File name: | wsecedit.dll.mui |
Size: | 469504 byte |
MD5: | 943f8d60f759beee394c93a27d3d22fe |
SHA1: | 86a464c0d010ad5ad748f8ad20319eb8fa63ce55 |
SHA256: | 033343b2120e86ffce83ce8d61b0a36fb5a2ff3bbdce2b322b1da1dd062f717c |
Operating systems: | Windows 10 |
Extension: | MUI |
If an error occurred or the following message in Russian language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.
id | Russian | English |
---|---|---|
1 | Класс расширений WSecEdit | WSecEdit Extension Class |
2 | Имя | Name |
3 | Описание | Description |
4 | Политика | Policy |
5 | Параметр базы данных | Database Setting |
6 | Параметр компьютера | Computer Setting |
7 | Шаблон безопасности | Security Template |
8 | Шаблоны | Templates |
9 | Последняя конфигурация/Анализ | Last Configuration/Analysis |
10 | Шаблоны безопасности для настройки или анализа компьютера. | Security templates defined to configure or analyze a computer. |
12 | Политика безопасности | Security Policy |
13 | Назначение прав пользователя | User Rights Assignment |
14 | Группы с ограниченным доступом | Restricted Groups |
15 | Системные службы | System Services |
16 | Реестр | Registry |
17 | Файловая система | File System |
21 | Параметры системной службы | System service settings |
22 | Параметры безопасности реестра | Registry security settings |
23 | Параметры безопасности файловой системы | File system security settings |
24 | Шаблоны безопасности | Security Templates |
25 | (не сохранено) | (not saved) |
26 | Параметры безопасности | Security Settings |
27 | Класс конфигурации безопасности WSecEdit | WSecEdit Security Configuration Class |
28 | Класс диспетчера безопасности WSecEdit | WSecEdit Security Manager Class |
29 | Вы действительно хотите удалить "%s"? | Are you sure you want to delete %s? |
30 | Вы хотите удалить все выделенные элементы? | Do you want to delete all selected items? |
31 | &Анализ компьютера... Сравнение текущих параметров компьютера с параметрами безопасности в базе данных |
&Analyze Computer Now... Compares the current computer settings against the security settings in the database |
34 | &Экспорт шаблона... Экспорт основного шаблона для данного компьютера |
&Export Template... Exports the base template for the current computer |
35 | Добавить &файлы... Добавление новых файлов в этот шаблон |
Add Fi&les... Adds new files to this template |
36 | &Новый путь для поиска шаблонов... Добавление папки к пути поиска шаблонов безопасности. (.inf - формат INF) |
&New Template Search Path... Adds a template location to the Security Templates' search path (.inf - INF format) |
37 | Созд&ать шаблон... Создание нового шаблона |
&New Template... Creates a new template |
38 | &Удалить путь Удаление выбранной папки из пути поиска |
&Remove Path Removes the selected location from the search path |
39 | О&бновить Обновление этой папки для вывода добавленных шаблонов |
Re&fresh Updates this location to display recently added templates |
40 | &Настроить компьютер... Настройка компьютера в соответствии с выбранным шаблоном |
Con&figure Computer Now... Configures the computer according to the selected template |
42 | Не удалось импортировать шаблон из %s | Windows cannot import the template from %s |
43 | Сохр&анить как... Сохранение шаблона под новым именем |
Save &As... Saves the template with a new name |
44 | Копи&ровать Копирование выделенной информации из шаблона в буфер обмена |
&Copy Copies the selected template information to the Clipboard |
45 | Вс&тавить Вставка информации из буфера обмена в шаблон |
&Paste Pastes Clipboard information into the template |
46 | Исходный объект GPO | Source GPO |
47 | О&бновить Обновление данных |
&Refresh Refreshes data |
48 | Для добавления этого объекта требуется безопасность | Security is required to add this object |
49 | Не удалось импортировать шаблон безопасности | Windows cannot import the security template |
50 | Политика паролей | Password Policy |
51 | Максимальный срок действия пароля дн. |
Maximum password age days |
52 | Минимальный срок действия пароля дн. |
Minimum password age days |
53 | Минимальная длина пароля зн. |
Minimum password length characters |
54 | Вести журнал паролей сохраненных паролей |
Enforce password history passwords remembered |
55 | Пароль должен отвечать требованиям сложности | Password must meet complexity requirements |
56 | Для смены пароля пользователь должен войти в систему | User must log on to change the password |
57 | Политика блокировки учетной записи | Account Lockout Policy |
58 | Пороговое значение блокировки ошибок входа в систему |
Account lockout threshold invalid logon attempts |
59 | Время до сброса счетчика блокировки мин. |
Reset account lockout counter after minutes |
60 | Продолжительность блокировки учетной записи мин. |
Account lockout duration minutes |
61 | Вы хотите удалить этот шаблон? | Do you want to delete this template? |
62 | База данных не загружена. | The database is not loaded. |
63 | Сетевая безопасность: Принудительный вывод из сеанса по истечении допустимых часов работы | Network security: Force logoff when logon hours expire |
65 | Учетные записи: Переименование учетной записи администратора | Accounts: Rename administrator account |
67 | Учетные записи: Переименование учетной записи гостя | Accounts: Rename guest account |
68 | Перезагрузить Перезагрузка таблиц локальной и действующей политики из базы данных политики |
Reload Reloads the local and effective policy tables from the policy database |
69 | Имя группы | Group Name |
70 | Журнал событий | Event Log |
71 | Максимальный размер системного журнала КБ |
Maximum system log size kilobytes |
72 | Метод сохранения событий в системном журнале | Retention method for system log |
73 | Сохранять события в системном журнале дн. |
Retain system log days |
74 | Максимальный размер журнала безопасности КБ |
Maximum security log size kilobytes |
75 | Метод сохранения событий в журнале безопасности | Retention method for security log |
76 | Сохранять события в журнале безопасности дн. |
Retain security log days |
77 | Максимальный размер журнала приложений КБ |
Maximum application log size kilobytes |
78 | Метод сохранения событий в журнале приложений | Retention method for application log |
79 | Сохранять события в журнале приложений дн. |
Retain application log days |
80 | Завершать работу при переполнении журнала аудита безопасности | Shut down the computer when the security audit log is full |
81 | Политика аудита | Audit Policy |
82 | Режим аудита событий | Event Auditing Mode |
83 | Аудит системных событий | Audit system events |
84 | Аудит входа в систему | Audit logon events |
85 | Аудит доступа к объектам | Audit object access |
86 | Аудит использования привилегий | Audit privilege use |
87 | Аудит изменения политики | Audit policy change |
88 | Аудит управления учетными записями | Audit account management |
89 | Аудит отслеживания процессов | Audit process tracking |
92 | Не определено | Not Defined |
95 | Не удалось добавить члена | Cannot add members |
96 | Не удается отобразить безопасность. | Cannot display security |
97 | Не удалось добавить пользователя | Cannot add users |
98 | Не удается добавить объект каталога | Cannot add directory object |
99 | Не удается добавить папку | Cannot add a folder |
100 | -- Члены | -- Members |
102 | Это имя файла содержит некоторые знаки, которые не соответствуют текущему языку системы. Следует переименовать этот файл. | This file name contains some characters that can not be recognized by current system language. Please rename it. |
103 | Разрешение | Permission |
104 | Аудит | Audit |
106 | Не удалось добавить файл. | Windows cannot add a file. |
107 | Неправильное имя шаблона. | The template name is not valid. |
108 | Ошибка при экспортировании сохраненного шаблона. | An error occurred while exporting the stored template. |
109 | Не удалось добавить раздел реестра | Windows cannot add a registry key |
110 | Полный доступ | Full Control |
111 | Изменение | Modify |
112 | Чтение и выполнение | Read and Execute |
113 | Список содержимого папки | List Folder Contents |
114 | Чтение | Read |
115 | Запись | Write |
116 | Обзор папок/Выполнение файлов | Traverse Folder/Execute File |
117 | Удаление | Delete |
120 | Нет | None |
124 | Запрос значения | Query Value |
125 | Задание значения | Set Value |
126 | Создание подраздела | Create Subkey |
127 | Перечисление подразделов | Enumerate Subkeys |
128 | Уведомление | Notify |
129 | Создание связи | Create Link |
130 | Выполнение | Execute |
131 | Не удается создать поток | Cannot create a thread |
132 | Не удалось проверить следующие учетные записи: %1 |
The following accounts could not be validated: %1 |
141 | Имя файла журнала | Log File Name |
143 | Выполнить анализ безопасности | Perform Security Analysis |
144 | Параметры политики безопасности | Security policy settings |
146 | Анализ и настройка безопасности версия 1.0 |
Security Configuration and Analysis v1.0 |
147 | Программа анализа и настройки безопасности используется для управления режимом безопасности компьютера. С ее помощью можно создавать или изменять шаблон безопасности, применять шаблон безопасности, выполнять проверку безопасности на основе шаблона и выводить результаты проверки на экран. | Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results. |
148 | Последний раз анализ выполнялся |
Last analysis was performed on |
149 | Описание базовой конфигурации безопасности: |
Base security configuration description: |
150 | Настройка компьютера выполнена с помощью указанного шаблона. Анализ не выполнялся. |
The computer was configured by the following template. Analysis was not performed. |
151 | База данных не была настроена или проанализирована с помощью программы анализа и настройки безопасности. | The database has not been configured or analyzed using Security Configuration and Analysis. |
152 | О программе | About Security Configuration and Analysis |
153 | О последнем анализе | About Last Analysis |
154 | Добавление нового размещения шаблонов безопасности | Add a Template Location to Security Templates |
165 | Имя объекта | Object Name |
166 | Противоречивые значения | Inconsistent Values |
168 | Открыть шаблон | Open Template |
169 | Шаблон безопасности (.inf)|*.inf|| | Security Template (.inf)|*.inf|| |
170 | inf | inf |
171 | Открытие файла журнала ошибок | Open Error Log File |
172 | log | log |
173 | Файлы журнала (.log)|*.log|| | Log files (.log)|*.log|| |
193 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations |
194 | Не удалось открыть файл шаблона. | Windows cannot open template file. |
195 | Не удалось прочесть данные шаблона. | Windows cannot read template information. |
196 | В выбранной базе данных отсутствуют данные анализа, которые можно было бы отобразить. Начните работу с выполнения анализа. | There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool. |
197 | 0 | 0 |
198 | По мере надобности | As needed |
199 | По дням | By days |
200 | Вручную | Manually |
201 | Включен | Enabled |
202 | Отключен | Disabled |
203 | Вкл | On |
204 | Выкл | Off |
210 | Члены группы | Members |
211 | Член групп | Member Of |
214 | CLASSES_ROOT | CLASSES_ROOT |
215 | MACHINE | MACHINE |
216 | USERS | USERS |
217 | Успешно | Succeeded |
229 | Неизвестная ошибка | Unknown error |
232 | \Security\Templates | \Security\Templates |
233 | Доступ к компьютеру из сети | Access this computer from the network |
234 | Локальный вход в систему | Allow log on locally |
235 | Не удалось сохранить | Failed to save |
236 | Со&хранить Сохранение шаблона |
&Save Save the template |
237 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit | Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
238 | Добавить папку | Add Folder |
239 | Добавить &папку... Добавление новой папки к этому шаблону |
Add &Folder... Adds a new folder to this template |
240 | &Добавить раздел... Добавление нового раздела к этому шаблону |
Add &Key... Adds a new key to this template |
241 | Добавить &группу... Добавление новой группы к этому шаблону |
Add &Group... Adds a new group to this template |
248 | Имя службы | Service Name |
249 | Автозагрузка | Startup |
250 | Проанализировано | Analyzed |
251 | Настроено | Configured |
252 | Автоматическое | Automatic |
254 | ОК | OK |
255 | Исследовать | Investigate |
256 | Безопасность базы данных для | Database Security for |
257 | Последний анализ безопасности для | Last Analyzed Security for |
258 | Безопасность для | Security for |
262 | Членство в группах | Group Membership |
263 | Члены этой группы | Members of this group |
266 | Политики учетных записей | Account Policies |
267 | Политики паролей и блокировки учетных записей | Password and account lockout policies |
268 | Локальные политики | Local Policies |
269 | Политики аудита, прав пользователей и параметров безопасности | Auditing, user rights and security options policies |
271 | Параметры журнала событий и просмотра событий | Event Log settings and Event Viewer |
272 | Аудит доступа к службе каталогов | Audit directory service access |
273 | Аудит событий входа в систему | Audit account logon events |
275 | Запретить доступ локальной группы гостей к системному журналу | Prevent local guests group from accessing system log |
276 | Запретить доступ локальной группы гостей к журналу безопасности | Prevent local guests group from accessing security log |
277 | Запретить доступ локальной группы гостей к журналу приложений | Prevent local guests group from accessing application log |
278 | всегда | Always |
281 | Пропустить | Ignore |
284 | Заменить | Replace |
286 | Вход в качестве пакетного задания | Log on as a batch job |
287 | Вход в качестве службы | Log on as a service |
288 | Объекты Active Directory | Active Directory Objects |
289 | Управление безопасностью объектов Active Directory | Security management of Active Directory objects |
290 | Добавить &объект каталога Добавление объекта службы каталогов к этому шаблону |
Add Directory &Object Adds an Active Directory object to this template |
293 | Содержание папки / Чтение данных | List folder / Read data |
294 | Чтение атрибутов | Read attributes |
295 | Чтение дополнительных атрибутов | Read extended attributes |
296 | Создание файлов / Запись данных | Create files / Write data |
297 | Создание папок / Дозапись данных | Create folders / Append data |
298 | Запись атрибутов | Write attributes |
299 | Запись дополнительных атрибутов | Write extended attributes |
300 | Удаление вложенных папок и файлов | Delete subfolders and files |
302 | Чтение разрешений | Read permissions |
303 | Смена разрешений | Change permissions |
304 | Смена владельца | Take ownership |
305 | Синхронизация | Synchronize |
306 | Чтение, запись и выполнение | Read, Write and Execute |
307 | Запись и выполнение | Write and Execute |
308 | Обзор / Выполнение | Traverse / Execute |
309 | Только для этой папки | This folder only |
310 | Для этой папки, вложенных папок и файлов | This folder, subfolders and files |
311 | Для этой папки и вложенных папок | This folder and subfolders |
312 | Для этой папки и ее файлов | This folder and files |
313 | Только для вложенных папок и файлов | Subfolders and files only |
314 | Только для вложенных папок | Subfolders only |
315 | Только для файлов | Files only |
316 | Только этот раздел | This key only |
317 | Этот раздел и его подразделы | This key and subkeys |
318 | Только подразделы | Subkeys only |
321 | Пуск, стоп и пауза | Start, stop and pause |
322 | Запрос шаблона | Query template |
323 | Изменение шаблона | Change template |
324 | Запрос состояния | Query status |
325 | Перечисление зависящих | Enumerate dependents |
326 | Пуск | Start |
327 | Стоп | Stop |
328 | Пауза и возобновление | Pause and continue |
329 | Опрос | Interrogate |
330 | Пользовательский элемент управления | User-defined control |
335 | Создание потомков | Create children |
336 | Удаление потомков | Delete children |
337 | Список содержимого | List contents |
338 | Добавление/Удаление себя | Add/remove self |
339 | Чтение свойств | Read properties |
340 | Запись свойств | Write properties |
341 | Только этот контейнер | This container only |
342 | Этот контейнер и его подконтейнеры | This container and subcontainers |
343 | Только подконтейнеры | Subcontainers only |
344 | [[ Конфигурация политики локального компьютера ]] | [[Local Computer Policy Configuration ]] |
345 | Учетная запись не будет блокирована. | Account will not lock out. |
346 | Пароль может быть изменен немедленно. | Password can be changed immediately. |
347 | Пароль не требуется. | No password required. |
348 | Не запоминать прежние пароли. | Do not keep password history. |
349 | Срок истечения действия пароля: | Password will expire in: |
350 | Пароль можно изменять через: | Password can be changed after: |
351 | Длина пароля не менее: | Password must be at least: |
352 | Вести журнал для: | Keep password history for: |
353 | Блокировать учетную запись после: | Account will lock out after: |
354 | Блокировать учетную запись на: | Account is locked out for: |
355 | Затирать события старше: | Overwrite events older than: |
356 | Срок действия пароля не ограничен. | Password will not expire. |
357 | Учетная запись блокирована до снятия блокировки администратором. | Account is locked out until administrator unlocks it. |
359 | Хранить пароли, используя обратимое шифрование | Store passwords using reversible encryption |
360 | Политика Kerberos | Kerberos Policy |
361 | Принудительные ограничения входа пользователей | Enforce user logon restrictions |
362 | Максимальная погрешность синхронизации часов компьютера мин. |
Maximum tolerance for computer clock synchronization minutes |
363 | Максимальный срок жизни билета службы мин. |
Maximum lifetime for service ticket minutes |
364 | Максимальный срок жизни билета пользователя ч. |
Maximum lifetime for user ticket hours |
365 | Максимальный срок жизни для возобновления билета пользователя дн. |
Maximum lifetime for user ticket renewal days |
366 | Добавление участника | Add Member |
368 | Недостаточно памяти для отображения этой секции | There is not enough memory to display this section |
369 | Нет информации о последнем анализе | No information is available about the last analysis |
370 | Не удалось сохранить измененные шаблоны. | Windows cannot save changed templates. |
372 | Анализ и настройка безопасности | Security Configuration and Analysis |
374 | &Импорт шаблона... Импорт шаблона в эту базу данных |
&Import Template... Import a template into this database |
376 | Не удалось создать или открыть %s | Windows cannot create or open %s |
377 | Найти файл протокола ошибок | Locate error log file |
378 | sdb | sdb |
379 | Файлы баз данных безопасности (*.sdb)|*.sdb|Все файлы (*.*)|*.*|| | Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*|| |
380 | Применить шаблон к компьютеру | Apply Template to Computer |
381 | Путь к файлу журнала ошибок для записи хода настройки компьютера | Error log file path to record the progress of configuring the computer |
382 | &Безопасность... | &Security... |
383 | Изменение безопасности для этого элемента | Edit security for this item |
384 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration |
385 | &Безопасность... Изменение параметров безопасности для этого элемента |
&Security... Edit security for this item |
386 | EnvironmentVariables | EnvironmentVariables |
387 | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| |
388 | О&ткрыть базу данных... Открытие существующей или новой базы данных |
O&pen Database... Open an existing or new database |
389 | Созд&ать базу данных... Создание и открытие новой базы данных |
&New Database... Create and open a new database |
390 | Задать оп&исание... Создание описания для шаблонов в этой папке |
Set Descri&ption... Create a description for the templates in this directory |
392 | \help\sce.chm | \help\sce.chm |
395 | Все файлы (*.*)|*.*|| | All files (*.*)|*.*|| |
396 | База данных: %s | Database: %s |
397 | Неизвестная ошибка при попытке открыть базу данных. | An unknown error occurred when attempting to open the database. |
398 | Чтобы воспользоваться базой данных, проанализируйте ее. В меню "База данных" выберите команду выполнения анализа. | Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis. |
399 | Попытка открыть несуществующую базу данных. В меню "База данных" выберите команду "Импорт шаблона". | The database you are attempting to open does not exist. On the Database menu, click Import Template. |
400 | База данных повреждена. Сведения об исправлении базы данных можно найти в интернет-справке. | The database is corrupt. For information about fixing the database, see online Help. |
401 | Недостаточно памяти для загрузки базы данных. Закройте неиспользуемые приложения и повторите попытку. | There is not enough memory available to load the database. Close some programs and then try again. |
402 | Отказано в доступе к базе данных. Если разрешения для базы данных не были изменены, для работы с базой данных нужны права администратора. | Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it. |
403 | \Security\Database | \Security\Database |
404 | Вы хотите сохранить изменения в %s? | Do you want to save changes to %s? |
405 | Имеется существующий импортированный шаблон в ожидании. Чтобы сохранить его, нажмите кнопку "Отмена" и запустите анализ или конфигурацию перед импортом другого шаблона. Чтобы проигнорировать ранее импортированный шаблон, нажмите кнопку ОК. |
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK. |
406 | Все выбранные файлы | All Selected Files |
407 | Запретить локальный вход | Deny log on locally |
408 | Отказать в доступе к этому компьютеру из сети | Deny access to this computer from the network |
409 | Отказать во входе в качестве службы | Deny log on as a service |
410 | Отказать во входе в качестве пакетного задания | Deny log on as a batch job |
411 | Добавление группы | Add Group |
412 | &Группа: | &Group: |
413 | Не анализировано | Not Analyzed |
414 | Ошибка при анализе | Error Analyzing |
416 | Предлагаемое значение | Suggested Setting |
417 | Локальная политика... Создать шаблон на основе параметров локальной политики |
Local Policy ... Create template file from the local policy settings |
418 | Действующая политика... Создать шаблон на основе параметров действующей политики |
Effective Policy ... Create template file from the effective policy settings |
419 | Анализ и настройка безопасности Чтобы открыть существующую базу данных Правой кнопкой мыши щелкните элемент области Анализ и настройка безопасности Нажмите кнопку Открыть базу данных Выберите базу данных и нажмите Открыть Чтобы создать новую базу данных Правой кнопкой мыши щелкните элемент области Анализ и настройка безопасности Нажмите кнопку Открыть базу данных Введите имя новой базы данных и нажмите кнопку Открыть Выберите шаблон безопасности для импорта и нажмите кнопку Открыть | Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open |
420 | ||
422 | База данных, которую вы пытаетесь открыть, не существует. | The database you are attempting to open does not exist. |
423 | Вы можете создать новую локальную базу данных политики, выбрав команду Импорт политики из меню Параметры безопасности. | You can create a new local policy database by choosing Import Policy from the Security Settings menu commands. |
424 | Отказано в доступе к базе данных. | Access to database has been denied. |
425 | Пока&зать файл журнала Включает отображение файла журнала или дерева папок при выборе узла "Анализ и настройка безопасности" |
View Lo&g File Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected |
426 | Теперь вы можете настраивать или анализировать компьютер, используя параметры безопасности из этой базы данных. Чтобы настроить компьютерЩелкните правой кнопкой мыши элемент области Анализ и настройка безопасностиВыберите пункт Настроить компьютерВ диалоговом окне введите имя файла журнала, который вы хотите просмотреть, и нажмите кнопку OKПримечание. После параметры нужно выполнить анализ для просмотра сведений из базы данныхЧтобы проанализировать параметры безопасности компьютера Щелкните правой кнопкой мыши элемент области Анализ и настройка безопасностиВыберите пункт Анализировать компьютерВ диалоговом окне введите путь к файлу журнала и нажмите кнопку OKПримечание. Для просмотра файла журнала, созданного при настройке или анализе, выберите пункт Просмотр файла журнала в контекстном меню Анализ и настройка безопасности. | You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu. |
427 | Ошибка при чтении размещения | Error Reading Location |
429 | Параметр политики | Policy Setting |
430 | За&щитить мастер... Защитить мастер ролей сервера |
Secure &Wizard... Secure Server Role Wizard |
431 | Не удалось импортировать неправильный шаблон безопасности %s | Windows cannot import invalid template %s |
432 | Учетные записи: Состояние учетной записи 'Администратор' | Accounts: Administrator account status |
433 | Учетные записи: Состояние учетной записи 'Гость' | Accounts: Guest account status |
434 | Свойства | Properties |
435 | Недопустимое имя пользователя. Оно пусто или содержит один из следующих недопустимых знаков: %1 |
The username is not valid. It is empty or it may not contain any of the following characters: %1 |
436 | Минимума нет | No minimum |
437 | Имя пользователя и группы не может содержать ни одного из следующих знаков: %1 |
User and group names may not contain any of the following characters: %1 |
438 | Не удалось найти указанный путь: %1 |
The system can not find the path specified: %1 |
439 | Имя файла не может содержать ни одного из следующих знаков: %1 |
File name may not contain any of the following characters: %1 |
440 | Необходимо выбрать режим запуска. | A startup mode must be selected. |
441 | Не удается удалить объект "%1", так как его свойства выводятся в одном из открытых окон. Чтобы удалить этот объект, закройте окно и снова выберите "Удалить". |
Object "%1" cannot be deleted because an open window is displaying its properties. To delete this object, close that window and select "Delete" again. |
442 | Настройка членства для %.17s... | Configure Membership for %.17s... |
443 | Время до сброса счетчика блокировки | Reset account lockout counter after |
444 | Задать опи&сание... Создание описания для этого шаблона |
Set Descri&ption... Create a description for this template |
445 | Описание не может содержать ни одного из следующих знаков: %1 |
Description may not contain any of the following characters: %1 |
446 | Параметр шаблона | Template Setting |
449 | Убедитесь в том, что вы имеете достаточные права на этот объект. | Make sure that you have the right permissions to this object. |
450 | Убедитесь в том, что этот объект существует. | Make sure that this object exists. |
451 | Невозможно использовать папку %1. Выберите другую папку. | The folder %1 cannot be used. Choose another folder. |
452 | Мой компьютер | My Computer |
453 | Слишком длинное имя файла. | The file name is too long. |
552 | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm |
697 | Имя файла не должно содержать ни одного из следующих знаков: %1 |
File name may not only contain any of the following characters: %1 |
698 | %1 Это имя зарезервировано как имя устройства. Укажите другое имя файла. |
%1 This file name is a reserved device name. Choose another name. |
699 | Неправильный тип файла. | The file type is not correct. |
700 | Для выполнения запрашиваемого действия нужно быть членом группы администраторов. | You must be a member of the Administrators group to perform the requested operation. |
701 | Имя файла %1 неправильно. Введите имя файла в правильном формате, например, c:\location\file.%2. |
The file name %1 is not valid. Reenter the file name in the correct format, such as c:\location\file.%2. |
702 | Сопоставление между именами пользователей и идентификаторами безопасности не было произведено | No mapping between account names and security IDs was done |
709 | Чтобы воздействовать на учетные записи в домене, этот параметр должен быть задан в политике домена по умолчанию. | To affect domain accounts, this setting must be defined in default domain policy. |
718 | Локальная политика безопасности | Local Security Policy |
740 | %1%2 | %1%2 |
741 | %1%2 %3 |
%1%2 %3 |
745 | Особые | Special |
753 | Параметры безопасности для удаленного доступа к SAM | Security Settings for Remote Access to SAM |
754 | Удаленный доступ | Remote Access |
762 | Централизованная политика доступа | Central Access Policy |
763 | Централизованные политики доступа, примененные к файловой системе | Central Access Policies applied to the file system |
764 | !!Неизвестная политика!!: | !!Unknown policy!!: |
765 | %1 %2 | %1 %2 |
1900 | Вести журнал паролей
Этот параметр безопасности определяет число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Число паролей должно составлять от 0 до 24. Эта политика позволяет администраторам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться постоянно. По умолчанию: 24 на контроллерах домена. 0 на автономных серверах. Примечание. По умолчанию компьютеры-члены домена используют конфигурацию своих контроллеров домена. Чтобы сохранить эффективность журнала паролей, не позволяйте изменять пароль снова сразу после того, как он был изменен. Включите также параметр политики безопасности "Минимальный срок действия пароля". Сведения о параметре политики безопасности "Минимальный срок действия пароля" см. в разделе "Минимальный срок действия пароля". |
Enforce password history
This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords. This policy enables administrators to enhance security by ensuring that old passwords are not reused continually. Default: 24 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age. |
1901 | Максимальный срок действия пароля
Этот параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Срок действия пароля может составлять от 1 до 999 дней; значение 0 соответствует неограниченному сроку действия пароля. Если значение максимального срока действия пароля составляет от 1 до 999 дней, то значение минимального срока действия пароля должно быть меньше максимального. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней. Примечание. Рекомендуется устанавливать для срока действия паролей значение от 30 до 90 дней, в зависимости от рабочей среды. В этом случае у злоумышленника ограничено время, в течение которого он может взломать пароль пользователя и получить доступ к сетевым ресурсам. По умолчанию: 42. |
Maximum password age
This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days. Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources. Default: 42. |
1902 | Минимальный срок действия пароля
Этот параметр безопасности определяет период времени (в днях), в течение которого необходимо использовать пароль, прежде чем пользователь сможет его изменить. Можно установить значение от 1 до 998 дней либо разрешить изменять пароль сразу, установив значение 0 дней. Минимальный срок действия пароля должен быть меньше максимального, кроме случая, когда максимальный срок равен 0 дней и, следовательно, срок действия пароля никогда не истечет. Если максимальный срок действия пароля равен 0 дней, то минимальный срок может принимать любые значения в диапазоне от 0 до 998 дней. Установите значение минимального срока действия пароля больше 0, если вы хотите включить ведение журнала паролей. Без установки минимального срока действия пароля пользователь может изменять пароли повторно, пока не получит свой старый предпочитаемый пароль. На значение по умолчанию эта рекомендация не распространяется, благодаря чему администратор может назначить пользователю пароль, а затем потребовать, чтобы пользователь сменил его при входе в систему. Если для журнала паролей установлено значение 0, пользователю не нужно выбирать новый пароль. По этой причине значение для журнала паролей по умолчанию равно 1. По умолчанию: 1 — на контроллерах домена. 0 — на изолированных серверах. Примечание. По умолчанию компьютеры, входящие в домен, используют конфигурацию своих контроллеров домена. |
Minimum password age
This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998. Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default. Default: 1 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1903 | Минимальная длина пароля
Этот параметр безопасности определяет минимальное количество знаков, которое должно содержаться в пароле пользователя. Можно установить значение от 1 до 14 знаков, либо 0 знаков, если пароль не требуется. По умолчанию: 7 - на контроллерах домена. 0 - на автономных серверах. Примечание. По умолчанию компьютеры-члены домена используют конфигурацию своих контроллеров домена. |
Minimum password length
This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0. Default: 7 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1904 | Пароль должен отвечать требованиям сложности
Этот параметр безопасности определяет, должен ли пароль отвечать требованиям сложности. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям. Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков Иметь длину не менее 6 знаков Содержать знаки трех из четырех перечисленных ниже категорий: Латинские заглавные буквы (от A до Z) Латинские строчные буквы (от a до z) Цифры (от 0 до 9) Отличающиеся от букв и цифр знаки (например, !, $, #, %) Требования сложности применяются при создании или изменении пароля. По умолчанию: Включены на контроллерах домена. Отключены на автономных серверах. Примечание. По умолчанию компьютеры-члены домена используют конфигурацию своих контроллеров домена. |
Password must meet complexity requirements
This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length Contain characters from three of the following four categories: English uppercase characters (A through Z) English lowercase characters (a through z) Base 10 digits (0 through 9) Non-alphabetic characters (for example, !, $, #, %) Complexity requirements are enforced when passwords are changed or created. Default: Enabled on domain controllers. Disabled on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1905 | Хранить пароли, используя обратимое шифрование
Этот параметр безопасности определяет, используется ли операционной системой для хранения паролей обратимое шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности. Хранение паролей с помощью обратимого шифрования - по существу то же самое, что и хранение паролей открытым текстом. По этой причине данная политика не должна применяться, пока требования приложения не станут более весомыми, чем требования по защите паролей. Эта политика необходима при использовании проверки подлинности протокола CHAP через удаленный доступ или службу проверки подлинности в Интернете (IAS). Она также необходима при использовании краткой проверки подлинности в IIS. По умолчанию: Отключена. |
Store passwords using reversible encryption
This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Default: Disabled. |
1906 | Продолжительность блокировки учетной записи
