного SMB-компонентов контролируется следующими четырьмя параметрами политики.
Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в клиентском SMB-компоненте подписывание пакетов.
Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера) — определяет, включено ли для клиентского SMB-компонента подписывание пакетов.
Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в серверном SMB-компоненте подписывание пакетов.
Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента) — определяет, включено ли для серверного SMB-компонента подписывание пакетов.
Подписывание SMB-пакетов может значительно ухудшить производительность SMB, в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей снижения нагрузки на процессор и поведения ввода-вывода приложения.
Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network client: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB client component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted.

If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server.

Default: Disabled.

Important

For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees).

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1995Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера)

Этот параметр безопасности определяет, пытается ли SMB-клиент согласовывать подписывание SMB-пакетов.

Протокол блоков сообщений сервера (SMB) предоставляет основу для совместного доступа к файлам и принтерам Майкрософт, а также для многих других сетевых операций (например, для удаленного администрирования Windows). Для предотвращения атак с перехватом, когда SMB-пакеты изменяются при передаче, SMB-протокол поддерживает установку цифровой подписи для SMB-пакетов. Этот параметр безопасности определяет, пытается ли SMB-клиент согласовывать подписывание SMB-пакетов при подключении к SMB-серверу.

Если этот параметр включен, сетевой клиент Майкрософт будет требовать от сервера подписывания SMB-пакетов при установке сеанса связи. Если подписывание пакетов на этом сервере включено, будет согласовано подписывание пакетов. Если эта политика отключена, SMB-клиент никогда не будет согласовывать подписывание SMB-пакетов.

По умолчанию: включено.

Примечания

Все операционные системы Windows поддерживают как клиентский, так и серверный компоненты SMB. В операционной системе Windows 2000 и более поздних версий требование или включение подписывания пакетов для клиентского и серверного SMB-компонентов контролируется следующими четырьмя параметрами политики.
Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в клиентском SMB-компоненте подписывание пакетов.
Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера) — определяет, включено ли для клиентского SMB-компонента подписывание пакетов.
Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в серверном SMB-компоненте подписывание пакетов.
Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента) — определяет, включено ли для серверного SMB-компонента подписывание пакетов.
Если подписывание SMB включено на стороне клиента и сервера и клиент устанавливает подключение к серверу SMB 1.0, будет предпринята попытка подписывания SMB.
Подписывание SMB-пакетов может значительно ухудшить производительность SMB, в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей снижения нагрузки на процессор и поведения ввода-вывода приложения. Этот параметр применяется только к подключениям SMB 1.0.
Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network client: Digitally sign communications (if server agrees)

This security setting determines whether the SMB client attempts to negotiate SMB packet signing.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server.

If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1996Сетевой клиент Майкрософт: отправить незашифрованный пароль для подключения к SMB-серверам сторонних компаний

Если этот параметр безопасности включен, перенаправителю блока сообщений сервера (SMB) разрешено отправлять пароли открытым текстом на серверы SMB, не принадлежащие Майкрософт, которые не поддерживают шифрование паролей во время проверки подлинности.

Отправка незашифрованных паролей представляет риск для безопасности.

По умолчанию: Отключено.
Microsoft network client: Send unencrypted password to connect to third-party SMB servers

If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication.

Sending unencrypted passwords is a security risk.

Default: Disabled.
1997Сервер сети Microsoft: время бездействия до приостановки сеанса

Этот параметр безопасности определяет продолжительность отрезка времени SMB-сеанса до его приостановки по причине неактивности.

Администраторы могут использовать этот параметр для управления временем приостановки неактивного SMB-сеанса компьютером. Если клиентская активность возобновляется, сеанс автоматически устанавливается заново.

Для этого параметра значение "0" означает отсоединение сеанса сразу, как только это представится возможным. Максимальное значение - 99999, что составляет 208 дней; в действительности такое значение отключает этот параметр.

По умолчанию: параметр не определен; это означает, что система рассматривает параметр как имеющий значение "15" для серверов и неопределенное значение для рабочих станций.

Microsoft network server: Amount of idle time required before suspending a session

This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity.

Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished.

For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy.

Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations.

1998Сетевой сервер Майкрософт: использовать цифровую подпись (всегда)

Этот параметр безопасности определяет, является ли обязательным использование подписи пакетов для SMB-компонента сервера.

Протокол блоков сообщений сервера (SMB) предоставляет основу для совместного доступа к файлам и принтерам Майкрософт, а также для многих других сетевых операций (например, для удаленного администрирования Windows). Для предотвращения атак с перехватом, когда SMB-пакеты изменяются при передаче, протокол SMB поддерживает установку цифровой подписи для SMB-пакетов. Этот параметр определяет, необходимо ли согласовать подписывание SMB-пакетов перед тем, как будет разрешено дальнейшее соединение с SMB-клиентом.

Когда этот параметр включен, сетевой сервер Майкрософт не будет соединяться с сетевым клиентом Майкрософт, если клиент не выдаст согласие на установку цифровой подписи для SMB-пакетов. Когда этот параметр отключен, подписывание SMB-пакетов согласуется между клиентом и сервером.

По умолчанию

Отключено для рядовых серверов.
Включено для контроллеров домена.

Примечания

Все операционные системы Windows поддерживают как клиентский, так и серверный компоненты SMB. В операционной системе Windows 2000 и более поздних версий требование или включение подписи пакетов для клиентского и серверного SMB-компонентов контролируется следующими четырьмя параметрами политики.
Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в клиентском SMB-компоненте подписывание пакетов.
Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера) — определяет, включено ли для клиентского SMB-компонента подписывание пакетов.
Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в серверном SMB-компоненте подписывание пакетов.
Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента) — определяет, включено ли для серверного SMB-компонента подписывание пакетов.
Аналогичным образом, если требуется подписывание SMB-пакетов на стороне клиента, клиент не сможет установить сеанс связи с серверами, на которых не включено подписывание пакетов. По умолчанию подписывание SMB-пакетов на стороне сервера включено только на контроллерах домена.
Если включено подписывание SMB-пакетов на стороне сервера, подписывание будет согласовываться с клиентами, для которых включено подписывание SMB-пакетов на стороне клиента.
Подписывание SMB-пакетов может значительно ухудшить производительность SMB, в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей снижения нагрузки на процессор и поведения ввода-вывода приложения.

Внимание!

Чтобы этот параметр влиял на компьютеры под управлением Windows 2000, необходимо включить подписывание пакетов на стороне сервера. Чтобы включить подписывание SMB-пакетов на стороне сервера, установите следующую политику.
Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии сервера)

Чтобы серверы под управлением Windows 2000 могли согласовывать подписывание пакетов с клиентами Windows NT 4.0, следующее значение реестра должно быть равно 1 на сервере Windows 2000:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network server: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB server component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted.

If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server.

Default:

Disabled for member servers.
Enabled for domain controllers.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers.
If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.

Important

For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy:
Microsoft network server: Digitally sign communications (if server agrees)

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1999Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента)

Этот параметр безопасности определяет, будет ли выполняться согласование подписывания SMB-пакетов между SMB-сервером и клиентами, которые требуют такого согласования.

Протокол блоков сообщений сервера (SMB) предоставляет основу для совместного доступа к файлам и принтерам Майкрософт, а также для многих других сетевых операций (например, для удаленного администрирования Windows). Для предотвращения атак с перехватом, которые изменяют SMB-пакеты при передаче, протокол SMB поддерживает установку цифровой подписи для SMB-пакетов. Этот параметр политики определяет, будет ли выполняться согласование подписывания SMB-пакетов между SMB-сервером и клиентами, которые требуют такого согласования.

Если этот параметр включен, сетевой сервер Майкрософт будет согласовывать подписи SMB-пакетов по запросу клиента, то есть, если установка подписи пакетов была включена в клиенте, подписи пакетов будут согласовываться. Если эта политика отключена, SMB-клиент не сможет согласовать подписи SMB-пакетов.

По умолчанию: включено только на контроллерах домена.

Внимание!

В случае серверов под управлением Windows 2000 для согласования подписей с клиентами Windows NT 4.0 следующее значение реестра должно быть равно 1 на сервере под управлением Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Примечания

Все операционные системы Windows поддерживают как клиентский, так и серверный SMB-компонент. В случае Windows 2000 и более поздних версий разрешение или обязательное использование подписи для клиентских и серверных SMB-компонентов контролируется следующими четырьмя параметрами политики.
Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) — определяет, будет ли SMB-компонент клиента требовать подпись пакетов.
Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера) — определяет, включена ли установка подписи пакетов для SMB-компонента клиента.
Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) — определяет, будет ли SMB-компонент сервера требовать подпись пакетов.
Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента) — определяет, включена ли установка подписи пакетов для SMB-компонента сервера.
Если установка подписи SMB включена на стороне клиента и сервера и клиент устанавливает подключение к серверу SMB 1.0, будет предпринята попытка подписи SMB.
Подписывание SMB-пакетов может значительно ухудшить производительность SMB, в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей снижения нагрузки на процессор и поведения ввода-вывода приложения. Этот параметр применяется только к подключениям SMB 1.0.
Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network server: Digitally sign communications (if client agrees)

This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it.

If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled on domain controllers only.

Important

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

2000Сетевой сервер (Майкрософт): отключать клиентов по истечении разрешенных часов входа

Этот параметр безопасности определяет, будут ли отключаться пользователи, подключенные к локальному компьютеру, по истечении разрешенного времени входа, заданного для их учетной записи. Этот параметр влияет на компонент протокола SMB.

Если этот параметр включен, по истечении разрешенного времени входа клиента сеансы клиента со службой SMB принудительно разрываются.

Если этот параметр отключен, по истечении разрешенного времени входа клиента его сеанс сохраняется.

Значение по умолчанию в ОС Windows Vista и более поздних версиях: включен.
Значение по умолчанию в ОС Windows XP: отключен

Microsoft network server: Disconnect clients when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default on Windows Vista and above: Enabled.
Default on Windows XP: Disabled

2001Доступ к сети: разрешить трансляцию анонимного SID в имя

Этот параметр политики определяет, может ли анонимный пользователь запрашивать атрибуты идентификатора безопасности (SID) другого пользователя.

Если эта политика включена, то анонимный пользователь может запросить идентификатор безопасности любого другого пользователя. Например, анонимный пользователь, знающий идентификатор безопасности администратора, может подключиться к компьютеру, на котором включена эта политика, и получить имя администратора. Данный параметр влияет как на преобразование идентификатора безопасности в имя, так и на обратное преобразование (имя в идентификатор безопасности).

Если этот параметр политики отключен, анонимный пользователь не может запрашивать идентификатор безопасности другого пользователя.

Значение по умолчанию на рабочих станциях и рядовых серверах: отключен.
Значение по умолчанию на контроллерах домена, работающих под управлением ОС Windows Server 2008 или более поздней версии: отключено.
Значение по умолчанию на контроллерах домена, работающих под управлением ОС Windows Server 2003 R2 или более ранней версии: включено.
Network access: Allow anonymous SID/name translation

This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user.

If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation.

If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user.

Default on workstations and member servers: Disabled.
Default on domain controllers running Windows Server 2008 or later: Disabled.
Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled.
2002Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями.

Этот параметр безопасности определяет, какие дополнительные разрешения будут даны анонимным подключениям к этому компьютеру.

Windows разрешает анонимным пользователям совершать определенные действия, такие как перечисление имен учетных записей домена и общих сетевых ресурсов. Это удобно, например, когда администратору требуется предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие.

Этот параметр безопасности позволяет накладывать дополнительные ограничения на анонимные подключения.

Включен: не разрешать перечисление учетных записей SAM. Этот параметр заменяет параметр "Все" на параметр "Прошедшие проверку" в разрешениях безопасности для ресурсов.
Отключен: нет дополнительных ограничений. Используются разрешения по умолчанию.

По умолчанию на рабочих станциях: включен.
По умолчанию на сервере: включен.

Внимание!

Эта политика не влияет на контроллеры доменов.

Network access: Do not allow anonymous enumeration of SAM accounts

This security setting determines what additional permissions will be granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust.

This security option allows additional restrictions to be placed on anonymous connections as follows:

Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources.
Disabled: No additional restrictions. Rely on default permissions.

Default on workstations: Enabled.
Default on server:Enabled.

Important

This policy has no impact on domain controllers.

2003Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями

Этот параметр безопасности определяет, разрешено ли перечисление учетных записей SAM и общих ресурсов анонимными пользователями.

Windows разрешает анонимным пользователям совершать некоторые действия (например, перечисление имен учетных записей домена и общих папок). Это удобно в случае, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. Чтобы запретить перечисление учетных записей SAM и общих ресурсов анонимными пользователями, включите этот параметр.

По умолчанию: Отключен.

Network access: Do not allow anonymous enumeration of SAM accounts and shares

This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy.

Default: Disabled.

2004Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности

Этот параметр безопасности определяет, сохраняются ли диспетчером учетных данных пароли и учетные данные при проверке подлинности доменом (для последующего использования).

Если данный параметр включен, то сохранение паролей и учетных данных диспетчером учетных данных на данном компьютере не производится.

Если данный параметр политики выключен или значение для него не задано, то диспетчер учетных данных будет сохранять пароли и учетные данные на этом компьютере (для использования в будущем при проверке подлинности доменом).

Примечание. Изменения в конфигурации этого параметра безопасности вступят в силу только после перезагрузки Windows.

По умолчанию: отключен.

Network access: Do not allow storage of passwords and credentials for network authentication

This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication.

If you enable this setting, Credential Manager does not store passwords and credentials on the computer.
If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

2005Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям

Этот параметр безопасности определяет, какие дополнительные разрешения будут даны анонимным подключениям к компьютеру.

