File name: | wsecedit.dll.mui |
Size: | 500736 byte |
MD5: | a7ce9e1a5f7966ea4cb143779dfe005b |
SHA1: | 13e7f21c20ac27c9bf3974bd9f8646617e08c208 |
SHA256: | c1a5ca348170fc896dad0322c351a82a36381db7b041df2308e5c80136789a6d |
Operating systems: | Windows 10 |
Extension: | MUI |
If an error occurred or the following message in Italian language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.
id | Italian | English |
---|---|---|
1 | Classe estensione WSecEdit | WSecEdit Extension Class |
2 | Nome | Name |
3 | Descrizione | Description |
4 | Criterio | Policy |
5 | Impostazioni database | Database Setting |
6 | Impostazioni computer | Computer Setting |
7 | Modello di sicurezza | Security Template |
8 | Modelli | Templates |
9 | Ultima configurazione o analisi | Last Configuration/Analysis |
10 | Modelli di sicurezza definiti per configurare o analizzare un computer. | Security templates defined to configure or analyze a computer. |
12 | Criterio di sicurezza | Security Policy |
13 | Assegnazione diritti utente | User Rights Assignment |
14 | Gruppi con restrizioni | Restricted Groups |
15 | Servizi sistema | System Services |
16 | Registro di sistema | Registry |
17 | File system | File System |
21 | Impostazioni servizi di sistema | System service settings |
22 | Impostazioni sicurezza Registro di sistema | Registry security settings |
23 | Impostazioni sicurezza file system | File system security settings |
24 | Modelli di sicurezza | Security Templates |
25 | (non salvato) | (not saved) |
26 | Impostazioni sicurezza | Security Settings |
27 | Classe di configurazione della sicurezza WSecEdit | WSecEdit Security Configuration Class |
28 | Classe di gestione della sicurezza WSecEdit | WSecEdit Security Manager Class |
29 | Eliminare %s? | Are you sure you want to delete %s? |
30 | Eliminare tutti gli elementi selezionati? | Do you want to delete all selected items? |
31 | &Esegui analisi sistema... Confronta le impostazioni correnti del computer con le impostazioni di sicurezza contenute nel database. |
&Analyze Computer Now... Compares the current computer settings against the security settings in the database |
34 | Esp&orta modello... Esporta il modello di base del computer corrente. |
&Export Template... Exports the base template for the current computer |
35 | Aggiungi fi&le... Aggiunge nuovi file al modello. |
Add Fi&les... Adds new files to this template |
36 | &Nuovo percorso per ricerca modelli... Consente di aggiungere un percorso per la ricerca dei modelli di sicurezza (.inf - formato INF) |
&New Template Search Path... Adds a template location to the Security Templates' search path (.inf - INF format) |
37 | &Nuovo modello... Consente di creare un nuovo modello. |
&New Template... Creates a new template |
38 | &Rimuovi percorso Rimuove il percorso selezionato dal percorso di ricerca. |
&Remove Path Removes the selected location from the search path |
39 | A&ggiorna Aggiorna il percorso specificato in modo da visualizzare i modelli aggiunti di recente. |
Re&fresh Updates this location to display recently added templates |
40 | &Configura il sistema ora... Configura il computer in base al modello selezionato. |
Con&figure Computer Now... Configures the computer according to the selected template |
42 | Impossibile importare il modello da %s | Windows cannot import the template from %s |
43 | Salva &con nome... Consente di salvare il modello con un nuovo nome. |
Save &As... Saves the template with a new name |
44 | &Copia Copia negli Appunti le informazioni sul modello selezionato. |
&Copy Copies the selected template information to the Clipboard |
45 | &Incolla Incolla nel modello le informazioni contenute negli Appunti. |
&Paste Pastes Clipboard information into the template |
46 | Oggetto Criteri di gruppo di origine | Source GPO |
47 | &Aggiorna Aggiorna i dati. |
&Refresh Refreshes data |
48 | Per aggiungere l'oggetto è richiesta la sicurezza | Security is required to add this object |
49 | Impossibile importare il modello di sicurezza | Windows cannot import the security template |
50 | Criteri password | Password Policy |
51 | Validità massima password giorni |
Maximum password age days |
52 | Validità minima password giorni |
Minimum password age days |
53 | Lunghezza minima password caratteri |
Minimum password length characters |
54 | Imponi cronologia delle password password memorizzate |
Enforce password history passwords remembered |
55 | Le password devono essere conformi ai requisiti di complessità | Password must meet complexity requirements |
56 | L'utente deve completare l'accesso per cambiare la password | User must log on to change the password |
57 | Criterio di blocco account | Account Lockout Policy |
58 | Soglia di blocchi dell'account tentativi di accesso non validi |
Account lockout threshold invalid logon attempts |
59 | Reimposta contatore blocco account dopo minuti |
Reset account lockout counter after minutes |
60 | Blocca account per minuti |
Account lockout duration minutes |
61 | Eliminare il modello? | Do you want to delete this template? |
62 | Database non caricato. | The database is not loaded. |
63 | Sicurezza di rete: imponi disconnessione al termine dell'orario di accesso | Network security: Force logoff when logon hours expire |
65 | Account: rinomina account amministratore | Accounts: Rename administrator account |
67 | Account: rinomina account guest | Accounts: Rename guest account |
68 | Ricarica Ricarica le tabelle dei criteri locale e valido dal database criteri |
Reload Reloads the local and effective policy tables from the policy database |
69 | Nome gruppo | Group Name |
70 | Registro eventi | Event Log |
71 | Dimensione massima del registro eventi di sistema KB |
Maximum system log size kilobytes |
72 | Criteri gestione registro eventi di sistema | Retention method for system log |
73 | Mantieni registro di sistema per giorni |
Retain system log days |
74 | Dimensione massima registro sicurezza KB |
Maximum security log size kilobytes |
75 | Criteri gestione registro sicurezza | Retention method for security log |
76 | Gestione registro sicurezza per giorni |
Retain security log days |
77 | Dimensione massima registro applicazioni KB |
Maximum application log size kilobytes |
78 | Criteri gestione registro applicazioni | Retention method for application log |
79 | Mantieni registro applicazioni per giorni |
Retain application log days |
80 | Arresta il sistema quando il registro di controllo della sicurezza è pieno | Shut down the computer when the security audit log is full |
81 | Criteri controllo | Audit Policy |
82 | Modalità controllo eventi | Event Auditing Mode |
83 | Controlla eventi di sistema | Audit system events |
84 | Controlla eventi di accesso | Audit logon events |
85 | Controlla accesso agli oggetti | Audit object access |
86 | Controlla uso dei privilegi | Audit privilege use |
87 | Controlla modifica ai criteri | Audit policy change |
88 | Controlla gestione degli account | Audit account management |
89 | Controlla tracciato processo | Audit process tracking |
90 | Opzioni di sicurezza | Security Options |
92 | Non definita | Not Defined |
95 | Impossibile aggiungere membri | Cannot add members |
96 | Impossibile visualizzare la sicurezza | Cannot display security |
97 | Impossibile aggiungere utenti | Cannot add users |
98 | Impossibile aggiungere un oggetto directory | Cannot add directory object |
99 | Impossibile aggiungere una cartella | Cannot add a folder |
100 | -- Membri | -- Members |
102 | Il file contiene alcuni caratteri non riconosciuti dalla lingua corrente del sistema. Ridenominare il file. | This file name contains some characters that can not be recognized by current system language. Please rename it. |
103 | Autorizzazioni | Permission |
104 | Controllo | Audit |