Этот параметр безопасности определяет количество минут, в течение которых учетная запись остается заблокированной до ее автоматической разблокировки. Допустимые значения: от 0 до 99999 минут. Если продолжительность блокировки учетной записи равна 0, то учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее. Если определено пороговое значение блокировки учетной записи, то длительность блокировки учетной записи должна быть больше или равна времени сброса. По умолчанию: Не задано, т.к. этот параметр политики принимает значения, только если определено пороговое значение блокировки учетной записи. |
Account lockout duration
This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1907 | Пороговое значение блокировки
Этот параметр безопасности определяет количество неудачных попыток входа в систему, приводящее к блокировке учетной записи пользователя. Заблокированная учетная запись не может использоваться до тех пор, пока не будет сброшена администратором, либо пока не истечет период блокировки этой учетной записи. Количество неудачных попыток входа в систему может составлять от 0 до 999. Если установить это значение равным 0, то учетная запись никогда не будет разблокирована. Неудачные попытки ввода паролей на рабочих станциях или серверах-членах домена, заблокированных с помощью клавиш CTRL+ALT+DELETE или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему. По умолчанию: 0. |
Account lockout threshold
This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts. Default: 0. |
1908 | Время до сброса счетчика блокировки
Этот параметр безопасности определяет количество минут, которые должны пройти после неудачной попытки входа в систему до того, как счетчик неудачных попыток входа будет сброшен до 0. Допустимые значения: от 1 до 99999 минут. Если определено пороговое значение блокировки учетной записи, то время сброса должно быть меньше или равно длительности блокировки учетной записи. По умолчанию: Не задано, т.к. этот параметр политики принимает значения, только если задано пороговое значение блокировки учетной записи. |
Reset account lockout counter after
This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes. If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1909 | Принудительные ограничения входа пользователей
Этот параметр безопасности определяет, подтверждает ли центр распространения ключей Kerberos V5 каждый запрос билета сеанса к политике прав пользователя учетной записи. Подтверждение каждого запроса билета сеанса необязательно, т.к. этот дополнительный шаг отнимает время и может замедлить доступ к сетевым службам. По умолчанию: Включен. |
Enforce user logon restrictions
This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services. Default: Enabled. |
1910 | Максимальный срок жизни билета службы
Этот параметр безопасности определяет максимальное количество времени (минут), в течение которого предоставленный билет сеанса может использоваться для доступа к соответствующей службе. Значение этого параметра должно быть больше 10 минут и меньше или равно значению параметра максимального срока жизни билета пользователя. Если клиент предоставляет истекший билет сеанса при запросе подключения к серверу, то сервер возвращает сообщение об ошибке. Клиент должен запросить новый билет сеанса в центре распространения ключей Kerberos V5. Тем не менее, если подключение проверено, уже не важно, проверен ли билет сеанса. Билеты сеанса используются только для проверки новых подключений к серверам. Текущая работа не прерывается, если использовавшийся для проверки подключения билет истекает во время подключения. По умолчанию: 600 минут (10 часов). |
Maximum lifetime for service ticket
This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket. If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection. Default: 600 minutes (10 hours). |
1911 | Максимальный срок жизни билета пользователя
Этот параметр безопасности определяет максимальное количество времени (часов), в течение которого может быть использован билет предоставления билета (TGT). По умолчанию: 10 часов. |
Maximum lifetime for user ticket
This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used. Default: 10 hours. |
1912 | Максимальный срок жизни для возобновления билета пользователя
Этот параметр безопасности определяет период времени (в днях), в течение которого может быть возобновлен билет предоставления билета (TGT). По умолчанию: 7 дней. |
Maximum lifetime for user ticket renewal
This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed. Default: 7 days. |
1913 | Максимальная погрешность синхронизации часов компьютера
Этот параметр безопасности определяет максимальную разность времени (минут), которую допускает Kerberos V5 между временем часов клиента и временем на контроллере домена под управлением Windows Server 2003 для обеспечения проверки подлинности Kerberos. Чтобы предотвратить "атаки повторной передачей пакетов", Kerberos V5 использует метки времени как часть определения своего протокола. Чтобы метки времени работали правильно, часы клиента и контроллера домена должны быть как можно точнее синхронизированы. Другими словами, на обоих компьютерах должны быть установлены одинаковые дата и время. Вследствие того, что часы разных компьютеров часто несинхронизированы, администраторы могут использовать эту политику, чтобы установить максимально допустимую для Kerberos V5 разницу между часами клиентского компьютера и часами контроллера домена. Если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определенной в этой политике, то любая метка времени, используемая в сеансе двух компьютеров, считается подлинной. Внимание! Этот параметр не является постоянным на платформах, предшествующих Vista. Если настроить этот параметр, а затем перезагрузить компьютер, то параметр вернется к прежнему значению. По умолчанию: 5 мин. |
Maximum tolerance for computer clock synchronization
This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication. To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic. Important This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value. Default: 5 minutes. |
1914 | Аудит событий входа в учетную запись
Этот параметр безопасности определяет, будет ли операционная система выполнять аудит каждый раз, когда на компьютере выполняется проверка учетных данных. События входа в учетную запись создаются при проверке доверенным компьютером учетных данных какой-либо учетной записи. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей; все контроллеры домена являются доверенными для учетных записей в домене. Проверка учетных данных может выполняться при локальном входе или, в случае учетной записи в домене Active Directory на контроллере домена, при входе на другом компьютере. Состояние проверки учетных данных не отслеживается, поэтому для событий входа в учетную запись нет соответствующего события выхода. Если данный параметр политики задан, то администратор может определить, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен). Значения по умолчанию для клиентских выпусков. Проверка учетных данных: аудит не выполняется Операции с билетами службы Kerberos: аудит не выполняется Другие события входа в учетную запись: аудит не выполняется Служба проверки подлинности Kerberos: аудит не выполняется Значения по умолчанию для серверных выпусков. Проверка учетных данных: успешные попытки Операции с билетами службы Kerberos: успешные попытки Другие события входа в учетную запись: аудит не выполняется Служба проверки подлинности Kerberos: успешные попытки Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account logon events
This security setting determines whether the OS audits each time this computer validates an account’s credentials. Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Credential Validation: No Auditing Kerberos Service Ticket Operations: No Auditing Other Account Logon Events: No Auditing Kerberos Authentication Service: No Auditing Default values on Server editions: Credential Validation: Success Kerberos Service Ticket Operations: Success Other Account Logon Events: No Auditing Kerberos Authentication Service: Success Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1915 | Аудит управления учетными записями
Этот параметр безопасности определяет, необходимо ли выполнять аудит каждого события управления учетными записями на компьютере. Далее указаны примеры событий управления учетными записями. Учетная запись пользователя либо группа создана, изменена или удалена. Учетная запись пользователя переименована, отключена или включена. Пароль установлен или изменен. При определении данного параметра политики можно указать, какие события подлежат аудиту: успешные, неудачные или никакие (т. е. аудит для данного типа событий не выполняется). При аудите успешных попыток создается запись аудита, когда любое событие управления учетными записями завершается успешно. При аудите неудачных попыток создается запись аудита, когда любое событие управления учетными записями завершается сбоем. Чтобы отключить аудит, в диалоговом окне свойств этого параметра политики выберите флажок "Задать эти параметры политики" и снимите флажки "Успешные" и "Неудачные". Значения по умолчанию для клиентских выпусков. Управление учетными записями пользователя: успешные попытки Управление учетными записями компьютеров: аудит не выполняется Управление группой безопасности: успешные попытки Управление группой распространения: аудит не выполняется Управление группой приложений: аудит не выполняется Другие события управления учетными записями: аудит не выполняется Значения по умолчанию для серверных выпусков. Управление учетными записями пользователя: успешные попытки Управление учетными записями компьютеров: успешные попытки Управление группой безопасности: успешные попытки Управление группой распространения: аудит не выполняется Управление группой приложений: аудит не выполняется Другие события управления учетными записями: аудит не выполняется Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account management
This security setting determines whether to audit each event of account management on a computer. Examples of account management events include: A user account or group is created, changed, or deleted. A user account is renamed, disabled, or enabled. A password is set or changed. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default values on Client editions: User Account Management: Success Computer Account Management: No Auditing Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Default values on Server editions: User Account Management: Success Computer Account Management: Success Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1916 | Аудит доступа к службе каталогов
Этот параметр безопасности определяет, будет ли операционная система выполнять аудит попыток доступа пользователей к объектам Active Directory. Аудит выполняется только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа (например, "Запись", "Чтение" или "Изменение") и учетная запись, выполняющая запрос, соответствуют параметрам в данном списке. Администратор может указать, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен). Если включен аудит успешных попыток, то запись аудита создается при каждой успешной попытке доступа учетной записи к объекту Active Directory с соответствующим системным списком управления доступом. Если включен аудит неудачных попыток, то запись аудита создается при каждой неудачной попытке доступа учетной записи к объекту Active Directory с соответствующим системным списком управления доступом. Значения по умолчанию для клиентских выпусков. Доступ к службе каталогов: аудит не выполняется Изменения службы каталогов: аудит не выполняется Репликация службы каталогов: аудит не выполняется Подробная репликация службы каталогов: аудит не выполняется Значения по умолчанию для серверных выпусков. Доступ к службе каталогов: успешные попытки Изменения службы каталогов: аудит не выполняется Репликация службы каталогов: аудит не выполняется Подробная репликация службы каталогов: аудит не выполняется Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit directory service access
This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified. Default values on Client editions: Directory Service Access: No Auditing Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Default values on Server editions: Directory Service Access: Success Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1917 | Аудит входа в систему
Этот параметр безопасности определяет, будет ли операционная система выполнять аудит каждой попытки входа пользователя в систему или выхода из нее на данном компьютере. События выхода из системы создаются каждый раз, когда завершается сеанс учетной записи пользователя в системе. Если этот параметр политики задан, то администратор может указать, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен). Значения по умолчанию для клиентских выпусков. Вход в систему: успешные попытки Выход из системы: успешные попытки Блокировка учетных записей: успешные попытки Основной режим IPsec: аудит не выполняется Быстрый режим IPsec: аудит не выполняется Расширенный режим IPsec: аудит не выполняется Специальный вход: успешные попытки Другие события входа и выхода: аудит не выполняется Сервер политики сети: успешные и неудачные попытки Значения по умолчанию для серверных выпусков: Вход в систему: успешные и неудачные попытки Выход из системы: успешные попытки Блокировка учетных записей: успешные попытки Основной режим IPsec: аудит не выполняется Быстрый режим IPsec: аудит не выполняется Расширенный режим IPsec: аудит не выполняется Специальный вход: успешные попытки Другие события входа и выхода: аудит не выполняется Сервер политики сети: успешные и неудачные попытки Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit logon events
This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer. Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Logon: Success Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Default values on Server editions: Logon: Success, Failure Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1918 | Аудит доступа к объектам
Этот параметр безопасности определяет, будет ли операционная система выполнять аудит попыток доступа пользователей к объектам, не относящимся к Active Directory. Аудит выполняется только для объектов, для которых указаны системные списки управления доступом, при условии, что запрашиваемый тип доступа (например, "Запись", "Чтение" и "Изменение") и учетная запись, выполняющая запрос, соответствуют параметрам в таких списках. Администратор может задать только аудит успешных попыток, только аудит неудачных попыток, аудит успешных и неудачных попыток либо совсем отключить аудит этих событий (как успешных, так и неудачных попыток). Если включен аудит успешных попыток, запись аудита создается при каждой успешной попытке доступа учетной записи к объекту, который не относится к Active Directory и для которого задан соответствующий системный список управления доступом. Если включен аудит неудачных попыток, запись аудита создается при каждой неудачной попытке доступа учетной записи к объекту, который не относится к Active Directory и для которого задан соответствующий системный список управления доступом. Обратите внимание: системный список управления доступом можно задать для объекта файловой системы с помощью вкладки "Безопасность" в диалоговом окне свойств этого объекта. Значение по умолчанию: нет аудита. Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit object access
This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified. Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box. Default: No auditing. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1919 | Аудит изменений политики
Этот параметр безопасности определяет, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользователей, политики аудита, политики учетных записей или политики доверия. Администратор может определить, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен). Если включен аудит успешных попыток, запись аудита создается при каждой успешной попытке изменения политики назначения прав пользователей, политики аудита, политики учетных записей или политики доверия. Если включен аудит неудачных попыток, запись аудита создается при каждой попытке изменения политики назначения прав пользователей, политики аудита, политики учетных записей или политики доверия с помощью учетной записи, не имеющей разрешения на такие изменения политик. Значения по умолчанию Аудит изменений политики: успешные попытки Изменение политики проверки подлинности: успешные попытки Изменение политики авторизации: нет аудита Изменение политики на уровне правил MPSSVC: нет аудита Изменение политики платформы фильтрации: нет аудита Другие события изменения политики: нет аудита Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit policy change
This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful. If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change. Default: Audit Policy Change: Success Authentication Policy Change: Success Authorization Policy Change: No Auditing MPSSVC Rule-Level Policy Change: No Auditing Filtering Platform Policy Change: No Auditing Other Policy Change Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1920 | Аудит использования привилегий
Этот параметр безопасности определяет, будет ли выполняться аудит каждого случая применения прав пользователя. Определяя этот параметр политики, можно задать только аудит успешных попыток, только аудит неудачных попыток либо совсем отключить аудит этих событий (как успешных, так и неудачных попыток). Если включен аудит успешных попыток, запись аудита создается при каждой успешной попытке применения прав пользователя. Если включен аудит неудачных попыток, запись аудита создается при каждой неудачной попытке применения прав пользователя. Чтобы отключить аудит, в диалоговом окне свойств этого параметра политики установите флажок "Задать эти параметры политики" и снимите флажки "Успешные" и "Неудачные". По умолчанию: нет аудита. Записи аудита не создаются при использовании указанных ниже прав пользователя, даже если для аудита использования привилегий задан аудит успешных или неудачных событий. Включение аудита этих прав пользователя приведет к записи большого количества событий в журнал безопасности, что может снизить производительность компьютера. Для аудита этих прав пользователя включите раздел реестра FullPrivilegeAuditing. Обход перекрестной проверки Отладка программ Создание объекта токена Замена токена уровня процесса Создание аудитов безопасности Резервное копирование файлов и каталогов Восстановление файлов и каталогов Внимание! Неправильное редактирование реестра может серьезно повредить систему. Перед изменением реестра сохраните все важные данные на компьютере. Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit privilege use
This security setting determines whether to audit each instance of a user exercising a user right. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default: No auditing. Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key. Bypass traverse checking Debug programs Create a token object Replace process level token Generate security audits Back up files and directories Restore files and directories Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1921 | Аудит отслеживания процессов
Этот параметр безопасности определяет, будет ли операционная система выполнять аудит связанных с процессами событий, таких как создание процесса, завершение процесса, обработка дублирований, а также непрямой доступ к объектам. Если этот параметр политики определен, администратор может определить, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен). Если включен аудит успешных попыток, запись аудита создается каждый раз, когда операционная система успешно выполняет какое-либо из этих действий, связанных с процессами. Если включен аудит неудачных попыток, запись аудита создается каждый раз, когда операционная система не может выполнить какое-либо из этих действий. По умолчанию: нет аудита Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit process tracking
This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities. If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities. Default: No auditing\r Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1922 | Аудит системных событий
Этот параметр безопасности определяет, будет ли операционная система выполнять аудит следующих событий. •Попытка изменения системного времени •Попытка запуска или отключения системы безопасности •Попытка загрузки компонентов расширяемой проверки подлинности •Потеря отслеженных событий из-за сбоя системы аудита •Размер журнала безопасности превысил настраиваемый уровень порогового значения предупреждений Если определен этот параметр политики, администратор может определить, какие события подлежат аудиту: только успешные попытки, только неудачные попытки, успешные и неудачные попытки, никакие попытки (т. е. аудит данного типа событий будет отключен). Если включен аудит успешных попыток, создается запись аудита при каждом успешном выполнении операционной системой какого-либо из этих действий. Если включен аудит неудачных попыток, создается запись аудита при каждой неудачной попытке выполнения операционной системой какого-либо из этих действий. Значения по умолчанию. Изменение состояния безопасности: успешные попытки Расширение системы безопасности: нет аудита Целостность системы: успешные и неудачные попытки Драйвер IPsec: нет аудита Другие системные события: успешные и неудачные попытки Важно! Если необходимы дополнительные возможности по управлению политиками аудита, воспользуйтесь параметрами узла "Конфигурация расширенной политики аудита". Дополнительные сведения о конфигурации расширенной политики аудита см. на веб-странице https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit system events
This security setting determines whether the OS audits any of the following events: • Attempted system time change • Attempted security system startup or shutdown • Attempt to load extensible authentication components • Loss of audited events due to auditing system failure • Security log size exceeding a configurable warning threshold level. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully. If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities. Default: Security State Change Success Security System Extension No Auditing System Integrity Success, Failure IPsec Driver No Auditing Other System Events Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1923 | Доступ к компьютеру из сети
Это право пользователя определяет пользователей и группы, которым разрешено подключаться к компьютеру по сети. Это право пользователя не влияет на службы удаленных рабочих столов. Примечание. Старое название служб удаленных рабочих столов в предыдущих версиях ОС Windows Server - "службы терминалов". Значения по умолчанию на рабочих станциях и серверах: Администраторы Операторы архивации Пользователи Все Значения по умолчанию на контроллерах домена: Администраторы Проверенные пользователи Контроллеры домена предприятия Все Доступ, совместимый с версиями ОС, предшествующими Windows 2000 |
Access this computer from the network
This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default on workstations and servers: Administrators Backup Operators Users Everyone Default on domain controllers: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access |
1924 | Работа в составе операционной системы
Это право пользователя позволяет процессу олицетворять любого пользователя без проверки подлинности. Процесс, таким образом, может получать доступ к тем же локальным ресурсам, что и пользователь. Процессы, для которых требуется такая привилегия, должны использовать уже содержащую эту привилегию учетную запись LocalSystem, а не отдельную учетную запись пользователя с этой привилегией. Если в организации используются только серверы с операционными системами семейства Windows Server 2003, нет необходимости назначать эту привилегию пользователям. Однако если в организации используются серверы под управлением операционных систем Windows 2000 или Windows NT 4.0, назначение этой привилегии может потребоваться для использования приложений, обменивающихся паролями в обычном текстовом формате. Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Назначайте такие права только доверенным пользователям. По умолчанию: Нет. |
Act as part of the operating system
This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: None. |
1925 | Добавление рабочих станций в домен
Этот параметр безопасности определяет, какие группы или пользователи могут добавлять рабочие станции в домен. Этот параметр безопасности действителен только на контроллерах домена. По умолчанию любой пользователь, прошедший проверку подлинности, имеет такие права и может создать до 10 учетных записей компьютеров в домене. Добавление учетной записи компьютера к домену позволяет компьютеру работать в сетях на основе Active Directory. Например, добавление рабочей станции к домену позволяет этой рабочей станции распознавать учетные записи и группы, существующие в Active Directory. По умолчанию: пользователи, прошедшие проверку подлинности, на контроллерах домена. Примечание. Пользователи, имеющие разрешение на создание объектов-компьютеров в контейнере компьютеров Active Directory, также могут создавать учетные записи компьютеров в домене. Различие состоит в том, что возможность создания для пользователей с разрешениями для контейнера не ограничена всего 10 учетными записями компьютеров. При этом собственниками учетных записей компьютеров, созданных посредством добавления рабочих станций к домену, являются администраторы домена, в то время как собственниками учетных записей компьютеров, созданных с помощью разрешений для контейнера компьютеров, являются создатели этих учетных записей. Если у пользователя есть разрешения для контейнера, а также права на добавление рабочих станций в домен, то компьютер добавляется на основе разрешений для контейнера компьютеров, а не прав пользователя. |
Add workstations to domain
This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right. |
1926 | Настройка квот памяти для процесса
Эта привилегия определяет, кто может изменять максимальный объем памяти, используемый процессом. Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Примечание. Эта привилегия полезна при настройке системы, но его использование может нанести вред, например, в случае атак типа "отказ в обслуживании". По умолчанию: Администраторы Локальная служба Сетевая служба |
Adjust memory quotas for a process
This privilege determines who can change the maximum memory that can be consumed by a process. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack. Default: Administrators Local Service Network Service. |
1927 | Локальный вход в систему
Этот параметр определяет пользователей, которые могут входить в систему на компьютере. Внимание! Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Сведения о совместимости для этого параметра см. в разделе "Разрешение локального входа в систему" (https://go.microsoft.com/fwlink/?LinkId=24268 ) на веб-сайте Майкрософт. Значения по умолчанию •На рабочих станциях и серверах: администраторы, операторы резервного копирования, опытные пользователи, пользователи и гости. •На контроллерах домена: операторы учетных записей, администраторы, операторы резервного копирования и операторы печати. |
Log on locally
Determines which users can log on to the computer. Important Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website. Default: • On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest. • On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators. |
1928 | Разрешать вход в систему через службы удаленных рабочих столов
Этот параметр безопасности определяет, у каких пользователей или групп есть разрешение на вход в систему в качестве клиента служб удаленных рабочих столов. Значения по умолчанию: На рабочих станциях и серверах: Администраторы; Пользователи удаленного рабочего стола. На контроллерах домена: Администраторы. Внимание! Этот параметр не действует на компьютерах с Windows 2000 без установленного пакета обновления 2 (SP2). |
Allow log on through Remote Desktop Services
This security setting determines which users or groups have permission to log on as a Remote Desktop Services client. Default: On workstation and servers: Administrators, Remote Desktop Users. On domain controllers: Administrators. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1929 | Архивация файлов и каталогов
Это право пользователя определяет, какие пользователи могут игнорировать разрешения для файлов, каталогов, реестра и других постоянных объектов с целью архивации системы. В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе: Обзор папок/Выполнение файлов Содержимое папки/Чтение данных Чтение атрибутов Чтение расширенных атрибутов Чтение разрешений Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Поскольку невозможно точно знать, что именно пользователь делает с данными - создает архив, крадет или копирует с целью распространения - назначайте это право только доверенным пользователям. По умолчанию на рабочих станциях и серверах: Администраторы Операторы архивации. По умолчанию на контроллерах домена:Администраторы Операторы архивации Операторы сервера |
Back up files and directories
This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Read Permissions Caution Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users. Default on workstations and servers: Administrators Backup Operators. Default on domain controllers:Administrators Backup Operators Server Operators |
1930 | Обход проверки при обзоре
Это право пользователя определяет, какие пользователи могут производить обзор деревьев каталога, даже если у этих пользователей отсутствуют разрешения на каталог. Эта привилегия не позволяет пользователям просматривать содержимое каталога, а позволяет только выполнять обзор. Это право пользователя определено в объекте групповой политики (GPO) контроллеров домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию на рабочих станциях и серверах: Администраторы Операторы архивации Пользователи Все Локальная служба Сетевая служба По умолчанию на контроллерах домена: Администраторы Проверенные пользователи Все Локальная служба Сетевая служба Доступ, совместимый с пред-Windows 2000 |
Bypass traverse checking
This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Backup Operators Users Everyone Local Service Network Service Default on domain controllers: Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access |
1931 | Изменение системного времени
Это право пользователя определяет, какие пользователи и группы могут изменять время и дату внутренних часов компьютера. Пользователи с данным правом могут влиять на вид журналов событий. Если системное время было изменено, записи отслеженных событий отразят новое время, а не действительное время совершения событий. Это право пользователя определено в объекте групповой политики (GPO) контроллеров домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию на рабочих станциях и серверах: Администраторы Локальная служба По умолчанию на контроллерах домена: Администраторы Операторы сервера Локальная служба |
Change the system time
This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Local Service Default on domain controllers: Administrators Server Operators Local Service |
1932 | Создание файла подкачки
Это право определяет пользователей и группы, которые могут вызывать встроенный интерфейс API для создания и изменения размера файла подкачки. Это право используется операционной системой для внутренних целей и обычно не нуждается в назначении каким-либо пользователям. Сведения о том, как задать размер файла подкачки для данного диска, см. в разделе "Изменение размера файла подкачки виртуальной памяти". По умолчанию: Администраторы. |
Create a pagefile
This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users. For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file. Default: Administrators. |
1933 | Создание объекта типа токен
Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессами для создания маркеров, которые затем могут быть использованы для получения доступа к любым локальным ресурсам, если для создания маркера доступа процесс использует внутренний интерфейс (API). Данное право используется операционной системой для внутренних целей. Если нет необходимости, не предоставляйте это право никаким пользователям, группам или процессам кроме пользователя "Локальная система". Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Не назначайте это право пользователю, группе или процессу, которым нежелательно позволять управлять системой. По умолчанию: нет |
Create a token object
This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token. This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default: None |
1934 | Создание глобальных объектов
Этот параметр безопасности определяет, могут ли пользователи создавать глобальные объекты, доступные для всех сеансов. Пользователи по-прежнему могут создавать отдельные объекты для их сеансов, не имея данного права. Создание глобальных объектов может влиять на процессы, выполняемые в сеансах других пользователей, ведя к ошибкам приложений и повреждению данных. Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Назначайте его только доверенным пользователям. По умолчанию: Администраторы Локальная служба Сетевая служба Служба |
Create global objects
This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption. Caution Assigning this user right can be a security risk. Assign this user right only to trusted users. Default: Administrators Local Service Network Service Service |
1935 | Создание постоянных общих объектов
Это право пользователя определяет, какие учетные записи могут использоваться процессами для создания объекта каталога при помощи диспетчера объектов. Это право пользователя используется внутри операционной системы и полезно для компонентов в режиме ядра, расширяющих пространство имен объекта. Поскольку это право уже назначено компонентам, выполняющимся в режиме ядра, его не нужно специально назначать. По умолчанию: нет. |
Create permanent shared objects
This user right determines which accounts can be used by processes to create a directory object using the object manager. This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it. Default: None. |
1936 | Отладка программ
Это право пользователя определяет, какие пользователи могут подключать отладчик к любому процессу или ядру. то право не нужно назначать разработчикам, выполняющим отладку собственных приложений. Оно потребуется разработчикам для отладки новых системных компонентов. Это право пользователя обеспечивает полный доступ к важным компонентам операционной системы. Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Назначайте его только доверенным пользователям. По умолчанию: Администраторы |
Debug programs
This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators |
1937 | Отказать в доступе к этому компьютеру из сети
Этот параметр безопасности определяет, каким пользователям будет отказано в доступе к компьютеру из сети. Этот параметр заменяет параметр политики "Разрешить доступ к компьютеру из сети", если к учетной записи пользователя применяются об политики. По умолчанию: Гость. |
Deny access to this computer from the network
This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies. Default: Guest |