Windows разрешает анонимным пользователям совершать некоторые действия (например, перечисление имен учетных записей домена и общих папок). Это удобно в случае, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. По умолчанию идентификатор безопасности "Для всех" удаляется из токена, созданного для анонимных соединений. Таким образом, разрешения группы "Для всех" не затрагивают анонимных пользователей. Если этот параметр установлен, анонимные пользователи имеют доступ только к тем ресурсам, доступ к которым им разрешен явным образом.

Если этот параметр включен, идентификатор безопасности "Для всех" добавляется к токену, созданному для анонимных соединений. В этом случае анонимные пользователи имеют доступ к любому ресурсу, разрешенному для группы "Для всех".

По умолчанию: Отключен.

Network access: Let Everyone permissions apply to anonymous users

This security setting determines what additional permissions are granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission.

If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions.

Default: Disabled.

2006Сетевой доступ: разрешать анонимный доступ к именованным каналам

Этот параметр безопасности определяет, какие сеансы связи (каналы) будут иметь атрибуты и разрешения, дающие право анонимного доступа.

По умолчанию: Отсутствует.

Network access: Named pipes that can be accessed anonymously

This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access.

Default: None.

2007Сетевой доступ: пути в реестре доступны через удаленное подключение

Этот параметр безопасности определяет, какие пути реестра могут быть доступны через сеть вне зависимости от пользователей или групп пользователей, указанных в списке управления доступом (ACL) раздела реестра winreg.

По умолчанию:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Внимание!

Неправильное редактирование реестра может нанести серьезный вред системе. Перед изменением реестра создайте резервную копию всех важных данных.
Примечание. Этот параметр безопасности недоступен в более ранних версиях Windows. Параметр безопасности, отображаемый в Windows XP как "Сетевой доступ: пути в реестре доступны через удаленное подключение", соответствует параметру безопасности "Сетевой доступ: удаленно доступные пути и вложенные пути реестра" в семействе Windows Server 2003. Дополнительные сведения см. в разделе "Сетевой доступ: удаленно доступные пути и вложенные пути реестра".
По умолчанию

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Network access: Remotely accessible registry paths

This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.
Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths.
Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
2008Сетевой доступ: удаленно доступные пути и вложенные пути реестра.

Этот параметр безопасности определяет, какие пути и вложенные пути реестра могут быть доступны через сеть вне зависимости от пользователей или групп пользователей, указанных в списке управления доступом (ACL) раздела реестра winreg.

По умолчанию

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

Внимание!

Неправильное редактирование реестра может нанести серьезный вред системе. Перед изменением реестра создайте резервную копию всех важных данных.

Примечание. В Windows XP этот параметр безопасности назывался "Сетевой доступ: пути в реестре доступны через удаленное подключение". При установке этого параметра на присоединенном к домену компьютере с операционной системой семейства Windows Server 2003 этот параметр наследуется компьютерами под управлением Windows XP, но отображается как параметр безопасности "Сетевой доступ: пути в реестре доступны через удаленное подключение". Дополнительные сведения см. в разделе "Сетевой доступ: удаленно доступные пути и вложенные пути реестра".
Network access: Remotely accessible registry paths and subpaths

This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths.
2009Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам

Если этот параметр безопасности включен, он ограничивает анонимный доступ к общим ресурсам и именованным каналам в соответствии со значениями следующих параметров:

Сетевой доступ: разрешать анонимный доступ к именованным каналам
Сетевой доступ: разрешать анонимный доступ к общим ресурсам
Значение по умолчанию: включен.

Network access: Restrict anonymous access to Named Pipes and Shares

When enabled, this security setting restricts anonymous access to shares and pipes to the settings for:

Network access: Named pipes that can be accessed anonymously
Network access: Shares that can be accessed anonymously
Default: Enabled.

2010Сетевой доступ: разрешать анонимный доступ к общим ресурсам

Этот параметр безопасности определяет, к каким общим ресурсам могут получать доступ анонимные пользователи.

Значение по умолчанию: нет.

Network access: Shares that can be accessed anonymously

This security setting determines which network shares can accessed by anonymous users.

Default: None specified.

2011Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей.

Этот параметр безопасности определяет, каким образом проверяется подлинность при входе в сеть с использованием локальных учетных записей. Если данный параметр имеет значение "Обычная", при входе в сеть с учетными данными локальной учетной записи выполняется проверка подлинности по этим учетным данным. Обычная модель позволяет более гибко управлять доступом к ресурсам. С ее помощью можно предоставить разным пользователям разные типы доступа к одному и тому же ресурсу.
Если этот параметр имеет значение "Гостевая", операции входа в сеть с учетными данными локальных учетных записей автоматически сопоставляются с учетной записью гостя. При использовании гостевой модели между пользователями нет различий. Все пользователи проходят проверку подлинности с учетной записью гостя и получают одинаковый уровень доступа к данному ресурсу — "Только чтение" или "Изменение".

По умолчанию на компьютерах домена: Обычная.
По умолчанию на автономных компьютерах: Гостевая.

Внимание!

Если используется гостевая модель, любой пользователь, имеющий доступ к компьютеру по сети (включая анонимных пользователей Интернета), может получить доступ к общим ресурсам. Для защиты компьютера от несанкционированного доступа необходимо использовать брандмауэр Windows или другую аналогичную программу. Кроме того, при использовании обычной модели локальные учетные записи должны быть защищены паролем, чтобы их невозможно было использовать для доступа к общим ресурсам системы.

Примечание

Этот параметр не влияет на операции интерактивного входа в систему, которые выполняются удаленно с помощью таких служб, как Telnet или служб удаленных рабочих столов.

В предыдущих версиях ОС Windows Server службы удаленных рабочих столов назывались службами терминалов.

Эта политика не распространяется на компьютеры, работающие под управлением Windows 2000.
Если компьютер не входит в домен, параметры на вкладках "Доступ" и "Безопасность" в проводнике также изменяются в соответствии с выбранной моделью совместного доступа и безопасности.

Network access: Sharing and security model for local accounts

This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource.
If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify.

Default on domain computers: Classic.
Default on stand-alone computers: Guest only

Important

With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources.

Note:

This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services

Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

This policy will have no impact on computers running Windows 2000.
When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used.

2012Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля

Этот параметр безопасности определяет, нужно ли при следующей смене пароля сохранять хэш-значение диспетчера LAN (LM) для нового пароля. Хэш LM является относительно слабым и уязвимым для атак по сравнению с более криптостойким хэшем Windows NT. Поскольку хэш LM хранится в базе данных безопасности на локальном компьютере, в случае атаки на базу данных безопасности пароли могут быть расшифрованы.


По умолчанию в ОС Windows Vista и более поздних версиях: включен.
По умолчанию в ОС Windows XP: отключен.

Внимание!

ОС Windows 2000 с пакетом обновления 2 (SP2) и выше поддерживает проверку подлинности предыдущих версий Windows, таких как Microsoft Windows NT 4.0.
Этот параметр может повлиять на способность компьютеров под управлением ОС Windows 2000 Server, Windows 2000 Professional, Windows XP и семейства Windows Server 2003 взаимодействовать с компьютерами под управлением Windows 95 и Windows 98.

Network security: Do not store LAN Manager hash value on next password change

This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked.


Default on Windows Vista and above: Enabled
Default on Windows XP: Disabled.

Important

Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0.
This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98.

2013Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы

Этот параметр безопасности определяет, будут ли отключаться пользователи при подключении к локальному компьютеру вне времени входа, заданного для их учетной записи. Этот параметр влияет на компонент блока сообщений сервера (SMB).

Если эта политика включена, после истечения времени входа клиента сеансы клиента с сервером SMB принудительно разрываются.

Если эта политика отключена, после истечения времени входа клиента его сеанс сохраняется.

Значение по умолчанию: включен.

Примечание. Этот параметр безопасности применяется так же, как политика учетной записи. Для учетных записей домена может существовать только одна политика учетных записей. Политика учетной записи должна быть определена в политике домена по умолчанию; она применяется контроллерами данного домена. Контроллер домена всегда получает политику учетной записи из объекта групповой политики (GPO) политики домена по умолчанию, даже если существует другая политика учетной записи, которая применяется к подразделению, содержащему этот контроллер домена. По умолчанию рабочие станции и серверы, входящие в домен, получают ту же политику учетной записи для своих локальных учетных записей. Однако политики локальных учетных записей таких компьютеров могут отличаться от политики учетной записи домена, если определена политика учетной записи для подразделения, в которое входят эти компьютеры. Параметры Kerberos не применяются к таким компьютерам.

Network security: Force logoff when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default: Enabled.

Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers.

2014Сетевая безопасность: уровень проверки подлинности LAN Manager

Этот параметр безопасности определяет, какие протоколы проверки подлинности с запросом и ответом используются для сетевого входа в систему. Значение этого параметра влияет на уровень протокола проверки подлинности, который используют клиенты, на уровень согласованной безопасности сеанса, а также на уровень проверки подлинности, принимаемой серверами, следующим образом.

Отправлять ответы LM и NTLM: клиенты используют проверку подлинности LM и NTLM и никогда не используют сеансовую безопасность NTLMv2; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2.

Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании: клиенты используют проверку подлинности LM и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2.

Отправлять только NTLM-ответ: клиенты используют только проверку подлинности NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2.

Отправлять только NTLMv2-ответ: клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2.

Отправлять только NTLMv2-ответ и отказывать LM: клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена отклоняют LM (принимая только проверку подлинности NTLM и NTLMv2).

Отправлять только NTLMv2-ответ и отказывать LM и NTLM: клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена отклоняют LM и NTLM (принимая только проверку подлинности NTLMv2).

Внимание

Этот параметр может повлиять на способность компьютеров под управлением ОС Windows 2000 Server, Windows 2000 Professional, Windows XP Professional и семейства Windows Server 2003 к взаимодействию по сети с компьютерами под управлением ОС Windows 4.0 и более ранних версий. Например, на момент создания данного документа компьютеры под управлением Windows NT 4.0 с пакетом обновления 4 (SP4) не поддерживали NTLMv2. Компьютеры под управлением Windows 95 и Windows 98 не поддерживали NTLM.

Значение по умолчанию.

Windows 2000 и Windows XP: отправлять ответы LM и NTLM на сервер

Windows Server 2003: отправлять только ответ NTLM

Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2: отправлять только ответ NTLMv2

Network security: LAN Manager authentication level

This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows:

Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication).

Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication).

Important

This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM.

Default:

Windows 2000 and windows XP: send LM & NTLM responses

Windows Server 2003: Send NTLM response only

Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only

2015Сетевая безопасность: требование цифровой подписи для LDAP-клиента

Этот параметр безопасности определяет уровень подписи данных, который запрашивается от имени клиентов, отправляющих запросы LDAP BIND, следующим образом.

Нет: запрос LDAP BIND отправляется с параметрами, указанными вызывающей стороной.
Согласование цифровой подписи: если службы TLS и SSL не запущены, запрос LDAP BIND создается с набором параметров подписи данных LDAP в добавление к параметрам, указанным вызывающей стороной. Если службы TLS и SSL запущены, запрос LDAP BIND создается с параметрами, указанными вызывающей стороной.
"Требовать подпись": то же, что и "Согласование цифровой подписи". Однако если промежуточный ответ saslBindInProgress LDAP-сервера не показывает, что требуется подпись трафика LDAP, вызывающая сторона получает сообщение о том, что запрос команды LDAP BIND завершился с ошибкой.

Внимание

Если на сервере задано значение "Требовать подпись", на клиенте значение должно быть таким же. Если на клиенте не задано такое же значение, это приведет к потере подключения к серверу.

Примечание. Этот параметр не оказывает влияния на ldap_simple_bind или ldap_simple_bind_s. Клиенты Microsoft LDAP в составе Windows XP Professional не используют ldap_simple_bind или ldap_simple_bind_s для взаимодействия с контроллером домена.

Значение по умолчанию: "Согласование цифровой подписи".

Network security: LDAP client signing requirements

This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows:

None: The LDAP BIND request is issued with the options that are specified by the caller.
Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller.
Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed.

Caution

If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server.

Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller.

Default: Negotiate signing.

2016Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC).

Этот параметр безопасности позволяет клиенту требовать согласования 128-разрядного шифрования и (или) сеансовой безопасности NTLMv2. Эти значения зависят от значения параметра безопасности "Уровень проверки подлинности LAN Manager". Доступны следующие варианты.

Требовать сеансовую безопасность NTLMv2. Если протокол NTLMv2 не согласован, подключение не будет установлено.
Требовать 128-разрядное шифрование. Если стойкое (128-разрядное) шифрование не согласовано, подключение не будет установлено.

По умолчанию.

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 и Windows Server 2008: требования отсутствуют.

Windows 7 и Windows Server 2008 R2: необходимо 128-битовое шифрование

Network security: Minimum session security for NTLM SSP based (including secure RPC) clients

This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated.
Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2017Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC).

Этот параметр безопасности позволяет серверу требовать согласования 128-разрядного шифрования и (или) сеансовой безопасности NTLMv2. Эти значения зависят от значения параметра безопасности "Уровень проверки подлинности LAN Manager". Доступны следующие варианты.

Требовать сеансовую безопасность NTLMv2. Если целостность сообщений не согласована, подключение не будет установлено.
Требовать 128-битное шифрование. Если стойкое (128-разрядное) шифрование не согласовано, подключение не будет установлено.

По умолчанию.

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 и Windows Server 2008: нет требований.

Windows 7 и Windows Server 2008 R2: необходимо 128-битовое шифрование

Network security: Minimum session security for NTLM SSP based (including secure RPC) servers

This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if message integrity is not negotiated.
Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2018Консоль восстановления: разрешить автоматический вход администратора

Этот параметр безопасности определяет, нужно ли указывать пароль учетной записи "Администратор" для получения доступа к системе. Если этот параметр включен, консоль восстановления не требует ввода пароля, позволяя выполнять вход в систему автоматически.