106 | Impossibile aggiungere un file. | Windows cannot add a file. |
107 | Nome di modello non valido. | The template name is not valid. |
108 | Errore durante l'esportazione del modello archiviato. | An error occurred while exporting the stored template. |
109 | Impossibile aggiungere una chiave di Registro di sistema. | Windows cannot add a registry key |
110 | Controllo completo | Full Control |
111 | Modifica | Modify |
112 | Lettura/esecuzione | Read and Execute |
113 | Visualizzazione contenuto cartella | List Folder Contents |
114 | Lettura | Read |
115 | Scrittura | Write |
116 | Visita cartella/Esecuzione file | Traverse Folder/Execute File |
117 | Eliminazione | Delete |
120 | Nessuno | None |
124 | Query valore | Query Value |
125 | Impostazione valore | Set Value |
126 | Creazione sottochiave | Create Subkey |
127 | Enumerazione sottochiavi | Enumerate Subkeys |
128 | Notifica | Notify |
129 | Creazione collegamento | Create Link |
130 | Esegui | Execute |
131 | Impossibile creare un thread | Cannot create a thread |
132 | Impossibile convalidare gli account seguenti: %1 |
The following accounts could not be validated: %1 |
141 | Nome file registro | Log File Name |
143 | Esegui analisi sicurezza | Perform Security Analysis |
144 | Impostazioni relative ai criteri di sicurezza | Security policy settings |
146 | Analisi e configurazione della sicurezza v1.0 |
Security Configuration and Analysis v1.0 |
147 | L'utilità Analisi e configurazione della sicurezza è uno strumento di amministrazione che consente di proteggere un computer e di analizzare i vari aspetti della sicurezza. Consente di modificare e applicare un modello di sicurezza, eseguire analisi basate su un modello e visualizzare i risultati dell'analisi. | Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results. |
148 | Data ultima analisi: |
Last analysis was performed on |
149 | Descrizione della configurazione di sicurezza di base: |
Base security configuration description: |
150 | Il computer è stato configurato utilizzando il modello indicato di seguito. Non sono state eseguite analisi. |
The computer was configured by the following template. Analysis was not performed. |
151 | Il computer non è mai stato configurato né analizzato utilizzando Analisi e configurazione della sicurezza. | The database has not been configured or analyzed using Security Configuration and Analysis. |
152 | Informazioni su Analisi e configurazione della sicurezza | About Security Configuration and Analysis |
153 | Informazioni ultima analisi | About Last Analysis |
154 | Aggiungi posizione modello ai modelli di sicurezza | Add a Template Location to Security Templates |
165 | Nome oggetto | Object Name |
166 | Valori incongruenti | Inconsistent Values |
168 | Apri modello | Open Template |
169 | Modello di sicurezza (.inf)|*.inf|| | Security Template (.inf)|*.inf|| |
170 | inf | inf |
171 | Apri file di registro errori | Open Error Log File |
172 | log | log |
173 | File registro (.log)|*.log|| | Log files (.log)|*.log|| |
193 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations |
194 | Impossibile aprire il file del modello. | Windows cannot open template file. |
195 | Impossibile leggere le informazioni relative al modello. | Windows cannot read template information. |
196 | Il database selezionato non contiene nessuna informazione sull'analisi da visualizzare. Scegliere l'opzione di menu Analizza per iniziare a usare l'utilità. | There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool. |
197 | 0 | 0 |
198 | Se necessario | As needed |
199 | Per giorni | By days |
200 | Manuale | Manually |
201 | Attivato | Enabled |
202 | Disattivato | Disabled |
203 | Attivo | On |
204 | Inattivo | Off |
210 | Membri | Members |
211 | Membro di | Member Of |
214 | CLASSES_ROOT | CLASSES_ROOT |
215 | MACHINE | MACHINE |
216 | USERS | USERS |
217 | riuscito | Succeeded |
229 | Errore sconosciuto | Unknown error |
232 | \Security\Templates | \Security\Templates |
233 | Accedi al computer dalla rete | Access this computer from the network |
234 | Consenti accesso locale | Allow log on locally |
235 | Impossibile salvare | Failed to save |
236 | &Salva Salva il modello corrente. |
&Save Save the template |
237 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit | Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
238 | Aggiungi cartella | Add Folder |
239 | Aggiungi &cartella... Aggiunge una nuova cartella al modello corrente. |
Add &Folder... Adds a new folder to this template |
240 | Aggiungi c&hiave... Aggiunge una nuova chiave al modello corrente. |
Add &Key... Adds a new key to this template |
241 | Aggiungi &gruppo... Aggiunge un nuovo gruppo al modello corrente. |
Add &Group... Adds a new group to this template |
248 | Nome del servizio | Service Name |
249 | Esecuzione automatica | Startup |
250 | Analizzato | Analyzed |
251 | Configurato | Configured |
252 | Automatico | Automatic |
254 | OK | OK |
255 | Ricerca causa | Investigate |
256 | Sicurezza database per | Database Security for |
257 | Ultima sicurezza analizzata per | Last Analyzed Security for |
258 | Sicurezza per | Security for |
262 | Gruppi | Group Membership |
263 | Membri del gruppo | Members of this group |
266 | Criteri account | Account Policies |
267 | Criteri relativi alle password e al blocco degli account. | Password and account lockout policies |
268 | Criteri locali | Local Policies |
269 | Criteri relativi alle opzioni di sicurezza, ai diritti utente e al controllo. | Auditing, user rights and security options policies |
271 | Impostazioni relative al Registro eventi e al Visualizzatore eventi. | Event Log settings and Event Viewer |
272 | Controlla accesso al servizio directory | Audit directory service access |
273 | Controlla eventi accesso account | Audit account logon events |
275 | Impedisci accesso guest locale al registro di sistema | Prevent local guests group from accessing system log |
276 | Impedisci accesso guest locale al registro di sicurezza | Prevent local guests group from accessing security log |
277 | Impedisci accesso guest locale al registro applicazioni | Prevent local guests group from accessing application log |
278 | Sempre | Always |
281 | Ignora | Ignore |
284 | Sostituisci | Replace |
286 | Accesso come processo batch | Log on as a batch job |
287 | Accedi come servizio | Log on as a service |
288 | Oggetti Active Directory | Active Directory Objects |
289 | Gestione della sicurezza degli oggetti Active Directory | Security management of Active Directory objects |
290 | Aggiungi &oggetto directory Aggiunge un oggetto Active Directory al modello corrente. |
Add Directory &Object Adds an Active Directory object to this template |
293 | Visualiz. contenuto cartella/Lettura dati | List folder / Read data |
294 | Lettura attributi | Read attributes |
295 | Lettura attributi estesi | Read extended attributes |
296 | Creazione file/Scrittura dati | Create files / Write data |
297 | Creazione cartelle/Aggiunta dati | Create folders / Append data |
298 | Scrittura attributi | Write attributes |
299 | Scrittura attributi estesi | Write extended attributes |
300 | Eliminazione sottocartelle e file | Delete subfolders and files |
302 | Autorizzazioni di lettura | Read permissions |
303 | Cambia autorizzazioni | Change permissions |
304 | Diventa proprietario | Take ownership |
305 | Sincronizza | Synchronize |
306 | Lettura, scrittura ed esecuzione | Read, Write and Execute |
307 | Scrittura ed esecuzione | Write and Execute |
308 | Visita/Esecuzione | Traverse / Execute |
309 | Solo la cartella selezionata | This folder only |
310 | La cartella selezionata, le sottocartelle e i file | This folder, subfolders and files |
311 | La cartella selezionata e le sottocartelle | This folder and subfolders |