1938 | Отказать во входе в качестве пакетного задания
Этот параметр безопасности определяет, каким учетным записям будет отказано во входе в систему в виде пакетного задания. Данный параметр замещает параметр "Разрешить вход в систему как пакетному заданию", если к учетной записи пользователя применяются оба параметра. По умолчанию: Отсутствует. |
Deny log on as a batch job
This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies. Default: None. |
1939 | Отказать во входе в качестве службы
Этот параметр безопасности определяет, каким учетным записям служб будет отказано в регистрации процесса как службы. Этот параметр политики заменяет параметр "Разрешить вход в систему как службе", если к учетной записи применяются об политики. Примечание. Этот параметр безопасности не применяется к учетным записям "Система", "Локальная служба" или "Сетевая служба". По умолчанию: нет. |
Deny log on as a service
This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies. Note: This security setting does not apply to the System, Local Service, or Network Service accounts. Default: None. |
1940 | Запретить локальный вход
Этот параметр безопасности определяет, каким пользователям будет отказано во входе в систему. Этот параметр политики заменяет параметр "Разрешить локальный вход в систему", если к учетной записи применяются обе политики. Внимание! Если этот параметр безопасности применяется к группе "Все", никто не сможет войти в систему локально. По умолчанию: нет. |
Deny log on locally
This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies. Important If you apply this security policy to the Everyone group, no one will be able to log on locally. Default: None. |
1941 | Запретить вход в систему через службы удаленных рабочих столов
Этот параметр безопасности определяет, каким пользователям и группам будет запрещено входить в систему как клиенту служб удаленных рабочих столов. Значение по умолчанию: нет. Внимание! Этот параметр не действует на компьютерах, работающих под управлением Windows 2000 без пакета обновлений 2 (SP2). |
Deny log on through Remote Desktop Services
This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client. Default: None. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1942 | Разрешить доверять учетным записям компьютеров и пользователей при делегировании
Этот параметр безопасности определяет, какие пользователи могут устанавливать параметр "Делегирование разрешено" для пользователя или объекта-компьютера. Пользователь или объект, получившие эту привилегию, должны иметь доступ на запись к управляющим флагам учетной записи пользователя или объекта-компьютера. Серверный процесс, выполняемый на компьютере (или в пользовательском контексте), которому разрешено делегирование, может получить доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, пока в учетной записи клиента не будет установлен управляющий флаг "Учетная запись не может быть делегирована". Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Внимание! Неправильное применение этого права пользователя или параметра "Делегирование разрешено" может сделать сеть уязвимой к изощренным атакам с помощью вредоносных программ типа "Троянский конь", которые имитируют входящих клиентов и используют их учетные данные для получения доступа к сетевым ресурсам. По умолчанию: администраторы на контроллерах домена. |
Enable computer and user accounts to be trusted for delegation
This security setting determines which users can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Caution Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources. Default: Administrators on domain controllers. |
1943 | Принудительное удаленное завершение работы
Этот параметр безопасности определяет, каким пользователям разрешено удаленное завершение работы компьютера. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании. Это право пользователя определено в объекте групповой политики (GPO) контроллеров домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию: На рабочих станциях и серверах: Администраторы. На контроллерах домена: Администраторы, Операторы сервера. |
Force shutdown from a remote system
This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default: On workstations and servers: Administrators. On domain controllers: Administrators, Server Operators. |
1944 | Создание аудитов безопасности
Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа в систему. Неправильное применение этого права пользователя может стать причиной формирования множества событий аудита, которые могут скрыть свидетельства атаки или вызвать отказ в обслуживании, если включен параметр безопасности "Аудит: немедленно завершить работу системы при невозможности протоколирования аудита безопасности". Дополнительные сведения см. в разделе "Аудит: немедленно завершить работу системы при невозможности протоколирования аудита безопасности" По умолчанию: Локальная служба Сетевая служба. |
Generate security audits
This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits Default: Local Service Network Service. |
1945 | Имитация клиента после проверки подлинности
Выдача пользователю этой привилегии позволяет программам, выполняемым от имени этого пользователя, олицетворять клиента. Требование этого права для подобного олицетворения не позволяет неавторизованному пользователю убедить клиента подключиться (например, через вызов удаленной процедуры (RPC) или именованные каналы) к созданной им службе, а затем олицетворить клиента, что даст возможность повысить его полномочия до административного или системного уровня. Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Назначайте такие права только доверенным пользователям. По умолчанию: Администраторы Локальная служба Сетевая служба Служба Примечание. По умолчанию к токенам доступа служб, запущенных диспетчером управления службами, добавляется встроенная группа "Служба". Встроенная группа "Служба" также добавляется к токенам доступа COM-серверов, запущенных COM-инфраструктурой и настроенных на выполнение под определенной учетной записью. Поэтому данные службы получают это пользовательское право при запуске. Кроме того, пользователь может олицетворять токен доступа и при выполнении любого из следующих условий. Олицетворяемый токен доступа назначен данному пользователю. В данном сеансе входа пользователь создал токен доступа, явно указав учетные данные при входе. Запрошенный уровень ниже, чем "Олицетворять", например:"Анонимный" или "Идентифицировать". Поэтому пользователям обычно не требуется это пользовательское право. Дополнительные сведения можно найти поиском SeImpersonatePrivilege в Microsoft Platform SDK. Внимание! Включение этого параметра может привести к потере привилегии "Олицетворять" программами, имеющим эту привилегию, и заблокировать их выполнение. |
Impersonate a client after authentication
Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators Local Service Network Service Service Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started. In addition, a user can also impersonate an access token if any of the following conditions exist. The access token that is being impersonated is for this user. The user, in this logon session, created the access token by logging on to the network with explicit credentials. The requested level is less than Impersonate, such as Anonymous or Identify. Because of these factors, users do not usually need this user right. For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK. Warning If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run. |
1946 | Увеличить приоритет выполнения
Этот параметр безопасности определяет, какие учетные записи могут использовать процесс, имеющий право доступа "Запись свойства" для другого процесса, для повышения приоритета выполнения, назначенного другому процессу. Пользователь, имеющий данную привилегию, может изменять приоритет выполнения процесса через пользовательский интерфейс диспетчера задач. По умолчанию: Администраторы. |
Increase scheduling priority
This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface. Default: Administrators. |
1947 | Загрузка и выгрузка драйверов устройств
Это право пользователя определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Это право пользователя не применяется к драйверам устройств Plug and Play. Не рекомендуется назначать эту привилегию другим пользователям. Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Не назначайте это право пользователю, группе или процессу, которым нежелательно позволять управлять системой. По умолчанию на рабочих станциях и серверах: Администраторы. По умолчанию на контроллерах домена: Администраторы Операторы печати |
Load and unload device drivers
This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default on workstations and servers: Administrators. Default on domain controllers: Administrators Print Operators |
1948 | Блокировать страницы в памяти
Этот параметр безопасности определяет, какие учетные записи могут использовать процессы для сохранения данных в физической памяти для предотвращения сброса этих данных в виртуальную память на диске. Применение этой привилегии может существенно повлиять на производительность системы, снижая объем доступной оперативной памяти (RAM). По умолчанию: нет. |
Lock pages in memory
This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM). Default: None. |
1949 | Вход в качестве пакетного задания
Этот параметр безопасности позволяет пользователю входить в систему при помощи средства, использующего очередь пакетных заданий, и предоставляется только для совместимости с предыдущими версиями Windows. Например, если пользователь передает задание при помощи планировщика заданий, последний регистрирует этого пользователя в системе как пользователя с пакетным входом, а не как интерактивного пользователя. По умолчанию: Администраторы Операторы архивации. |
Log on as a batch job
This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows. For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user. Default: Administrators Backup Operators. |
1950 | Вход в качестве службы
Этот параметр безопасности разрешает субъекту безопасности входить в систему в качестве службы. Службы можно настроить для запуска под учетными записями "Локальная система", "Локальная служба" или "Сетевая служба", встроенными в право для входа в систему в качестве службы. Это право требуется назначить любой службе, которая выполняется под отдельной учетной записью пользователя. По умолчанию: нет. |
Log on as a service
This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right. Default setting: None. |
1951 | Управлять аудитом и журналом безопасности
Этот параметр безопасности определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Данный параметр безопасности не разрешает пользователю включить аудит доступа к файлам и объектам в целом. Для включения такого аудита нужно настроить параметр доступа к объекту "Аудит" в пути "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политики аудита". События аудита можно просмотреть в журнале безопасности средства просмотра событий. Пользователь с данной привилегией может также просматривать и очищать журнал безопасности. По умолчанию: Администраторы. |
Manage auditing and security log
This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured. You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log. Default: Administrators. |
1952 | Изменение значения параметров аппаратной среды
Этот параметр безопасности определяет, кто может изменять значения параметров аппаратной среды. Переменные аппаратной среды - это параметры, сохраняемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86. Действие параметра зависит от процессора. На компьютерах архитектуры x86 единственное значение аппаратной среды, которое можно изменить назначением данного права пользователя, - это параметр "Последняя удачная конфигурация", который должен изменяться только системой. В компьютерах на базе процессоров Itanium загрузочные данные хранятся в энергонезависимой памяти. Данное право пользователя должно назначаться пользователям для выполнения программы bootcfg.exe и изменения параметра "Операционная система по умолчанию" компонента "Загрузка и восстановление" диалогового окна свойств системы. На всех компьютерах это право пользователя требуется для установки и обновления Windows. Примечание. Этот параметр безопасности не влияет на пользователей, которые могут изменять системные и пользовательские переменные среды, отображаемые на вкладке "Дополнительно" диалогового окна свойств системы. Сведения о том, как изменять эти переменные, см. в разделе "Добавление или изменение значения переменных среды". По умолчанию: Администраторы. |
Modify firmware environment values
This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor. On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system. On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties. On all computers, this user right is required to install or upgrade Windows. Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables. Default: Administrators. |
1953 | Выполнить задачи по обслуживанию томов
Этот параметр безопасности определяет пользователей и группы, которые могут выполнять задачи по обслуживанию томов, например, удаленную дефрагментацию. При назначении этого права пользователя следует соблюдать осторожность. Пользователи, имеющие данное право, могут просматривать диски и добавлять файлы в память, занятую другими данными. После открытия дополнительных файлов пользователь может читать изменять запрошенные данные. По умолчанию: Администраторы |
Perform volume maintenance tasks
This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation. Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data. Default: Administrators |
1954 | Профилирование отдельного процесса
Этот параметр безопасности определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности несистемных процессов. По умолчанию: Администраторы, Опытные пользователи. |
Profile single process
This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes. Default: Administrators, Power users. |
1955 | Профилирование производительности системы
Этот параметр безопасности определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности системных процессов. По умолчанию: администраторы. |
Profile system performance
This security setting determines which users can use performance monitoring tools to monitor the performance of system processes. Default: Administrators. |
1956 | Отключение компьютера от стыковочного узла
Этот параметр безопасности определяет, может ли пользователь отстыковать портативный компьютер от стыковочного узла без входа в систему. Если данный параметр включен, пользователь перед отключением портативного компьютера от стыковочного узла должен войти в систему. Если данный параметр отключен, пользователь может отключить портативный компьютер от стыковочного узла без входа в систему. По умолчанию: Администраторы, Опытные пользователи, Пользователи. |
Remove computer from docking station
This security setting determines whether a user can undock a portable computer from its docking station without logging on. If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on. Default: Administrators, Power Users, Users |
1957 | Замена токена уровня процесса
Этот параметр безопасности определяет учетные записи пользователей, которые могут вызывать процедуру API-интерфейса CreateProcessAsUser() для того, чтобы одна служба могла запускать другую. Планировщик заданий - это пример процесса, использующего данное право пользователя. Сведения о планировщике заданий см. в обзоре "Планировщик заданий". По умолчанию: Сетевая служба, Локальная служба. |
Replace a process level token
This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview. Default: Network Service, Local Service. |
1958 | Восстановление файлов и каталогов
Этот параметр безопасности определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при восстановлении архивных копий файлов и каталогов, а также пользователей, которые могут назначить любого действительного субъекта безопасности владельцем объекта. В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе: Обзор папок/Выполнение файлов Запись Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Так как оно дает возможность перезаписывать параметры реестра, скрывать данные и получать во владение системные объекты, назначать его следует только доверенным пользователям. По умолчанию: Рабочие станции и серверы: Администраторы, Операторы архивации. Контроллеры домена: Администраторы, Операторы архивации, Операторы сервера. |
Restore files and directories
This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File Write Caution Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users. Default: Workstations and servers: Administrators, Backup Operators. Domain controllers: Administrators, Backup Operators, Server Operators. |
1959 | Завершение работы системы
Этот параметр безопасности определяет пользователей, которые после локального входа в систему могут завершить работу операционной системы при помощи команды "Завершить работу". Неправильное применение этого права пользователя может стать причиной отказа в обслуживании. По умолчанию на рабочих станциях: Администраторы, Операторы архивации, Пользователи. По умолчанию на серверах: Администраторы, Операторы архивации. По умолчанию на контроллерах домена: Администраторы, Операторы архивации, Операторы сервера, Операторы печати. |
Shut down the system
This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service. Default on Workstations: Administrators, Backup Operators, Users. Default on Servers: Administrators, Backup Operators. Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators. |
1960 | Синхронизировать данные службы каталогов
Этот параметр безопасности определяет пользователей и группы, которые имеют право синхронизировать все данные службы каталогов. Это также называется синхронизацией Active Directory. По умолчанию: нет. |
Synchronize directory service data
This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization. Defaults: None. |
1961 | Смена владельцев файлов и других объектов
Этот параметр безопасности определяет пользователей, которые могут стать владельцем любого защищаемого объекта системы, в том числе: объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков. Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Так как объекты полностью контролируются их владельцами, назначать данное право следует только доверенным пользователям. По умолчанию: Администраторы. |
Take ownership of files or other objects
This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. Caution Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users. Default: Administrators. |
1962 | Учетные записи: состояние учетной записи "Администратор"
Этот параметр безопасности определяет, включена или отключена учетная запись локального администратора. Примечания При несоответствии пароля текущего администратора требованиям к паролю повторно включить учетную запись администратора, если ранее она была отключена, будет нельзя. В этом случае, пароль учетной записи администратора должен быть сброшен другим членом группы администраторов. Сведения о том, как сбросить пароль, см. в разделе "Сброс пароля". Отключение учетной записи администратора при некоторых обстоятельствах может затруднить обслуживание. При перезагрузке в безопасном режиме отключенную учетную запись администратора можно включить только в том случае, если компьютер не присоединен к домену и отсутствуют другие активные учетные записи локального администратора. Если компьютер присоединен к домену, отключенная учетная запись администратора не может быть включена. По умолчанию: Отключено. |
Accounts: Administrator account status
This security setting determines whether the local Administrator account is enabled or disabled. Notes If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password. Disabling the Administrator account can become a maintenance issue under certain circumstances. Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled. Default: Disabled. |
1963 | Учетные записи: состояние учетной записи "Гость"
Этот параметр безопасности определяет, включена или отключена учетная запись гостя. По умолчанию: отключено. Примечание. Если учетная запись гостя отключена, а для параметра безопасности "Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей" установлено значение "Только гости", попытки входа в сеть, выполняемые, например, сервером сетей Майкрософт (служба SMB), завершатся неудачно. |
Accounts: Guest account status
This security setting determines if the Guest account is enabled or disabled. Default: Disabled. Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail. |
1964 | Учетные записи: ограничить использование пустых паролей только консольным входом
Этот параметр безопасности определяет, могут ли локальные учетные записи, не защищенные паролем, использоваться для входа в систему из местоположений, отличных от физической консоли компьютера. Если параметр включен, то для локальных учетных записей, не защищенных паролем, вход в систему возможен только с клавиатуры компьютера. Значение по умолчанию: включено. Внимание! К компьютерам, находящимся в физически незащищенных местах, всегда должны принудительно применяться параметры надежных паролей для всех локальных учетных записей пользователей. В противном случае любой пользователь, имеющий физический доступ к компьютеру, может войти в систему при помощи пользовательской учетной записи, не имеющей пароля. Это особенно важно для портативных компьютеров. Если этот параметр безопасности применяется к группе "Все", никто не сможет войти в систему через службы удаленных рабочих столов. Примечания Данный параметр не оказывает влияния, если при входе в систему используются учетные записи домена. Приложения, использующие удаленный интерактивный вход в систему, могут обойти этот параметр. Старое название служб удаленных рабочих столов в предыдущих версиях ОС Windows Server - "службы терминалов". |
Accounts: Limit local account use of blank passwords to console logon only
This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard. Default: Enabled. Warning: Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services. Notes This setting does not affect logons that use domain accounts. It is possible for applications that use remote interactive logons to bypass this setting. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. |
1965 | Учетные записи: переименование учетной записи администратора
Этот параметр безопасности определяет, будет ли связано другое имя учетной записи с идентификатором безопасности (SID) учетной записи "Администратор". Переименование учетной записи "Администратор" несколько затрудняет угадывание посторонними лицами комбинации имени и пароля этого привилегированного пользователя. По умолчанию: Администратор. |
Accounts: Rename administrator account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination. Default: Administrator. |
1966 | Учетные записи: переименование учетной записи гостя
Этот параметр безопасности определяет, будет ли с идентификатором безопасности (SID) учетной записи "Гость" связано другое имя учетной записи. Переименование учетной записи "Гость" несколько затрудняет угадывание посторонними лицами комбинации имени и пароля этого пользователя. По умолчанию: гость. |
Accounts: Rename guest account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination. Default: Guest. |
1967 | Аудит: аудит доступа к глобальным системным объектам
Этот параметр безопасности определяет, будет ли выполняться аудит доступа к глобальным системным объектам. Если данный параметр включен, то системные объекты, такие как мьютексы (флаги взаимного исключения), события, семафоры (механизмы блокировки, используемые диспетчерами или распределителями ресурсов) и DOS-устройства, будут создаваться с системным списком управления доступом (SACL) по умолчанию. Список SACL присваивается только именованным объектам; списки SACL не поддерживают объекты, не имеющие имен. Если также включена политика доступа к объектам аудита, будет выполняться аудит доступа к этим системным объектам. Примечание. Изменения в настройке этого параметра безопасности вступят в силу только после перезагрузки Windows. По умолчанию: Отключено. |
Audit: Audit the access of global system objects
This security setting determines whether to audit the access of global system objects. If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1968 | Аудит: аудит использования привилегии на архивацию и восстановление
Этот параметр безопасности определяет, будет ли выполняться аудит использования всех привилегий пользователя, в том числе на архивацию и восстановление, если действует политика "Выполнять аудит использования привилегий". Если эта политика действует, включение данного параметра создает событие аудита для каждого файла, с которым выполняются операции архивации или восстановления. Если эта политика отключена, аудит использования привилегии на архивацию и восстановление не выполняется даже при включенном параметре "Выполнять аудит использования привилегий". Примечание. В версиях Windows, предшествующих Vista, изменения в результате настройки этого параметра безопасности вступят в силу только после перезагрузки Windows. Включение этого параметра может вызвать очень много событий (иногда несколько сот в секунду) во время архивации. По умолчанию: Отключено. |
Audit: Audit the use of Backup and Restore privilege
This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored. If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation. Default: Disabled. |
1969 | Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности
Этот параметр безопасности определяет, будет ли завершена работа системы при невозможности протоколирования событий безопасности. Если этот параметр безопасности включен, система будет остановлена при невозможности протоколирования аудита безопасности по любой причине. Обычно протоколирование событий становится невозможным при переполнении журнала аудита безопасности, а его метод сохранения определен либо как "Не затирать события", либо как "Затирать старые события по дням". Если журнал аудита безопасности переполнен и существующая запись не может быть затерта, а данный параметр безопасности включен, возникнет следующая Stop-ошибка: STOP: C0000244 {Неудачная попытка аудита} Неудачная попытка выполнения аудита безопасности. Для восстановления администратор должен войти в систему, заархивировать (необязательно) и очистить журнал и, при желании, сбросить данный параметр. Пока данный параметр безопасности не будет сброшен, никто из пользователей, за исключением членов группы администраторов, не может войти в систему, даже если журнал безопасности не будет заполнен. Примечание. Изменения в настройке этого параметра безопасности вступят в силу только после перезагрузки Windows. По умолчанию: Отключено. |
Audit: Shut down system immediately if unable to log security audits
This security setting determines whether the system shuts down if it is unable to log security events. If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days. If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1970 | Устройства: разрешать отстыковку без входа в систему
Этот параметр безопасности определяет возможность отстыковки ноутбука без входа в систему. Если он включен, вход в систему не требуется и для отстыковки ноутбука может быть использована внешняя аппаратная кнопка извлечения. Если параметр отключен, пользователь должен войти в систему и, при наличии привилегии "Отключить компьютер от стыковочного узла", отстыковать ноутбук. По умолчанию: включен. Внимание! Если параметр отключен, пользователи могут пытаться физически отсоединить ноутбук от стыковочного узла, применяя способы, отличные от использования внешней аппаратной кнопки извлечения. Так как это может стать причиной поломки оборудования, данный параметр должен отключаться только для физически защищенных моделей ноутбуков. |
Devices: Allow undock without having to log on
This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer. Default: Enabled. Caution Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable. |
1971 | Устройства: разрешить форматирование и извлечение съемных носителей
Этот параметр безопасности определяет, кому разрешено форматирование и извлечение съемных NTFS-носителей. Эта возможность может быть предоставлена: администраторам администраторам и интерактивным пользователям По умолчанию: данная политика не определена и такая возможность есть только у администраторов. |
Devices: Allowed to format and eject removable media
This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to: Administrators Administrators and Interactive Users Default: This policy is not defined and only Administrators have this ability. |
1972 | Устройства: запретить пользователям установку драйверов принтеров при подключении к общим принтерам
Чтобы локальный компьютер мог использовать общий принтер, на нем должен быть установлен драйвер этого общего принтера. Этот параметр безопасности определяет, кому разрешено устанавливать драйвер принтера при добавлении общего принтера. Если этот параметр включен, при добавлении общего принтера драйвер принтера могут устанавливать только администраторы. Если параметр отключен, устанавливать драйвер принтера при добавлении общего принтера может любой пользователь. По умолчанию на серверах: Включено. По умолчанию на рабочих станциях: Отключено Примечания Этот параметр не влияет на возможность добавления локального принтера. Параметр не затрагивает администраторов. |
Devices: Prevent users from installing printer drivers when connecting to shared printers
For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer. Default on servers: Enabled. Default on workstations: Disabled Notes This setting does not affect the ability to add a local printer. This setting does not affect Administrators. |
1973 | Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям
Этот параметр безопасности определяет, будет ли дисковод компакт-дисков доступен одновременно и локальным, и удаленным пользователям. Если данный параметр включен, доступ к компакт-дискам разрешен только пользователям, вошедшим в систему интерактивно. Если данный параметр включен, но никто не вошел в систему интерактивно, дисковод компакт-дисков будет доступен через сеть. По умолчанию: данная политика не определена, и доступ к компакт-дискам не ограничивается только пользователями, вошедшими в систему интерактивно. |
Devices: Restrict CD-ROM access to locally logged-on user only
This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network. Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user. |
1974 | Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям
Этот параметр безопасности определяет, будет ли съемный дисковод гибких дисков доступен одновременно и локальным, и удаленным пользователям. Если данный параметр включен, доступ к съемным дисководам гибких дисков разрешен только пользователям, вошедшим в систему интерактивно. Если данный параметр включен, но никто не вошел в систему интерактивно, дисковод гибких дисков будет доступен через сеть. По умолчанию: данная политика не определена, и доступ к дисководу гибких дисков не ограничивается только пользователями, вошедшими в систему интерактивно. |
Devices: Restrict floppy access to locally logged-on user only
This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network. Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user. |
1975 | Устройства: Поведение при установке неподписанного драйвера
Этот параметр безопасности определяет, что произойдет при попытке установки драйвера устройства (средствами API-интерфейса установки), который не был проверен в лабораториях Microsoft Windows Hardware Quality Labs (WHQL). Возможные варианты: Успешная установка без предупреждения Предупреждать, но разрешать установку Не разрешать установку По умолчанию: Предупреждать, но разрешать установку. |
Devices: Unsigned driver installation behavior
This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL). The options are: Silently succeed Warn but allow installation Do not allow installation Default: Warn but allow installation. |
1976 | Контроллер домена: Разрешить операторам сервера задавать выполнение заданий по расписанию
Этот параметр безопасности определяет, разрешено ли операторам сервера запускать задания при помощи средства AT. Примечание. Данный параметр безопасности влияет только на средство AT; он не влияет на средство "Планировщик заданий". По умолчанию: Этот параметр не определен; это означает, что система рассматривает его как отключенный. |
Domain controller: Allow server operators to schedule tasks
This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility. Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility. Default: This policy is not defined, which means that the system treats it as disabled. |
1977 | Контроллер домена: требования цифровой подписи для LDAP-сервера
Этот параметр безопасности определяет, будет ли LDAP-сервер требовать согласовывать подписывание с LDAP-клиентами следующим образом: Нет: для привязки к серверу подписывание данных не требуется. Если клиент запросит подписывание данных, сервер его поддержит. Требовать подпись: если не используется TLS\SSL, параметр подписывания данных LDAP должен быть согласован. По умолчанию: параметр не определен, это имеет тот же эффект, что и "Нет". Внимание! Если сервер настроен на "Требовать подпись", соответственно должен быть настроен и клиент. Если клиент не настроен, связь с сервером будет утеряна. Примечания Этот параметр не оказывает влияния на простое связывание LDAP или простое связывание LDAP через SSL. Клиенты Microsoft LDAP в составе Windows XP Professional для взаимодействия с контроллером домена не используют простое связывание LDAP или простое связывание LDAP через SSL. Если подписывание необходимо, то запросы с простым связыванием LDAP или простым связыванием LDAP через SSL отвергаются. Клиенты Microsoft LDAP под управлением Windows XP Professional или систем семейства Windows Server 2003 не используют простое связывание LDAP или простое связывание LDAP через SSL для привязки к службе каталогов. |
Domain controller: LDAP server signing requirements
This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows: None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it. Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated. Default: This policy is not defined, which has the same effect as None. Caution If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server. Notes This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller. If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service. |
1978 | Контроллер домена: запретить изменение паролей учетных записей компьютера
Этот параметр безопасности определяет, будут ли контроллеры домена отвергать запросы компьютеров, входящих в домен, на изменение паролей их учетных записей. По умолчанию компьютеры, входящие в домен, меняют пароли своих учетных записей каждые 30 дней. Если параметр включен, контроллер домена будет отвергать запросы на изменение паролей учетных записей. Включенный параметр не позволит контроллеру домена принять любые изменения паролей учетных записей компьютеров. По умолчанию: данный параметр не определен; это означает, что система рассматривает его как отключенный. |