По умолчанию: эта политика не определена и автоматический вход в систему с учетной записью "Администратор" не разрешен.

Recovery console: Allow automatic administrative logon

This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system.

Default: This policy is not defined and automatic administrative logon is not allowed.

2019Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам.

При включении этого параметра безопасности становится доступной команда SET консоли восстановления, которая позволяет задать следующие переменные среды консоли восстановления.

AllowWildCards: позволяет использовать подстановочные знаки для некоторых команд (например, для команды DEL).
AllowAllPaths: разрешает доступ к любым файлам и папкам компьютера.
AllowRemovableMedia: позволяет копировать файлы на съемные носители, например на дискеты.
NoCopyPrompt: отменяет выдачу предупреждения при перезаписи существующих файлов.

По умолчанию: эта политика не определена и команда SET консоли восстановления недоступна.

Recovery console: Allow floppy copy and access to all drives and all folders

Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables:

AllowWildCards: Enable wildcard support for some commands (such as the DEL command).
AllowAllPaths: Allow access to all files and folders on the computer.
AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk.
NoCopyPrompt: Do not prompt when overwriting an existing file.

Default: This policy is not defined and the recover console SET command is not available.

2020Завершение работы: разрешить завершение работы системы без выполнения входа в систему.

Этот параметр безопасности определяет, можно ли завершить работу компьютера, не выполняя вход в систему Windows.

Если эта политика включена, команду "Завершение работы" можно выбрать на экране входа в Windows.

Если эта политика отключена, команда "Завершение работы" не отображается на экране входа в Windows. В этом случае, чтобы завершить работу системы, пользователю необходимо успешно выполнить вход в систему и он должен иметь право на завершение работы системы.

По умолчанию на рабочих станциях: включен.
По умолчанию на серверах: отключен.

Shutdown: Allow system to be shut down without having to log on

This security setting determines whether a computer can be shut down without having to log on to Windows.

When this policy is enabled, the Shut Down command is available on the Windows logon screen.

When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown.

Default on workstations: Enabled.
Default on servers: Disabled.

2021Завершение работы: очистка файла подкачки виртуальной памяти

Этот параметр безопасности определяет, будет ли выполняться очистка файла подкачки виртуальной памяти при завершении работы системы.

Поддержка виртуальной памяти использует файл подкачки системы для выгрузки страниц памяти на диск, когда они не используются. Во время работы системы файл подкачки открыт операционной системой в монопольном режиме и хорошо защищен. Однако если система настроена так, что допускает загрузку других операционных систем, необходимо убедиться, что при завершении работы системы выполняется очистка ее файла подкачки. Это гарантирует, что уязвимые сведения из памяти процессов, которые могли попасть в файл подкачки, не станут доступны пользователям, получившим прямой несанкционированный доступ к этому файлу.

Если эта политика включена, при корректном завершении работы системы выполняется очистка файла подкачки системы. Если этот параметр безопасности включен, также выполняется обнуление файла режима гибернации (hiberfil.sys), когда этот режим отключен.

По умолчанию: Отключено.

Shutdown: Clear virtual memory pagefile

This security setting determines whether the virtual memory pagefile is cleared when the system is shut down.

Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile.

When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled.

Default: Disabled.

2022Системная криптография: применять сильную защиту пользовательских ключей, хранящихся на компьютере.

Этот параметр безопасности определяет, требуется ли пароль для использования закрытых ключей пользователей.

Доступны следующие варианты.

Не требуется ввод данных пользователем при сохранении и использовании новых ключей.
Пользователь получает запрос при первом использовании ключа.
Пользователь должен вводить пароль при каждом использовании ключа.
Дополнительные сведения см. в разделе "Инфраструктура открытого ключа".

По умолчанию: эта политика не определена.

System Cryptography: Force strong key protection for user keys stored on the computer

This security setting determines if users' private keys require a password to be used.

The options are:

User input is not required when new keys are stored and used
User is prompted when the key is first used
User must enter a password each time they use a key
For more information, see Public key infrastructure.

Default: This policy is not defined.

2023Системная криптография: использовать соответствующие стандарту FIPS 140 алгоритмы для шифрования, хэширования и подписывания.

Для поставщика службы безопасности (SSP) этот параметр безопасности отключает более слабые протоколы SSL и поддерживает только протоколы TLS как клиент и как сервер (если применимо). Если этот параметр включен, поставщик безопасности TLS/SSL использует только алгоритмы шифрования, одобренные FIPS 140: 3DES и AES для шифрования, шифрование открытого ключа RSA или ECC для обмена ключами TLS и проверки подлинности и только алгоритм Secure Hashing Algorithm (SHA1, SHA256, SHA384 и SHA512) для хэширования TLS.

Для службы шифрованной файловой системы (EFS) поддерживаются алгоритмы Triple DES и AES для шифрования данных файлов, поддерживаемых файловой системой NTFS. По умолчанию EFS использует для шифрования данных файлов алгоритм AES с 256-разрядным ключом в Windows Server 2003 и Windows Vista и алгоритм DESX в Windows XP. Дополнительные сведения о EFS см. в разделе "Шифрованная файловая система".

Для шифрования данных служб удаленных рабочих столов, передаваемых по сети, поддерживается только алгоритм Triple DES.

Примечание. В предыдущих версиях Windows Server службы удаленных рабочих столов назывались службами терминалов.

Для шифрования диска BitLocker: чтобы создать ключ шифрования, необходимо сначала включить данную политику. Пароли восстановления, созданные после включения данной политики, несовместимы с BitLocker в Windows 8, Windows Server 2012 и более ранних операционных системах. Если применить эту политику к компьютеру с более ранней операционной системой, чем Windows 8.1 или Windows Server 2012 R2, BitLocker будет блокировать попытки создания или использования паролей восстановления; вместо них следует использовать ключи восстановления.

Значение по умолчанию: отключено.

Примечание. FIPS (федеральный стандарт обработки информации) 140 — это стандарт безопасности, разработанный для сертификации криптографического программного обеспечения. Соответствие программного обеспечения стандарту FIPS 140 требуется правительством США, а также многими известными организациями.

System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms

For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements.

For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System.

For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead.

Default: Disabled.

Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions.

2024Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов
Описание
Этот параметр безопасности определяет, какие субъекты безопасности (SID) будут назначены как ВЛАДЕЛЕЦ объектов, когда объект создается группой администраторов.
По умолчанию:
Windows XP: SID пользователя
Windows 2003: Группа администраторов
System objects: Default owner for objects created by members of the Administrators group
Description
This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group.
Default:
Windows XP: User SID
Windows 2003 : Administrators Group
2025Системные объекты: учитывать регистр для подсистем, отличных от Windows

Этот параметр безопасности определяет, необходимо ли учитывать регистр для всех подсистем. Подсистема Win32 не учитывает регистр. Тем не менее, ядро поддерживает учет регистра для других подсистем, таких как POSIX.

Если этот параметр включен, регистр не учитывается для всех объектов каталогов, символических ссылок, а также объектов ввода-вывода, включая файловые объекты. Отключение этого параметра не позволяет подсистеме Win32 учитывать регистр.

Значение по умолчанию: включен.

System objects: Require case insensitivity for non-Windows subsystems

This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX.

If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive.

Default: Enabled.

2026Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок).

Этот параметр безопасности определяет, насколько ограничивающим является список управления доступом на уровне пользователей (DACL) по умолчанию для объектов.

Служба каталогов Active Directory содержит глобальный список общих ресурсов системы, таких как имена устройств DOS, мьютексы и семафоры. Это позволяет находить объекты и управлять совместным доступом процессов к ним. Каждый тип объекта создается со списком DACL по умолчанию, в котором указаны пользователи, имеющие доступ к объектам, и перечислены предоставленные разрешения.

Если данная политика включена, список DACL по умолчанию является более ограничивающим. Пользователи без прав администратора имеют к общим объектам доступ на чтение, но не могут изменить объекты, которые созданы другими пользователями.

Значение по умолчанию: включен.

System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)

This security setting determines the strength of the default discretionary access control list (DACL) for objects.

Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted.

If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create.

Default: Enabled.

2027Параметры системы: необязательные подсистемы

Этот параметр безопасности определяет, какие дополнительные подсистемы могут быть запущены для поддержки приложений. С помощью этого параметра можно указать все подсистемы, которые необходимы для поддержки приложений в соответствии с требованиями среды.

По умолчанию: POSIX.

System settings: Optional subsystems

This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands.

Default: POSIX.

2028Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ

Этот параметр безопасности определяет, выполняется ли обработка цифровых сертификатов, когда пользователь или процесс пытается запустить программу с расширением имени файла EXE. Он позволяет включить или отключить правила сертификатов — тип правил политик ограниченного использования программ. С помощью таких политик вы можете создать правило сертификатов, которое разрешает или запрещает запуск программы, подписанной с помощью Authenticode, в зависимости от того, какой цифровой сертификат ей соответствует. Чтобы применить правила сертификатов, необходимо включить данный параметр безопасности.

Если правила сертификатов включены, политики ограниченного использования программ проверяют список отзыва сертификатов (CRL), чтобы убедиться, что сертификат и подпись программы действительны. Это может привести к снижению производительности при запуске подписанных программ. Вы можете отключить эту функцию. В окне свойств доверенного издателя снимите флажки "Издатель" и "Отметка времени". Дополнительные сведения см. в разделе "Задание параметров доверенного издателя".

Значение по умолчанию: отключен.

System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies

This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting.

When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options.

Default: Disabled.

2029Максимальный размер журнала приложений

Этот параметр безопасности определяет максимальный размер журнала событий приложений (не более 4 ГБ). На практике используется более низкое ограничение (примерно, 300 МБ).

Примечания

Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ.
Этот параметр отсутствует в объекте локальной политики компьютера.
Размер файла и способ перезаписи событий в журнале необходимо указывать в соответствии с бизнес-требованиями и требованиями безопасности, определенными при разработке плана безопасности предприятия. Можно реализовать эти параметры журнала событий на уровне сайта, домена или подразделения, чтобы использовать преимущества параметров групповой политики.
Значение по умолчанию: 16 МБ для ОС семейства Windows Server 2003, 8 МБ для Windows XP Professional с пакетом обновлений 1 (SP1), 512 КБ для Windows XP Professional.

Maximum application log size

This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2030Максимальный размер журнала безопасности

Этот параметр безопасности определяет максимальный размер журнала событий безопасности (не более 4 ГБ). На практике используется более низкое ограничение (примерно, 300 МБ).

Примечания

Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение, не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ.
Этот параметр отсутствует в объекте локальной политики компьютера.
Размер файла и способ перезаписи событий в журнале необходимо указывать в соответствии с бизнес-требованиями и требованиями безопасности, определенными при разработке плана безопасности предприятия. Можно реализовать эти параметры журнала событий на уровне сайта, домена или подразделения, чтобы использовать преимущества параметров групповой политики.
Значение по умолчанию: 16 МБ для ОС семейства Windows Server 2003, 8 МБ для Windows XP Professional с пакетом обновлений 1 (SP1), 512 КБ для Windows XP Professional.

Maximum security log size

This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2031Максимальный размер системного журнала

Этот параметр безопасности определяет максимальный размер журнала событий системы (не более 4 ГБ). На практике используется более низкое ограничение (примерно, 300 МБ).

Примечания

Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение, не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ.
Этот параметр отсутствует в объекте локальной политики компьютера.
Размер файла и способ перезаписи событий в журнале необходимо указывать в соответствии с бизнес-требованиями и требованиями безопасности, определенными при разработке плана безопасности предприятия. Можно реализовать эти параметры журнала событий на уровне сайта, домена или подразделения, чтобы использовать преимущества параметров групповой политики.
Значение по умолчанию: 16 МБ для ОС семейства Windows Server 2003, 8 МБ для Windows XP Professional с пакетом обновлений 1 (SP1), 512 КБ для Windows XP Professional.

Maximum system log size

This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2032Запретить доступ локальной группы гостей и пользователей с анонимным входом к журналу приложений

Этот параметр безопасности определяет, запрещен ли гостям доступ к журналу событий приложений.

Примечания

Этот параметр отсутствует в объекте локальной политики компьютера.

Этот параметр безопасности влияет только на компьютеры, работающие под управлением Windows 2000 и Windows XP.

По умолчанию: Включено для Windows XP, Отключено для Windows 2000.

Prevent local guests group and ANONYMOUS LOGIN users from accessing application log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2033Запретить доступ локальной группы гостей пользователей с анонимным входом к журналу безопасности

Этот параметр безопасности определяет, запрещен ли гостям доступ к журналу событий безопасности.

Примечания

Этот параметр отсутствует в объекте локальной политики компьютер

Этот параметр безопасности влияет только на компьютеры, работающие под управлением Windows 2000 и Windows XP.

Значение по умолчанию: Включено для Windows XP, Отключено для Windows 2000 .

Prevent local guests group and ANONYMOUS LOGIN users from accessing security log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2034Запретить доступ локальной группы гостей пользователей с анонимным входом к журналу системы

Этот параметр безопасности определяет, запрещен ли гостям доступ к журналу событий системы.

Примечания

Этот параметр отсутствует в объекте локальной политики компьютера.

Этот параметр безопасности влияет только на компьютеры, работающие под управлением Windows 2000 и Windows XP.

Значение по умолчанию: Включено для Windows XP, Отключено для Windows 2000 .

Prevent local guests group and ANONYMOUS LOGIN users from accessing system log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2035Сохранение событий в журнале приложений

Этот параметр безопасности определяет, сколько дней должно храниться событие в журнале приложений, если для журнала задан способ сохранения "По дням".

Это значение следует задавать только в том случае, если архивирование журнала выполняется через заданные промежутки времени. Кроме того, убедитесь, что максимальный размер журнала приложений достаточно велик, чтобы он не был достигнут в течение этого промежутка времени.