312 | La cartella selezionata e i file | This folder and files |
313 | Solo sottocartelle e file | Subfolders and files only |
314 | Solo sottocartelle | Subfolders only |
315 | Solo file | Files only |
316 | Solo questa chiave | This key only |
317 | La chiave selezionata e le sottochiavi | This key and subkeys |
318 | Solo le sottochiavi | Subkeys only |
321 | Avvio, arresto e sospensione | Start, stop and pause |
322 | Modello query | Query template |
323 | Modifica modello | Change template |
324 | Stato query | Query status |
325 | Enumera dipendenze | Enumerate dependents |
326 | Avvia | Start |
327 | Arresta | Stop |
328 | Sospensione e ripresa | Pause and continue |
329 | Interroga | Interrogate |
330 | Controllo definito dall'utente | User-defined control |
335 | Crea figli | Create children |
336 | Elimina figli | Delete children |
337 | Contenuto elenco | List contents |
338 | Auto aggiunta/rimozione | Add/remove self |
339 | Proprietà di lettura | Read properties |
340 | Proprietà di scrittura | Write properties |
341 | Solo il contenitore selezionato | This container only |
342 | Il contenitore selezionato e i sottocontenitori | This container and subcontainers |
343 | Solo i sottocontenitori | Subcontainers only |
344 | [[Configurazione criteri del computer locale ]] | [[Local Computer Policy Configuration ]] |
345 | L'account non verrà bloccato | Account will not lock out. |
346 | La password può essere cambiata immediatamente | Password can be changed immediately. |
347 | Nessuna password richiesta. | No password required. |
348 | Non registrare vecchie password | Do not keep password history. |
349 | La password scadrà tra: | Password will expire in: |
350 | La password può essere cambiata dopo: | Password can be changed after: |
351 | La password deve contenere almeno: | Password must be at least: |
352 | Conserva cronologia password per: | Keep password history for: |
353 | L'account verrà bloccato dopo: | Account will lock out after: |
354 | L'account è bloccato per: | Account is locked out for: |
355 | Sovrascrivi eventi posteriori a: | Overwrite events older than: |
356 | La password non scadrà | Password will not expire. |
357 | L'account è bloccato fino allo sblocco da parte dell'amministratore | Account is locked out until administrator unlocks it. |
359 | Archivia password mediante crittografia reversibile | Store passwords using reversible encryption |
360 | Criterio Kerberos | Kerberos Policy |
361 | Imporre le restrizioni di accesso degli utenti | Enforce user logon restrictions |
362 | Tolleranza massima per la sincronizzazione dell'orologio del computer minuti |
Maximum tolerance for computer clock synchronization minutes |
363 | Durata massima ticket di servizio minuti |
Maximum lifetime for service ticket minutes |
364 | Durata massima ticket utente ore |
Maximum lifetime for user ticket hours |
365 | Durata massima rinnovo ticket utente giorni |
Maximum lifetime for user ticket renewal days |
366 | Aggiungi membro | Add Member |
368 | Memoria insufficiente per visualizzare la sezione specificata. | There is not enough memory to display this section |
369 | Nessuna informazione disponibile sull'ultima analisi. | No information is available about the last analysis |
370 | Impossibile salvare i modelli modificati. | Windows cannot save changed templates. |
372 | Analisi e configurazione della sicurezza | Security Configuration and Analysis |
374 | &Importa modello... Importa un modello nel database. |
&Import Template... Import a template into this database |
376 | Impossibile creare o aprire '%s' | Windows cannot create or open %s |
377 | Individua file registro degli errori | Locate error log file |
378 | sdb | sdb |
379 | File del database della sicurezza (*.sdb)|*.sdb|Tutti i file (*.*)|*.*|| | Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*|| |
380 | Applica modello al sistema | Apply Template to Computer |
381 | Errore di percorso del file registro per registrare lo stato della configurazione del computer | Error log file path to record the progress of configuring the computer |
382 | &Sicurezza... | &Security... |
383 | Modificare la sicurezza di questo elemento | Edit security for this item |
384 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration |
385 | &Sicurezza... Modifica la sicurezza di questo elemento. |
&Security... Edit security for this item |
386 | EnvironmentVariables | EnvironmentVariables |
387 | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| |
388 | Ap&ri database... Apre un database nuovo o esistente. |
O&pen Database... Open an existing or new database |
389 | &Nuovo database... Crea e apre un nuovo database. |
&New Database... Create and open a new database |
390 | Imposta &descrizione... Crea una descrizione per i modelli in questa directory |
Set Descri&ption... Create a description for the templates in this directory |
392 | \help\sce.chm | \help\sce.chm |
395 | Tutti i file (*.*)|*.*|| | All files (*.*)|*.*|| |
396 | Database: %s | Database: %s |
397 | Errore sconosciuto durante il tentativo di aprire il database. | An unknown error occurred when attempting to open the database. |
398 | Prima di poter utilizzare il database è necessario analizzarlo. Nel menu Database selezionare l'opzione per eseguire l'analisi. | Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis. |
399 | Il database che si sta tentando di aprire non esiste. Nel menu Database, scegliere Importa modello. | The database you are attempting to open does not exist. On the Database menu, click Import Template. |
400 | Database danneggiato. Per le informazioni relative a come correggere il database, consultare la Guida. | The database is corrupt. For information about fixing the database, see online Help. |
401 | Memoria disponibile insufficiente per caricare il database. Chiudere alcuni programmi e riprovare. | There is not enough memory available to load the database. Close some programs and then try again. |
402 | Accesso al database negato. Per utilizzarlo, occorrono diritti amministrativi, se le autorizzazioni sul database non sono state modificate. | Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it. |
403 | \Security\Database | \Security\Database |
404 | Salvare le modifiche a %s? | Do you want to save changes to %s? |
405 | Esiste un modello importato in sospeso. Per salvare, scegliere Annulla, quindi eseguire un'analisi o una configurazione prima di importare un altro modello. Per ignorare il modello importato in precedenza, scegliere OK. |
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK. |
406 | Tutti i file selezionati | All Selected Files |
407 | Nega accesso locale | Deny log on locally |
408 | Nega accesso al computer dalla rete | Deny access to this computer from the network |
409 | Nega accesso come servizio | Deny log on as a service |
410 | Nega accesso come processo batch | Deny log on as a batch job |
411 | Aggiungi gruppo | Add Group |
412 | &Gruppo: | &Group: |
413 | Non analizzato | Not Analyzed |
414 | Errore durante l'analisi | Error Analyzing |
416 | Impostazione consigliata | Suggested Setting |
417 | Criterio locale... Crea file del modello dalle impostazioni del criterio locale |
Local Policy ... Create template file from the local policy settings |
418 | Criterio valido ... Crea il file del modello dalle impostazioni del criterio valido |
Effective Policy ... Create template file from the effective policy settings |
419 | Analisi e configurazione della sicurezza Per aprire un database esistente Fare clic con il pulsante destro del mouse sull'elemento dell'ambito Analisi e configurazione della sicurezza Scegliere Apri database Selezionare un database, quindi scegliere Apri Per creare un nuovo database Fare clic con il pulsante destro del mouse sull'elemento dell'ambito Analisi e configurazione della sicurezza Scegliere Apri database Digitare un nuovo nome di database, quindi scegliere Apri Selezionare un modello di sicurezza da importare, quindi scegliere Apri | Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open |