Domain controller: Refuse machine account password changes
This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests. If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password. Default: This policy is not defined, which means that the system treats it as Disabled. |
1979 | Член домена: всегда требуется цифровая подпись или шифрование данных безопасного канала
Этот параметр безопасности определяет необходимость подписывания или шифрования всего трафика безопасного канала, инициированного членом домена. При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала с контроллером домена используется пароль учетной записи компьютера. Этот безопасный канал используется для таких операций, как выполнение проверки подлинности NTLM, поиск имени или кода LSA и т. д. Этот параметр безопасности определяет, соответствует ли минимальным требованиям безопасности весь трафик безопасного канала, инициированного членом домена. В частности, он определяет необходимость подписывания или шифрования всего трафика безопасного канала, инициированного членом домена. Если параметр включен, то безопасный канал не будет установлен до тех пор, пока не будет согласовано либо подписывание, либо шифрование всего его трафика. Если параметр отключен, то подписывание и шифрование всего трафика безопасного канала согласуется с контроллером домена; в этом случае уровень подписывания и шифрования зависит от версии контроллера домена и значений следующих двух параметров: Член домена: шифровать данные безопасного канала, когда это возможно Член домена: подписывать данные безопасного канала, когда это возможно По умолчанию: включен. Примечания: Если данный параметр включен, параметр "Член домена: подписывать данные безопасного канала, когда это возможно" считается включенным, независимо от его текущего состояния. Благодаря этому члены домена будут пытаться согласовать по крайней мере подписывание трафика безопасного канала. Если данный параметр включен, параметр "Член домена: подписывать данные безопасного канала, когда это возможно" считается включенным, независимо от его текущего состояния. Благодаря этому члены домена будут пытаться согласовать по крайней мере подписывание трафика безопасного канала. Учетные данные, передаваемые по безопасному каналу, всегда шифруются, независимо от согласования шифрования остального трафика. |
Domain member: Digitally encrypt or sign secure channel data (always)
This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies: Domain member: Digitally encrypt secure channel data (when possible) Domain member: Digitally sign secure channel data (when possible) Default: Enabled. Notes: If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not. |
1980 | Член домена: цифровое шифрование данных безопасного канала, когда это возможно
Этот параметр безопасности определяет, будет ли член домена пытаться согласовать шифрование всего инициируемого им трафика безопасного канала. При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала с контроллером домена используется пароль учетной записи компьютера. Этот безопасный канал используется для таких операций, как проверка подлинности NTLM, поиск имени или кода LSA и т. д. Этот параметр определяет, будет ли член домена пытаться согласовать шифрование всего трафика безопасного канала, который он инициирует. Если параметр включен, член домена будет запрашивать шифрование всего трафика безопасного канала. Если контроллер домена поддерживает шифрование всего трафика безопасного канала, то весь трафик безопасного канала будет шифроваться. В противном случае шифроваться будут только учетные данные, передаваемые по безопасному каналу. Если параметр отключен, член домена не будет пытаться согласовывать шифрование безопасного канала. По умолчанию: включен. Внимание! Нет никаких оснований для отключения этого параметра. Помимо возможного снижения уровня конфиденциальности безопасного канала, отключение данного параметра может привести к неоправданному снижению пропускной способности безопасного канала, так как параллельные вызовы API-процедур, использующих безопасный канал, возможны только при подписанном или шифрованном безопасном канале. Примечание. Контроллеры домена также являются членами домена и устанавливают безопасные каналы с другими контроллерами домена как в том же, так и в доверенных доменах. |
Domain member: Digitally encrypt secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption. Default: Enabled. Important There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted. Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1981 | Член домена: подписывать данные безопасного канала, когда это возможно
Этот параметр безопасности определяет, пытается ли член домена согласовать подписывание всего инициированного им трафика безопасного канала. При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала с контроллером домена используется пароль учетной записи компьютера. Этот безопасный канал используется для таких операций, как выполнение проверки подлинности NTLM, поиск имени или кода LSA и т. д. Этот параметр безопасности определяет, пытается ли член домена согласовать подписывание всего инициированного им трафика безопасного канала. Если этот параметр включен, член домена будет требовать подписывания всего трафика безопасного канала. Если контроллер домена поддерживает подписывание всего трафика безопасного канала, то будет подписываться весь трафик безопасного канала, что обеспечит невозможность его изменения при передаче. По умолчанию: включен. Примечания Если включен параметр "Член домена: всегда требуется цифровая подпись или шифрование данных безопасного канала", то данный параметр считается включенным вне зависимости от его текущего значения. Контроллеры домена также являются членами домена и устанавливают безопасные каналы с другими контроллерами домена как в том же домене, так и в доверенных доменах. |
Domain member: Digitally sign secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit. Default: Enabled. Notes: If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting. Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1982 | Член домена: максимальный срок действия пароля учетных записей компьютера
Этот параметр безопасности определяет, как часто член домена будет пытаться изменить пароль учетной записи компьютера. По умолчанию: 30 дней. Внимание! Этот параметр применяется к компьютерам под управлением Windows 2000, но не доступен на них через диспетчер конфигурации безопасности. |
Domain member: Maximum machine account password age
This security setting determines how often a domain member will attempt to change its computer account password. Default: 30 days. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1983 | Член домена: требовать стойкий сеансовый ключ (Windows 2000 или выше)
Этот параметр безопасности определяет, требуется ли для зашифрованных данных безопасного канала 128-разрядный ключ. При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала с контроллером домена используется пароль учетной записи компьютера. Этот безопасный канал используется для совершения таких операций, как сквозная проверка подлинности NTLM, поиск имени или ИД безопасности LSA и т. д. В зависимости от версии Windows, используемой на контроллере домена, с которым осуществляется соединение, а также от значений параметров: Член домена: всегда требуется цифровая подпись или шифрование данных безопасного канала Член домена: шифровать данные безопасного канала, когда это возможно Будут зашифрованы все или некоторые данные, передаваемые по безопасному каналу. Этот параметр политики определяет, требуется ли для зашифрованных данных безопасного канала 128-разрядный ключ. Если этот параметр включен, безопасное соединение будет установлено только в том случае, если возможно 128-разрядное шифрование. Если этот параметр отключен, стойкость ключа согласуется с контроллером домена. По умолчанию: включен. Внимание! Чтобы использовать этот параметр на рабочих станциях и серверах, входящих в домен, все контроллеры, формирующие домен, должны работать под управлением операционной системы Windows 2000 или более поздней версии. Чтобы использовать этот параметр на контроллерах домена, все контроллеры в этом домене, а также в доверенных доменах должны работать под управлением операционной системы Windows 2000 или более поздней версии. |
Domain member: Require strong (Windows 2000 or later) session key
This security setting determines whether 128-bit key strength is required for encrypted secure channel data. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on. Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters: Domain member: Digitally encrypt or sign secure channel data (always) Domain member: Digitally encrypt secure channel data (when possible) Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted. If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller. Default: Enabled. Important In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later. In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later. |
1984 | Член домена: отключить изменение пароля учетных записей компьютера
Определяет, производится ли периодическое изменение пароля учетной записи компьютера члена домена. При включении этого параметра член домена не пытается изменить пароль учетной записи компьютера. Если этот параметр отключен, член домена пытается изменить пароль учетной записи компьютера согласно значению параметра "Член домена: максимальный срок действия пароля учетной записи компьютера", имеющего по умолчанию значение "каждые 30 дней". По умолчанию: Отключено. Примечания Не следует включать этот параметр безопасности. Пароли учетных записей используются для установления безопасных каналов связи между членами домена и контроллерами домена, а также между самими контроллерами внутри домена. После установления связи безопасный канал используется для передачи конфиденциальных данных, необходимых для выполнения проверки подлинности и авторизации. Этот параметр не следует использовать для поддержки сценариев двойной загрузки, использующих одну и ту же учетную запись компьютера. Для двойной загрузки двух установок, объединенных в одном домене, присвойте этим установкам разные имена компьютеров. |
Domain member: Disable machine account password changes
Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days. Default: Disabled. Notes This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions. This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names. |
1985 | Интерактивный вход в систему: не отображать учетные данные последнего пользователя
Этот параметр безопасности определяет, будет ли на экране входа в Windows отображаться имя последнего пользователя, выполнившего вход на этом компьютере. Если эта политика включена, имя пользователя не будет отображаться. Если этот параметр отключен, имя пользователя будет отображаться. По умолчанию: отключено. |
Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
1986 | Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL
Этот параметр безопасности определяет, требуется ли нажатие клавиш CTRL+ALT+DEL перед входом в систему. Если эта политика включена, нажатие клавиш CTRL+ALT+DEL перед входом в систему не требуется. Отсутствие необходимости нажимать клавиши CTRL+ALT+DEL перед входом в систему делает пользователей уязвимыми для атак с попыткой перехвата паролей. Обязательное нажатие клавиш CTRL+ALT+DEL перед входом в систему гарантирует передачу данных по доверенному каналу при вводе паролей пользователями. Если эта политика отключена, нажатие клавиш CTRL+ALT+DEL обязательно для любого пользователя перед входом в Windows. По умолчанию на компьютерах домена: включено (не ранее Windows 8)/отключено (Windows 7 и более ранних версий). По умолчанию на изолированных рабочих станциях: включено. |
Interactive logon: Do not require CTRL+ALT+DEL
This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on. If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords. If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows. Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier. Default on stand-alone computers: Enabled. |
1987 | Интерактивный вход: текст сообщения для пользователей при входе в систему
Этот параметр безопасности указывает текстовое сообщение, отображаемое при входе пользователей в систему. Этот текст часто используется в правовых целях, например, чтобы предупредить пользователей о последствиях разглашения коммерческой тайны или о том, что их действия могут контролироваться. По умолчанию: нет сообщения. |
Interactive logon: Message text for users attempting to log on
This security setting specifies a text message that is displayed to users when they log on. This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited. Default: No message. |
1988 | Интерактивный вход в систему: Заголовок сообщения для пользователей при входе в систему
Этот параметр безопасности позволяет указать заголовок окна, содержащего сообщение, указанное в параметре "Интерактивный вход: Текст сообщения для пользователей при входе в систему". По умолчанию: Сообщение отсутствует. |
Interactive logon: Message title for users attempting to log on
This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on. Default: No message. |
1989 | Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
Сведения о входе в систему каждого уникального пользователя кэшируются локально, чтобы обеспечить возможность входа в систему в случае отсутствия доступа к контроллеру домена во время последующих попыток входа. Хранятся кэшированные сведения о входе в систему из предыдущего сеанса. Если доступ к контроллеру домена отсутствует, а сведения о входе в систему для данного пользователя не кэшированы, выводится сообщение: В настоящее время нет доступных серверов входа для обслуживания запроса входа в систему. В этом параметре политики значение 0 отключает кэширование входа в систему. При любом значении выше 50 кэшируется только 50 попыток входа в систему. Windows поддерживает не более 50 записей кэша, при этом число потребляемых записей на пользователя зависит от учетных данных. Например, в системе Windows может быть кэшировано до 50 уникальных учетных записей пользователя с паролями, но не более 25 учетных записей пользователя со смарт-картой, так как сохраняются сведения как о пароле, так и о смарт-карте. При повторном входе в систему пользователя с кэшированными сведениями о входе сведения данного пользователя в кэше заменяются. По умолчанию: Windows Server 2008: 25 Все другие версии: 10 |
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message: There are currently no logon servers available to service the logon request. In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced. Default: Windows Server 2008: 25 All Other Versions: 10 |
1990 | Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее
Определяет, за сколько дней пользователи предупреждаются об истечении срока действия пароля. Это предварительное предупреждение дает пользователю время на создание пароля достаточной стойкости. По умолчанию: 5 дней. |
Interactive logon: Prompt user to change password before expiration
Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong. Default: 5 days. |
1991 | Интерактивный вход в систему: Требовать проверки на контроллере домена для отмены блокировки компьютера
Для разблокировки блокированного компьютера необходимо предоставить данные входа. Для учетных записей доменов этот параметр безопасности определяет, необходимо ли установить связь с контроллером домена для разблокировки компьютера. Если этот параметр отключен, пользователь может разблокировать компьютер с помощью кэшированных учетных данных. Если этот параметр включен, используемая для разблокировки компьютера учетная запись домена должна быть проверена контроллером домена на подлинность. По умолчанию: Отключен. Внимание! Этот параметр применяется к компьютерам под управлением Windows 2000, но не доступен на них через диспетчер конфигурации безопасности. |
Interactive logon: Require Domain Controller authentication to unlock
Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer. Default: Disabled. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1992 | Интерактивный вход в систему: требовать Windows Hello для бизнеса или смарт-карту
Этот параметр безопасности требует, чтобы пользователи осуществляли вход на устройстве с помощью Windows Hello для бизнеса или смарт-карты. Возможные варианты: Включено: пользователи могут выполнять вход на устройстве только с помощью Windows Hello для бизнеса или смарт-карты. Отключено или не настроено: пользователи могут выполнять вход на устройстве любым способом. Внимание! Этот параметр применяется к любому компьютеру под управлением Windows 2000 путем внесения изменений в реестр, однако данный параметр безопасности не отображается в наборе средств защиты диспетчера конфигураций. Возможность требования входа в систему с помощью Windows Hello для бизнеса не поддерживается в ОС Windows 10 версии 1607 или более ранней версии. |
Interactive logon: Require Windows Hello for Business or smart card
This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card. The options are: Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card. Disabled or not configured: Users can sign-in to the device using any method. Important This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set. Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier. |
1993 | Интерактивный вход: поведение при извлечении смарт-карты
Этот параметр безопасности определяет, что происходит при извлечении смарт-карты вошедшего пользователя из устройства чтения смарт-карт. Возможные варианты: Нет действия Заблокировать рабочую станцию Принудительный выход из системы Отключение в случае удаленного сеанса служб удаленных рабочих столов При выборе пункта "Заблокировать рабочую станцию" в диалоговом окне свойств этого параметра при извлечении смарт-карты рабочая станция блокируется, что позволяет пользователям покидать рабочее место, забрав смарт-карту с собой, но оставляя открытым защищенный сеанс. При выборе пункта "Принудительный выход из системы" в диалоговом окне свойств этого параметра при извлечении смарт-карты выполняется автоматический выход из системы. При выборе пункта "Отключение в случае удаленного сеанса служб удаленных рабочих столов" при извлечении смарт-карты сеанс завершается без выхода пользователя из системы. Это позволяет пользователю вставить смарт-карту и возобновить сеанс позднее на том же компьютере либо на другом компьютере с устройством чтения смарт-карт без необходимости снова входить в систему. Если сеанс выполняется на локальном компьютере, тогда эта политика действует так же, как при блокировании рабочей станции. Примечание. Старое название служб удаленных рабочих столов в предыдущих версиях ОС Windows Server — "службы терминалов". По умолчанию: данная политика не определена; это означает, что система рассматривает параметр как имеющий значение "Нет действия". В ОС Windows Vista и более поздних версиях: чтобы этот параметр работал, должна быть запущена служба политики извлечения смарт-карт. |
Interactive logon: Smart card removal behavior
This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader. The options are: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed. If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default: This policy is not defined, which means that the system treats it as No action. On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started. |
1994 | Сетевой клиент Майкрософт: использовать цифровую подпись (всегда)
Этот параметр безопасности определяет, требует ли SMB-компонент клиента подпись для пакетов. Протокол блоков сообщений сервера (SMB) предоставляет основу для совместного доступа к файлам и принтерам Майкрософт, а также для многих других сетевых операций (например, для удаленного администрирования Windows). Для предотвращения атак с перехватом, когда SMB-пакеты изменяются при передаче, протокол SMB поддерживает установку цифровой подписи для SMB-пакетов. Этот параметр политики определяет, необходимо ли согласование подписи SMB-пакетов перед тем, как будет разрешена дальнейшая связь с SMB-сервером. Когда этот параметр включен, сетевой клиент Майкрософт не будет соединяться с сетевым сервером Майкрософт, если сервер не выдаст согласие на установку подписи для SMB-пакетов. Когда этот параметр отключен, между клиентом и сервером выполняется согласование подписывания SMB-пакетов. По умолчанию: отключено. Внимание! Чтобы этот параметр действовал для компьютеров под управлением Windows 2000, необходимо включить подписывание пакетов на стороне клиента. Чтобы включить подписывание SMB-пакетов на стороне клиента, установите параметр "Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера)". Примечания Все операционные системы Windows поддерживают как клиентский, так и серверный компоненты SMB. В операционной системе Windows 2000 и более поздних версий требование или включение подписывания пакетов для клиентского и серверного SMB-компонентов контролируется следующими четырьмя параметрами политики. Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в клиентском SMB-компоненте подписывание пакетов. Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера) — определяет, включено ли для клиентского SMB-компонента подписывание пакетов. Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в серверном SMB-компоненте подписывание пакетов. Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента) — определяет, включено ли для серверного SMB-компонента подписывание пакетов. Подписывание SMB-пакетов может значительно ухудшить производительность SMB, в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей снижения нагрузки на процессор и поведения ввода-вывода приложения. Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB client component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted. If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled. Important For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees). Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1995 | Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера)
Этот параметр безопасности определяет, пытается ли SMB-клиент согласовывать подписывание SMB-пакетов. Протокол блоков сообщений сервера (SMB) предоставляет основу для совместного доступа к файлам и принтерам Майкрософт, а также для многих других сетевых операций (например, для удаленного администрирования Windows). Для предотвращения атак с перехватом, когда SMB-пакеты изменяются при передаче, SMB-протокол поддерживает установку цифровой подписи для SMB-пакетов. Этот параметр безопасности определяет, пытается ли SMB-клиент согласовывать подписывание SMB-пакетов при подключении к SMB-серверу. Если этот параметр включен, сетевой клиент Майкрософт будет требовать от сервера подписывания SMB-пакетов при установке сеанса связи. Если подписывание пакетов на этом сервере включено, будет согласовано подписывание пакетов. Если эта политика отключена, SMB-клиент никогда не будет согласовывать подписывание SMB-пакетов. По умолчанию: включено. Примечания Все операционные системы Windows поддерживают как клиентский, так и серверный компоненты SMB. В операционной системе Windows 2000 и более поздних версий требование или включение подписывания пакетов для клиентского и серверного SMB-компонентов контролируется следующими четырьмя параметрами политики. Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в клиентском SMB-компоненте подписывание пакетов. Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера) — определяет, включено ли для клиентского SMB-компонента подписывание пакетов. Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в серверном SMB-компоненте подписывание пакетов. Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента) — определяет, включено ли для серверного SMB-компонента подписывание пакетов. Если подписывание SMB включено на стороне клиента и сервера и клиент устанавливает подключение к серверу SMB 1.0, будет предпринята попытка подписывания SMB. Подписывание SMB-пакетов может значительно ухудшить производительность SMB, в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей снижения нагрузки на процессор и поведения ввода-вывода приложения. Этот параметр применяется только к подключениям SMB 1.0. Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (if server agrees)
This security setting determines whether the SMB client attempts to negotiate SMB packet signing. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server. If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1996 | Сетевой клиент Майкрософт: отправить незашифрованный пароль для подключения к SMB-серверам сторонних компаний
Если этот параметр безопасности включен, перенаправителю блока сообщений сервера (SMB) разрешено отправлять пароли открытым текстом на серверы SMB, не принадлежащие Майкрософт, которые не поддерживают шифрование паролей во время проверки подлинности. Отправка незашифрованных паролей представляет риск для безопасности. По умолчанию: Отключено. |
Microsoft network client: Send unencrypted password to connect to third-party SMB servers
If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication. Sending unencrypted passwords is a security risk. Default: Disabled. |
1997 | Сервер сети Microsoft: время бездействия до приостановки сеанса
Этот параметр безопасности определяет продолжительность отрезка времени SMB-сеанса до его приостановки по причине неактивности. Администраторы могут использовать этот параметр для управления временем приостановки неактивного SMB-сеанса компьютером. Если клиентская активность возобновляется, сеанс автоматически устанавливается заново. Для этого параметра значение "0" означает отсоединение сеанса сразу, как только это представится возможным. Максимальное значение - 99999, что составляет 208 дней; в действительности такое значение отключает этот параметр. По умолчанию: параметр не определен; это означает, что система рассматривает параметр как имеющий значение "15" для серверов и неопределенное значение для рабочих станций. |
Microsoft network server: Amount of idle time required before suspending a session
This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity. Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished. For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy. Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations. |
1998 | Сетевой сервер Майкрософт: использовать цифровую подпись (всегда)
Этот параметр безопасности определяет, является ли обязательным использование подписи пакетов для SMB-компонента сервера. Протокол блоков сообщений сервера (SMB) предоставляет основу для совместного доступа к файлам и принтерам Майкрософт, а также для многих других сетевых операций (например, для удаленного администрирования Windows). Для предотвращения атак с перехватом, когда SMB-пакеты изменяются при передаче, протокол SMB поддерживает установку цифровой подписи для SMB-пакетов. Этот параметр определяет, необходимо ли согласовать подписывание SMB-пакетов перед тем, как будет разрешено дальнейшее соединение с SMB-клиентом. Когда этот параметр включен, сетевой сервер Майкрософт не будет соединяться с сетевым клиентом Майкрософт, если клиент не выдаст согласие на установку цифровой подписи для SMB-пакетов. Когда этот параметр отключен, подписывание SMB-пакетов согласуется между клиентом и сервером. По умолчанию Отключено для рядовых серверов. Включено для контроллеров домена. Примечания Все операционные системы Windows поддерживают как клиентский, так и серверный компоненты SMB. В операционной системе Windows 2000 и более поздних версий требование или включение подписи пакетов для клиентского и серверного SMB-компонентов контролируется следующими четырьмя параметрами политики. Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в клиентском SMB-компоненте подписывание пакетов. Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера) — определяет, включено ли для клиентского SMB-компонента подписывание пакетов. Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) — определяет, требуется ли в серверном SMB-компоненте подписывание пакетов. Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента) — определяет, включено ли для серверного SMB-компонента подписывание пакетов. Аналогичным образом, если требуется подписывание SMB-пакетов на стороне клиента, клиент не сможет установить сеанс связи с серверами, на которых не включено подписывание пакетов. По умолчанию подписывание SMB-пакетов на стороне сервера включено только на контроллерах домена. Если включено подписывание SMB-пакетов на стороне сервера, подписывание будет согласовываться с клиентами, для которых включено подписывание SMB-пакетов на стороне клиента. Подписывание SMB-пакетов может значительно ухудшить производительность SMB, в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей снижения нагрузки на процессор и поведения ввода-вывода приложения. Внимание! Чтобы этот параметр влиял на компьютеры под управлением Windows 2000, необходимо включить подписывание пакетов на стороне сервера. Чтобы включить подписывание SMB-пакетов на стороне сервера, установите следующую политику. Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии сервера) Чтобы серверы под управлением Windows 2000 могли согласовывать подписывание пакетов с клиентами Windows NT 4.0, следующее значение реестра должно быть равно 1 на сервере Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB server component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted. If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled for member servers. Enabled for domain controllers. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers. If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. Important For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1999 | Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента)
Этот параметр безопасности определяет, будет ли выполняться согласование подписывания SMB-пакетов между SMB-сервером и клиентами, которые требуют такого согласования. Протокол блоков сообщений сервера (SMB) предоставляет основу для совместного доступа к файлам и принтерам Майкрософт, а также для многих других сетевых операций (например, для удаленного администрирования Windows). Для предотвращения атак с перехватом, которые изменяют SMB-пакеты при передаче, протокол SMB поддерживает установку цифровой подписи для SMB-пакетов. Этот параметр политики определяет, будет ли выполняться согласование подписывания SMB-пакетов между SMB-сервером и клиентами, которые требуют такого согласования. Если этот параметр включен, сетевой сервер Майкрософт будет согласовывать подписи SMB-пакетов по запросу клиента, то есть, если установка подписи пакетов была включена в клиенте, подписи пакетов будут согласовываться. Если эта политика отключена, SMB-клиент не сможет согласовать подписи SMB-пакетов. По умолчанию: включено только на контроллерах домена. Внимание! В случае серверов под управлением Windows 2000 для согласования подписей с клиентами Windows NT 4.0 следующее значение реестра должно быть равно 1 на сервере под управлением Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Примечания Все операционные системы Windows поддерживают как клиентский, так и серверный SMB-компонент. В случае Windows 2000 и более поздних версий разрешение или обязательное использование подписи для клиентских и серверных SMB-компонентов контролируется следующими четырьмя параметрами политики. Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) — определяет, будет ли SMB-компонент клиента требовать подпись пакетов. Сетевой клиент Майкрософт: использовать цифровую подпись (при согласии сервера) — определяет, включена ли установка подписи пакетов для SMB-компонента клиента. Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) — определяет, будет ли SMB-компонент сервера требовать подпись пакетов. Сетевой сервер Майкрософт: использовать цифровую подпись (при согласии клиента) — определяет, включена ли установка подписи пакетов для SMB-компонента сервера. Если установка подписи SMB включена на стороне клиента и сервера и клиент устанавливает подключение к серверу SMB 1.0, будет предпринята попытка подписи SMB. Подписывание SMB-пакетов может значительно ухудшить производительность SMB, в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей снижения нагрузки на процессор и поведения ввода-вывода приложения. Этот параметр применяется только к подключениям SMB 1.0. Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (if client agrees)
This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it. If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled on domain controllers only. Important For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
2000 | Сетевой сервер (Майкрософт): отключать клиентов по истечении разрешенных часов входа
Этот параметр безопасности определяет, будут ли отключаться пользователи, подключенные к локальному компьютеру, по истечении разрешенного времени входа, заданного для их учетной записи. Этот параметр влияет на компонент протокола SMB. Если этот параметр включен, по истечении разрешенного времени входа клиента сеансы клиента со службой SMB принудительно разрываются. Если этот параметр отключен, по истечении разрешенного времени входа клиента его сеанс сохраняется. Значение по умолчанию в ОС Windows Vista и более поздних версиях: включен. Значение по умолчанию в ОС Windows XP: отключен |
Microsoft network server: Disconnect clients when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default on Windows Vista and above: Enabled. Default on Windows XP: Disabled |
2001 | Доступ к сети: разрешить трансляцию анонимного SID в имя
Этот параметр политики определяет, может ли анонимный пользователь запрашивать атрибуты идентификатора безопасности (SID) другого пользователя. Если эта политика включена, то анонимный пользователь может запросить идентификатор безопасности любого другого пользователя. Например, анонимный пользователь, знающий идентификатор безопасности администратора, может подключиться к компьютеру, на котором включена эта политика, и получить имя администратора. Данный параметр влияет как на преобразование идентификатора безопасности в имя, так и на обратное преобразование (имя в идентификатор безопасности). Если этот параметр политики отключен, анонимный пользователь не может запрашивать идентификатор безопасности другого пользователя. Значение по умолчанию на рабочих станциях и рядовых серверах: отключен. Значение по умолчанию на контроллерах домена, работающих под управлением ОС Windows Server 2008 или более поздней версии: отключено. Значение по умолчанию на контроллерах домена, работающих под управлением ОС Windows Server 2003 R2 или более ранней версии: включено. |
Network access: Allow anonymous SID/name translation
This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user. If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation. If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user. Default on workstations and member servers: Disabled. Default on domain controllers running Windows Server 2008 or later: Disabled. Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled. |
2002 | Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями.