Примечание

Этот параметр отсутствует в объекте локальной политики компьютера.
Значение по умолчанию: Нет.

Retain application log

This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2036Сохранение событий в журнале безопасности

Этот параметр безопасности определяет, сколько дней должно храниться событие в журнале безопасности, если для журнала задан способ сохранения "По дням".

Это значение следует задавать только в том случае, если архивирование журнала выполняется через заданные промежутки времени. Кроме того, убедитесь, что максимальный размер журнала событий достаточно велик, чтобы он не был достигнут в течение этого промежутка времени.

Примечания. Этот параметр отсутствует в объекте локальной политики компьютера. Чтобы получить доступ к журналу безопасности, пользователь должен обладать правом "Управление аудитом и журналом безопасности".
Значение по умолчанию: Нет.

Retain security log

This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval.

Notes
This setting does not appear in the Local Computer Policy object.
A user must possess the Manage auditing and security log user right to access the security log.
Default: None.

2037Сохранение событий в системном журнале

Этот параметр безопасности определяет, сколько дней должно храниться событие в журнале системы, если для журнала задан способ сохранения "По дням".

Это значение следует задавать только в том случае, если архивирование журнала выполняется через заданные промежутки времени. Кроме того, необходимо убедиться, что максимальный размер журнала событий достаточно велик, чтобы он не был достигнут в течение этого промежутка времени.

Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.
Значение по умолчанию: нет.

Retain system log

This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2038Сохранение событий в журнале приложений

Этот параметр безопасности определяет способ перезаписи журнала приложений.

Если архивирование журнала приложений не выполняется, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите значение "Переписывать события при необходимости".

Если архивирование журнала выполняется через заданные промежутки времени, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите значение "Затирать старые события по дням" и укажите нужное число дней с помощью параметра "Сохранение событий в журнале приложений". Убедитесь в том, что максимальный размер журнала приложений достаточно велик, чтобы он не был достигнут в течение этого промежутка времени.

Если необходимо сохранять в журнале все события, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите значение "Не переписывать события (очистить журнал вручную)". При выборе этого варианта журнал необходимо очищать вручную. В этом случае после достижения максимального размера журнала новые события отклоняются.

Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.

Значение по умолчанию: нет.

Retention method for application log

This security setting determines the "wrapping" method for the application log.

If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Note: This setting does not appear in the Local Computer Policy object.

Default: None.

2039Метод сохранения событий в журнале безопасности

Этот параметр безопасности определяет способ перезаписи журнала безопасности.

Если архивирование журнала безопасности не выполняется, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Переписывать события при необходимости".

Если архивирование журнала выполняется через заданные промежутки времени, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите вариант "Перезаписывать события по дням" и укажите нужное число дней с помощью параметра "Хранить журнал безопасности". Убедитесь, что максимальный размер журнала безопасности достаточно велик, чтобы он не был достигнут в течение этого промежутка времени.

Если необходимо сохранять в журнале все события, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Не переписывать события (очистить журнал вручную)". При выборе этого варианта журнал необходимо очищать вручную. В этом случае, после достижения максимального размера журнала новые события отклоняются.

Примечания.

Этот параметр отсутствует в объекте локальной политики компьютера.

Чтобы получить доступ к журналу безопасности? пользователь должен обладать правом "Управление аудитом и журналом безопасности".

Значение по умолчанию: Нет.

Retention method for security log

This security setting determines the "wrapping" method for the security log.

If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Notes

This setting does not appear in the Local Computer Policy object.

A user must possess the Manage auditing and security log user right to access the security log.

Default: None.
2040Метод сохранение событий в журнале системы

Этот параметр безопасности определяет способ перезаписи журнала системы.

Если архивирование журнала системы не выполняется, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Переписывать события при необходимости".

Если архивирование журнала выполняется через заданные промежутки времени, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Затирать старые события по дням" и укажите нужное число дней с помощью параметра "Хранить системный журнал". Убедитесь, что максимальный размер журнала системы достаточно велик, чтобы он не был достигнут в течение этого промежутка времени.

Если необходимо сохранять в журнале все события, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Не переписывать события (очистить журнал вручную)". При выборе этого варианта журнал необходимо очищать вручную. В этом случае, после достижения максимального размера журнала новые события отклоняются.

Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.

Значение по умолчанию: Нет.

Retention method for system log

This security setting determines the "wrapping" method for the system log.

If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval

.If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded

Note: This setting does not appear in the Local Computer Policy object.

Default: None.
2041Группы с ограниченным доступом

Этот параметр безопасности позволяет администратору определить два свойства для групп, влияющих на безопасность (групп с ограниченным доступом).

К ним относятся свойства "Члены" и "Членство в группах". Список "Члены" определяет, какие пользователи являются членами группы с ограниченным доступом, а какие нет. Список "Членство в группах" указывает, в какие группы входит группа с ограниченным доступом.

Если применяется политика "Группы с ограниченным доступом", все члены группы с ограниченным доступом, не указанные в списке "Члены", удаляются из группы. Все пользователи, которые входят в список "Члены", но еще не являются членами группы с ограниченным доступом, добавляются в группу.

Политику групп с ограниченным доступом можно использовать для управления членством в группах. С помощью этой политики можно указать, какие пользователи входят в группу. Все члены группы, не указанные в политике, удаляются из группы при настройке или обновлении. Кроме того, параметр параметры обратного членства позволяет сделать любую группу с ограниченным доступом членом только тех групп, которые указаны в столбце "Членство в группах".

Например, можно создать политику групп с ограниченным доступом, чтобы членами группы "Администраторы" были только указанные пользователи (например, Анна и Иван). После обновления политики Анна и Иван станут единственными членами группы "Администраторы".

Применить политику групп с ограниченным доступом можно двумя способами.

Определить политику в шаблоне безопасности, который будет применяться при настройке локального компьютера.
Определить параметр непосредственно в объекте групповой политики (GPO), после чего политика будет применяться при каждом обновлении политики. Параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Кроме того, параметры обновляются каждые 16 часов вне зависимости от наличия изменений.
Значение по умолчанию: нет.

Внимание

Если политика групп с ограниченным доступом определена, после обновления групповой политики из группы будут удалены все члены, не входящие в список членов политики групп с ограниченным доступом. Это относится и к членам группы по умолчанию, например администраторам.

Примечания

Группы с ограниченным доступом следует использовать прежде всего для параметры членства в локальных группах рабочих станций или рядовых серверов.
Если список "Члены" пуст, группа с ограниченным доступом не имеет членов. Если список "Членство в группах" пуст, это означает, что группы, к которым принадлежит группа с ограниченным доступом, не заданы.

Restricted Groups

This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups).

The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to.

When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added.

You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column.

For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group.

There are two ways to apply Restricted Groups policy:

Define the policy in a security template, which will be applied during configuration on your local computer.
Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes.
Default: None specified.

Caution

If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators.

Notes

Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers.
An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified.

2042Параметры безопасности системных служб

Позволяет администратору задать режим запуска ("вручную", "авто" или "отключено") и разрешения доступа ("пуск", "стоп" или "пауза") для всех системных служб.

Значение по умолчанию: не определено.

Примечания

Этот параметр отсутствует в объекте локальной политики компьютера.
Прежде чем задать автоматический режим запуска для системной службы, необходимо выполнить соответствующее тестирование, чтобы убедиться, что службы могут запускаться без участия пользователя.
Чтобы улучшить производительность, следует задавать для служб, которые не являются необходимыми или не используются, режим запуска "вручную".

System Services security settings

Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services.

Default: Undefined.

Notes

This setting does not appear in the Local Computer Policy object.
If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention.
For performance optimization, set unnecessary or unused services to Manual.

2043Параметры безопасности реестра

Позволяют администратору определить разрешения доступа (в списках управления доступом на уровне пользователей (DACL) и параметры аудита (в системных списках управления доступом (SACL) для разделов реестра с помощью диспетчера параметры безопасности.

Значение по умолчанию: не определено.

Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.

Registry security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.

2044Параметры безопасности файловой системы

Позволяют администратору определить разрешения доступа (в списках управления доступом на уровне пользователей (DACL) и параметры аудита (в системных списках управления доступом (SACL) для объектов файловой системы с помощью диспетчера параметры безопасности.

Значение по умолчанию: не определено.

Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.
File System security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.
2045Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии).

ОС Windows Vista и более поздние версии Windows позволяют точнее управлять политикой аудита при помощи подкатегорий политики аудита. Установка политики аудита на уровне категории переопределит новую функцию политики аудита подкатегории. Чтобы обеспечить управление политикой аудита при помощи подкатегорий без необходимости изменения групповой политики, в Windows Vista и более поздних версиях предусмотрено новое значение реестра (SCENoApplyLegacyAuditPolicy), запрещающее применение политики аудита уровня категории из групповой политики и из средства администрирования "Локальная политика безопасности".

Если установленная здесь политика аудита уровня категории не согласуется с формируемыми событиями, то причина может быть в том, что установлен этот раздел реестра.

Значение по умолчанию: включен
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool.

If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set.

Default: Enabled
2046Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора

Этот параметр политики определяет характеристики режима одобрения администратором для встроенной учетной записи администратора.

Возможные значения

• Включено. Для встроенной учетной записи администратора используется режим одобрения администратором. По умолчанию любая операция, требующая повышения привилегий, предлагает пользователю подтвердить операцию.

• Отключено (по умолчанию). Встроенная учетная запись администратора выполняет все приложения с полными привилегиями администратора.
User Account Control: Use Admin Approval Mode for the built-in Administrator account

This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account.

The options are:

• Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation.

• Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege.
2047DCOM: ограничения на доступ к компьютеру в синтаксисе SDDL (Security Descriptor Definition Language)

Этот параметр политики определяет, какие пользователи или группы могут получать удаленный или локальный доступ к приложениям DCOM. Этот параметр используется для управления контактной зоной компьютера для приложений DCOM.

Этот параметр политики можно использовать для задания разрешений на доступ ко всем компьютерам для определенных пользователей приложений DCOM в организации. При указании пользователей или групп, которым предоставляются разрешения, поле дескриптора безопасности заполняется с использованием представления SDDL (Security Descriptor Definition Language) этих групп и привилегий. Если оставить дескриптор безопасности пустым, параметр политики определяется шаблоном, но не вводится в действие принудительно. Пользователям и группам могут в явной форме предоставляться права "Разрешить" и "Запретить" как на локальный, так и на удаленный доступ.

Параметры реестра, которые создаются в результате включения параметра политики "Ограничения на доступ к компьютеру в синтаксисе SDDL", переопределяют (имеют более высокий приоритет) предыдущие параметры реестра в этой области. Службы удаленного вызова процедур (RpcSs) проверяют ограничения компьютера по новым разделам реестра в разделе Policies, и эти записи реестра имеют приоритет над существующими разделами реестра в разделе OLE. Это означает, что существовавшие ранее параметры реестра перестают действовать, и внесение изменений в существующие параметры не влияет на разрешения на доступ к компьютеру для пользователей. Будьте осторожны при настройке соответствующего списка пользователей и групп.

Допустимыми являются следующие значения этого параметра политики:

Пусто: в локальной политике безопасности удаляется ключ принудительного применения политики. Это значение удаляет политику и задает для нее состояние "Не определено". Чтобы задать пустое значение, следует открыть редактор ACL и очистить список, а затем нажать кнопку "ОК".

SDDL: представление SDDL (Security Descriptor Definition Language) групп и привилегий, указываемых при включении политики.

Не определено: значение по умолчанию.

Примечание
Если администратору запрещен доступ к приложениям DCOM из-за изменений, внесенных в DCOM в Windows, то для управления доступом к DCOM на компьютере администратор может использовать параметр политики "Ограничения на доступ к компьютеру в синтаксисе SDDL". С помощью этого параметра администратор может указать, какие пользователи и группы могут получать локальный или удаленный доступ к приложению DCOM на компьютере. Это позволяет восстановить возможность управления приложением DCOM для администраторов и пользователей. Для этого следует открыть параметр политики "Ограничения на доступ к компьютеру в синтаксисе SDDL" и нажать кнопку "Изменение правил безопасности". Укажите включаемые группы и разрешения на доступ к компьютеру для этих групп. При этом будет определен параметр и задано соответствующее значение SDDL.



DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access.

The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups.

The possible values for this policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value.



2048DCOM: ограничения на запуск на компьютере в синтаксисе SDDL (Security Descriptor Definition Language)

Этот параметр политики определяет, какие пользователи или группы могут удаленно или локально запускать или активировать приложения DCOM. Этот параметр используется для управления контактной зоной компьютера для приложений DCOM.

Этот параметр политики можно использовать для задания разрешений на доступ ко всем компьютерам для пользователей приложений DCOM. При определении этого параметра и указании пользователей или групп, которым предоставляются разрешения, поле дескриптора безопасности заполняется с использованием представления SDDL (Security Descriptor Definition Language) этих групп и привилегий. Если оставить дескриптор безопасности пустым, параметр политики определяется шаблоном, но не вводится в действие принудительно. Пользователям и группам могут в явной форме предоставляться права "Разрешить" и "Запретить" как на локальные, так и на удаленные запуск и активацию.

Параметры реестра, которые создаются в результате этой политики, переопределяют (имеют более высокий приоритет) предыдущие параметры реестра в этой области. Службы удаленного вызова процедур (RpcSs) проверяют ограничения компьютера по новым разделам реестра в разделе Policies; эти записи имеют приоритет над существующими разделами реестра в разделе OLE.

Допустимыми являются следующие значения этого параметра политики:

Пусто: в локальной политике безопасности удаляется ключ принудительного применения политики. Это значение удаляет политику и задает для нее состояние "Не определено". Чтобы задать пустое значение, следует открыть редактор ACL и очистить список, а затем нажать кнопку "ОК".