420 | ||
422 | Il database che si sta tentando di aprire non esiste. | The database you are attempting to open does not exist. |
423 | Per creare un nuovo database del criterio locale, scegliere Importa criterio dai comandi del menu Impostazioni sicurezza. | You can create a new local policy database by choosing Import Policy from the Security Settings menu commands. |
424 | Accesso al database negato. | Access to database has been denied. |
425 | Vis&ualizza file registro Mostra o nasconde il file registro o l'albero delle cartelle quando è selezionato un nodo di Analisi e configurazione della sicurezza. |
View Lo&g File Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected |
426 | È possibile configurare o analizzare il computer con le impostazioni di sicurezza nel database. Per configurare il computerFare clic con il pulsante destro del mouse sull'elemento dell'ambito Analisi e configurazione della sicurezza Scegliere Configura il sistema oraNella finestra digitare il nome del file di registro da visualizzare e scegliere OKNota:al termine della configurazione eseguire un'analisi per visualizzare le informazioni nel databasePer analizzare le impostazioni di sicurezza del computer Fare clic con il pulsante destro del mouse sull'elemento dell'ambito Analisi e configurazione della sicurezza Scegliere Esegui analisi sistemaNella finestra digitare il percorso del file di registro e scegliere OKNota: per visualizzare il file di registro durante una configurazione o un'analisi, scegliere Visualizza file registro dal menu di scelta rapida Analisi e configurazione della sicurezza. | You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu. |
427 | Errore di lettura posizione | Error Reading Location |
429 | Impostazioni criterio | Policy Setting |
430 | Procedura guidata &Sicurezza... Procedura guidata server sicuro |
Secure &Wizard... Secure Server Role Wizard |
431 | Impossibile importare il modello non valido %s | Windows cannot import invalid template %s |
432 | Account: stato account Administrator | Accounts: Administrator account status |
433 | Account: stato account Guest | Accounts: Guest account status |
434 | Proprietà | Properties |
435 | Nome utente non valido. Il campo potrebbe essere vuoto o contenere uno dei seguenti caratteri: %1 |
The username is not valid. It is empty or it may not contain any of the following characters: %1 |
436 | Nessun minimo | No minimum |
437 | I nomi utente e di gruppo non possono contenere i seguenti caratteri: %1 |
User and group names may not contain any of the following characters: %1 |
438 | Impossibile trovare il percorso specificato: %1 |
The system can not find the path specified: %1 |
439 | Il nome file non può contenere i seguenti caratteri: %1 |
File name may not contain any of the following characters: %1 |
440 | Selezionare una modalità di avvio. | A startup mode must be selected. |
441 | Impossibile eliminare l'oggetto "%1". Una finestra aperta ne sta visualizzando le proprietà. Per eliminare l'oggetto, chiudere la finestra delle proprietà e scegliere nuovamente "Elimina". |
Object "%1" cannot be deleted because an open window is displaying its properties. To delete this object, close that window and select "Delete" again. |
442 | Configurazione appartenenza per %.17s... | Configure Membership for %.17s... |
443 | Reimposta blocco account dopo | Reset account lockout counter after |
444 | Imposta &descrizione... Crea una descrizione per questo modello |
Set Descri&ption... Create a description for this template |
445 | La descrizione non deve contenere i seguenti caratteri: %1 |
Description may not contain any of the following characters: %1 |
446 | Impostazione modello | Template Setting |
447 | Impostazione criterio | Policy Setting |
449 | Accertarsi di disporre delle autorizzazioni necessarie per l'oggetto. | Make sure that you have the right permissions to this object. |
450 | Accertarsi che l'oggetto esista. | Make sure that this object exists. |
451 | Impossibile utilizzare la cartella %1. Scegliere un'altra cartella. | The folder %1 cannot be used. Choose another folder. |
452 | Computer locale | My Computer |
453 | Il nome file è troppo lungo. | The file name is too long. |
552 | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm |
697 | Il nome file non può contenere soltanto i seguenti caratteri: %1 |
File name may not only contain any of the following characters: %1 |
698 | %1 Il nome di file è un nome di dispositivo riservato. Utilizzare un altro nome. |
%1 This file name is a reserved device name. Choose another name. |
699 | Tipo file non corretto. | The file type is not correct. |
700 | Per eseguire l'operazione richiesta è necessario appartenere al gruppo Administrators. | You must be a member of the Administrators group to perform the requested operation. |
701 | Il nome di file %1 non è valido. Immettere nuovamente il nome di file nel formato corretto, ad esempio c:\percorso\file.%2. |
The file name %1 is not valid. Reenter the file name in the correct format, such as c:\location\file.%2. |
702 | Non è stato effettuato alcun mapping tra nomi di account e ID di sicurezza (SID) | No mapping between account names and security IDs was done |
709 | Perché valga per gli account di dominio, è necessario definire questa impostazione nel criterio dominio predefinito. | To affect domain accounts, this setting must be defined in default domain policy. |
718 | Criteri di sicurezza locali | Local Security Policy |
740 | %1%2 | %1%2 |
741 | %1%2 %3 |
%1%2 %3 |
745 | Speciale | Special |
753 | Impostazioni di sicurezza per l'accesso remoto a SAM | Security Settings for Remote Access to SAM |
754 | Accesso remoto | Remote Access |
762 | Criteri di accesso centrale | Central Access Policy |
763 | Criteri di accesso centrale applicati al file system | Central Access Policies applied to the file system |
764 | Criterio sconosciuto: | !!Unknown policy!!: |
765 | %1 %2 | %1 %2 |
1900 | Imponi cronologia delle password
Questa impostazione di sicurezza specifica il numero delle nuove password univoche che devono essere associate a un account utente prima che sia possibile riutilizzare una vecchia password. Il valore deve essere compreso tra 0 e 24. Questo criterio consente agli amministratori di migliorare la sicurezza garantendo che le vecchie password non vengano riutilizzate continuamente. Impostazione predefinita: 24 nei controller di dominio 0 nei server autonomi Nota: per impostazione predefinita, nei computer membri viene utilizzata la stessa configurazione dei relativi controller di dominio. Per garantire l'efficacia della cronologia delle password, è necessario selezionare anche l'impostazione Validità minima password per impedire che le password vengano modificate più volte entro un intervallo di tempo molto breve. Per informazioni sull'impostazione Validità minima password, vedere Validità minima password. |
Enforce password history
This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords. This policy enables administrators to enhance security by ensuring that old passwords are not reused continually. Default: 24 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age. |
1901 | Validità massima password