Этот параметр безопасности определяет, какие дополнительные разрешения будут даны анонимным подключениям к этому компьютеру. Windows разрешает анонимным пользователям совершать определенные действия, такие как перечисление имен учетных записей домена и общих сетевых ресурсов. Это удобно, например, когда администратору требуется предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. Этот параметр безопасности позволяет накладывать дополнительные ограничения на анонимные подключения. Включен: не разрешать перечисление учетных записей SAM. Этот параметр заменяет параметр "Все" на параметр "Прошедшие проверку" в разрешениях безопасности для ресурсов. Отключен: нет дополнительных ограничений. Используются разрешения по умолчанию. По умолчанию на рабочих станциях: включен. По умолчанию на сервере: включен. Внимание! Эта политика не влияет на контроллеры доменов. |
Network access: Do not allow anonymous enumeration of SAM accounts
This security setting determines what additional permissions will be granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. This security option allows additional restrictions to be placed on anonymous connections as follows: Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources. Disabled: No additional restrictions. Rely on default permissions. Default on workstations: Enabled. Default on server:Enabled. Important This policy has no impact on domain controllers. |
2003 | Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями
Этот параметр безопасности определяет, разрешено ли перечисление учетных записей SAM и общих ресурсов анонимными пользователями. Windows разрешает анонимным пользователям совершать некоторые действия (например, перечисление имен учетных записей домена и общих папок). Это удобно в случае, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. Чтобы запретить перечисление учетных записей SAM и общих ресурсов анонимными пользователями, включите этот параметр. По умолчанию: Отключен. |
Network access: Do not allow anonymous enumeration of SAM accounts and shares
This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy. Default: Disabled. |
2004 | Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности
Этот параметр безопасности определяет, сохраняются ли диспетчером учетных данных пароли и учетные данные при проверке подлинности доменом (для последующего использования). Если данный параметр включен, то сохранение паролей и учетных данных диспетчером учетных данных на данном компьютере не производится. Если данный параметр политики выключен или значение для него не задано, то диспетчер учетных данных будет сохранять пароли и учетные данные на этом компьютере (для использования в будущем при проверке подлинности доменом). Примечание. Изменения в конфигурации этого параметра безопасности вступят в силу только после перезагрузки Windows. По умолчанию: отключен. |
Network access: Do not allow storage of passwords and credentials for network authentication
This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication. If you enable this setting, Credential Manager does not store passwords and credentials on the computer. If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
2005 | Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям
Этот параметр безопасности определяет, какие дополнительные разрешения будут даны анонимным подключениям к компьютеру. Windows разрешает анонимным пользователям совершать некоторые действия (например, перечисление имен учетных записей домена и общих папок). Это удобно в случае, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. По умолчанию идентификатор безопасности "Для всех" удаляется из токена, созданного для анонимных соединений. Таким образом, разрешения группы "Для всех" не затрагивают анонимных пользователей. Если этот параметр установлен, анонимные пользователи имеют доступ только к тем ресурсам, доступ к которым им разрешен явным образом. Если этот параметр включен, идентификатор безопасности "Для всех" добавляется к токену, созданному для анонимных соединений. В этом случае анонимные пользователи имеют доступ к любому ресурсу, разрешенному для группы "Для всех". По умолчанию: Отключен. |
Network access: Let Everyone permissions apply to anonymous users
This security setting determines what additional permissions are granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission. If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions. Default: Disabled. |
2006 | Сетевой доступ: разрешать анонимный доступ к именованным каналам
Этот параметр безопасности определяет, какие сеансы связи (каналы) будут иметь атрибуты и разрешения, дающие право анонимного доступа. По умолчанию: Отсутствует. |
Network access: Named pipes that can be accessed anonymously
This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access. Default: None. |
2007 | Сетевой доступ: пути в реестре доступны через удаленное подключение
Этот параметр безопасности определяет, какие пути реестра могут быть доступны через сеть вне зависимости от пользователей или групп пользователей, указанных в списке управления доступом (ACL) раздела реестра winreg. По умолчанию: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Внимание! Неправильное редактирование реестра может нанести серьезный вред системе. Перед изменением реестра создайте резервную копию всех важных данных. Примечание. Этот параметр безопасности недоступен в более ранних версиях Windows. Параметр безопасности, отображаемый в Windows XP как "Сетевой доступ: пути в реестре доступны через удаленное подключение", соответствует параметру безопасности "Сетевой доступ: удаленно доступные пути и вложенные пути реестра" в семействе Windows Server 2003. Дополнительные сведения см. в разделе "Сетевой доступ: удаленно доступные пути и вложенные пути реестра". По умолчанию System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
Network access: Remotely accessible registry paths
This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
2008 | Сетевой доступ: удаленно доступные пути и вложенные пути реестра.
Этот параметр безопасности определяет, какие пути и вложенные пути реестра могут быть доступны через сеть вне зависимости от пользователей или групп пользователей, указанных в списке управления доступом (ACL) раздела реестра winreg. По умолчанию System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Внимание! Неправильное редактирование реестра может нанести серьезный вред системе. Перед изменением реестра создайте резервную копию всех важных данных. Примечание. В Windows XP этот параметр безопасности назывался "Сетевой доступ: пути в реестре доступны через удаленное подключение". При установке этого параметра на присоединенном к домену компьютере с операционной системой семейства Windows Server 2003 этот параметр наследуется компьютерами под управлением Windows XP, но отображается как параметр безопасности "Сетевой доступ: пути в реестре доступны через удаленное подключение". Дополнительные сведения см. в разделе "Сетевой доступ: удаленно доступные пути и вложенные пути реестра". |
Network access: Remotely accessible registry paths and subpaths
This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths. |
2009 | Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам
Если этот параметр безопасности включен, он ограничивает анонимный доступ к общим ресурсам и именованным каналам в соответствии со значениями следующих параметров: Сетевой доступ: разрешать анонимный доступ к именованным каналам Сетевой доступ: разрешать анонимный доступ к общим ресурсам Значение по умолчанию: включен. |
Network access: Restrict anonymous access to Named Pipes and Shares
When enabled, this security setting restricts anonymous access to shares and pipes to the settings for: Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously Default: Enabled. |
2010 | Сетевой доступ: разрешать анонимный доступ к общим ресурсам
Этот параметр безопасности определяет, к каким общим ресурсам могут получать доступ анонимные пользователи. Значение по умолчанию: нет. |
Network access: Shares that can be accessed anonymously
This security setting determines which network shares can accessed by anonymous users. Default: None specified. |
2011 | Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей.
Этот параметр безопасности определяет, каким образом проверяется подлинность при входе в сеть с использованием локальных учетных записей. Если данный параметр имеет значение "Обычная", при входе в сеть с учетными данными локальной учетной записи выполняется проверка подлинности по этим учетным данным. Обычная модель позволяет более гибко управлять доступом к ресурсам. С ее помощью можно предоставить разным пользователям разные типы доступа к одному и тому же ресурсу. Если этот параметр имеет значение "Гостевая", операции входа в сеть с учетными данными локальных учетных записей автоматически сопоставляются с учетной записью гостя. При использовании гостевой модели между пользователями нет различий. Все пользователи проходят проверку подлинности с учетной записью гостя и получают одинаковый уровень доступа к данному ресурсу — "Только чтение" или "Изменение". По умолчанию на компьютерах домена: Обычная. По умолчанию на автономных компьютерах: Гостевая. Внимание! Если используется гостевая модель, любой пользователь, имеющий доступ к компьютеру по сети (включая анонимных пользователей Интернета), может получить доступ к общим ресурсам. Для защиты компьютера от несанкционированного доступа необходимо использовать брандмауэр Windows или другую аналогичную программу. Кроме того, при использовании обычной модели локальные учетные записи должны быть защищены паролем, чтобы их невозможно было использовать для доступа к общим ресурсам системы. Примечание Этот параметр не влияет на операции интерактивного входа в систему, которые выполняются удаленно с помощью таких служб, как Telnet или служб удаленных рабочих столов. В предыдущих версиях ОС Windows Server службы удаленных рабочих столов назывались службами терминалов. Эта политика не распространяется на компьютеры, работающие под управлением Windows 2000. Если компьютер не входит в домен, параметры на вкладках "Доступ" и "Безопасность" в проводнике также изменяются в соответствии с выбранной моделью совместного доступа и безопасности. |
Network access: Sharing and security model for local accounts
This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource. If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify. Default on domain computers: Classic. Default on stand-alone computers: Guest only Important With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources. Note: This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services Remote Desktop Services was called Terminal Services in previous versions of Windows Server. This policy will have no impact on computers running Windows 2000. When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used. |
2012 | Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля
Этот параметр безопасности определяет, нужно ли при следующей смене пароля сохранять хэш-значение диспетчера LAN (LM) для нового пароля. Хэш LM является относительно слабым и уязвимым для атак по сравнению с более криптостойким хэшем Windows NT. Поскольку хэш LM хранится в базе данных безопасности на локальном компьютере, в случае атаки на базу данных безопасности пароли могут быть расшифрованы. По умолчанию в ОС Windows Vista и более поздних версиях: включен. По умолчанию в ОС Windows XP: отключен. Внимание! ОС Windows 2000 с пакетом обновления 2 (SP2) и выше поддерживает проверку подлинности предыдущих версий Windows, таких как Microsoft Windows NT 4.0. Этот параметр может повлиять на способность компьютеров под управлением ОС Windows 2000 Server, Windows 2000 Professional, Windows XP и семейства Windows Server 2003 взаимодействовать с компьютерами под управлением Windows 95 и Windows 98. |
Network security: Do not store LAN Manager hash value on next password change
This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked. Default on Windows Vista and above: Enabled Default on Windows XP: Disabled. Important Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0. This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98. |
2013 | Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы
Этот параметр безопасности определяет, будут ли отключаться пользователи при подключении к локальному компьютеру вне времени входа, заданного для их учетной записи. Этот параметр влияет на компонент блока сообщений сервера (SMB). Если эта политика включена, после истечения времени входа клиента сеансы клиента с сервером SMB принудительно разрываются. Если эта политика отключена, после истечения времени входа клиента его сеанс сохраняется. Значение по умолчанию: включен. Примечание. Этот параметр безопасности применяется так же, как политика учетной записи. Для учетных записей домена может существовать только одна политика учетных записей. Политика учетной записи должна быть определена в политике домена по умолчанию; она применяется контроллерами данного домена. Контроллер домена всегда получает политику учетной записи из объекта групповой политики (GPO) политики домена по умолчанию, даже если существует другая политика учетной записи, которая применяется к подразделению, содержащему этот контроллер домена. По умолчанию рабочие станции и серверы, входящие в домен, получают ту же политику учетной записи для своих локальных учетных записей. Однако политики локальных учетных записей таких компьютеров могут отличаться от политики учетной записи домена, если определена политика учетной записи для подразделения, в которое входят эти компьютеры. Параметры Kerberos не применяются к таким компьютерам. |
Network security: Force logoff when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default: Enabled. Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers. |
2014 | Сетевая безопасность: уровень проверки подлинности LAN Manager
Этот параметр безопасности определяет, какие протоколы проверки подлинности с запросом и ответом используются для сетевого входа в систему. Значение этого параметра влияет на уровень протокола проверки подлинности, который используют клиенты, на уровень согласованной безопасности сеанса, а также на уровень проверки подлинности, принимаемой серверами, следующим образом. Отправлять ответы LM и NTLM: клиенты используют проверку подлинности LM и NTLM и никогда не используют сеансовую безопасность NTLMv2; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании: клиенты используют проверку подлинности LM и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять только NTLM-ответ: клиенты используют только проверку подлинности NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять только NTLMv2-ответ: клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять только NTLMv2-ответ и отказывать LM: клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена отклоняют LM (принимая только проверку подлинности NTLM и NTLMv2). Отправлять только NTLMv2-ответ и отказывать LM и NTLM: клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена отклоняют LM и NTLM (принимая только проверку подлинности NTLMv2). Внимание Этот параметр может повлиять на способность компьютеров под управлением ОС Windows 2000 Server, Windows 2000 Professional, Windows XP Professional и семейства Windows Server 2003 к взаимодействию по сети с компьютерами под управлением ОС Windows 4.0 и более ранних версий. Например, на момент создания данного документа компьютеры под управлением Windows NT 4.0 с пакетом обновления 4 (SP4) не поддерживали NTLMv2. Компьютеры под управлением Windows 95 и Windows 98 не поддерживали NTLM. Значение по умолчанию. Windows 2000 и Windows XP: отправлять ответы LM и NTLM на сервер Windows Server 2003: отправлять только ответ NTLM Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2: отправлять только ответ NTLMv2 |
Network security: LAN Manager authentication level
This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows: Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication). Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication). Important This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM. Default: Windows 2000 and windows XP: send LM & NTLM responses Windows Server 2003: Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only |
2015 | Сетевая безопасность: требование цифровой подписи для LDAP-клиента
Этот параметр безопасности определяет уровень подписи данных, который запрашивается от имени клиентов, отправляющих запросы LDAP BIND, следующим образом. Нет: запрос LDAP BIND отправляется с параметрами, указанными вызывающей стороной. Согласование цифровой подписи: если службы TLS и SSL не запущены, запрос LDAP BIND создается с набором параметров подписи данных LDAP в добавление к параметрам, указанным вызывающей стороной. Если службы TLS и SSL запущены, запрос LDAP BIND создается с параметрами, указанными вызывающей стороной. "Требовать подпись": то же, что и "Согласование цифровой подписи". Однако если промежуточный ответ saslBindInProgress LDAP-сервера не показывает, что требуется подпись трафика LDAP, вызывающая сторона получает сообщение о том, что запрос команды LDAP BIND завершился с ошибкой. Внимание Если на сервере задано значение "Требовать подпись", на клиенте значение должно быть таким же. Если на клиенте не задано такое же значение, это приведет к потере подключения к серверу. Примечание. Этот параметр не оказывает влияния на ldap_simple_bind или ldap_simple_bind_s. Клиенты Microsoft LDAP в составе Windows XP Professional не используют ldap_simple_bind или ldap_simple_bind_s для взаимодействия с контроллером домена. Значение по умолчанию: "Согласование цифровой подписи". |
Network security: LDAP client signing requirements
This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows: None: The LDAP BIND request is issued with the options that are specified by the caller. Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller. Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed. Caution If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server. Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller. Default: Negotiate signing. |
2016 | Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC).
Этот параметр безопасности позволяет клиенту требовать согласования 128-разрядного шифрования и (или) сеансовой безопасности NTLMv2. Эти значения зависят от значения параметра безопасности "Уровень проверки подлинности LAN Manager". Доступны следующие варианты. Требовать сеансовую безопасность NTLMv2. Если протокол NTLMv2 не согласован, подключение не будет установлено. Требовать 128-разрядное шифрование. Если стойкое (128-разрядное) шифрование не согласовано, подключение не будет установлено. По умолчанию. Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 и Windows Server 2008: требования отсутствуют. Windows 7 и Windows Server 2008 R2: необходимо 128-битовое шифрование |
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated. Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2017 | Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC).
Этот параметр безопасности позволяет серверу требовать согласования 128-разрядного шифрования и (или) сеансовой безопасности NTLMv2. Эти значения зависят от значения параметра безопасности "Уровень проверки подлинности LAN Manager". Доступны следующие варианты. Требовать сеансовую безопасность NTLMv2. Если целостность сообщений не согласована, подключение не будет установлено. Требовать 128-битное шифрование. Если стойкое (128-разрядное) шифрование не согласовано, подключение не будет установлено. По умолчанию. Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 и Windows Server 2008: нет требований. Windows 7 и Windows Server 2008 R2: необходимо 128-битовое шифрование |
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if message integrity is not negotiated. Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2018 | Консоль восстановления: разрешить автоматический вход администратора
Этот параметр безопасности определяет, нужно ли указывать пароль учетной записи "Администратор" для получения доступа к системе. Если этот параметр включен, консоль восстановления не требует ввода пароля, позволяя выполнять вход в систему автоматически. По умолчанию: эта политика не определена и автоматический вход в систему с учетной записью "Администратор" не разрешен. |
Recovery console: Allow automatic administrative logon
This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system. Default: This policy is not defined and automatic administrative logon is not allowed. |
2019 | Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам.
При включении этого параметра безопасности становится доступной команда SET консоли восстановления, которая позволяет задать следующие переменные среды консоли восстановления. AllowWildCards: позволяет использовать подстановочные знаки для некоторых команд (например, для команды DEL). AllowAllPaths: разрешает доступ к любым файлам и папкам компьютера. AllowRemovableMedia: позволяет копировать файлы на съемные носители, например на дискеты. NoCopyPrompt: отменяет выдачу предупреждения при перезаписи существующих файлов. По умолчанию: эта политика не определена и команда SET консоли восстановления недоступна. |
Recovery console: Allow floppy copy and access to all drives and all folders
Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables: AllowWildCards: Enable wildcard support for some commands (such as the DEL command). AllowAllPaths: Allow access to all files and folders on the computer. AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk. NoCopyPrompt: Do not prompt when overwriting an existing file. Default: This policy is not defined and the recover console SET command is not available. |
2020 | Завершение работы: разрешить завершение работы системы без выполнения входа в систему.
Этот параметр безопасности определяет, можно ли завершить работу компьютера, не выполняя вход в систему Windows. Если эта политика включена, команду "Завершение работы" можно выбрать на экране входа в Windows. Если эта политика отключена, команда "Завершение работы" не отображается на экране входа в Windows. В этом случае, чтобы завершить работу системы, пользователю необходимо успешно выполнить вход в систему и он должен иметь право на завершение работы системы. По умолчанию на рабочих станциях: включен. По умолчанию на серверах: отключен. |
Shutdown: Allow system to be shut down without having to log on
This security setting determines whether a computer can be shut down without having to log on to Windows. When this policy is enabled, the Shut Down command is available on the Windows logon screen. When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown. Default on workstations: Enabled. Default on servers: Disabled. |
2021 | Завершение работы: очистка файла подкачки виртуальной памяти
Этот параметр безопасности определяет, будет ли выполняться очистка файла подкачки виртуальной памяти при завершении работы системы. Поддержка виртуальной памяти использует файл подкачки системы для выгрузки страниц памяти на диск, когда они не используются. Во время работы системы файл подкачки открыт операционной системой в монопольном режиме и хорошо защищен. Однако если система настроена так, что допускает загрузку других операционных систем, необходимо убедиться, что при завершении работы системы выполняется очистка ее файла подкачки. Это гарантирует, что уязвимые сведения из памяти процессов, которые могли попасть в файл подкачки, не станут доступны пользователям, получившим прямой несанкционированный доступ к этому файлу. Если эта политика включена, при корректном завершении работы системы выполняется очистка файла подкачки системы. Если этот параметр безопасности включен, также выполняется обнуление файла режима гибернации (hiberfil.sys), когда этот режим отключен. По умолчанию: Отключено. |
Shutdown: Clear virtual memory pagefile
This security setting determines whether the virtual memory pagefile is cleared when the system is shut down. Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile. When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled. Default: Disabled. |
2022 | Системная криптография: применять сильную защиту пользовательских ключей, хранящихся на компьютере.