SDDL: представление SDDL (Security Descriptor Definition Language) групп и привилегий, указываемых при включении политики.

Не определено: значение по умолчанию.

Примечание
Если администратору запрещен доступ на активацию и запуск приложений DCOM из-за изменений, внесенных в DCOM в этой версии Windows, то для управления активации и запуска DCOM на компьютере администратор может использовать этот параметр политики. С помощью параметра политики "DCOM: Ограничения на запуск на компьютере в синтаксисе SDDL" администратор может указать, какие пользователи и группы могут удаленно или локально запускать или активировать приложение DCOM на компьютере. Это позволяет восстановить возможность управления приложением DCOM для администраторов и указанных пользователей. Для этого следует открыть параметр политики "DCOM: Ограничения на запуск на компьютере в синтаксисе SDDL" и нажать кнопку "Изменение правил безопасности". Укажите включаемые группы и разрешения на запуск на компьютере для этих групп. При этом будет определен параметр и задано соответствующее значение SDDL.


DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation.

The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE.

The possible values for this Group Policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value.


2049Контроль учетных записей: поведение запроса на повышение привилегий для администраторов в режиме одобрения администратором

Этот параметр политики определяет поведение запроса на повышение привилегий для администраторов.

Возможные значения

• Повышение без запроса. Позволяет привилегированным учетным записям выполнить операцию, требующую повышения привилегий, без подтверждения согласия или ввода учетных данных. Примечание. Этот вариант должен использоваться только в средах с максимальными ограничениями.

• Запрос учетных данных на безопасном рабочем столе. Для любой операции, требующей повышения привилегий, на безопасном рабочем столе выводится приглашение ввести имя и пароль привилегированного пользователя. Если вводятся привилегированные учетные данные, операция продолжается продолжена с максимальными доступными привилегиями пользователя.

• Запрос согласия на безопасном рабочем столе. Для любой операции, требующей повышения привилегий, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция продолжается с максимальными доступными привилегиями пользователя.

• Запрос учетных данных. Для любой операции, требующей повышения привилегий, выводится приглашение ввести имя пользователя и пароль учетной записи администратора. Если вводятся допустимые учетные данные, операция продолжается с соответствующими привилегиями.

• Запрос согласия. Для любой операции, требующей повышения привилегий, пользователю предлагается выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция продолжается с максимальными доступными привилегиями пользователя.

• Запрос согласия для сторонних двоичных файлов (не Windows) (по умолчанию). Когда операция для приложения стороннего (не Майкрософт) производителя требует повышения привилегий, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция продолжается с максимальными доступными привилегиями пользователя.

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

This policy setting controls the behavior of the elevation prompt for administrators.

The options are:

• Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege.

• Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

2050Контроль учетных записей: поведение запроса на повышение привилегий для обычных пользователей
Этот параметр политики определяет поведение запроса на повышение привилегий для обычных пользователей.

Возможные значения

• Запрос учетных данных (по умолчанию). Когда операция требует повышения привилегий, выводится приглашение ввести имя пользователя и пароль учетной записи пользователя с привилегиями администратора. Если пользователь вводит действительные учетные данные, операция продолжается с соответствующими привилегиями.

• Автоматическое отклонение запросов на повышение привилегий. Когда операция требует повышения привилегий, отображается настраиваемое сообщение об ошибке отказа в доступе. Организации, настольные компьютеры которых используются обычными пользователями, могут выбрать этот параметр политики для уменьшения числа обращений в службу поддержки.

• Запрос учетных данных на безопасном рабочем столе. Когда операция требует повышения привилегий, на безопасном рабочем столе выводится приглашение ввести имя и пароль другого пользователя. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.

User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users.

The options are:

• Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

2051Контроль учетных записей: обнаружение установки приложений и запрос на повышение привилегий

Этот параметр политики определяет характеристики обнаружения установки приложений для компьютера.

Возможные значения

• Включено(по умолчанию). Когда установочный пакет приложения обнаруживает необходимость повышения привилегий, пользователю предлагается ввести имя пользователя и пароль учетной записи администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.

• Отключено. Установочный пакет приложения не обнаруживает необходимость повышения привилегий и не выдает запрос пользователю. В организациях, использующих стандартные пользовательские настольные компьютеры и технологии делегированной установки, такие как GPSI (Group Policy Software Install) или SMS, этот параметр политики следует отключить. В этом случае обнаружение установщика является ненужным.

User Account Control: Detect application installations and prompt for elevation

This policy setting controls the behavior of application installation detection for the computer.

The options are:

• Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary.

2052Контроль учетных записей: повышение привилегий только для подписанных и проверенных исполняемых файлов

Этот параметр политики задает проверку подписей PKI для любых интерактивных приложений, требующих повышения привилегий. Администраторы организации могут упривилегийлять списком разрешенных приложений, размещая сертификаты в хранилище доверенных издателей локальных компьютеров.

Возможные значения

• Включено. Принудительно инициирует проверку пути сертификации PKI, прежде чем разрешить выполнение данного исполняемого файла.

• Отключено (по умолчанию). Не инициирует проверку пути сертификации PKI, прежде чем разрешить выполнение данного исполняемого файла.

User Account Control: Only elevate executable files that are signed and validated

This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers.

The options are:

• Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run.

• Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run.

2053Контроль учетных записей: повышать права только для UIAccess-приложений, установленных в безопасном местоположении

Этот параметр политики управляет тем, должны ли приложения, запрашивающие выполнение на уровне целостности UIAccess, находиться в безопасной папке файловой системы. Безопасными считаются только следующие папки:

- …\Program Files\, включая вложенные папки
- …\Windows\system32\
- …\Program Files (x86)\, включая вложенные папки для 64-разрядных версий Windows

Примечание. Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности.

Возможные значения.

• Включено (по умолчанию). Приложение будет запускаться с уровнем целостности UIAccess только в том случае, если оно находится в безопасной папке файловой системы.

• Отключено. Приложение будет запускаться с уровнем целостности UIAccess, даже если оно не находится в безопасной папке файловой системы.

User Account Control: Only elevate UIAccess applications that are installed in secure locations

This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following:

- …\Program Files\, including subfolders
- …\Windows\system32\
- …\Program Files (x86)\, including subfolders for 64-bit versions of Windows

Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting.

The options are:

• Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity.

• Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system.

2054Контроль учетных записей: включение режима одобрения администратором

Этот параметр политики определяет характеристики всех политик контроля учетных записей для компьютера. При изменении этого параметра политики необходимо перезагрузить компьютер.

Возможные значения

• Включено (по умолчанию). Режим одобрения администратором включен. Чтобы разрешить встроенной учетной записи администратора и всем остальным пользователям, являющимся участниками группы "Администраторы", работать в режиме одобрения администратором, эта политика должна быть включена, а все связанные политики управления учетными записями также должны быть установлены соответствующим образом.

• Отключено. Режим одобрения администратором и все соответствующие параметры политики контроля учетных записей будут отключены. Примечание. Если этот параметр политики отключен, центр обеспечения безопасности выдаст уведомление, что общая безопасность операционной системы снизилась.

User Account Control: Turn on Admin Approval Mode

This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer.

The options are:

• Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode.

• Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced.

2055Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав

Этот параметр политики определяет, будут ли запросы на повышение прав выводиться на интерактивный рабочий стол пользователя или на безопасный рабочий стол.

Возможные значения.

• Включено (по умолчанию). Все запросы на повышение прав выводятся на безопасный рабочий стол независимо от параметров политики поведения приглашения для администраторов и обычных пользователей.

• Отключено: все запросы на повышение прав выводятся на интерактивный рабочий стол пользователя. Используются параметры политики поведения приглашения для администраторов и обычных пользователей.

User Account Control: Switch to the secure desktop when prompting for elevation

This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop.

The options are:

• Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users.

• Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used.

2056Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в размещение пользователя

Этот параметр политики управляет перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Этот параметр политики позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%; %Windir%\system32 или HKLM\Software\....

Возможные значения.

• Включено (по умолчанию). Сбои записи приложений перенаправляются во время выполнения в определенные пользователем расположения в файловой системе и реестре.

• Отключено. Выполнение приложений, записывающих данные в безопасные расположения, заканчивается ошибкой.

User Account Control: Virtualize file and registry write failures to per-user locations

This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software.

The options are:

• Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry.

• Disabled: Applications that write data to protected locations fail.

2057Создание символических ссылок

Эта привилегия определяет для пользователя возможность создавать символьные ссылки с компьютера, на который он вошел.

По умолчанию: Администратор

ВНИМАНИЕ! Эту привилегию следует предоставлять только доверенным пользователям. Символические ссылки могут обнажить уязвимые места в приложениях, которые не рассчитаны на их обработку.

Примечание
Этот параметр можно использовать вместе с параметром символических ссылок файловой системы, который можно изменять с помощью программы командной строки для управления разрешением типов символических ссылок на компьютере. Для получения дополнительных сведений о программе fsutil и символических ссылках введите в командной строке "fsutil behavior set symlinkevaluation /?".
Create Symbolic Links

This privilege determines if the user can create a symbolic link from the computer he is logged on to.

Default: Administrator

WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them.

Note
This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links.
2058Изменение метки объекта

Эта привилегия определяет, каким учетным записям пользователей разрешается изменять метки целостности объектов, таких как файлы, разделы реестра или процессы, владельцами которых являются другие пользователи. Процессы, выполняющиеся под учетной записью пользователя, без этой привилегии могут понижать уровень метки объекта, владельцем которого является данный пользователь.

По умолчанию: Нет

Modify an object label

This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege.

Default: None
2059Контроль учетных записей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.

Этот параметр политики определяет, могут ли UIAccess-приложения (UIA-программы) автоматически отключать безопасный рабочий стол для запросов на повышение, используемых обычным пользователем.

• Включено. UIA-программы, в том числе удаленный помощник Windows, автоматически отключают безопасный рабочий стол для запросов на повышение прав. Если не отключен параметр политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав", приглашение появится на интерактивном рабочем столе пользователя, а не на безопасном рабочем столе.

• Отключено (по умолчанию). Безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав".

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.

This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user.

• Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop.

• Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting.

2060Этот параметр используется диспетчером учетных данных в ходе архивации и восстановления. Эта привилегия не должна предоставляться учетным записям, поскольку она предоставляется только Winlogon. Сохраненные пользователями учетные данные могут быть скомпрометированы, если эта привилегия предоставляется другим субъектам. This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities.
2061Изменение часового пояса

This Это пользовательское право определяет, какие пользователи и группы могут изменять часовой пояс, используемый компьютером для отображения местного времени, которое представляет собой сумму системного времени компьютера и смещения часового пояса. Само по себе системное время является абсолютным и не изменяется при изменении часового пояса.

Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов.

По умолчанию: Администраторы, Пользователи
Change the Time Zone

This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers.

Default: Administrators, Users
2062Увеличение рабочего набора процесса

Эта привилегия определяет, какие учетные записи пользователей могут увеличивать и уменьшать размер рабочего набора процесса.

По умолчанию: пользователи

Рабочий набор процесса - это набор страниц памяти, видимых процессу в физической оперативной памяти. Эти страницы являются резидентными; приложение может обращаться к ним, не вызывая ошибки страниц. Минимальный и максимальный размер рабочего набора влияет на поведение страниц виртуальной памяти процесса.

Внимание: увеличение размера рабочего набора процесса приводит к уменьшению объема физической памяти, доступной в остальной части системы.
Increase a process working set

This privilege determines which user accounts can increase or decrease the size of a process’s working set.

Default: Users

The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process.

Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system.
2063Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM на удаленные серверы

Этот параметр политики позволяет запрещать или разрешать исходящий трафик NTLM с данного компьютера с ОС Windows 7 или Windows Server 2008 R2 на любой удаленный сервер Windows.

Если выбрано значение "Разрешить все" или этот параметр политики не настроен, клиентский компьютер может проверять подлинность удостоверений на удаленном сервере с помощью проверки подлинности NTLM.

Если выбрано значение "Аудит всего", клиентский компьютер регистрирует событие для каждого запроса проверки подлинности NTLM к удаленному серверу. Это позволяет идентифицировать серверы, получающие запросы проверки подлинности NTLM от клиентского компьютера.

Если выбрано значение "Запретить все", клиентский компьютер не сможет проверять подлинность удостоверений на удаленном сервере с помощью проверки подлинности NTLM. Чтобы определить список удаленных серверов, для которых клиентам разрешается использовать проверку подлинности NTLM, можно использовать параметр политики "Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM".

Эта политика поддерживается по крайней мере в ОС Windows 7 и Windows Server 2008 R2.

Примечание. События аудита и блокировки регистрируются на этом компьютере в журнале "Работает", находящемся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM"

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server.

If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication.

If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer.

If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2064Сетевая безопасность: ограничения NTLM: входящий трафик NTLM

Этот параметр политики позволяет запрещать или разрешать входящий трафик NTLM.

Если выбрано значение "Разрешить все", сервер разрешит все запросы проверки подлинности NTLM.

Если выбрано значение "Запретить все учетные записи домена", то сервер будет отклонять все запросы на проверку подлинности NTLM для входа в домен и отображать ошибку блокировки NTLM, разрешая при этом вход в систему для локальных учетных записей.

Если выбрано значение "Запретить все учетные записи", то сервер будет отклонять все запросы на проверку подлинности NTLM из входящего трафика и отображать ошибку блокировки NTLM.

Эта политика поддерживается по крайней мере в ОС Windows 7 и Windows Server 2008 R2.

Примечание. События аудита и блокировки регистрируются на этом компьютере в журнале "Работает", находящемся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM"

Network security: Restrict NTLM: Incoming NTLM traffic

This policy setting allows you to deny or allow incoming NTLM traffic.

If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests.

If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon.