Questa impostazione di sicurezza specifica il periodo di tempo (in giorni) per cui è possibile utilizzare una password prima che il sistema richieda all'utente di modificarla. È possibile impostare un periodo di validità da 1 a 999 giorni oppure impostare su 0 il numero dei giorni per specificare che le password non hanno scadenza. Se per Validità massima password si specifica un numero da 1 a 999 giorni, il valore di Validità minima password dovrà essere inferiore. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Nota: per una sicurezza ottimale, è consigliabile utilizzare password con scadenza da 30 a 90 giorni, a seconda dell'ambiente. In questo modo è possibile limitare la quantità di tempo disponibile per l'autore di un eventuale attacco per compromettere le password degli utenti e accedere alle risorse di rete. Impostazione predefinita: 42 |
Maximum password age
This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days. Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources. Default: 42. |
1902 | Validità minima password
Questa impostazione di sicurezza specifica il periodo di tempo (in giorni) per cui è necessario utilizzare una password prima che sia possibile modificarla. È possibile impostare un valore da 1 a 998 giorni oppure impostare su 0 il numero dei giorni per consentire la modifica immediata. Il valore di Validità minima password deve essere minore di quello di Validità massima password, a meno che quest'ultimo non sia impostato su 0 per specificare che le password non hanno scadenza. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Per garantire l'efficacia dell'impostazione Imponi cronologia delle password, impostare Validità minima password su un valore maggiore di 0. Se la validità minima delle password non è configurata, infatti, gli utenti potranno modificare ripetutamente le password finché non potranno riutilizzare le proprie vecchie password preferite. Poiché tuttavia l'impostazione predefinita per i server autonomi è 0, l'amministratore può specificare una password per un utente, quindi richiedere all'utente di modificarla al primo accesso. Se la cronologia delle password è impostata su 0, l'utente non sarà obbligato a scegliere una nuova password. Proprio per questo il valore predefinito di Imponi cronologia delle password è 1. Impostazione predefinita: 1 nei controller di dominio 0 nei server autonomi Nota: per impostazione predefinita, nei computer membri viene utilizzata la stessa configurazione dei relativi controller di dominio. |
Minimum password age
This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998. Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default. Default: 1 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1903 | Lunghezza minima password
Questa impostazione di sicurezza specifica il numero minimo di caratteri delle password per gli account utente. È possibile impostare un valore da 1 a 14 oppure impostare su 0 il numero dei caratteri, per specificare che non è richiesta alcuna password. Impostazione predefinita: 7 nei controller di dominio 0 nei server autonomi Nota: per impostazione predefinita, nei computer membri viene utilizzata la stessa configurazione dei relativi controller di dominio. |
Minimum password length
This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0. Default: 7 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1904 | Le password devono essere conformi ai requisiti di complessità
Questa impostazione di sicurezza specifica se le password devono essere conformi ai requisiti di complessità. Se questo criterio è attivato, le password devono soddisfare i seguenti requisiti minimi: Non possono contenere più di due caratteri consecutivi del nome completo dell'utente o del nome dell'account utente. Devono includere almeno sei caratteri. Devono contenere caratteri appartenenti ad almeno tre delle quattro categorie seguenti: Caratteri maiuscoli dell'alfabeto inglese (A-Z) Caratteri minuscoli dell'alfabeto inglese (a-z) Cifre decimali (0-9) Caratteri non alfabetici, ad esempio !, $, #, % I requisiti di complessità vengono verificati al momento della creazione o della modifica delle password. Impostazione predefinita: Attivata nei controller di dominio Disattivata nei server autonomi Nota: per impostazione predefinita, nei computer membri viene utilizzata la stessa configurazione dei relativi controller di dominio. |
Password must meet complexity requirements
This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length Contain characters from three of the following four categories: English uppercase characters (A through Z) English lowercase characters (a through z) Base 10 digits (0 through 9) Non-alphabetic characters (for example, !, $, #, %) Complexity requirements are enforced when passwords are changed or created. Default: Enabled on domain controllers. Disabled on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1905 | Archivia password mediante crittografia reversibile
Questa impostazione di sicurezza specifica se per l'archiviazione delle password da parte del sistema operativo viene utilizzata la crittografia reversibile. Questo criterio fornisce supporto per le applicazioni che utilizzano protocolli che richiedono l'indicazione della password dell'utente ai fini dell'autenticazione. L'archiviazione delle password mediante crittografia reversibile corrisponde sostanzialmente all'archiviazione di versioni delle password in formato non crittografato. Questo criterio deve essere pertanto attivato esclusivamente quando i requisiti delle applicazioni hanno la precedenza sulla necessità di proteggere le password. L'attivazione di questo criterio è necessaria quando si utilizza l'autenticazione Challenge-Handshake Authentication Protocol (CHAP) tramite una connessione di accesso remoto o Servizio autenticazione Internet (IAS, Internet Authentication Service), nonché quando si utilizza l'autenticazione del digest in Internet Information Services (IIS). Impostazione predefinita: disattivata. |
Store passwords using reversible encryption
This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Default: Disabled. |
1906 | Durata blocco account
Questa impostazione di sicurezza specifica il numero di minuti per cui un account bloccato deve rimanere bloccato prima di essere sbloccato automaticamente. È possibile impostare un intervallo da 0 a 99.999 minuti. Se la durata del blocco dell'account viene impostata su 0, l'account rimarrà bloccato finché non verrà esplicitamente sbloccato da un amministratore. Se viene definita l'impostazione Soglia di blocchi dell'account, la durata del blocco dell'account dovrà essere maggiore o uguale all'intervallo di reimpostazione del contatore. Impostazione predefinita: nessuna, perché questa impostazione indica semplicemente che è specificato un valore per Soglia di blocchi dell'account. |
Account lockout duration
This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1907 | Soglia di blocchi dell'account
Questa impostazione di sicurezza specifica il numero di tentativi di accesso non riusciti dopo il quale l'account viene bloccato. Un account bloccato non può essere utilizzato finché non viene ripristinato da un amministratore oppure fino alla scadenza della durata del blocco per l'account. È possibile impostare da 0 a 999 tentativi di accesso non riusciti. Se viene impostato il valore 0, l'account non verrà mai bloccato. Nelle workstation e nei server membri bloccati tramite CTRL+ALT+CANC o screen saver protetti da password i tentativi con password errate vengono conteggiati come tentativi di accesso non riusciti. Impostazione predefinita: 0 |
Account lockout threshold
This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts. Default: 0. |
1908 | Reimposta blocco account dopo
Questa impostazione di sicurezza specifica il numero di minuti che deve trascorrere dopo un tentativo di accesso non riuscito prima che il contatore dei tentativi di accesso non riusciti venga reimpostato su 0. È possibile impostare un intervallo da 1 a 99.999 minuti. Se viene definita l'impostazione Soglia di blocchi dell'account, l'intervallo per la reimpostazione deve essere minore o uguale al valore di Durata blocco account. Impostazione predefinita: nessuna, perché questa impostazione indica semplicemente che è specificato un valore per Soglia di blocchi dell'account. |