Этот параметр безопасности определяет, требуется ли пароль для использования закрытых ключей пользователей. Доступны следующие варианты. Не требуется ввод данных пользователем при сохранении и использовании новых ключей. Пользователь получает запрос при первом использовании ключа. Пользователь должен вводить пароль при каждом использовании ключа. Дополнительные сведения см. в разделе "Инфраструктура открытого ключа". По умолчанию: эта политика не определена. |
System Cryptography: Force strong key protection for user keys stored on the computer
This security setting determines if users' private keys require a password to be used. The options are: User input is not required when new keys are stored and used User is prompted when the key is first used User must enter a password each time they use a key For more information, see Public key infrastructure. Default: This policy is not defined. |
2023 | Системная криптография: использовать соответствующие стандарту FIPS 140 алгоритмы для шифрования, хэширования и подписывания.
Для поставщика службы безопасности (SSP) этот параметр безопасности отключает более слабые протоколы SSL и поддерживает только протоколы TLS как клиент и как сервер (если применимо). Если этот параметр включен, поставщик безопасности TLS/SSL использует только алгоритмы шифрования, одобренные FIPS 140: 3DES и AES для шифрования, шифрование открытого ключа RSA или ECC для обмена ключами TLS и проверки подлинности и только алгоритм Secure Hashing Algorithm (SHA1, SHA256, SHA384 и SHA512) для хэширования TLS. Для службы шифрованной файловой системы (EFS) поддерживаются алгоритмы Triple DES и AES для шифрования данных файлов, поддерживаемых файловой системой NTFS. По умолчанию EFS использует для шифрования данных файлов алгоритм AES с 256-разрядным ключом в Windows Server 2003 и Windows Vista и алгоритм DESX в Windows XP. Дополнительные сведения о EFS см. в разделе "Шифрованная файловая система". Для шифрования данных служб удаленных рабочих столов, передаваемых по сети, поддерживается только алгоритм Triple DES. Примечание. В предыдущих версиях Windows Server службы удаленных рабочих столов назывались службами терминалов. Для шифрования диска BitLocker: чтобы создать ключ шифрования, необходимо сначала включить данную политику. Пароли восстановления, созданные после включения данной политики, несовместимы с BitLocker в Windows 8, Windows Server 2012 и более ранних операционных системах. Если применить эту политику к компьютеру с более ранней операционной системой, чем Windows 8.1 или Windows Server 2012 R2, BitLocker будет блокировать попытки создания или использования паролей восстановления; вместо них следует использовать ключи восстановления. Значение по умолчанию: отключено. Примечание. FIPS (федеральный стандарт обработки информации) 140 — это стандарт безопасности, разработанный для сертификации криптографического программного обеспечения. Соответствие программного обеспечения стандарту FIPS 140 требуется правительством США, а также многими известными организациями. |
System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms
For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements. For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System. For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead. Default: Disabled. Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions. |
2024 | Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов
Описание Этот параметр безопасности определяет, какие субъекты безопасности (SID) будут назначены как ВЛАДЕЛЕЦ объектов, когда объект создается группой администраторов. По умолчанию: Windows XP: SID пользователя Windows 2003: Группа администраторов |
System objects: Default owner for objects created by members of the Administrators group
Description This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group. Default: Windows XP: User SID Windows 2003 : Administrators Group |
2025 | Системные объекты: учитывать регистр для подсистем, отличных от Windows
Этот параметр безопасности определяет, необходимо ли учитывать регистр для всех подсистем. Подсистема Win32 не учитывает регистр. Тем не менее, ядро поддерживает учет регистра для других подсистем, таких как POSIX. Если этот параметр включен, регистр не учитывается для всех объектов каталогов, символических ссылок, а также объектов ввода-вывода, включая файловые объекты. Отключение этого параметра не позволяет подсистеме Win32 учитывать регистр. Значение по умолчанию: включен. |
System objects: Require case insensitivity for non-Windows subsystems
This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX. If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive. Default: Enabled. |
2026 | Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок).
Этот параметр безопасности определяет, насколько ограничивающим является список управления доступом на уровне пользователей (DACL) по умолчанию для объектов. Служба каталогов Active Directory содержит глобальный список общих ресурсов системы, таких как имена устройств DOS, мьютексы и семафоры. Это позволяет находить объекты и управлять совместным доступом процессов к ним. Каждый тип объекта создается со списком DACL по умолчанию, в котором указаны пользователи, имеющие доступ к объектам, и перечислены предоставленные разрешения. Если данная политика включена, список DACL по умолчанию является более ограничивающим. Пользователи без прав администратора имеют к общим объектам доступ на чтение, но не могут изменить объекты, которые созданы другими пользователями. Значение по умолчанию: включен. |
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)
This security setting determines the strength of the default discretionary access control list (DACL) for objects. Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted. If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create. Default: Enabled. |
2027 | Параметры системы: необязательные подсистемы
Этот параметр безопасности определяет, какие дополнительные подсистемы могут быть запущены для поддержки приложений. С помощью этого параметра можно указать все подсистемы, которые необходимы для поддержки приложений в соответствии с требованиями среды. По умолчанию: POSIX. |
System settings: Optional subsystems
This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands. Default: POSIX. |
2028 | Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ
Этот параметр безопасности определяет, выполняется ли обработка цифровых сертификатов, когда пользователь или процесс пытается запустить программу с расширением имени файла EXE. Он позволяет включить или отключить правила сертификатов — тип правил политик ограниченного использования программ. С помощью таких политик вы можете создать правило сертификатов, которое разрешает или запрещает запуск программы, подписанной с помощью Authenticode, в зависимости от того, какой цифровой сертификат ей соответствует. Чтобы применить правила сертификатов, необходимо включить данный параметр безопасности. Если правила сертификатов включены, политики ограниченного использования программ проверяют список отзыва сертификатов (CRL), чтобы убедиться, что сертификат и подпись программы действительны. Это может привести к снижению производительности при запуске подписанных программ. Вы можете отключить эту функцию. В окне свойств доверенного издателя снимите флажки "Издатель" и "Отметка времени". Дополнительные сведения см. в разделе "Задание параметров доверенного издателя". Значение по умолчанию: отключен. |
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting. When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options. Default: Disabled. |
2029 | Максимальный размер журнала приложений
Этот параметр безопасности определяет максимальный размер журнала событий приложений (не более 4 ГБ). На практике используется более низкое ограничение (примерно, 300 МБ). Примечания Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ. Этот параметр отсутствует в объекте локальной политики компьютера. Размер файла и способ перезаписи событий в журнале необходимо указывать в соответствии с бизнес-требованиями и требованиями безопасности, определенными при разработке плана безопасности предприятия. Можно реализовать эти параметры журнала событий на уровне сайта, домена или подразделения, чтобы использовать преимущества параметров групповой политики. Значение по умолчанию: 16 МБ для ОС семейства Windows Server 2003, 8 МБ для Windows XP Professional с пакетом обновлений 1 (SP1), 512 КБ для Windows XP Professional. |
Maximum application log size
This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2030 | Максимальный размер журнала безопасности
Этот параметр безопасности определяет максимальный размер журнала событий безопасности (не более 4 ГБ). На практике используется более низкое ограничение (примерно, 300 МБ). Примечания Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение, не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ. Этот параметр отсутствует в объекте локальной политики компьютера. Размер файла и способ перезаписи событий в журнале необходимо указывать в соответствии с бизнес-требованиями и требованиями безопасности, определенными при разработке плана безопасности предприятия. Можно реализовать эти параметры журнала событий на уровне сайта, домена или подразделения, чтобы использовать преимущества параметров групповой политики. Значение по умолчанию: 16 МБ для ОС семейства Windows Server 2003, 8 МБ для Windows XP Professional с пакетом обновлений 1 (SP1), 512 КБ для Windows XP Professional. |
Maximum security log size
This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2031 | Максимальный размер системного журнала
Этот параметр безопасности определяет максимальный размер журнала событий системы (не более 4 ГБ). На практике используется более низкое ограничение (примерно, 300 МБ). Примечания Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение, не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ. Этот параметр отсутствует в объекте локальной политики компьютера. Размер файла и способ перезаписи событий в журнале необходимо указывать в соответствии с бизнес-требованиями и требованиями безопасности, определенными при разработке плана безопасности предприятия. Можно реализовать эти параметры журнала событий на уровне сайта, домена или подразделения, чтобы использовать преимущества параметров групповой политики. Значение по умолчанию: 16 МБ для ОС семейства Windows Server 2003, 8 МБ для Windows XP Professional с пакетом обновлений 1 (SP1), 512 КБ для Windows XP Professional. |
Maximum system log size
This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2032 | Запретить доступ локальной группы гостей и пользователей с анонимным входом к журналу приложений
Этот параметр безопасности определяет, запрещен ли гостям доступ к журналу событий приложений. Примечания Этот параметр отсутствует в объекте локальной политики компьютера. Этот параметр безопасности влияет только на компьютеры, работающие под управлением Windows 2000 и Windows XP. По умолчанию: Включено для Windows XP, Отключено для Windows 2000. |
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2033 | Запретить доступ локальной группы гостей пользователей с анонимным входом к журналу безопасности
Этот параметр безопасности определяет, запрещен ли гостям доступ к журналу событий безопасности. Примечания Этот параметр отсутствует в объекте локальной политики компьютер Этот параметр безопасности влияет только на компьютеры, работающие под управлением Windows 2000 и Windows XP. Значение по умолчанию: Включено для Windows XP, Отключено для Windows 2000 . |
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2034 | Запретить доступ локальной группы гостей пользователей с анонимным входом к журналу системы
Этот параметр безопасности определяет, запрещен ли гостям доступ к журналу событий системы. Примечания Этот параметр отсутствует в объекте локальной политики компьютера. Этот параметр безопасности влияет только на компьютеры, работающие под управлением Windows 2000 и Windows XP. Значение по умолчанию: Включено для Windows XP, Отключено для Windows 2000 . |
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2035 | Сохранение событий в журнале приложений
Этот параметр безопасности определяет, сколько дней должно храниться событие в журнале приложений, если для журнала задан способ сохранения "По дням". Это значение следует задавать только в том случае, если архивирование журнала выполняется через заданные промежутки времени. Кроме того, убедитесь, что максимальный размер журнала приложений достаточно велик, чтобы он не был достигнут в течение этого промежутка времени. Примечание Этот параметр отсутствует в объекте локальной политики компьютера. Значение по умолчанию: Нет. |
Retain application log
This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2036 | Сохранение событий в журнале безопасности
Этот параметр безопасности определяет, сколько дней должно храниться событие в журнале безопасности, если для журнала задан способ сохранения "По дням". Это значение следует задавать только в том случае, если архивирование журнала выполняется через заданные промежутки времени. Кроме того, убедитесь, что максимальный размер журнала событий достаточно велик, чтобы он не был достигнут в течение этого промежутка времени. Примечания. Этот параметр отсутствует в объекте локальной политики компьютера. Чтобы получить доступ к журналу безопасности, пользователь должен обладать правом "Управление аудитом и журналом безопасности". Значение по умолчанию: Нет. |
Retain security log
This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2037 | Сохранение событий в системном журнале
Этот параметр безопасности определяет, сколько дней должно храниться событие в журнале системы, если для журнала задан способ сохранения "По дням". Это значение следует задавать только в том случае, если архивирование журнала выполняется через заданные промежутки времени. Кроме того, необходимо убедиться, что максимальный размер журнала событий достаточно велик, чтобы он не был достигнут в течение этого промежутка времени. Примечание. Этот параметр отсутствует в объекте локальной политики компьютера. Значение по умолчанию: нет. |
Retain system log
This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2038 | Сохранение событий в журнале приложений
Этот параметр безопасности определяет способ перезаписи журнала приложений. Если архивирование журнала приложений не выполняется, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите значение "Переписывать события при необходимости". Если архивирование журнала выполняется через заданные промежутки времени, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите значение "Затирать старые события по дням" и укажите нужное число дней с помощью параметра "Сохранение событий в журнале приложений". Убедитесь в том, что максимальный размер журнала приложений достаточно велик, чтобы он не был достигнут в течение этого промежутка времени. Если необходимо сохранять в журнале все события, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите значение "Не переписывать события (очистить журнал вручную)". При выборе этого варианта журнал необходимо очищать вручную. В этом случае после достижения максимального размера журнала новые события отклоняются. Примечание. Этот параметр отсутствует в объекте локальной политики компьютера. Значение по умолчанию: нет. |
Retention method for application log
This security setting determines the "wrapping" method for the application log. If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2039 | Метод сохранения событий в журнале безопасности
Этот параметр безопасности определяет способ перезаписи журнала безопасности. Если архивирование журнала безопасности не выполняется, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Переписывать события при необходимости". Если архивирование журнала выполняется через заданные промежутки времени, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите вариант "Перезаписывать события по дням" и укажите нужное число дней с помощью параметра "Хранить журнал безопасности". Убедитесь, что максимальный размер журнала безопасности достаточно велик, чтобы он не был достигнут в течение этого промежутка времени. Если необходимо сохранять в журнале все события, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Не переписывать события (очистить журнал вручную)". При выборе этого варианта журнал необходимо очищать вручную. В этом случае, после достижения максимального размера журнала новые события отклоняются. Примечания. Этот параметр отсутствует в объекте локальной политики компьютера. Чтобы получить доступ к журналу безопасности? пользователь должен обладать правом "Управление аудитом и журналом безопасности". Значение по умолчанию: Нет. |
Retention method for security log
This security setting determines the "wrapping" method for the security log. If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2040 | Метод сохранение событий в журнале системы
Этот параметр безопасности определяет способ перезаписи журнала системы. Если архивирование журнала системы не выполняется, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Переписывать события при необходимости". Если архивирование журнала выполняется через заданные промежутки времени, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Затирать старые события по дням" и укажите нужное число дней с помощью параметра "Хранить системный журнал". Убедитесь, что максимальный размер журнала системы достаточно велик, чтобы он не был достигнут в течение этого промежутка времени. Если необходимо сохранять в журнале все события, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите "Не переписывать события (очистить журнал вручную)". При выборе этого варианта журнал необходимо очищать вручную. В этом случае, после достижения максимального размера журнала новые события отклоняются. Примечание. Этот параметр отсутствует в объекте локальной политики компьютера. Значение по умолчанию: Нет. |
Retention method for system log
This security setting determines the "wrapping" method for the system log. If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval .If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2041 | Группы с ограниченным доступом
Этот параметр безопасности позволяет администратору определить два свойства для групп, влияющих на безопасность (групп с ограниченным доступом). К ним относятся свойства "Члены" и "Членство в группах". Список "Члены" определяет, какие пользователи являются членами группы с ограниченным доступом, а какие нет. Список "Членство в группах" указывает, в какие группы входит группа с ограниченным доступом. Если применяется политика "Группы с ограниченным доступом", все члены группы с ограниченным доступом, не указанные в списке "Члены", удаляются из группы. Все пользователи, которые входят в список "Члены", но еще не являются членами группы с ограниченным доступом, добавляются в группу. Политику групп с ограниченным доступом можно использовать для управления членством в группах. С помощью этой политики можно указать, какие пользователи входят в группу. Все члены группы, не указанные в политике, удаляются из группы при настройке или обновлении. Кроме того, параметр параметры обратного членства позволяет сделать любую группу с ограниченным доступом членом только тех групп, которые указаны в столбце "Членство в группах". Например, можно создать политику групп с ограниченным доступом, чтобы членами группы "Администраторы" были только указанные пользователи (например, Анна и Иван). После обновления политики Анна и Иван станут единственными членами группы "Администраторы". Применить политику групп с ограниченным доступом можно двумя способами. Определить политику в шаблоне безопасности, который будет применяться при настройке локального компьютера. Определить параметр непосредственно в объекте групповой политики (GPO), после чего политика будет применяться при каждом обновлении политики. Параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Кроме того, параметры обновляются каждые 16 часов вне зависимости от наличия изменений. Значение по умолчанию: нет. Внимание Если политика групп с ограниченным доступом определена, после обновления групповой политики из группы будут удалены все члены, не входящие в список членов политики групп с ограниченным доступом. Это относится и к членам группы по умолчанию, например администраторам. Примечания Группы с ограниченным доступом следует использовать прежде всего для параметры членства в локальных группах рабочих станций или рядовых серверов. Если список "Члены" пуст, группа с ограниченным доступом не имеет членов. Если список "Членство в группах" пуст, это означает, что группы, к которым принадлежит группа с ограниченным доступом, не заданы. |
Restricted Groups
This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups). The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to. When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added. You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column. For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group. There are two ways to apply Restricted Groups policy: Define the policy in a security template, which will be applied during configuration on your local computer. Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes. Default: None specified. Caution If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators. Notes Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers. An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified. |
2042 | Параметры безопасности системных служб
Позволяет администратору задать режим запуска ("вручную", "авто" или "отключено") и разрешения доступа ("пуск", "стоп" или "пауза") для всех системных служб. Значение по умолчанию: не определено. Примечания Этот параметр отсутствует в объекте локальной политики компьютера. Прежде чем задать автоматический режим запуска для системной службы, необходимо выполнить соответствующее тестирование, чтобы убедиться, что службы могут запускаться без участия пользователя. Чтобы улучшить производительность, следует задавать для служб, которые не являются необходимыми или не используются, режим запуска "вручную". |
System Services security settings
Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services. Default: Undefined. Notes This setting does not appear in the Local Computer Policy object. If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention. For performance optimization, set unnecessary or unused services to Manual. |
2043 | Параметры безопасности реестра
Позволяют администратору определить разрешения доступа (в списках управления доступом на уровне пользователей (DACL) и параметры аудита (в системных списках управления доступом (SACL) для разделов реестра с помощью диспетчера параметры безопасности. Значение по умолчанию: не определено. Примечание. Этот параметр отсутствует в объекте локальной политики компьютера. |
Registry security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2044 | Параметры безопасности файловой системы
Позволяют администратору определить разрешения доступа (в списках управления доступом на уровне пользователей (DACL) и параметры аудита (в системных списках управления доступом (SACL) для объектов файловой системы с помощью диспетчера параметры безопасности. Значение по умолчанию: не определено. Примечание. Этот параметр отсутствует в объекте локальной политики компьютера. |
File System security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2045 | Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии).
ОС Windows Vista и более поздние версии Windows позволяют точнее управлять политикой аудита при помощи подкатегорий политики аудита. Установка политики аудита на уровне категории переопределит новую функцию политики аудита подкатегории. Чтобы обеспечить управление политикой аудита при помощи подкатегорий без необходимости изменения групповой политики, в Windows Vista и более поздних версиях предусмотрено новое значение реестра (SCENoApplyLegacyAuditPolicy), запрещающее применение политики аудита уровня категории из групповой политики и из средства администрирования "Локальная политика безопасности". Если установленная здесь политика аудита уровня категории не согласуется с формируемыми событиями, то причина может быть в том, что установлен этот раздел реестра. Значение по умолчанию: включен |
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool. If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set. Default: Enabled |
2046 | Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора
Этот параметр политики определяет характеристики режима одобрения администратором для встроенной учетной записи администратора. Возможные значения • Включено. Для встроенной учетной записи администратора используется режим одобрения администратором. По умолчанию любая операция, требующая повышения привилегий, предлагает пользователю подтвердить операцию. • Отключено (по умолчанию). Встроенная учетная запись администратора выполняет все приложения с полными привилегиями администратора. |
User Account Control: Use Admin Approval Mode for the built-in Administrator account
This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account. The options are: • Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation. • Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege. |
2047 | DCOM: ограничения на доступ к компьютеру в синтаксисе SDDL (Security Descriptor Definition Language)
Этот параметр политики определяет, какие пользователи или группы могут получать удаленный или локальный доступ к приложениям DCOM. Этот параметр используется для управления контактной зоной компьютера для приложений DCOM. Этот параметр политики можно использовать для задания разрешений на доступ ко всем компьютерам для определенных пользователей приложений DCOM в организации. При указании пользователей или групп, которым предоставляются разрешения, поле дескриптора безопасности заполняется с использованием представления SDDL (Security Descriptor Definition Language) этих групп и привилегий. Если оставить дескриптор безопасности пустым, параметр политики определяется шаблоном, но не вводится в действие принудительно. Пользователям и группам могут в явной форме предоставляться права "Разрешить" и "Запретить" как на локальный, так и на удаленный доступ. Параметры реестра, которые создаются в результате включения параметра политики "Ограничения на доступ к компьютеру в синтаксисе SDDL", переопределяют (имеют более высокий приоритет) предыдущие параметры реестра в этой области. Службы удаленного вызова процедур (RpcSs) проверяют ограничения компьютера по новым разделам реестра в разделе Policies, и эти записи реестра имеют приоритет над существующими разделами реестра в разделе OLE. Это означает, что существовавшие ранее параметры реестра перестают действовать, и внесение изменений в существующие параметры не влияет на разрешения на доступ к компьютеру для пользователей. Будьте осторожны при настройке соответствующего списка пользователей и групп. Допустимыми являются следующие значения этого параметра политики: Пусто: в локальной политике безопасности удаляется ключ принудительного применения политики. Это значение удаляет политику и задает для нее состояние "Не определено". Чтобы задать пустое значение, следует открыть редактор ACL и очистить список, а затем нажать кнопку "ОК". SDDL: представление SDDL (Security Descriptor Definition Language) групп и привилегий, указываемых при включении политики. Не определено: значение по умолчанию. Примечание Если администратору запрещен доступ к приложениям DCOM из-за изменений, внесенных в DCOM в Windows, то для управления доступом к DCOM на компьютере администратор может использовать параметр политики "Ограничения на доступ к компьютеру в синтаксисе SDDL". С помощью этого параметра администратор может указать, какие пользователи и группы могут получать локальный или удаленный доступ к приложению DCOM на компьютере. Это позволяет восстановить возможность управления приложением DCOM для администраторов и пользователей. Для этого следует открыть параметр политики "Ограничения на доступ к компьютеру в синтаксисе SDDL" и нажать кнопку "Изменение правил безопасности". Укажите включаемые группы и разрешения на доступ к компьютеру для этих групп. При этом будет определен параметр и задано соответствующее значение SDDL. |
DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access. The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups. The possible values for this policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2048 | DCOM: ограничения на запуск на компьютере в синтаксисе SDDL (Security Descriptor Definition Language)
Этот параметр политики определяет, какие пользователи или группы могут удаленно или локально запускать или активировать приложения DCOM. Этот параметр используется для управления контактной зоной компьютера для приложений DCOM. Этот параметр политики можно использовать для задания разрешений на доступ ко всем компьютерам для пользователей приложений DCOM. При определении этого параметра и указании пользователей или групп, которым предоставляются разрешения, поле дескриптора безопасности заполняется с использованием представления SDDL (Security Descriptor Definition Language) этих групп и привилегий. Если оставить дескриптор безопасности пустым, параметр политики определяется шаблоном, но не вводится в действие принудительно. Пользователям и группам могут в явной форме предоставляться права "Разрешить" и "Запретить" как на локальные, так и на удаленные запуск и активацию. Параметры реестра, которые создаются в результате этой политики, переопределяют (имеют более высокий приоритет) предыдущие параметры реестра в этой области. Службы удаленного вызова процедур (RpcSs) проверяют ограничения компьютера по новым разделам реестра в разделе Policies; эти записи имеют приоритет над существующими разделами реестра в разделе OLE. Допустимыми являются следующие значения этого параметра политики: Пусто: в локальной политике безопасности удаляется ключ принудительного применения политики. Это значение удаляет политику и задает для нее состояние "Не определено". Чтобы задать пустое значение, следует открыть редактор ACL и очистить список, а затем нажать кнопку "ОК". SDDL: представление SDDL (Security Descriptor Definition Language) групп и привилегий, указываемых при включении политики. Не определено: значение по умолчанию. Примечание Если администратору запрещен доступ на активацию и запуск приложений DCOM из-за изменений, внесенных в DCOM в этой версии Windows, то для управления активации и запуска DCOM на компьютере администратор может использовать этот параметр политики. С помощью параметра политики "DCOM: Ограничения на запуск на компьютере в синтаксисе SDDL" администратор может указать, какие пользователи и группы могут удаленно или локально запускать или активировать приложение DCOM на компьютере. Это позволяет восстановить возможность управления приложением DCOM для администраторов и указанных пользователей. Для этого следует открыть параметр политики "DCOM: Ограничения на запуск на компьютере в синтаксисе SDDL" и нажать кнопку "Изменение правил безопасности". Укажите включаемые группы и разрешения на запуск на компьютере для этих групп. При этом будет определен параметр и задано соответствующее значение SDDL. |
DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE. The possible values for this Group Policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2049 | Контроль учетных записей: поведение запроса на повышение привилегий для администраторов в режиме одобрения администратором
Этот параметр политики определяет поведение запроса на повышение привилегий для администраторов. Возможные значения • Повышение без запроса. Позволяет привилегированным учетным записям выполнить операцию, требующую повышения привилегий, без подтверждения согласия или ввода учетных данных. Примечание. Этот вариант должен использоваться только в средах с максимальными ограничениями. • Запрос учетных данных на безопасном рабочем столе. Для любой операции, требующей повышения привилегий, на безопасном рабочем столе выводится приглашение ввести имя и пароль привилегированного пользователя. Если вводятся привилегированные учетные данные, операция продолжается продолжена с максимальными доступными привилегиями пользователя. • Запрос согласия на безопасном рабочем столе. Для любой операции, требующей повышения привилегий, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция продолжается с максимальными доступными привилегиями пользователя. • Запрос учетных данных. Для любой операции, требующей повышения привилегий, выводится приглашение ввести имя пользователя и пароль учетной записи администратора. Если вводятся допустимые учетные данные, операция продолжается с соответствующими привилегиями. • Запрос согласия. Для любой операции, требующей повышения привилегий, пользователю предлагается выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция продолжается с максимальными доступными привилегиями пользователя. • Запрос согласия для сторонних двоичных файлов (не Windows) (по умолчанию). Когда операция для приложения стороннего (не Майкрософт) производителя требует повышения привилегий, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция продолжается с максимальными доступными привилегиями пользователя. |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
This policy setting controls the behavior of the elevation prompt for administrators. The options are: • Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege. • Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. |
2050 | Контроль учетных записей: поведение запроса на повышение привилегий для обычных пользователей
Этот параметр политики определяет поведение запроса на повышение привилегий для обычных пользователей. Возможные значения • Запрос учетных данных (по умолчанию). Когда операция требует повышения привилегий, выводится приглашение ввести имя пользователя и пароль учетной записи пользователя с привилегиями администратора. Если пользователь вводит действительные учетные данные, операция продолжается с соответствующими привилегиями. • Автоматическое отклонение запросов на повышение привилегий. Когда операция требует повышения привилегий, отображается настраиваемое сообщение об ошибке отказа в доступе. Организации, настольные компьютеры которых используются обычными пользователями, могут выбрать этот параметр политики для уменьшения числа обращений в службу поддержки. • Запрос учетных данных на безопасном рабочем столе. Когда операция требует повышения привилегий, на безопасном рабочем столе выводится приглашение ввести имя и пароль другого пользователя. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями. |
User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users. The options are: • Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. |
2051 | Контроль учетных записей: обнаружение установки приложений и запрос на повышение привилегий
Этот параметр политики определяет характеристики обнаружения установки приложений для компьютера. Возможные значения • Включено(по умолчанию). Когда установочный пакет приложения обнаруживает необходимость повышения привилегий, пользователю предлагается ввести имя пользователя и пароль учетной записи администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями. • Отключено. Установочный пакет приложения не обнаруживает необходимость повышения привилегий и не выдает запрос пользователю. В организациях, использующих стандартные пользовательские настольные компьютеры и технологии делегированной установки, такие как GPSI (Group Policy Software Install) или SMS, этот параметр политики следует отключить. В этом случае обнаружение установщика является ненужным. |
User Account Control: Detect application installations and prompt for elevation
This policy setting controls the behavior of application installation detection for the computer. The options are: • Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary. |
2052 | Контроль учетных записей: повышение привилегий только для подписанных и проверенных исполняемых файлов
Этот параметр политики задает проверку подписей PKI для любых интерактивных приложений, требующих повышения привилегий. Администраторы организации могут упривилегийлять списком разрешенных приложений, размещая сертификаты в хранилище доверенных издателей локальных компьютеров. Возможные значения • Включено. Принудительно инициирует проверку пути сертификации PKI, прежде чем разрешить выполнение данного исполняемого файла. • Отключено (по умолчанию). Не инициирует проверку пути сертификации PKI, прежде чем разрешить выполнение данного исполняемого файла. |
User Account Control: Only elevate executable files that are signed and validated
This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers. The options are: • Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run. • Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run. |
2053 | Контроль учетных записей: повышать права только для UIAccess-приложений, установленных в безопасном местоположении
Этот параметр политики управляет тем, должны ли приложения, запрашивающие выполнение на уровне целостности UIAccess, находиться в безопасной папке файловой системы. Безопасными считаются только следующие папки: - …\Program Files\, включая вложенные папки - …\Windows\system32\ - …\Program Files (x86)\, включая вложенные папки для 64-разрядных версий Windows Примечание. Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности. Возможные значения. • Включено (по умолчанию). Приложение будет запускаться с уровнем целостности UIAccess только в том случае, если оно находится в безопасной папке файловой системы. • Отключено. Приложение будет запускаться с уровнем целостности UIAccess, даже если оно не находится в безопасной папке файловой системы. |
User Account Control: Only elevate UIAccess applications that are installed in secure locations
This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following: - …\Program Files\, including subfolders - …\Windows\system32\ - …\Program Files (x86)\, including subfolders for 64-bit versions of Windows Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting. The options are: • Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity. • Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system. |
2054 | Контроль учетных записей: включение режима одобрения администратором
Этот параметр политики определяет характеристики всех политик контроля учетных записей для компьютера. При изменении этого параметра политики необходимо перезагрузить компьютер. Возможные значения • Включено (по умолчанию). Режим одобрения администратором включен. Чтобы разрешить встроенной учетной записи администратора и всем остальным пользователям, являющимся участниками группы "Администраторы", работать в режиме одобрения администратором, эта политика должна быть включена, а все связанные политики управления учетными записями также должны быть установлены соответствующим образом. • Отключено. Режим одобрения администратором и все соответствующие параметры политики контроля учетных записей будут отключены. Примечание. Если этот параметр политики отключен, центр обеспечения безопасности выдаст уведомление, что общая безопасность операционной системы снизилась. |
User Account Control: Turn on Admin Approval Mode
This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer. The options are: • Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode. • Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced. |
2055 | Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав
Этот параметр политики определяет, будут ли запросы на повышение прав выводиться на интерактивный рабочий стол пользователя или на безопасный рабочий стол. Возможные значения. • Включено (по умолчанию). Все запросы на повышение прав выводятся на безопасный рабочий стол независимо от параметров политики поведения приглашения для администраторов и обычных пользователей. • Отключено: все запросы на повышение прав выводятся на интерактивный рабочий стол пользователя. Используются параметры политики поведения приглашения для администраторов и обычных пользователей. |
User Account Control: Switch to the secure desktop when prompting for elevation
This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop. The options are: • Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users. • Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used. |
2056 | Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в размещение пользователя
Этот параметр политики управляет перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Этот параметр политики позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%; %Windir%\system32 или HKLM\Software\.... Возможные значения. • Включено (по умолчанию). Сбои записи приложений перенаправляются во время выполнения в определенные пользователем расположения в файловой системе и реестре. • Отключено. Выполнение приложений, записывающих данные в безопасные расположения, заканчивается ошибкой. |
User Account Control: Virtualize file and registry write failures to per-user locations
This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software. The options are: • Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry. • Disabled: Applications that write data to protected locations fail. |
2057 | Создание символических ссылок
Эта привилегия определяет для пользователя возможность создавать символьные ссылки с компьютера, на который он вошел. По умолчанию: Администратор ВНИМАНИЕ! Эту привилегию следует предоставлять только доверенным пользователям. Символические ссылки могут обнажить уязвимые места в приложениях, которые не рассчитаны на их обработку. Примечание Этот параметр можно использовать вместе с параметром символических ссылок файловой системы, который можно изменять с помощью программы командной строки для управления разрешением типов символических ссылок на компьютере. Для получения дополнительных сведений о программе fsutil и символических ссылках введите в командной строке "fsutil behavior set symlinkevaluation /?". |
Create Symbolic Links
This privilege determines if the user can create a symbolic link from the computer he is logged on to. Default: Administrator WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them. Note This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links. |
2058 | Изменение метки объекта
Эта привилегия определяет, каким учетным записям пользователей разрешается изменять метки целостности объектов, таких как файлы, разделы реестра или процессы, владельцами которых являются другие пользователи. Процессы, выполняющиеся под учетной записью пользователя, без этой привилегии могут понижать уровень метки объекта, владельцем которого является данный пользователь. По умолчанию: Нет |
Modify an object label
This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege. Default: None |
2059 | Контроль учетных записей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
Этот параметр политики определяет, могут ли UIAccess-приложения (UIA-программы) автоматически отключать безопасный рабочий стол для запросов на повышение, используемых обычным пользователем. • Включено. UIA-программы, в том числе удаленный помощник Windows, автоматически отключают безопасный рабочий стол для запросов на повышение прав. Если не отключен параметр политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав", приглашение появится на интерактивном рабочем столе пользователя, а не на безопасном рабочем столе. • Отключено (по умолчанию). Безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав". |
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.