If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2065Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене

Этот параметр политики позволяет запретить проверку подлинности NTLM в домене с данного контроллера домена. Эта политика не влияет на интерактивный вход в систему на этом контроллере домена.

Если выбрано значение "Отключено" или этот параметр политики не настроен, контроллер домена будет разрешать прохождение всех сквозных запросов проверки подлинности NTLM в домене.

Если выбрано значение "Запретить для учетных записей домена на серверах домена", контроллер домена будет отклонять все попытки входа с использованием проверки подлинности NTLM на все серверы домена, использующие учетные записи домена, и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики "Сетевая безопасность: ограничения NTLM: добавить исключения для серверов для проверки подлинности NTLM в этом домене".

Если выбрано значение "Запретить для учетной записи домена", контроллер домена будет отклонять все попытки входа учетных записей домена с использованием проверки подлинности NTLM и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики "Сетевая безопасность: ограничения NTLM: добавить исключения для серверов для проверки подлинности NTLM в этом домене".

Если выбрано значение "Запретить для серверов домена", контроллер домена будет отклонять запросы проверки подлинности NTLM ко всем серверам домена и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики "Сетевая безопасность: ограничения NTLM: добавить исключения для серверов для проверки подлинности NTLM в этом домене".

Если выбрано значение "Запретить все", контроллер домена будет отклонять все сквозные запросы проверки подлинности NTLM от своих серверов и для своих учетных записей и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики "Сетевая безопасность: ограничения NTLM: добавить исключения для серверов для проверки подлинности NTLM в этом домене".

Эта политика поддерживается по крайней мере в ОС Windows Server 2008 R2.

Примечание. События блокировки записываются на этом компьютере в журнал "Работает", находящийся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM".

Network security: Restrict NTLM: NTLM authentication in this domain

This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller.

If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain.

If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2066Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM

Этот параметр политики позволяет создать список исключений и включить в него серверы, клиенты которых смогут использовать проверку подлинности NTLM, даже если будет задан параметр политики "Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам".

Если задать этот параметр политики, то можно определить список удаленных серверов, к которым клиенты смогут подключаться с помощью проверки подлинности NTLM.

Если этот параметр политики не задан, исключения не используются.

Формат именования серверов в списке исключений - это полные доменные имена или серверные имена NetBIOS, используемые приложениями, по одному в строке. Чтобы гарантировать наличие в списке исключения для всех приложений и точность соответствующего имени, имя сервера в списке должно быть указано в обоих форматах. В качестве подстановочного знака может использоваться одиночная звездочка (*) в любом месте строки.

Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication

This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured.

If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character.

2067Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене

Этот параметр политики позволяет создать список исключений для серверов в этом домене, к которым клиенты смогут подключаться с помощью сквозной проверки подлинности NTLM даже в том случае, если задан параметр политики "Сетевая безопасность: ограничения NTLM: запретить проверку подлинности NTLM в этом домене".

Если настроить этот параметр политики, то можно определить список серверов в этом домене, к которым клиенты могут подключаться с помощью проверки подлинности NTLM.

Если этот параметр политики не задан, исключения не используются.

Формат именования серверов в списке исключений - это полные доменные имена (FQDN) или серверные имена NetBIOS, используемые вызывающими приложениями и перечисленные по одному в строке. В качестве подстановочного знака может использоваться одиночная звездочка (*) в начале или конце строки.

Network security: Restrict NTLM: Add server exceptions in this domain

This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set.

If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character.

2068Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы

Разрешить NTLM возвращаться к нулевому сеансу при использовании с LocalSystem.

Значение по умолчанию - TRUE в ОС вплоть до Windows Vista включительно и FALSE в Windows 7.

Network security: Allow LocalSystem NULL session fallback

Allow NTLM to fall back to NULL session when used with LocalSystem.

The default is TRUE up to Windows Vista and FALSE in Windows 7.

2069Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos

Этот параметр политики позволяет задать типы шифрования, которые может использовать Kerberos.

Если параметр не задан, то тип шифрования не допускается. Этот параметр может повлиять на совместимость с клиентскими компьютерами, службами и приложениями. Допускается множественный выбор.

Эта политика поддерживается по крайней мере в ОС Windows 7 и Windows Server 2008 R2.

Network security: Configure encryption types allowed for Kerberos

This policy setting allows you to set the encryption types that Kerberos is allowed to use.

If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

2071Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру.

По умолчанию эта политика будет отключена на компьютерах, включенных в домен. Это не позволяет сетевым удостоверениям проходить проверку подлинности на компьютере, включенном в домен.

Network security: Allow PKU2U authentication requests to this computer to use online identities.

This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine.

2072Сетевая безопасность: ограничения NTLM: аудит входящего трафика NTLM

Этот параметр политики позволяет выполнять аудит входящего трафика NTLM.

Если выбрано значение "Отключено" или этот параметр политики не настроен, сервер не будет регистрировать события для входящего трафика NTLM.

Если выбрано значение "Включить аудит для учетных записей домена", сервер будет регистрировать события для входящих сквозных запросов проверки подлинности NTLM, которые были бы заблокированы при установке для параметра политики "Сетевая безопасность: ограничения NTLM: входящий трафик NTLM" значения "Запретить все учетные записи домена".

Если выбрано значение "Включить аудит для всех учетных записей", сервер будет регистрировать события для всех запросов проверки подлинности NTLM, которые были бы заблокированы при установке для параметра политики "Сетевая безопасность: ограничения NTLM: входящий трафик NTLM" значения "Запретить все учетные записи".

Эта политика поддерживается по крайней мере в ОС Windows 7 и Windows Server 2008 R2.

Примечание. События блокировки записываются на этом компьютере в журнал "Работает", находящийся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM".

Network security: Restrict NTLM: Audit Incoming NTLM Traffic

This policy setting allows you to audit incoming NTLM traffic.

If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic.

If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option.

If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2073Сетевая безопасность: ограничения NTLM: аудит проверки подлинности NTLM в этом домене

Этот параметр политики позволяет выполнять аудит проверки подлинности NTLM в этом домене с этого контроллера домена.

Если выбрано значение "Отключено" или этот параметр политики не настроен, контроллер домена не будет регистрировать события проверки подлинности NTLM для этого домена.

Если выбрано значение "Включить для учетных записей домена на серверах домена", контроллер домена будет регистрировать события попыток входа с помощью проверки подлинности NTLM учетных записей домена на серверы домена, когда проверка подлинности NTLM была бы запрещена из-за установки для параметра политики "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" значения "Запретить для учетных записей домена на серверах домена".

Если выбрано значение "Включить для учетных записей домена", контроллер домена будет регистрировать события попыток входа с помощью проверки подлинности NTLM учетных записей домена на серверы домена, когда проверка подлинности NTLM была бы запрещена из-за установки для параметра политики "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" значения "Запретить для учетных записей домена".

Если выбрано значение "Включить для серверов домена", контроллер домена будет регистрировать события для запросов проверки подлинности NTLM ко всем серверам домена, когда проверка подлинности NTLM была бы запрещена из-за установки для параметра политики "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" значения "Запретить для серверов домена".

Если выбрано значение "Включить все", контроллер домена будет регистрировать события для сквозных запросов проверки подлинности NTLM от своих серверов и для своих учетных записей, которые были бы запрещены из-за установки для параметра политики "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" значения "Запретить все".

Эта политика поддерживается по крайней мере в ОС Windows Server 2008 R2.

Примечание. События блокировки записываются на этом компьютере в журнал "Работает", находящийся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM".

Network security: Restrict NTLM: Audit NTLM authentication in this domain

This policy setting allows you to audit NTLM authentication in a domain from this domain controller.

If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain.

If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2074Сетевая безопасность: разрешить учетной записи LocalSystem использовать удостоверение компьютера для NTLM

Этот параметр политики позволяет службам локальной системы, применяющим согласование, использовать удостоверение компьютера при откате к проверке подлинности NTLM.

Если включить этот параметр политики, службы, работающие под учетной записью локальной системы и применяющие согласование, будут использовать удостоверение компьютера. Это может вызвать сбой и регистрацию ошибки для некоторых запросов проверки подлинности между операционными системами Windows.

Если отключить этот параметр политики, службы, работающие под учетной записью локальной системы и применяющие согласование, при откате к проверке подлинности NTLM будут проходить проверку подлинности анонимно.

По умолчанию эта политика включена в Windows 7 и более поздних версиях.

В Windows Vista эта политика по умолчанию отключена.

Эта политика поддерживается по крайней мере в ОС Windows Vista и Windows Server 2008 R2.

Примечание. В Windows Vista и Windows Server 2008 этот параметр не отображается в разделе "Групповая политика".

Network security: Allow Local System to use computer identity for NTLM

This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication.

If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error.

If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously.

By default, this policy is enabled on Windows 7 and above.

By default, this policy is disabled on Windows Vista.

This policy is supported on at least Windows Vista or Windows Server 2008.

Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy.

2075Сетевой сервер (Майкрософт): уровень проверки сервером имени субъекта-службы конечного объекта

Этот параметр политики определяет уровень проверки, которую выполняет компьютер с общими папками или принтерами (сервер) в отношении имени субъекта-службы, предоставленного клиентским компьютером при установлении сеанса с помощью протокола SMB.

Протокол SMB предоставляет основу для совместного доступа к файлам и принтерам, а также для других сетевых операций, например для удаленного администрирования Windows. Протокол SMB поддерживает проверку имени субъекта-службы SMB-сервера в большом двоичном объекте проверки подлинности, предоставленном SMB-клиентом, для предотвращения класса атак против SMB-серверов под названием "атаки с перехватами". Этот параметр влияет на SMB1 и SMB2.

Этот параметр безопасности определяет уровень проверки, которую выполняет SMB-сервер в отношении имени субъекта-службы, предоставленного SMB-клиентом при установлении сеанса с SMB-сервером.

Варианты

Откл. — имя субъекта-службы SMB-клиента не требуется (не проверяется) SMB-сервером.

Принимать, если предоставлено клиентом — SMB-сервер принимает и проверяет имя субъекта-службы, предоставленное SMB-клиентом, и разрешает сеанс, если имя совпадает со списком имен субъектов-служб SMB-сервера. Если имя НЕ совпадает, то сеанс для SMB-клиента отклоняется.

Требовать от клиента — SMB-клиент ДОЛЖЕН отправить имя субъекта-службы при настройке сеанса, и указанное имя ДОЛЖНО совпадать с SMB-сервером, на который отправлен запрос на подключение. Если имя субъекта-службы не указано клиентом или оно не совпадает, сеанс отклоняется.

Значение по умолчанию: "Откл.".

Все операционные системы Windows поддерживают SMB-компоненты на стороне клиента и сервера. Этот параметр влияет на поведение SMB-компонента сервера, и его реализацию следует тщательно анализировать и проверять, чтобы предотвратить отказы в доступе к функциям обслуживания, связанным с файлами и печатью. Дополнительные сведения о реализации и применении этого параметра для защиты SMB-серверов см. на веб-сайте корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=144505).
Microsoft network server: Server SPN target name validation level

This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol.

The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2.

This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server.

The options are:

Off – the SPN is not required or validated by the SMB server from a SMB client.

Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied.

Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied.

Default: Off

All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505).
2076Сервер сети (Майкрософт): попытка S4U2Self получить информацию о заявке

Этот параметр безопасности предназначен для поддержки клиентов с системами, выпущенными до Windows 8, которые пытаются получить доступ к общему файловому ресурсу, требующему заявку пользователя. Он определяет, будет ли локальный файловый сервер пытаться использовать функцию Kerberos Service-For-User-To-Self (S4U2Self) для получения заявок субъекта клиента сети из домена учетной записи клиента. Этот параметр необходимо включать только в том случае, если файловый сервер использует заявки пользователей для управления доступом к файлам и если он будет поддерживать субъекты клиентов, учетные записи которых находятся в домене с клиентскими компьютерами и контроллерами домена под управлением операционной системы, выпущенной до Windows 8.

Для этого параметра нужно задать значение "Автоматически" (используется по умолчанию), чтобы файловый сервер мог автоматически определять, требуется ли для пользователя заявка. Для этого параметра нужно явно задавать значение "Включено" только в том случае, если есть политики доступа к локальным файлам, включающие заявки пользователей на доступ.

Если этот параметр безопасности включен, файловый сервер Windows будет анализировать маркер доступа субъекта сетевого клиента, прошедшего проверку подлинности, и определять, присутствует ли информация о заявке. Если заявок нет, файловый сервер будет использовать функцию Kerberos S4U2Self для связи с контроллером домена Windows Server 2012 в домене учетной записи клиента и получения маркера доступа, поддерживающего заявки, для субъекта клиента. Маркер, поддерживающий заявки на доступ, может потребоваться для доступа к файлам и папкам, к которым применена политика управления доступом на основе заявок.

Если этот параметр отключен, файловый сервер Windows не будет пытаться получить маркер доступа на основе заявок для субъекта клиента.

По умолчанию: "Автоматически".
Microsoft network server: Attempt S4U2Self to obtain claim information

This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8.

This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims.

When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied.

If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal.

Default: Automatic.
2077Учетные записи: блокировать учетные записи Майкрософт

Этот параметр политики не позволяет пользователям добавлять новые учетные записи Майкрософт на данном компьютере.

Если выбрать вариант "Пользователи не могут добавлять учетные записи Майкрософт", пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт, а также подключать учетные записи домена к учетным записям Майкрософт. Этот вариант предпочтителен, если требуется ограничить число используемых учетных записей Майкрософт в организации.

Если выбрать вариант "Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа", существующие пользователи учетных записей Майкрософт не смогут войти в систему Windows. Выбор этого параметра может сделать вход в систему и управление ею недоступным для существующего администратора на данном компьютере.