Reset account lockout counter after
This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes. If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1909 | Imporre le restrizioni di accesso degli utenti
Questa impostazione di sicurezza specifica se il centro distribuzione chiavi Kerberos V5 deve convalidare o meno ogni singola richiesta di ticket di sessione rispetto al criterio relativo ai diritti utente specificato per l'account utente. La convalida di ogni singola richiesta di ticket di sessione è facoltativa, perché questo passaggio aggiuntivo richiede tempo e può rallentare l'accesso ai servizi attraverso la rete. Impostazione predefinita: attivata |
Enforce user logon restrictions
This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services. Default: Enabled. |
1910 | Durata massima ticket di servizio
Questa impostazione di sicurezza specifica la quantità di tempo massima (in minuti) per cui è possibile utilizzare il ticket di sessione ottenuto per accedere a un determinato servizio. Il valore di questa impostazione deve essere maggiore di 10 minuti e minore o uguale al valore di Durata massima ticket utente. Se, quando richiede la connessione a un server, un client presenta un ticket di sessione scaduto, il server restituirà un messaggio di errore. Il client deve quindi richiedere un nuovo ticket di sessione al centro distribuzione chiavi Kerberos V5. Dopo l'autenticazione della connessione, tuttavia, la validità del ticket di sessione non viene più verificata. I ticket di sessione vengono utilizzati solo per autenticare le nuove connessioni ai server. Se il ticket di sessione utilizzato per autenticare la connessione scade durante la connessione, le operazioni in corso non verranno interrotte. Impostazione predefinita: 600 minuti (10 ore) |
Maximum lifetime for service ticket
This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket. If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection. Default: 600 minutes (10 hours). |
1911 | Durata massima ticket utente
Questa impostazione di sicurezza specifica la quantità di tempo massima (in ore) per cui è possibile utilizzare il ticket di concessione ticket (TGT) di un utente. Impostazione predefinita: 10 ore |
Maximum lifetime for user ticket
This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used. Default: 10 hours. |
1912 | Durata massima rinnovo ticket utente
Questa impostazione di sicurezza specifica il periodo di tempo (in giorni) durante il quale è possibile rinnovare il ticket di concessione ticket (TGT). Impostazione predefinita: 7 giorni |
Maximum lifetime for user ticket renewal
This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed. Default: 7 days. |
1913 | Tolleranza massima per la sincronizzazione dell'orologio del computer
Questa impostazione di sicurezza specifica la differenza di tempo massima (in minuti) tollerata da Kerberos V5 tra l'ora dell'orologio del client e quella del controller di dominio Windows Server 2003 che fornisce l'autenticazione Kerberos. Per impedire gli attacchi di tipo replay, Kerberos V5 utilizza timestamp nell'ambito della definizione del protocollo. Per il corretto funzionamento di tali timestamp, è necessario che gli orologi del client e del controller di dominio siano sincronizzati il più possibile. In altre parole, entrambi i computer devono indicare la stessa data e ora. Poiché spesso gli orologi dei computer non sono sincronizzati, gli amministratori possono utilizzare questo criterio per definire la massima differenza accettabile da Kerberos V5 tra l'orologio del client e quello del controller di dominio. Se la differenza tra l'orologio del client e quello del controller di dominio è inferiore alla differenza di tempo massima specificata nel criterio, tutti i timestamp utilizzati in una sessione aperta tra i due computer vengono considerati autentici. Importante Questa impostazione non è permanente in piattaforme anteriori a Vista. Se si riavvia il computer dopo la configurazione dell'impostazione, verrà ripristinato il valore predefinito. Impostazione predefinita: 5 minuti |
Maximum tolerance for computer clock synchronization
This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication. To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic. Important This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value. Default: 5 minutes. |
1914 | Controlla eventi accesso account
Questa impostazione di sicurezza specifica se il sistema operativo controlla o meno gli eventi di convalida delle credenziali di un account nel computer in uso. Gli eventi di accesso account vengono generati ogni volta che un computer convalida le credenziali di un account per cui viene considerato autorevole. I membri di dominio e i computer non aggiunti al dominio sono autorevoli per i rispettivi account locali, mentre i controller di dominio sono tutti autorevoli per gli account del dominio. La convalida delle credenziali può essere effettuata per supportare un accesso locale oppure, nel caso di un account di dominio Active Directory in un controller di dominio, per supportare un accesso a un altro computer. Poiché la convalida delle credenziali è senza stato, per gli eventi di accesso account non è disponibile alcun evento di fine sessione corrispondente. Se questa impostazione è definita, l'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. Valori predefiniti nelle edizioni client: Convalida credenziali: Nessun controllo Operazioni ticket di servizio Kerberos: Nessun controllo Altri eventi di accesso account: Nessun controllo Servizio di autenticazione Kerberos: Nessun controllo Valori predefiniti nelle edizioni server: Convalida credenziali: Operazioni riuscite Operazioni ticket di servizio Kerberos: Operazioni riuscite Altri eventi di accesso account: Nessun controllo Servizio di autenticazione Kerberos: Operazioni riuscite Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account logon events
This security setting determines whether the OS audits each time this computer validates an account’s credentials. Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Credential Validation: No Auditing Kerberos Service Ticket Operations: No Auditing Other Account Logon Events: No Auditing Kerberos Authentication Service: No Auditing Default values on Server editions: Credential Validation: Success Kerberos Service Ticket Operations: Success Other Account Logon Events: No Auditing Kerberos Authentication Service: Success Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1915 | Controlla gestione degli account
Questa impostazione di sicurezza specifica se è necessario controllare ogni singolo evento di gestione degli account in un computer. Esempi di eventi di gestione degli account: Creazione, modifica o eliminazione di un account utente o di un gruppo. Ridenominazione, attivazione o disattivazione di un account utente. Impostazione o modifica di una password. Se si definisce questa impostazione, sarà possibile specificare se controllare o meno l'esito di un determinato tipo di evento. Se si specifica il controllo delle operazioni riuscite, verrà generata una voce di controllo ogni volta che un evento di gestione degli account riesce. Se si specifica il controllo delle operazioni non riuscite, verrà generata una voce di controllo ogni volta che un evento di gestione degli account non riesce. Per impostare il valore Nessun controllo, nella finestra di dialogo Proprietà di questa impostazione selezionare la casella di controllo Definisci le impostazioni relative ai criteri e deselezionare le caselle di controllo Operazioni riuscite e Operazioni non riuscite. Valori predefiniti nelle edizioni client: Gestione account utente: Operazioni riuscite Gestione account computer: Nessun controllo Gestione gruppi di sicurezza: Operazioni riuscite Gestione gruppi di distribuzione: Nessun controllo Gestione gruppi di applicazioni: Nessun controllo Altri eventi di gestione account: Nessun controllo Valori predefiniti nelle edizioni server: Gestione account utente: Operazioni riuscite Gestione account computer: Operazioni riuscite Gestione gruppi di sicurezza: Operazioni riuscite Gestione gruppi di distribuzione: Nessun controllo Gestione gruppi di applicazioni: Nessun controllo Altri eventi di gestione account: Nessun controllo Importante: per un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account management