This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user. • Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. • Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting. |
2060 | Этот параметр используется диспетчером учетных данных в ходе архивации и восстановления. Эта привилегия не должна предоставляться учетным записям, поскольку она предоставляется только Winlogon. Сохраненные пользователями учетные данные могут быть скомпрометированы, если эта привилегия предоставляется другим субъектам. | This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities. |
2061 | Изменение часового пояса
This Это пользовательское право определяет, какие пользователи и группы могут изменять часовой пояс, используемый компьютером для отображения местного времени, которое представляет собой сумму системного времени компьютера и смещения часового пояса. Само по себе системное время является абсолютным и не изменяется при изменении часового пояса. Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию: Администраторы, Пользователи |
Change the Time Zone
This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers. Default: Administrators, Users |
2062 | Увеличение рабочего набора процесса
Эта привилегия определяет, какие учетные записи пользователей могут увеличивать и уменьшать размер рабочего набора процесса. По умолчанию: пользователи Рабочий набор процесса - это набор страниц памяти, видимых процессу в физической оперативной памяти. Эти страницы являются резидентными; приложение может обращаться к ним, не вызывая ошибки страниц. Минимальный и максимальный размер рабочего набора влияет на поведение страниц виртуальной памяти процесса. Внимание: увеличение размера рабочего набора процесса приводит к уменьшению объема физической памяти, доступной в остальной части системы. |
Increase a process working set
This privilege determines which user accounts can increase or decrease the size of a process’s working set. Default: Users The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process. Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system. |
2063 | Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM на удаленные серверы
Этот параметр политики позволяет запрещать или разрешать исходящий трафик NTLM с данного компьютера с ОС Windows 7 или Windows Server 2008 R2 на любой удаленный сервер Windows. Если выбрано значение "Разрешить все" или этот параметр политики не настроен, клиентский компьютер может проверять подлинность удостоверений на удаленном сервере с помощью проверки подлинности NTLM. Если выбрано значение "Аудит всего", клиентский компьютер регистрирует событие для каждого запроса проверки подлинности NTLM к удаленному серверу. Это позволяет идентифицировать серверы, получающие запросы проверки подлинности NTLM от клиентского компьютера. Если выбрано значение "Запретить все", клиентский компьютер не сможет проверять подлинность удостоверений на удаленном сервере с помощью проверки подлинности NTLM. Чтобы определить список удаленных серверов, для которых клиентам разрешается использовать проверку подлинности NTLM, можно использовать параметр политики "Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM". Эта политика поддерживается по крайней мере в ОС Windows 7 и Windows Server 2008 R2. Примечание. События аудита и блокировки регистрируются на этом компьютере в журнале "Работает", находящемся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM" |
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server. If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication. If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer. If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2064 | Сетевая безопасность: ограничения NTLM: входящий трафик NTLM
Этот параметр политики позволяет запрещать или разрешать входящий трафик NTLM. Если выбрано значение "Разрешить все", сервер разрешит все запросы проверки подлинности NTLM. Если выбрано значение "Запретить все учетные записи домена", то сервер будет отклонять все запросы на проверку подлинности NTLM для входа в домен и отображать ошибку блокировки NTLM, разрешая при этом вход в систему для локальных учетных записей. Если выбрано значение "Запретить все учетные записи", то сервер будет отклонять все запросы на проверку подлинности NTLM из входящего трафика и отображать ошибку блокировки NTLM. Эта политика поддерживается по крайней мере в ОС Windows 7 и Windows Server 2008 R2. Примечание. События аудита и блокировки регистрируются на этом компьютере в журнале "Работает", находящемся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM" |
Network security: Restrict NTLM: Incoming NTLM traffic
This policy setting allows you to deny or allow incoming NTLM traffic. If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests. If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon. If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2065 | Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене
Этот параметр политики позволяет запретить проверку подлинности NTLM в домене с данного контроллера домена. Эта политика не влияет на интерактивный вход в систему на этом контроллере домена. Если выбрано значение "Отключено" или этот параметр политики не настроен, контроллер домена будет разрешать прохождение всех сквозных запросов проверки подлинности NTLM в домене. Если выбрано значение "Запретить для учетных записей домена на серверах домена", контроллер домена будет отклонять все попытки входа с использованием проверки подлинности NTLM на все серверы домена, использующие учетные записи домена, и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики "Сетевая безопасность: ограничения NTLM: добавить исключения для серверов для проверки подлинности NTLM в этом домене". Если выбрано значение "Запретить для учетной записи домена", контроллер домена будет отклонять все попытки входа учетных записей домена с использованием проверки подлинности NTLM и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики "Сетевая безопасность: ограничения NTLM: добавить исключения для серверов для проверки подлинности NTLM в этом домене". Если выбрано значение "Запретить для серверов домена", контроллер домена будет отклонять запросы проверки подлинности NTLM ко всем серверам домена и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики "Сетевая безопасность: ограничения NTLM: добавить исключения для серверов для проверки подлинности NTLM в этом домене". Если выбрано значение "Запретить все", контроллер домена будет отклонять все сквозные запросы проверки подлинности NTLM от своих серверов и для своих учетных записей и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики "Сетевая безопасность: ограничения NTLM: добавить исключения для серверов для проверки подлинности NTLM в этом домене". Эта политика поддерживается по крайней мере в ОС Windows Server 2008 R2. Примечание. События блокировки записываются на этом компьютере в журнал "Работает", находящийся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM". |
Network security: Restrict NTLM: NTLM authentication in this domain
This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller. If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain. If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2066 | Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM
Этот параметр политики позволяет создать список исключений и включить в него серверы, клиенты которых смогут использовать проверку подлинности NTLM, даже если будет задан параметр политики "Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам". Если задать этот параметр политики, то можно определить список удаленных серверов, к которым клиенты смогут подключаться с помощью проверки подлинности NTLM. Если этот параметр политики не задан, исключения не используются. Формат именования серверов в списке исключений - это полные доменные имена или серверные имена NetBIOS, используемые приложениями, по одному в строке. Чтобы гарантировать наличие в списке исключения для всех приложений и точность соответствующего имени, имя сервера в списке должно быть указано в обоих форматах. В качестве подстановочного знака может использоваться одиночная звездочка (*) в любом месте строки. |
Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured. If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character. |
2067 | Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене
Этот параметр политики позволяет создать список исключений для серверов в этом домене, к которым клиенты смогут подключаться с помощью сквозной проверки подлинности NTLM даже в том случае, если задан параметр политики "Сетевая безопасность: ограничения NTLM: запретить проверку подлинности NTLM в этом домене". Если настроить этот параметр политики, то можно определить список серверов в этом домене, к которым клиенты могут подключаться с помощью проверки подлинности NTLM. Если этот параметр политики не задан, исключения не используются. Формат именования серверов в списке исключений - это полные доменные имена (FQDN) или серверные имена NetBIOS, используемые вызывающими приложениями и перечисленные по одному в строке. В качестве подстановочного знака может использоваться одиночная звездочка (*) в начале или конце строки. |
Network security: Restrict NTLM: Add server exceptions in this domain
This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set. If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character. |
2068 | Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы
Разрешить NTLM возвращаться к нулевому сеансу при использовании с LocalSystem. Значение по умолчанию - TRUE в ОС вплоть до Windows Vista включительно и FALSE в Windows 7. |
Network security: Allow LocalSystem NULL session fallback
Allow NTLM to fall back to NULL session when used with LocalSystem. The default is TRUE up to Windows Vista and FALSE in Windows 7. |
2069 | Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos
Этот параметр политики позволяет задать типы шифрования, которые может использовать Kerberos. Если параметр не задан, то тип шифрования не допускается. Этот параметр может повлиять на совместимость с клиентскими компьютерами, службами и приложениями. Допускается множественный выбор. Эта политика поддерживается по крайней мере в ОС Windows 7 и Windows Server 2008 R2. |
Network security: Configure encryption types allowed for Kerberos
This policy setting allows you to set the encryption types that Kerberos is allowed to use. If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted. This policy is supported on at least Windows 7 or Windows Server 2008 R2. |
2071 | Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру.
По умолчанию эта политика будет отключена на компьютерах, включенных в домен. Это не позволяет сетевым удостоверениям проходить проверку подлинности на компьютере, включенном в домен. |
Network security: Allow PKU2U authentication requests to this computer to use online identities.
This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine. |
2072 | Сетевая безопасность: ограничения NTLM: аудит входящего трафика NTLM
Этот параметр политики позволяет выполнять аудит входящего трафика NTLM. Если выбрано значение "Отключено" или этот параметр политики не настроен, сервер не будет регистрировать события для входящего трафика NTLM. Если выбрано значение "Включить аудит для учетных записей домена", сервер будет регистрировать события для входящих сквозных запросов проверки подлинности NTLM, которые были бы заблокированы при установке для параметра политики "Сетевая безопасность: ограничения NTLM: входящий трафик NTLM" значения "Запретить все учетные записи домена". Если выбрано значение "Включить аудит для всех учетных записей", сервер будет регистрировать события для всех запросов проверки подлинности NTLM, которые были бы заблокированы при установке для параметра политики "Сетевая безопасность: ограничения NTLM: входящий трафик NTLM" значения "Запретить все учетные записи". Эта политика поддерживается по крайней мере в ОС Windows 7 и Windows Server 2008 R2. Примечание. События блокировки записываются на этом компьютере в журнал "Работает", находящийся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM". |
Network security: Restrict NTLM: Audit Incoming NTLM Traffic
This policy setting allows you to audit incoming NTLM traffic. If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic. If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option. If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2073 | Сетевая безопасность: ограничения NTLM: аудит проверки подлинности NTLM в этом домене
Этот параметр политики позволяет выполнять аудит проверки подлинности NTLM в этом домене с этого контроллера домена. Если выбрано значение "Отключено" или этот параметр политики не настроен, контроллер домена не будет регистрировать события проверки подлинности NTLM для этого домена. Если выбрано значение "Включить для учетных записей домена на серверах домена", контроллер домена будет регистрировать события попыток входа с помощью проверки подлинности NTLM учетных записей домена на серверы домена, когда проверка подлинности NTLM была бы запрещена из-за установки для параметра политики "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" значения "Запретить для учетных записей домена на серверах домена". Если выбрано значение "Включить для учетных записей домена", контроллер домена будет регистрировать события попыток входа с помощью проверки подлинности NTLM учетных записей домена на серверы домена, когда проверка подлинности NTLM была бы запрещена из-за установки для параметра политики "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" значения "Запретить для учетных записей домена". Если выбрано значение "Включить для серверов домена", контроллер домена будет регистрировать события для запросов проверки подлинности NTLM ко всем серверам домена, когда проверка подлинности NTLM была бы запрещена из-за установки для параметра политики "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" значения "Запретить для серверов домена". Если выбрано значение "Включить все", контроллер домена будет регистрировать события для сквозных запросов проверки подлинности NTLM от своих серверов и для своих учетных записей, которые были бы запрещены из-за установки для параметра политики "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" значения "Запретить все". Эта политика поддерживается по крайней мере в ОС Windows Server 2008 R2. Примечание. События блокировки записываются на этом компьютере в журнал "Работает", находящийся в папке "Журнал приложений и служб/Microsoft/Windows/NTLM". |
Network security: Restrict NTLM: Audit NTLM authentication in this domain
This policy setting allows you to audit NTLM authentication in a domain from this domain controller. If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain. If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2074 | Сетевая безопасность: разрешить учетной записи LocalSystem использовать удостоверение компьютера для NTLM
Этот параметр политики позволяет службам локальной системы, применяющим согласование, использовать удостоверение компьютера при откате к проверке подлинности NTLM. Если включить этот параметр политики, службы, работающие под учетной записью локальной системы и применяющие согласование, будут использовать удостоверение компьютера. Это может вызвать сбой и регистрацию ошибки для некоторых запросов проверки подлинности между операционными системами Windows. Если отключить этот параметр политики, службы, работающие под учетной записью локальной системы и применяющие согласование, при откате к проверке подлинности NTLM будут проходить проверку подлинности анонимно. По умолчанию эта политика включена в Windows 7 и более поздних версиях. В Windows Vista эта политика по умолчанию отключена. Эта политика поддерживается по крайней мере в ОС Windows Vista и Windows Server 2008 R2. Примечание. В Windows Vista и Windows Server 2008 этот параметр не отображается в разделе "Групповая политика". |
Network security: Allow Local System to use computer identity for NTLM
This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication. If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error. If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously. By default, this policy is enabled on Windows 7 and above. By default, this policy is disabled on Windows Vista. This policy is supported on at least Windows Vista or Windows Server 2008. Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy. |
2075 | Сетевой сервер (Майкрософт): уровень проверки сервером имени субъекта-службы конечного объекта
Этот параметр политики определяет уровень проверки, которую выполняет компьютер с общими папками или принтерами (сервер) в отношении имени субъекта-службы, предоставленного клиентским компьютером при установлении сеанса с помощью протокола SMB. Протокол SMB предоставляет основу для совместного доступа к файлам и принтерам, а также для других сетевых операций, например для удаленного администрирования Windows. Протокол SMB поддерживает проверку имени субъекта-службы SMB-сервера в большом двоичном объекте проверки подлинности, предоставленном SMB-клиентом, для предотвращения класса атак против SMB-серверов под названием "атаки с перехватами". Этот параметр влияет на SMB1 и SMB2. Этот параметр безопасности определяет уровень проверки, которую выполняет SMB-сервер в отношении имени субъекта-службы, предоставленного SMB-клиентом при установлении сеанса с SMB-сервером. Варианты Откл. — имя субъекта-службы SMB-клиента не требуется (не проверяется) SMB-сервером. Принимать, если предоставлено клиентом — SMB-сервер принимает и проверяет имя субъекта-службы, предоставленное SMB-клиентом, и разрешает сеанс, если имя совпадает со списком имен субъектов-служб SMB-сервера. Если имя НЕ совпадает, то сеанс для SMB-клиента отклоняется. Требовать от клиента — SMB-клиент ДОЛЖЕН отправить имя субъекта-службы при настройке сеанса, и указанное имя ДОЛЖНО совпадать с SMB-сервером, на который отправлен запрос на подключение. Если имя субъекта-службы не указано клиентом или оно не совпадает, сеанс отклоняется. Значение по умолчанию: "Откл.". Все операционные системы Windows поддерживают SMB-компоненты на стороне клиента и сервера. Этот параметр влияет на поведение SMB-компонента сервера, и его реализацию следует тщательно анализировать и проверять, чтобы предотвратить отказы в доступе к функциям обслуживания, связанным с файлами и печатью. Дополнительные сведения о реализации и применении этого параметра для защиты SMB-серверов см. на веб-сайте корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=144505). |
Microsoft network server: Server SPN target name validation level
This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol. The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2. This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server. The options are: Off – the SPN is not required or validated by the SMB server from a SMB client. Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied. Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied. Default: Off All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505). |
2076 | Сервер сети (Майкрософт): попытка S4U2Self получить информацию о заявке
Этот параметр безопасности предназначен для поддержки клиентов с системами, выпущенными до Windows 8, которые пытаются получить доступ к общему файловому ресурсу, требующему заявку пользователя. Он определяет, будет ли локальный файловый сервер пытаться использовать функцию Kerberos Service-For-User-To-Self (S4U2Self) для получения заявок субъекта клиента сети из домена учетной записи клиента. Этот параметр необходимо включать только в том случае, если файловый сервер использует заявки пользователей для управления доступом к файлам и если он будет поддерживать субъекты клиентов, учетные записи которых находятся в домене с клиентскими компьютерами и контроллерами домена под управлением операционной системы, выпущенной до Windows 8. Для этого параметра нужно задать значение "Автоматически" (используется по умолчанию), чтобы файловый сервер мог автоматически определять, требуется ли для пользователя заявка. Для этого параметра нужно явно задавать значение "Включено" только в том случае, если есть политики доступа к локальным файлам, включающие заявки пользователей на доступ. Если этот параметр безопасности включен, файловый сервер Windows будет анализировать маркер доступа субъекта сетевого клиента, прошедшего проверку подлинности, и определять, присутствует ли информация о заявке. Если заявок нет, файловый сервер будет использовать функцию Kerberos S4U2Self для связи с контроллером домена Windows Server 2012 в домене учетной записи клиента и получения маркера доступа, поддерживающего заявки, для субъекта клиента. Маркер, поддерживающий заявки на доступ, может потребоваться для доступа к файлам и папкам, к которым применена политика управления доступом на основе заявок. Если этот параметр отключен, файловый сервер Windows не будет пытаться получить маркер доступа на основе заявок для субъекта клиента. По умолчанию: "Автоматически". |
Microsoft network server: Attempt S4U2Self to obtain claim information
This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8. This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims. When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied. If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal. Default: Automatic. |
2077 | Учетные записи: блокировать учетные записи Майкрософт
Этот параметр политики не позволяет пользователям добавлять новые учетные записи Майкрософт на данном компьютере. Если выбрать вариант "Пользователи не могут добавлять учетные записи Майкрософт", пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт, а также подключать учетные записи домена к учетным записям Майкрософт. Этот вариант предпочтителен, если требуется ограничить число используемых учетных записей Майкрософт в организации. Если выбрать вариант "Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа", существующие пользователи учетных записей Майкрософт не смогут войти в систему Windows. Выбор этого параметра может сделать вход в систему и управление ею недоступным для существующего администратора на данном компьютере. Если эта политика отключена или не настроена (рекомендуется), пользователи смогут использовать учетные записи Майкрософт в Windows. |
Accounts: Block Microsoft accounts
This policy setting prevents users from adding new Microsoft accounts on this computer. If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise. If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system. If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows. |
2078 | Интерактивный вход в систему: Пороговое значение количества учетных записей компьютера.
Политика блокировки компьютера применяется только на тех компьютерах, где для защиты томов ОС включена функция Bitlocker. Убедитесь, что включены соответствующие политики резервного копирования пароля восстановления. Этот параметр безопасности определяет количество неудачных попыток входа в систему, после которого компьютер блокируется Для снятия блокировки необходимо указать в консоли ключ восстановления. Количество неудачных попыток доступа может быть задано числом от 1 до 999. Если установить это значение равным 0, компьютер никогда не будет блокироваться. Значения от 1 до 3 будут интерпретированы как 4. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью клавиш CTRL+ALT+DEL или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему. Политика блокировки компьютера применяется только на тех компьютерах, где для защиты томов ОС включена функция Bitlocker. Убедитесь, что включены соответствующие политики резервного копирования пароля восстановления. Значение по умолчанию: 0. |
Interactive logon: Machine account threshold.
The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled. This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled. Default: 0. |
2079 | Интерактивный вход в систему: предел простоя компьютера.
Windows определяет простой в рамках сеанса входа в систему, и, если длительность такого простоя превышает заданное предельное значение, запускается заставка, которая блокирует сеанс. По умолчанию: не применяется. |
Interactive logon: Machine inactivity limit.
Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session. Default: not enforced. |
2080 | Получите маркер олицетворения для другого пользователя в том же сеансе.
Предоставление пользователю этого права позволяет программам, выполняемым от имени этого пользователя, получить маркер олицетворения других пользователей, которые интерактивно вошли в систему в один сеанс, при условии, что у вызывающего объекта есть маркер олицетворения пользователя сеанса. Не применяется в классическом клиенте/сервере Windows, где каждый пользователь получает отдельный сеанс. |
Obtain an impersonation token for another user in the same session.
Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session. |
2081 | Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM
Этот параметр позволяет ограничить подключения удаленного rpc к SAM. Если этот параметр не установлен, будет использоваться дескриптор безопасности по умолчанию. Эта политика поддерживается по крайней мере Windows Server 2016. |
Network access: Restrict clients allowed to make remote calls to SAM
This policy setting allows you to restrict remote rpc connections to SAM. If not selected, the default security descriptor will be used. This policy is supported on at least Windows Server 2016. |
2082 | Интерактивный вход в систему: не отображать имя пользователя при входе в систему
Этот параметр безопасности определяет, отображается ли имя пользователя, входящего на этот компьютер, на экране входа в Windows, после ввода учетных данных и перед отображением рабочего стола компьютера. Если эта политика включена, имя пользователя не будет отображаться. Если этот параметр отключен, имя пользователя будет отображаться. По умолчанию: отключено. |
Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
57343 | Вы собираетесь изменить параметры безопасности для этой службы. Изменение параметров безопасности, используемых по умолчанию, может привести к проблемам из-за несоответствия конфигурации этой службы и других служб, которые от нее зависят. Вы хотите продолжить? |
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it. Do you want to continue? |
57345 | Вы собираетесь импортировать новый шаблон в локальную политику данного компьютера. Это приведет к изменению текущих параметров безопасности компьютера. Продолжить? | You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue? |
57346 | Настройка безопасности компьютера | Configuring Computer Security |
57350 | Текущая база данных настройки безопасности: база данных локальной политики %s | Current Security Configuration Database: Local Policy Database %s |
57351 | Текущая база данных конфигураций безопасности: личная база данных %s | Current Security Configuration Database: Private Database %s |
57352 | Создание данных анализа | Generating analysis information |
57353 | Неудача при импорте | Import Failed |
57354 | Определены подэлементы | Subitems defined |
57355 | Недоступно | Not Available |
57356 | Новая служба | New Service |
57357 | Настраивается: | Configuring: |
57358 | Добавить &файл... Добавление нового файла или папки к этому шаблону |
Add &File... Adds a new file or folder to this template |
57359 | Добавить этот файл или папку к шаблону: | Add this file or folder to the template: |
57360 | Добавление файла или папки | Add a file or folder |
57361 | Корпорация Майкрософт | Microsoft Corporation |
57362 | 10.0 | 10.0 |
57363 | "Шаблоны безопасности" - это оснастка MMC, позволяющая изменять файлы шаблонов безопасности. | Security Templates is an MMC snap-in that provides editing capabilities for security template files. |
57364 | "Анализ и настройка безопасности" - это оснастка MMC, позволяющая анализировать и настраивать параметры безопасности на компьютерах Windows с помощью файлов шаблонов безопасности. | Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files. |
57365 | Оснастка расширения "Параметры безопасности" дополняет оснастку "Групповая политика" и позволяет определять политики безопасности для компьютеров в вашем домене. | The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain. |
57366 | &Импорт политики... Импорт файла шаблона в объект политики. |
&Import Policy... Import a template file into this policy object. |
57367 | Экспорт по&литики... Экспорт шаблона из политики в файл. |
E&xport policy... Export template from this policy to a file. |
57368 | Файл %s уже существует. Вы хотите перезаписать его? |
File %s already exists. Do you want to overwrite it? |
57369 | Успех | Success |
57370 | Отказ | Failure |
57371 | Нет аудита | No auditing |
57372 | Не удалось выполнить обновление политики. | Windows cannot update the policies. |
57373 | Не удалось скопировать секцию | Windows cannot copy the section |
57374 | Выбрать добавляемый файл | Select File to Add |
57375 | Открыть базу данных | Open database |
57376 | Создать базу данных | Create Database |
57377 | Экспорт политики в | Export Policy To |
57378 | Импорт политики из | Import Policy From |
57380 | Импорт шаблона | Import Template |
57381 | Экспорт шаблона в | Export Template To |
57382 | Параметр безопасности | Security Setting |
57384 | Не удалось открыть базу данных локальной политики. | Windows cannot open the local policy database. |
57385 | База данных локальной политики | Local Policy Database |
57386 | Локальная база данных параметров безопасности не может быть изменена с помощью оснастки "Анализ и настройка безопасности". Используйте вместо оснастку "Групповая политика". | The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings. |
57387 | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm |
57388 | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm |
57389 | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm |
57390 | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm |
57391 | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm |
57392 | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm |
57394 | Обнаружены новые параметры политики на этом компьютере. Вы хотите обновить представление действующей политики? | There are new policy settings on your computer. Do you want to update your view of the effective policy? |
57395 | Параметр компьютера на %s | Computer setting on %s |
57396 | Не удалось создать эту базу данных, поскольку не был выбран файл шаблона. Чтобы открыть существующую базу данныхЩелкните правой кнопкой мыши элемент Анализ и настройка безопасности. Выберите Открыть базу данных Выберите базу данных и нажмите "ОТКРЫТЬ". Чтобы создать новую базу данных Щелкните правой кнопкой мыши элемент Анализ и настройка безопасности. Выберите Открыть базу данных. Введите имя новой базы данных и нажмите "ОТКРЫТЬ". Выберите импортируемый файл настройки безопасности и нажмите "ОТКРЫТЬ". |
This database couldn't be created because no template file was selected. To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN. |
57397 | З&аменить текущие разрешения во всех подразделах наследуемыми | &Replace existing permissions on all subkeys with inheritable permissions |
57398 | &Распространить наследуемые разрешения на все подразделы | &Propagate inheritable permissions to all subkeys |
57399 | &Запретить замену разрешений в этом разделе | &Do not allow permissions on this key to be replaced |
57400 | Настройка членства для %s | Configure Membership for %s |
57401 | Срок действия билета: | Ticket expires in: |
57402 | Срок действия билета не ограничен. | Ticket doesn't expire. |
57403 | Срок действия обновления билета: | Ticket renewal expires in: |
57404 | Обновление билета отключено. | Ticket renewal is disabled. |
57405 | Максимальный допуск: | Maximum tolerance: |
57407 | Неприменимо | Not Applicable |
57410 | Имена пользователей и групп | User and group names |
57411 | Добавление пользователя или группы | Add User or Group |
57412 | Не отключать следующих клиентов: | Do not disconnect clients: |
57413 | Отключить, если время простоя превысит: | Disconnect when idle time exceeds: |
57414 | Не кэшировать входы в систему: | Do not cache logons: |
57415 | Кэш: | Cache: |
57416 | За сколько дней предупреждать об истечении действия пароля: | Begin prompting this many days before password expires: |
57418 | &Настроить этот раздел | &Configure this key then |
57419 | Не удалось сохранить описание глобального размещения | Could not save global location description |
57420 | Не удалось сохранить описание размещения | Could not save location description |
57421 | Перезагрузить Перезагрузка политики безопасности |
Reload Reload the security policy |
57422 | Сохранить изменения в %1 перед ее перезагрузкой? | Save changes to %1 before reloading it? |
57423 | Локальные параметры безопасности | Local Security Settings |
57424 | Класс параметров безопасности WSecEdit | WSecEdit Security Settings Class |
57425 | Класс локальных параметров безопасности WSecEdit | WSecEdit Local Security Settings Class |
57428 | Оснастка "Локальные параметры безопасности" помогает настроить безопасность локальной системы. | The Local Security Settings snap-in helps you define security on the local system. |
57430 | Класс RSOP-параметров безопасности WSecEdit | WSecEdit RSOP Security Settings Class |
57431 | Оснастка расширения "Параметры безопасности RSOP" дополняет оснастку RSOP и позволяет определять результирующие политики безопасности для компьютеров в вашем домене. | The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain. |
57435 | &Применить | &Apply |
57436 | Параметры безопасности групповой политики, которые применяются к этому компьютеру, не определены. Произошла следующая ошибка при попытке получить данные параметры из базы политики локальной безопасности (%%windir%%\security\database\secedit.sdb): %s Все параметры безопасности будут отображены, но не будет указано, был ли данный параметр определен через групповую политику. Все внесенные пользователем изменения могут быть перезаписаны политиками доменного уровня. |
The Group Policy security settings that apply to this machine could not be determined. The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies. |
57437 | Параметры безопасности групповой политики, которые применяются к этому компьютеру, не определены. Произошла следующая ошибка при попытке получить данные параметры из базы локальной политики (%%windir%%\security\database\secedit.sdb): %s Все параметры безопасности будут отображены, но не будет указано, был ли данный параметр определен через групповую политику. |
The Group Policy security settings that apply to this machine could not be determined. The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. |
57438 | Файл журнала: | Log file: |
57439 | Имя политики | Policy Name |
57440 | Параметр | Setting |
57441 | Политика %1 была корректно применена. | The policy %1 was correctly applied. |
57442 | Произошла ошибка настройки объекта, дочернего по отношению к данному. (или процессор обработки политик попытался и не смог настроить дочерний элемент некоторого параметра политики.) Дополнительная информация приведена в %windir%\security\logs\winlogon.log | There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log |
57443 | Политика %1 вызвала ошибку %2. Дополнительная информация приведена в %windir%\security\logs\winlogon.log на целевом компьютере. | The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57444 | Политика %1 вызвала недопустимый статус и была запротоколирована. Дополнительная информация приведена в %%windir%%\security\logs\winlogon.log на целевом компьютере. | The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information. |
57445 | Процессор обработки политики не пытался настроить параметр. Дополнительная информация приведена в %windir%\security\logs\winlogon.log на целевом компьютере. | The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57446 | &Показать безопасность... | &View Security... |
57447 | Не удается экспортировать шаблон в %1. Возвращена следующая ошибка: %2 |
Couldn't export template to %1. The error returned was: %2 |
57448 | Сохранить изменения в базу безопасности? | Save changes to Security Database? |
57449 | Запретить вход в систему через службу удаленных рабочих столов | Deny log on through Remote Desktop Services |
57450 | Разрешить вход в систему через службу удаленных рабочих столов | Allow log on through Remote Desktop Services |
57451 | Не удается добавить путь поиска шаблона | Couldn't add template search path |
57453 | \Security\Logs | \Security\Logs |
57454 | Раздел безопасности этой групповой политики может быть изменен только на PDC-эмуляторе. | The security portion of this group policy may only be edited on the PDC Emulator. |
57455 | Данный параметр не совместим с пакетом обновления 1 для Windows 2000 или более ранними версиями. Применяйте объекты групповой политики, содержащие данный параметр, только к компьютерам с более поздней версией операционной системы. | This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system. |
57456 | Закройте все страницы свойств перед удалением %1 | Close all property pages before deleting %1 |
57457 | Введите значение между %d и %d | Value must be between %d and %d |
57458 | Доступ к сети: Разрешить трансляцию анонимного SID в имя | Network access: Allow anonymous SID/Name translation |
57459 | Администраторы должны иметь право локального входа в систему. | Administrators must be granted the logon local right. |
57460 | Вы не можете запретить всем пользователям или администратору локально входить в систему. | You cannot deny all users or administrator(s) from logging on locally. |
57461 | Некоторые учетные записи не могут быть оттранслированы. | Some accounts cannot be translated. |
57462 | Для применения изменений или закрытия этого диалога закройте все дочерние окна. | To apply your changes or close this property sheet, close all secondary windows. |
57463 | Окно не может быть открыто. Windows не может создать поток пользовательского интерфейса для данного диалога. | The window cannot be opened. Windows cannot create a UI thread for the property sheet. |
57464 | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm |
57465 | Что это такое? | What's this? |
57466 | sct | sct |
57467 | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm |
57468 | Введите значение между %d и %d или 0 | Value must be between %d and %d or 0 |
57469 | Этот параметр влияет только на операционные системы, выпущенные ранее Windows Server 2003. | This setting affects only operating systems earlier than Windows Server 2003. |
57470 | Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. %1 |
Modifying this setting may affect compatibility with clients, services, and applications. %1 |
57471 | Дополнительные сведения см. в статье %1. (Q%2!lu!) | For more information, see %1. (Q%2!lu!) |
57472 | Вы собираетесь изменить этот параметр на значение, которое может повлиять на совместимость с клиентами, службами и приложениями. %1 Продолжить изменение? |
You are about to change this setting to a value that may affect compatibility with clients, services, and applications. %1 Do you want to continue with the change? |
57473 | Учетным записям администраторов и SERVICE должно быть предоставлена привилегия олицетворения клиентов после проверки подлинности | Administrators and SERVICE must be granted the impersonate client after authentication privilege |
57474 | Этот параметр может не применяться, если другая политика переопределяет параметры политики аудита на уровне категории. %1 |
This setting might not be enforced if other policy is configured to override category level audit policy. %1 |
57475 | Для получения дополнительных сведений см. %1 в техническом справочнике по политике безопасности. | For more information, see %1 in the Security Policy Technical Reference. |
58000 | Для этого действия отсутствует поясняющий текст | No explain text for this action |
58003 | Компьютер будет заблокирован по истечении | Machine will be locked after |
58100 | Управление централизованными политиками доступа... Добавление централизованных политик доступа в этот шаблон и их удаление из него |
Manage Central Access Policies... Add/Remove Central Access Policies to this template |
58107 | Эта политика доступа включает следующие правила политики: | This Access Policy includes the following Policy rules: |
58108 | Состояние | Status |
58109 | Идет скачивание централизованных политик доступа из Active Directory... | Downloading central access policies from active directory... |
58110 | Ошибка: не удалось скачать централизованные политики доступа | Error: Central access policies could not be downloaded |
58111 | Готово... | Ready... |
58113 | Эту централизованную политику доступа не удалось найти. Возможно, она была удалена из Active Directory или имеет недопустимые параметры. Восстановите эту политику в центре администрирования Active Directory (AD AC) или удалите ее из конфигурации. | This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration. |
59001 | Учетные записи: разрешить использование пустых паролей только при консольном входе | Accounts: Limit local account use of blank passwords to console logon only |
59002 | Аудит: аудит доступа глобальных системных объектов | Audit: Audit the access of global system objects |
59003 | Аудит: аудит использования привилегии на архивацию и восстановление | Audit: Audit the use of Backup and Restore privilege |
59004 | Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности | Audit: Shut down system immediately if unable to log security audits |
59005 | Устройства: запретить пользователям установку драйверов принтера | Devices: Prevent users from installing printer drivers |
59010 | Устройства: разрешать отстыковку без входа в систему | Devices: Allow undock without having to log on |
59011 | Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию | Domain controller: Allow server operators to schedule tasks |
59012 | Контроллер домена: запретить изменение пароля учетных записей компьютера | Domain controller: Refuse machine account password changes |
59013 | Контроллер домена: требование цифровой подписи для LDAP-сервера | Domain controller: LDAP server signing requirements |
59015 | Требуется цифровая подпись | Require signing |
59016 | Член домена: отключить изменение пароля учетных записей компьютера | Domain member: Disable machine account password changes |
59017 | Член домена: максимальный срок действия пароля учетных записей компьютера | Domain member: Maximum machine account password age |
59018 | Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала | Domain member: Digitally encrypt or sign secure channel data (always) |
59019 | Член домена: шифрование данных безопасного канала, когда это возможно | Domain member: Digitally encrypt secure channel data (when possible) |
59020 | Член домена: цифровая подпись данных безопасного канала, когда это возможно | Domain member: Digitally sign secure channel data (when possible) |
59021 | Член домена: требовать стойкий сеансовый ключ (Windows 2000 или выше) | Domain member: Require strong (Windows 2000 or later) session key |
59022 | Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL | Interactive logon: Do not require CTRL+ALT+DEL |
59023 | Интерактивный вход в систему: не отображать учетные данные последнего пользователя | Interactive logon: Don't display last signed-in |
59024 | Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован. | Interactive logon: Display user information when the session is locked |
59025 | Выводимое имя пользователя, имена домена и пользователя | User display name, domain and user names |
59026 | Только имя пользователя | User display name only |
59027 | Не отображать сведения о пользователе | Do not display user information |
59028 | Интерактивный вход в систему: текст сообщения для пользователей при входе в систему | Interactive logon: Message text for users attempting to log on |
59029 | Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему | Interactive logon: Message title for users attempting to log on |
59030 | Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) | Interactive logon: Number of previous logons to cache (in case domain controller is not available) |
59031 | Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее | Interactive logon: Prompt user to change password before expiration |
59032 | Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера | Interactive logon: Require Domain Controller authentication to unlock workstation |
59033 | Интерактивный вход в систему: требовать Windows Hello для бизнеса или смарт-карту | Interactive logon: Require Windows Hello for Business or smart card |
59034 | Интерактивный вход в систему: поведение при извлечении смарт-карты | Interactive logon: Smart card removal behavior |
59035 | Нет действия | No Action |
59036 | Блокировка рабочей станции | Lock Workstation |
59037 | Принудительный выход из системы | Force Logoff |
59038 | Отключение в случае удаленного сеанса служб удаленных рабочих столов | Disconnect if a remote Remote Desktop Services session |
59039 | Клиент сети Microsoft: использовать цифровую подпись (всегда) | Microsoft network client: Digitally sign communications (always) |
59040 | Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) | Microsoft network client: Digitally sign communications (if server agrees) |
59041 | Клиент сети Microsoft: отправлять незашифрованный пароль сторонним SMB-серверам | Microsoft network client: Send unencrypted password to third-party SMB servers |
59042 | Сервер сети Microsoft: время бездействия до приостановки сеанса | Microsoft network server: Amount of idle time required before suspending session |
59043 | Сервер сети Microsoft: использовать цифровую подпись (всегда) | Microsoft network server: Digitally sign communications (always) |
59044 | Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) | Microsoft network server: Digitally sign communications (if client agrees) |
59045 | Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа | Microsoft network server: Disconnect clients when logon hours expire |
59046 | Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности | Network access: Do not allow storage of passwords and credentials for network authentication |
59047 | Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями | Network access: Do not allow anonymous enumeration of SAM accounts |
59048 | Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями | Network access: Do not allow anonymous enumeration of SAM accounts and shares |
59049 | Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям | Network access: Let Everyone permissions apply to anonymous users |
59050 | Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам | Network access: Restrict anonymous access to Named Pipes and Shares |
59051 | Сетевой доступ: разрешать анонимный доступ к именованным каналам | Network access: Named Pipes that can be accessed anonymously |
59052 | Сетевой доступ: разрешать анонимный доступ к общим ресурсам | Network access: Shares that can be accessed anonymously |
59053 | Сетевой доступ: удаленно доступные пути и вложенные пути реестра | Network access: Remotely accessible registry paths and sub-paths |
59054 | Сетевой доступ: удаленно доступные пути реестра | Network access: Remotely accessible registry paths |
59055 | Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей | Network access: Sharing and security model for local accounts |
59056 | Обычная - локальные пользователи удостоверяются как они сами | Classic - local users authenticate as themselves |
59057 | Гостевая - локальные пользователи удостоверяются как гости | Guest only - local users authenticate as Guest |
59058 | Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля | Network security: Do not store LAN Manager hash value on next password change |
59059 | Сетевая безопасность: уровень проверки подлинности LAN Manager | Network security: LAN Manager authentication level |
59060 | Отправлять LM- и NTML-ответы | Send LM & NTLM responses |
59061 | Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании | Send LM & NTLM - use NTLMv2 session security if negotiated |
59062 | Отправлять только NTLM ответ | Send NTLM response only |
59063 | Отправлять только NTLMv2 ответ | Send NTLMv2 response only |
59064 | Отправлять только NTLMv2-ответ. Отказывать LM | Send NTLMv2 response only. Refuse LM |
59065 | Отправлять только NTLMv2-ответ. Отказывать LM и NTLM | Send NTLMv2 response only. Refuse LM & NTLM |
59066 | Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) | Network security: Minimum session security for NTLM SSP based (including secure RPC) clients |
59067 | Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) | Network security: Minimum session security for NTLM SSP based (including secure RPC) servers |
59070 | Требовать сеансовую безопасность NTLMv2 | Require NTLMv2 session security |
59071 | Требовать 128-битное шифрование | Require 128-bit encryption |
59072 | Сетевая безопасность: требование цифровой подписи для LDAP-клиента | Network security: LDAP client signing requirements |
59074 | Согласование цифровой подписи | Negotiate signing |
59076 | Консоль восстановления: разрешить автоматический вход администратора | Recovery console: Allow automatic administrative logon |
59077 | Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам | Recovery console: Allow floppy copy and access to all drives and all folders |
59078 | Завершение работы: разрешить завершение работы системы без выполнения входа в систему | Shutdown: Allow system to be shut down without having to log on |
59079 | Завершение работы: очистка файла подкачки виртуальной памяти | Shutdown: Clear virtual memory pagefile |
59080 | Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок) | System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) |
59081 | Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов | System objects: Default owner for objects created by members of the Administrators group |
59082 | Группа администраторов | Administrators group |
59083 | Создатель объекта | Object creator |
59084 | Системные объекты: учитывать регистр для подсистем, отличных от Windows | System objects: Require case insensitivity for non-Windows subsystems |
59085 | Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания | System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing |
59086 | Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере | System cryptography: Force strong key protection for user keys stored on the computer |
59087 | Не требуется ввод данных пользователем при сохранении и использовании новых ключей | User input is not required when new keys are stored and used |
59088 | Пользователь получает запрос при первом использовании ключа | User is prompted when the key is first used |
59089 | Пользователь должен вводить пароль при каждом использовании ключа | User must enter a password each time they use a key |
59090 | Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies |
59091 | Параметры системы: необязательные подсистемы | System settings: Optional subsystems |
59092 | входов в систему | logons |
59093 | дн. | days |
59094 | мин. | minutes |
59095 | сек. | seconds |
59096 | DCOM: Ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language) | DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59097 | DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language) | DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59098 | Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям | Devices: Restrict CD-ROM access to locally logged-on user only |
59099 | Устройства: разрешить форматирование и извлечение съемных носителей | Devices: Allowed to format and eject removable media |
59100 | Администраторы | Administrators |
59101 | Администраторы и опытные пользователи | Administrators and Power Users |
59102 | Администраторы и интерактивные пользователи | Administrators and Interactive Users |
59103 | Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям | Devices: Restrict floppy access to locally logged-on user only |
59104 | Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии) | Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings |
59105 | Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам | Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers |
59106 | Разрешить все | Allow all |
59107 | Запретить все | Deny all |
59108 | Сетевая безопасность: ограничения NTLM: входящий трафик NTLM | Network security: Restrict NTLM: Incoming NTLM traffic |
59110 | Запретить все учетные записи домена | Deny all domain accounts |
59111 | Запретить все учетные записи | Deny all accounts |
59112 | Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене | Network security: Restrict NTLM: NTLM authentication in this domain |
59113 | Отключить | Disable |
59114 | Запретить для учетных записей домена на серверах домена | Deny for domain accounts to domain servers |
59115 | Запретить для учетных записей домена | Deny for domain accounts |
59116 | Запретить для серверов домена | Deny for domain servers |
59118 | Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM | Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication |
59119 | Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене | Network security: Restrict NTLM: Add server exceptions in this domain |
59120 | Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы | Network security: Allow LocalSystem NULL session fallback |
59121 | Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos | Network security: Configure encryption types allowed for Kerberos |
59122 | DES_CBC_CRC | DES_CBC_CRC |
59123 | DES_CBC_MD5 | DES_CBC_MD5 |
59124 | RC4_HMAC_MD5 | RC4_HMAC_MD5 |
59125 | AES128_HMAC_SHA1 | AES128_HMAC_SHA1 |
59126 | AES256_HMAC_SHA1 | AES256_HMAC_SHA1 |
59127 | Будущие типы шифрования | Future encryption types |
59129 | Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру.
|
Network security: Allow PKU2U authentication requests to this computer to use online identities.
|
59130 | Аудит всего | Audit all |
59131 | Сетевая безопасность: ограничения NTLM: аудит входящего трафика NTLM | Network security: Restrict NTLM: Audit Incoming NTLM Traffic |
59132 | Сетевая безопасность: ограничения NTLM: аудит проверки подлинности NTLM в этом домене | Network security: Restrict NTLM: Audit NTLM authentication in this domain |
59133 | Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM | Network security: Allow Local System to use computer identity for NTLM |
59135 | Включить аудит для учетных записей домена | Enable auditing for domain accounts |
59136 | Включить аудит для всех учетных записей | Enable auditing for all accounts |
59138 | Включить для учетных записей домена на серверах домена | Enable for domain accounts to domain servers |
59139 | Включить для учетных записей домена | Enable for domain accounts |
59140 | Включить для серверов домена | Enable for domain servers |
59141 | Включить все | Enable all |
59142 | Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта | Microsoft network server: Server SPN target name validation level |
59143 | Откл. | Off |
59144 | Принимать, если предоставлено клиентом | Accept if provided by client |
59145 | Требовать от клиента | Required from client |
59146 | Сетевой сервер (Майкрософт): попытка S4U2Self получить информацию об утверждении | Microsoft network server: Attempt S4U2Self to obtain claim information |
59147 | По умолчанию | Default |
59148 | Включено | Enabled |
59149 | Отключено | Disabled |
59150 | Учетные записи: блокировать учетные записи Майкрософт | Accounts: Block Microsoft accounts |
59151 | Эта политика отключена | This policy is disabled |
59152 | Пользователи не могут добавлять учетные записи Майкрософт | Users can't add Microsoft accounts |
59153 | Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа | Users can't add or log on with Microsoft accounts |
59154 | Интерактивный вход в систему: пороговое число неудачных попыток входа | Interactive logon: Machine account lockout threshold |
59155 | Интерактивный вход в систему: предел простоя компьютера | Interactive logon: Machine inactivity limit |
59156 | до блокировки учетной записи компьютера | invalid logon attempts |
59157 | Сетевой доступ: ограничить количество клиентов, которым разрешены удаленные вызовы SAM | Network access: Restrict clients allowed to make remote calls to SAM |
59158 | Интерактивный вход в систему: не отображать имя пользователя при входе в систему | Interactive logon: Don't display username at sign-in |
File Description: | Модуль интерфейса конфигурации безопасности |
File Version: | 10.0.15063.0 (WinBuild.160101.0800) |
Company Name: | Microsoft Corporation |
Internal Name: | WSECEDIT |
Legal Copyright: | © Корпорация Майкрософт. Все права защищены. |
Original Filename: | WSecEdit.dll.mui |
Product Name: | Операционная система Microsoft® Windows® |
Product Version: | 10.0.15063.0 |
Translation: | 0x419, 1200 |