Если эта политика отключена или не настроена (рекомендуется), пользователи смогут использовать учетные записи Майкрософт в Windows.
Accounts: Block Microsoft accounts

This policy setting prevents users from adding new Microsoft accounts on this computer.

If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise.

If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system.

If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows.
2078Интерактивный вход в систему: Пороговое значение количества учетных записей компьютера.

Политика блокировки компьютера применяется только на тех компьютерах, где для защиты томов ОС включена функция Bitlocker. Убедитесь, что включены соответствующие политики резервного копирования пароля восстановления.

Этот параметр безопасности определяет количество неудачных попыток входа в систему, после которого компьютер блокируется Для снятия блокировки необходимо указать в консоли ключ восстановления. Количество неудачных попыток доступа может быть задано числом от 1 до 999. Если установить это значение равным 0, компьютер никогда не будет блокироваться. Значения от 1 до 3 будут интерпретированы как 4.

Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью клавиш CTRL+ALT+DEL или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему.

Политика блокировки компьютера применяется только на тех компьютерах, где для защиты томов ОС включена функция Bitlocker. Убедитесь, что включены соответствующие политики резервного копирования пароля восстановления.

Значение по умолчанию: 0.
Interactive logon: Machine account threshold.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled.

This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled.

Default: 0.
2079Интерактивный вход в систему: предел простоя компьютера.

Windows определяет простой в рамках сеанса входа в систему, и, если длительность такого простоя превышает заданное предельное значение, запускается заставка, которая блокирует сеанс.

По умолчанию: не применяется.
Interactive logon: Machine inactivity limit.

Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session.

Default: not enforced.
2080Получите маркер олицетворения для другого пользователя в том же сеансе.

Предоставление пользователю этого права позволяет программам, выполняемым от имени этого пользователя, получить маркер олицетворения других пользователей, которые интерактивно вошли в систему в один сеанс, при условии, что у вызывающего объекта есть маркер олицетворения пользователя сеанса. Не применяется в классическом клиенте/сервере Windows, где каждый пользователь получает отдельный сеанс.
Obtain an impersonation token for another user in the same session.

Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session.
2081Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM

Этот параметр позволяет ограничить подключения удаленного rpc к SAM.

Если этот параметр не установлен, будет использоваться дескриптор безопасности по умолчанию.

Эта политика поддерживается по крайней мере Windows Server 2016.

Network access: Restrict clients allowed to make remote calls to SAM

This policy setting allows you to restrict remote rpc connections to SAM.

If not selected, the default security descriptor will be used.

This policy is supported on at least Windows Server 2016.

2082Интерактивный вход в систему: не отображать имя пользователя при входе в систему
Этот параметр безопасности определяет, отображается ли имя пользователя, входящего на этот компьютер, на экране входа в Windows, после ввода учетных данных и перед отображением рабочего стола компьютера.
Если эта политика включена, имя пользователя не будет отображаться.

Если этот параметр отключен, имя пользователя будет отображаться.

По умолчанию: отключено.


Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


57343Вы собираетесь изменить параметры безопасности для этой службы. Изменение параметров безопасности, используемых по умолчанию, может привести к проблемам из-за несоответствия конфигурации этой службы и других служб, которые от нее зависят.

Вы хотите продолжить?
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it.

Do you want to continue?
57345Вы собираетесь импортировать новый шаблон в локальную политику данного компьютера. Это приведет к изменению текущих параметров безопасности компьютера. Продолжить? You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue?
57346Настройка безопасности компьютера Configuring Computer Security
57350Текущая база данных настройки безопасности: база данных локальной политики %s Current Security Configuration Database: Local Policy Database %s
57351Текущая база данных конфигураций безопасности: личная база данных %s Current Security Configuration Database: Private Database %s
57352Создание данных анализа Generating analysis information
57353Неудача при импорте Import Failed
57354Определены подэлементы Subitems defined
57355Недоступно Not Available
57356Новая служба New Service
57357Настраивается: Configuring:
57358Добавить &файл...
Добавление нового файла или папки к этому шаблону
Add &File...
Adds a new file or folder to this template
57359Добавить этот файл или папку к шаблону: Add this file or folder to the template:
57360Добавление файла или папки Add a file or folder
57361Корпорация Майкрософт Microsoft Corporation
5736210.0 10.0
57363"Шаблоны безопасности" - это оснастка MMC, позволяющая изменять файлы шаблонов безопасности. Security Templates is an MMC snap-in that provides editing capabilities for security template files.
57364"Анализ и настройка безопасности" - это оснастка MMC, позволяющая анализировать и настраивать параметры безопасности на компьютерах Windows с помощью файлов шаблонов безопасности. Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files.
57365Оснастка расширения "Параметры безопасности" дополняет оснастку "Групповая политика" и позволяет определять политики безопасности для компьютеров в вашем домене. The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain.
57366&Импорт политики...
Импорт файла шаблона в объект политики.
&Import Policy...
Import a template file into this policy object.
57367Экспорт по&литики...
Экспорт шаблона из политики в файл.
E&xport policy...
Export template from this policy to a file.
57368Файл %s уже существует.
Вы хотите перезаписать его?
File %s already exists.
Do you want to overwrite it?
57369Успех Success
57370Отказ Failure
57371Нет аудита No auditing
57372Не удалось выполнить обновление политики. Windows cannot update the policies.
57373Не удалось скопировать секцию Windows cannot copy the section
57374Выбрать добавляемый файл Select File to Add
57375Открыть базу данных Open database
57376Создать базу данных Create Database
57377Экспорт политики в Export Policy To
57378Импорт политики из Import Policy From
57380Импорт шаблона Import Template
57381Экспорт шаблона в Export Template To
57382Параметр безопасности Security Setting
57384Не удалось открыть базу данных локальной политики. Windows cannot open the local policy database.
57385База данных локальной политики Local Policy Database
57386Локальная база данных параметров безопасности не может быть изменена с помощью оснастки "Анализ и настройка безопасности". Используйте вместо оснастку "Групповая политика". The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings.
57387\help\75393cf0-f17a-453d-98a9-592b009289c2.chm \help\75393cf0-f17a-453d-98a9-592b009289c2.chm
57388\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm
57389\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm
57390\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm
57391\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm
57392\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm
57394Обнаружены новые параметры политики на этом компьютере. Вы хотите обновить представление действующей политики? There are new policy settings on your computer. Do you want to update your view of the effective policy?
57395Параметр компьютера на %s Computer setting on %s
57396Не удалось создать эту базу данных, поскольку не был выбран файл шаблона.
Чтобы открыть существующую базу данныхЩелкните правой кнопкой мыши элемент Анализ и настройка безопасности. Выберите Открыть базу данных Выберите базу данных и нажмите "ОТКРЫТЬ". Чтобы создать новую базу данных Щелкните правой кнопкой мыши элемент Анализ и настройка безопасности. Выберите Открыть базу данных. Введите имя новой базы данных и нажмите "ОТКРЫТЬ". Выберите импортируемый файл настройки безопасности и нажмите "ОТКРЫТЬ".
This database couldn't be created because no template file was selected.
To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN.
57397З&аменить текущие разрешения во всех подразделах наследуемыми &Replace existing permissions on all subkeys with inheritable permissions
57398&Распространить наследуемые разрешения на все подразделы &Propagate inheritable permissions to all subkeys
57399&Запретить замену разрешений в этом разделе &Do not allow permissions on this key to be replaced
57400Настройка членства для %s Configure Membership for %s
57401Срок действия билета: Ticket expires in:
57402Срок действия билета не ограничен. Ticket doesn't expire.
57403Срок действия обновления билета: Ticket renewal expires in:
57404Обновление билета отключено. Ticket renewal is disabled.
57405Максимальный допуск: Maximum tolerance:
57407Неприменимо Not Applicable
57410Имена пользователей и групп User and group names
57411Добавление пользователя или группы Add User or Group
57412Не отключать следующих клиентов: Do not disconnect clients:
57413Отключить, если время простоя превысит: Disconnect when idle time exceeds:
57414Не кэшировать входы в систему: Do not cache logons:
57415Кэш: Cache:
57416За сколько дней предупреждать об истечении действия пароля: Begin prompting this many days before password expires:
57418&Настроить этот раздел &Configure this key then
57419Не удалось сохранить описание глобального размещения Could not save global location description
57420Не удалось сохранить описание размещения Could not save location description
57421Перезагрузить
Перезагрузка политики безопасности
Reload
Reload the security policy
57422Сохранить изменения в %1 перед ее перезагрузкой? Save changes to %1 before reloading it?
57423Локальные параметры безопасности Local Security Settings
57424Класс параметров безопасности WSecEdit WSecEdit Security Settings Class
57425Класс локальных параметров безопасности WSecEdit WSecEdit Local Security Settings Class
57428Оснастка "Локальные параметры безопасности" помогает настроить безопасность локальной системы. The Local Security Settings snap-in helps you define security on the local system.
57430Класс RSOP-параметров безопасности WSecEdit WSecEdit RSOP Security Settings Class
57431Оснастка расширения "Параметры безопасности RSOP" дополняет оснастку RSOP и позволяет определять результирующие политики безопасности для компьютеров в вашем домене. The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain.
57435&Применить &Apply
57436Параметры безопасности групповой политики, которые применяются к этому компьютеру, не определены.
Произошла следующая ошибка при попытке получить данные параметры из базы политики локальной безопасности (%%windir%%\security\database\secedit.sdb): %s
Все параметры безопасности будут отображены, но не будет указано, был ли данный параметр определен через групповую политику.
Все внесенные пользователем изменения могут быть перезаписаны политиками доменного уровня.
The Group Policy security settings that apply to this machine could not be determined.
The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies.
57437Параметры безопасности групповой политики, которые применяются к этому компьютеру, не определены.
Произошла следующая ошибка при попытке получить данные параметры из базы локальной политики (%%windir%%\security\database\secedit.sdb): %s
Все параметры безопасности будут отображены, но не будет указано, был ли данный параметр определен через групповую политику.
The Group Policy security settings that apply to this machine could not be determined.
The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
57438Файл журнала: Log file:
57439Имя политики Policy Name
57440Параметр Setting
57441Политика %1 была корректно применена. The policy %1 was correctly applied.
57442Произошла ошибка настройки объекта, дочернего по отношению к данному. (или процессор обработки политик попытался и не смог настроить дочерний элемент некоторого параметра политики.) Дополнительная информация приведена в %windir%\security\logs\winlogon.log There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log
57443Политика %1 вызвала ошибку %2. Дополнительная информация приведена в %windir%\security\logs\winlogon.log на целевом компьютере. The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57444Политика %1 вызвала недопустимый статус и была запротоколирована. Дополнительная информация приведена в %%windir%%\security\logs\winlogon.log на целевом компьютере. The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information.
57445Процессор обработки политики не пытался настроить параметр. Дополнительная информация приведена в %windir%\security\logs\winlogon.log на целевом компьютере. The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57446&Показать безопасность... &View Security...
57447Не удается экспортировать шаблон в %1.
Возвращена следующая ошибка: %2
Couldn't export template to %1.
The error returned was: %2
57448Сохранить изменения в базу безопасности? Save changes to Security Database?
57449Запретить вход в систему через службу удаленных рабочих столов Deny log on through Remote Desktop Services
57450Разрешить вход в систему через службу удаленных рабочих столов Allow log on through Remote Desktop Services
57451Не удается добавить путь поиска шаблона Couldn't add template search path
57453\Security\Logs \Security\Logs
57454Раздел безопасности этой групповой политики может быть изменен только на PDC-эмуляторе. The security portion of this group policy may only be edited on the PDC Emulator.
57455Данный параметр не совместим с пакетом обновления 1 для Windows 2000 или более ранними версиями. Применяйте объекты групповой политики, содержащие данный параметр, только к компьютерам с более поздней версией операционной системы. This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system.
57456Закройте все страницы свойств перед удалением %1 Close all property pages before deleting %1
57457Введите значение между %d и %d Value must be between %d and %d
57458Доступ к сети: Разрешить трансляцию анонимного SID в имя Network access: Allow anonymous SID/Name translation
57459Администраторы должны иметь право локального входа в систему. Administrators must be granted the logon local right.
57460Вы не можете запретить всем пользователям или администратору локально входить в систему. You cannot deny all users or administrator(s) from logging on locally.
57461Некоторые учетные записи не могут быть оттранслированы. Some accounts cannot be translated.
57462Для применения изменений или закрытия этого диалога закройте все дочерние окна. To apply your changes or close this property sheet, close all secondary windows.
57463Окно не может быть открыто. Windows не может создать поток пользовательского интерфейса для данного диалога. The window cannot be opened. Windows cannot create a UI thread for the property sheet.
57464\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm
57465Что это такое? What's this?
57466sct sct
57467\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm
57468Введите значение между %d и %d или 0 Value must be between %d and %d or 0
57469Этот параметр влияет только на операционные системы, выпущенные ранее Windows Server 2003. This setting affects only operating systems earlier than Windows Server 2003.
57470Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями.
%1
Modifying this setting may affect compatibility with clients, services, and applications.
%1
57471Дополнительные сведения см. в статье %1. (Q%2!lu!) For more information, see %1. (Q%2!lu!)
57472Вы собираетесь изменить этот параметр на значение, которое может повлиять на совместимость с клиентами, службами и приложениями.

%1

Продолжить изменение?
You are about to change this setting to a value that may affect compatibility with clients, services, and applications.