This security setting determines whether to audit each event of account management on a computer. Examples of account management events include: A user account or group is created, changed, or deleted. A user account is renamed, disabled, or enabled. A password is set or changed. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default values on Client editions: User Account Management: Success Computer Account Management: No Auditing Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Default values on Server editions: User Account Management: Success Computer Account Management: Success Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1916 | Controlla accesso al servizio directory
Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso agli oggetti Active Directory. Il controllo viene generato solo per gli oggetti per cui sono stati specificati elenchi di controllo di accesso di sistema (SACL) e solo se il tipo di accesso richiesto, ad esempio in scrittura, lettura o modifica, e l'account che effettua la richiesta corrispondono alle impostazioni definite nell'elenco di controllo di accesso di sistema. L'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, entrambi i tipi di eventi oppure di non eseguire alcun controllo. Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo per ogni accesso riuscito a un oggetto Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente. Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo per ogni tentativo di accesso non riuscito a un oggetto Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente. Valori predefiniti nelle edizioni client: Accesso al servizio directory: Nessun controllo Modifiche servizio directory: Nessun controllo Replica servizio directory: Nessun controllo Replica dettagliata servizio directory: Nessun controllo Valori predefiniti nelle edizioni server: Accesso al servizio directory: Operazioni riuscite Modifiche servizio directory: Nessun controllo Replica servizio directory: Nessun controllo Replica dettagliata servizio directory: Nessun controllo Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit directory service access
This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified. Default values on Client editions: Directory Service Access: No Auditing Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Default values on Server editions: Directory Service Access: Success Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1917 | Controlla eventi di accesso
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo evento di accesso o fine sessione nel computer in uso. Gli eventi di fine sessione vengono generati ogni volta che la sessione di accesso di un account utente connesso viene terminata. Se questa impostazione è definita, l'amministratore potrà specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, entrambi i tipi di eventi oppure di non eseguire alcun controllo. Valori predefiniti nelle edizioni client: Accesso: Operazioni riuscite Fine sessione: Operazioni riuscite Blocco account: Operazioni riuscite Modalità principale IPsec: Nessun controllo Modalità rapida IPsec: Nessun controllo Modalità estesa IPsec: Nessun controllo Accesso speciale: Operazioni riuscite Altri eventi di accesso/fine sessione: Nessun controllo Server dei criteri di rete: Operazioni riuscite e non riuscite Valori predefiniti nelle edizioni server: Accesso: Operazioni riuscite e non riuscite Fine sessione: Operazioni riuscite Blocco account: Operazioni riuscite Modalità principale IPsec: Nessun controllo Modalità rapida IPsec: Nessun controllo Modalità estesa IPsec: Nessun controllo Accesso speciale: Operazioni riuscite Altri eventi di accesso/fine sessione: Nessun controllo Server dei criteri di rete: Operazioni riuscite e non riuscite Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit logon events
This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer. Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Logon: Success Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Default values on Server editions: Logon: Success, Failure Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1918 | Controlla accesso agli oggetti
Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso a oggetti non Active Directory. Il controllo viene generato solo per gli oggetti per cui sono stati specificati elenchi di controllo di accesso di sistema (SACL) e solo se il tipo di accesso richiesto, ad esempio in scrittura, lettura o modifica, e l'account che effettua la richiesta corrispondono alle impostazioni definite nell'elenco di controllo di accesso di sistema. L'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, entrambi i tipi di eventi oppure di non eseguire alcun controllo. Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo per ogni accesso riuscito a un oggetto non Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente. Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo per ogni tentativo di accesso non riuscito a un oggetto non Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente. Si noti che è possibile impostare un elenco di controllo di accesso di sistema su un oggetto del file system utilizzando la scheda Sicurezza della finestra di dialogo Proprietà dell'oggetto. Impostazione predefinita: Nessun controllo. Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit object access
This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified. Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box. Default: No auditing. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1919 | Controlla modifica ai criteri
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. L'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo per ogni tentativo riuscito di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo per ogni tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità effettuato da un account non autorizzato a eseguire la modifica richiesta. Impostazioni predefinite: Modifica del criterio di controllo: Operazioni riuscite Modifica criteri di autenticazione: Operazioni riuscite Modifica criteri di autorizzazione: Nessun controllo Modifica criteri a livello di regola MPSSVC: Nessun controllo Modifica criteri Piattaforma filtro Windows: Nessun controllo Altri eventi di modifica criteri: Nessun controllo Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit policy change
This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful. If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change. Default: Audit Policy Change: Success Authentication Policy Change: Success Authorization Policy Change: No Auditing MPSSVC Rule-Level Policy Change: No Auditing Filtering Platform Policy Change: No Auditing Other Policy Change Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1920 | Controlla uso dei privilegi