%1

Do you want to continue with the change?
57473Учетным записям администраторов и SERVICE должно быть предоставлена привилегия олицетворения клиентов после проверки подлинности Administrators and SERVICE must be granted the impersonate client after authentication privilege
57474Этот параметр может не применяться, если другая политика переопределяет параметры политики аудита на уровне категории.
%1
This setting might not be enforced if other policy is configured to override category level audit policy.
%1
57475Для получения дополнительных сведений см. %1 в техническом справочнике по политике безопасности. For more information, see %1 in the Security Policy Technical Reference.
58000Для этого действия отсутствует поясняющий текст No explain text for this action
58003Компьютер будет заблокирован по истечении Machine will be locked after
58100Управление централизованными политиками доступа...
Добавление централизованных политик доступа в этот шаблон и их удаление из него
Manage Central Access Policies...
Add/Remove Central Access Policies to this template
58107Эта политика доступа включает следующие правила политики: This Access Policy includes the following Policy rules:
58108Состояние Status
58109Идет скачивание централизованных политик доступа из Active Directory... Downloading central access policies from active directory...
58110Ошибка: не удалось скачать централизованные политики доступа Error: Central access policies could not be downloaded
58111Готово... Ready...
58113Эту централизованную политику доступа не удалось найти. Возможно, она была удалена из Active Directory или имеет недопустимые параметры. Восстановите эту политику в центре администрирования Active Directory (AD AC) или удалите ее из конфигурации. This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration.
59001Учетные записи: разрешить использование пустых паролей только при консольном входе Accounts: Limit local account use of blank passwords to console logon only
59002Аудит: аудит доступа глобальных системных объектов Audit: Audit the access of global system objects
59003Аудит: аудит использования привилегии на архивацию и восстановление Audit: Audit the use of Backup and Restore privilege
59004Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности Audit: Shut down system immediately if unable to log security audits
59005Устройства: запретить пользователям установку драйверов принтера Devices: Prevent users from installing printer drivers
59010Устройства: разрешать отстыковку без входа в систему Devices: Allow undock without having to log on
59011Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию Domain controller: Allow server operators to schedule tasks
59012Контроллер домена: запретить изменение пароля учетных записей компьютера Domain controller: Refuse machine account password changes
59013Контроллер домена: требование цифровой подписи для LDAP-сервера Domain controller: LDAP server signing requirements
59015Требуется цифровая подпись Require signing
59016Член домена: отключить изменение пароля учетных записей компьютера Domain member: Disable machine account password changes
59017Член домена: максимальный срок действия пароля учетных записей компьютера Domain member: Maximum machine account password age
59018Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала Domain member: Digitally encrypt or sign secure channel data (always)
59019Член домена: шифрование данных безопасного канала, когда это возможно Domain member: Digitally encrypt secure channel data (when possible)
59020Член домена: цифровая подпись данных безопасного канала, когда это возможно Domain member: Digitally sign secure channel data (when possible)
59021Член домена: требовать стойкий сеансовый ключ (Windows 2000 или выше) Domain member: Require strong (Windows 2000 or later) session key
59022Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL Interactive logon: Do not require CTRL+ALT+DEL
59023Интерактивный вход в систему: не отображать учетные данные последнего пользователя Interactive logon: Don't display last signed-in
59024Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован. Interactive logon: Display user information when the session is locked
59025Выводимое имя пользователя, имена домена и пользователя User display name, domain and user names
59026Только имя пользователя User display name only
59027Не отображать сведения о пользователе Do not display user information
59028Интерактивный вход в систему: текст сообщения для пользователей при входе в систему Interactive logon: Message text for users attempting to log on
59029Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему Interactive logon: Message title for users attempting to log on
59030Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) Interactive logon: Number of previous logons to cache (in case domain controller is not available)
59031Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее Interactive logon: Prompt user to change password before expiration
59032Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера Interactive logon: Require Domain Controller authentication to unlock workstation
59033Интерактивный вход в систему: требовать Windows Hello для бизнеса или смарт-карту Interactive logon: Require Windows Hello for Business or smart card
59034Интерактивный вход в систему: поведение при извлечении смарт-карты Interactive logon: Smart card removal behavior
59035Нет действия No Action
59036Блокировка рабочей станции Lock Workstation
59037Принудительный выход из системы Force Logoff
59038Отключение в случае удаленного сеанса служб удаленных рабочих столов Disconnect if a remote Remote Desktop Services session
59039Клиент сети Microsoft: использовать цифровую подпись (всегда) Microsoft network client: Digitally sign communications (always)
59040Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) Microsoft network client: Digitally sign communications (if server agrees)
59041Клиент сети Microsoft: отправлять незашифрованный пароль сторонним SMB-серверам Microsoft network client: Send unencrypted password to third-party SMB servers
59042Сервер сети Microsoft: время бездействия до приостановки сеанса Microsoft network server: Amount of idle time required before suspending session
59043Сервер сети Microsoft: использовать цифровую подпись (всегда) Microsoft network server: Digitally sign communications (always)
59044Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) Microsoft network server: Digitally sign communications (if client agrees)
59045Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа Microsoft network server: Disconnect clients when logon hours expire
59046Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности Network access: Do not allow storage of passwords and credentials for network authentication
59047Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями Network access: Do not allow anonymous enumeration of SAM accounts
59048Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями Network access: Do not allow anonymous enumeration of SAM accounts and shares
59049Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям Network access: Let Everyone permissions apply to anonymous users
59050Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам Network access: Restrict anonymous access to Named Pipes and Shares
59051Сетевой доступ: разрешать анонимный доступ к именованным каналам Network access: Named Pipes that can be accessed anonymously
59052Сетевой доступ: разрешать анонимный доступ к общим ресурсам Network access: Shares that can be accessed anonymously
59053Сетевой доступ: удаленно доступные пути и вложенные пути реестра Network access: Remotely accessible registry paths and sub-paths
59054Сетевой доступ: удаленно доступные пути реестра Network access: Remotely accessible registry paths
59055Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей Network access: Sharing and security model for local accounts
59056Обычная - локальные пользователи удостоверяются как они сами Classic - local users authenticate as themselves
59057Гостевая - локальные пользователи удостоверяются как гости Guest only - local users authenticate as Guest
59058Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля Network security: Do not store LAN Manager hash value on next password change
59059Сетевая безопасность: уровень проверки подлинности LAN Manager Network security: LAN Manager authentication level
59060Отправлять LM- и NTML-ответы Send LM & NTLM responses
59061Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании Send LM & NTLM - use NTLMv2 session security if negotiated
59062Отправлять только NTLM ответ Send NTLM response only
59063Отправлять только NTLMv2 ответ Send NTLMv2 response only
59064Отправлять только NTLMv2-ответ. Отказывать LM Send NTLMv2 response only. Refuse LM
59065Отправлять только NTLMv2-ответ. Отказывать LM и NTLM Send NTLMv2 response only. Refuse LM & NTLM
59066Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
59067Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
59070Требовать сеансовую безопасность NTLMv2 Require NTLMv2 session security
59071Требовать 128-битное шифрование Require 128-bit encryption
59072Сетевая безопасность: требование цифровой подписи для LDAP-клиента Network security: LDAP client signing requirements
59074Согласование цифровой подписи Negotiate signing
59076Консоль восстановления: разрешить автоматический вход администратора Recovery console: Allow automatic administrative logon
59077Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам Recovery console: Allow floppy copy and access to all drives and all folders
59078Завершение работы: разрешить завершение работы системы без выполнения входа в систему Shutdown: Allow system to be shut down without having to log on
59079Завершение работы: очистка файла подкачки виртуальной памяти Shutdown: Clear virtual memory pagefile
59080Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок) System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
59081Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов System objects: Default owner for objects created by members of the Administrators group
59082Группа администраторов Administrators group
59083Создатель объекта Object creator
59084Системные объекты: учитывать регистр для подсистем, отличных от Windows System objects: Require case insensitivity for non-Windows subsystems
59085Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
59086Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере System cryptography: Force strong key protection for user keys stored on the computer
59087Не требуется ввод данных пользователем при сохранении и использовании новых ключей User input is not required when new keys are stored and used
59088Пользователь получает запрос при первом использовании ключа User is prompted when the key is first used
59089Пользователь должен вводить пароль при каждом использовании ключа User must enter a password each time they use a key
59090Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
59091Параметры системы: необязательные подсистемы System settings: Optional subsystems
59092входов в систему logons
59093дн. days
59094мин. minutes
59095сек. seconds
59096DCOM: Ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language) DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
59097DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language) DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
59098Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям Devices: Restrict CD-ROM access to locally logged-on user only
59099Устройства: разрешить форматирование и извлечение съемных носителей Devices: Allowed to format and eject removable media
59100Администраторы Administrators
59101Администраторы и опытные пользователи Administrators and Power Users
59102Администраторы и интерактивные пользователи Administrators and Interactive Users
59103Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям Devices: Restrict floppy access to locally logged-on user only
59104Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии) Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
59105Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
59106Разрешить все Allow all
59107Запретить все Deny all
59108Сетевая безопасность: ограничения NTLM: входящий трафик NTLM Network security: Restrict NTLM: Incoming NTLM traffic
59110Запретить все учетные записи домена Deny all domain accounts
59111Запретить все учетные записи Deny all accounts
59112Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене Network security: Restrict NTLM: NTLM authentication in this domain
59113Отключить Disable
59114Запретить для учетных записей домена на серверах домена Deny for domain accounts to domain servers
59115Запретить для учетных записей домена Deny for domain accounts
59116Запретить для серверов домена Deny for domain servers
59118Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
59119Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене Network security: Restrict NTLM: Add server exceptions in this domain
59120Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы Network security: Allow LocalSystem NULL session fallback
59121Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos Network security: Configure encryption types allowed for Kerberos
59122DES_CBC_CRC DES_CBC_CRC
59123DES_CBC_MD5 DES_CBC_MD5
59124RC4_HMAC_MD5 RC4_HMAC_MD5
59125AES128_HMAC_SHA1 AES128_HMAC_SHA1
59126AES256_HMAC_SHA1 AES256_HMAC_SHA1
59127Будущие типы шифрования Future encryption types
59129Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру.

Network security: Allow PKU2U authentication requests to this computer to use online identities.

59130Аудит всего Audit all
59131Сетевая безопасность: ограничения NTLM: аудит входящего трафика NTLM Network security: Restrict NTLM: Audit Incoming NTLM Traffic
59132Сетевая безопасность: ограничения NTLM: аудит проверки подлинности NTLM в этом домене Network security: Restrict NTLM: Audit NTLM authentication in this domain
59133Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM Network security: Allow Local System to use computer identity for NTLM
59135Включить аудит для учетных записей домена Enable auditing for domain accounts
59136Включить аудит для всех учетных записей Enable auditing for all accounts
59138Включить для учетных записей домена на серверах домена Enable for domain accounts to domain servers
59139Включить для учетных записей домена Enable for domain accounts
59140Включить для серверов домена Enable for domain servers
59141Включить все Enable all
59142Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта Microsoft network server: Server SPN target name validation level
59143Откл. Off
59144Принимать, если предоставлено клиентом Accept if provided by client
59145Требовать от клиента Required from client
59146Сетевой сервер (Майкрософт): попытка S4U2Self получить информацию об утверждении Microsoft network server: Attempt S4U2Self to obtain claim information
59147По умолчанию Default
59148Включено Enabled
59149Отключено Disabled
59150Учетные записи: блокировать учетные записи Майкрософт Accounts: Block Microsoft accounts
59151Эта политика отключена This policy is disabled
59152Пользователи не могут добавлять учетные записи Майкрософт Users can't add Microsoft accounts
59153Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа Users can't add or log on with Microsoft accounts
59154Интерактивный вход в систему: пороговое число неудачных попыток входа Interactive logon: Machine account lockout threshold
59155Интерактивный вход в систему: предел простоя компьютера Interactive logon: Machine inactivity limit
59156до блокировки учетной записи компьютера invalid logon attempts
59157Сетевой доступ: ограничить количество клиентов, которым разрешены удаленные вызовы SAM Network access: Restrict clients allowed to make remote calls to SAM
59158Интерактивный вход в систему: не отображать имя пользователя при входе в систему Interactive logon: Don't display username at sign-in

EXIF

File Name:wsecedit.dll.mui
Directory:%WINDIR%\WinSxS\amd64_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_ru-ru_7f59e5304ae4e910\
File Size:458 kB
File Permissions:rw-rw-rw-
File Type:Win32 DLL
File Type Extension:dll
MIME Type:application/octet-stream
Machine Type:Intel 386 or later, and compatibles
Time Stamp:0000:00:00 00:00:00
PE Type:PE32
Linker Version:14.10
Code Size:0
Initialized Data Size:468992
Uninitialized Data Size:0
Entry Point:0x0000
OS Version:10.0
Image Version:10.0
Subsystem Version:6.0
Subsystem:Windows GUI
File Version Number:10.0.15063.0
Product Version Number:10.0.15063.0
File Flags Mask:0x003f
File Flags:(none)
File OS:Windows NT 32-bit
Object File Type:Dynamic link library
File Subtype:0
Language Code:Russian
Character Set:Unicode
Company Name:Microsoft Corporation
File Description:Модуль интерфейса конфигурации безопасности
File Version:10.0.15063.0 (WinBuild.160101.0800)
Internal Name:WSECEDIT
Legal Copyright:© Корпорация Майкрософт. Все права защищены.
Original File Name:WSecEdit.dll.mui
Product Name:Операционная система Microsoft® Windows®
Product Version:10.0.15063.0
Directory:%WINDIR%\WinSxS\x86_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_ru-ru_233b49ac928777da\

What is wsecedit.dll.mui?

wsecedit.dll.mui is Multilingual User Interface resource file that contain Russian language for file wsecedit.dll (Модуль интерфейса конфигурации безопасности).

File version info

File Description:Модуль интерфейса конфигурации безопасности
File Version:10.0.15063.0 (WinBuild.160101.0800)
Company Name:Microsoft Corporation
Internal Name:WSECEDIT
Legal Copyright:© Корпорация Майкрософт. Все права защищены.
Original Filename:WSecEdit.dll.mui
Product Name:Операционная система Microsoft® Windows®
Product Version:10.0.15063.0
Translation:0x419, 1200