Questa impostazione di sicurezza specifica se controllare o meno ogni singolo evento di utilizzo di un diritto utente da parte di un utente. Se si definisce questa impostazione, sarà possibile specificare se controllare o meno l'esito di un determinato tipo di evento. Se si specifica il controllo delle operazioni riuscite, verrà generata una voce di controllo a ogni tentativo riuscito di utilizzare un diritto utente. Se si specifica il controllo delle operazioni non riuscite, verrà generata una voce di controllo a ogni tentativo non riuscito di utilizzare un diritto utente. Per impostare il valore Nessun controllo, nella finestra di dialogo Proprietà di questa impostazione selezionare la casella di controllo Definisci le impostazioni relative ai criteri e deselezionare le caselle di controllo Operazioni riuscite e Operazioni non riuscite. Impostazione predefinita: Nessun controllo Non vengono generate voci di controllo per l'utilizzo dei diritti utente seguenti, anche se per Controlla uso dei privilegi è specificato il controllo delle operazioni riuscite o non riuscite. L'attivazione del controllo di questi diritti utente spesso provoca la generazione di numerosi eventi nel registro di sicurezza, determinando un calo di prestazioni del computer. Per controllare i diritti utente seguenti, attivare la chiave FullPrivilegeAuditing del Registro di sistema. Ignorare controllo incrociato Debug di programmi Creazione di oggetti token Sostituzione di token a livello di processo Generazione di controlli di sicurezza Backup di file e directory Ripristino di file e directory Attenzione La modifica non corretta del Registro di sistema può danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è consigliabile eseguire il backup di tutti i dati rilevanti presenti nel computer Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit privilege use
This security setting determines whether to audit each instance of a user exercising a user right. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default: No auditing. Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key. Bypass traverse checking Debug programs Create a token object Replace process level token Generate security audits Back up files and directories Restore files and directories Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1921 | Controlla esito processi
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno gli eventi correlati ai processi, ad esempio la creazione e la chiusura di un processo, la duplicazione degli handle e l'accesso indiretto agli oggetti. Se questa impostazione è definita, l'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo esegue una di queste attività correlate ai processi. Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo non è in grado di eseguire una di queste attività. Impostazione predefinita: Nessun controllo Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit process tracking
This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities. If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities. Default: No auditing\r Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1922 | Controlla eventi di sistema
Questa impostazione di sicurezza specifica se il sistema operativo controlla uno degli eventi seguenti: • Tentativo di modifica dell'ora di sistema • Tentativo di avvio o arresto del sistema di sicurezza • Tentativo di caricare componenti di autenticazione estendibili • Perdita di eventi controllati a causa di un errore del sistema di controllo • Dimensione del registro di sicurezza superiore a un livello soglia di avviso configurabile. Se questa impostazione è definita, l'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo esegue una di queste attività. Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo non è in grado di eseguire una di queste attività.. Impostazioni predefinite: Modifica stato sicurezza Operazioni riuscite Estensione stato sicurezza Nessun controllo Integrità sistema Operazioni riuscite e non riuscite Driver IPsec Driver Nessun controllo Altri eventi di sistema Operazioni riuscite e non riuscite Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit system events
This security setting determines whether the OS audits any of the following events: • Attempted system time change • Attempted security system startup or shutdown • Attempt to load extensible authentication components • Loss of audited events due to auditing system failure • Security log size exceeding a configurable warning threshold level. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully. If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities. Default: Security State Change Success Security System Extension No Auditing System Integrity Success, Failure IPsec Driver No Auditing Other System Events Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1923 | Accedi al computer dalla rete
Questo diritto utente specifica gli utenti e i gruppi autorizzati a connettersi al computer dalla rete. Servizi Desktop remoto non è interessato da questo diritto utente. Nota: Servizi Desktop remoto è denominato Servizi terminal nelle versioni precedenti di Windows Server. Impostazione predefinita in workstation e server: Administrators Backup Operators Users Everyone Impostazione predefinita nei controller di dominio: Administrators Authenticated Users Controller di dominio organizzazione Everyone Accesso compatibile precedente a Windows 2000 |
Access this computer from the network
This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default on workstations and servers: Administrators Backup Operators Users Everyone Default on domain controllers: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access |
1924 | Agire come parte del sistema operativo
Questo diritto utente consente a un processo di rappresentare qualsiasi utente senza autenticazione. Tale processo può pertanto ottenere accesso alle stesse risorse locali accessibili dall'utente. Per i processi che richiedono questo privilegio è consigliabile utilizzare l'account di sistema locale, che include già il privilegio, anziché un account utente separato a cui è stato espressamente assegnato il privilegio. Se nell'organizzazione vengono utilizzati esclusivamente server della famiglia Windows Server 2003, non sarà necessario assegnare questo privilegio agli utenti. Se tuttavia nell'organizzazione vengono utilizzati server che eseguono Windows 2000 o Windows NT 4.0, può essere necessario assegnare questo privilegio per utilizzare applicazioni che scambiano password in formato non crittografato. Attenzione L'assegnazione di questo diritto utente può comportare un rischio a livello di sicurezza. Assegnare questo diritto utente esclusivamente a utenti attendibili. Impostazione predefinita: nessuna |
Act as part of the operating system
This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: None. |
1925 | Aggiunta di workstation al dominio
Questa impostazione di sicurezza specifica i gruppi o gli utenti autorizzati ad aggiungere workstation a un dominio. L'impostazione è valida solo nei controller di dominio. Per impostazione predefinita, tutti gli utenti autenticati dispongono di questo diritto e possono creare fino a 10 account computer nel dominio. L'aggiunta di un account computer a un dominio consente al computer di utilizzare le funzionalità di rete basate su Active Directory. Se ad esempio si aggiunge una workstation a un dominio, tale workstation sarà in grado di riconoscere gli account e i gruppi esistenti in Active Directory. Impostazione predefinita: Authenticated Users nei controller di dominio Nota: gli utenti che dispongono dell'autorizzazione Crea oggetti computer per il contenitore Computer di Active Directory sono autorizzati anche a creare account computer nel dominio, con la differenza che per gli utenti dotati di autorizzazioni per il contenitore non vale la limitazione che impedisce di creare più di 10 account computer. Inoltre, il proprietario degli account computer creati tramite il diritto utente Aggiunta di workstation al dominio è il gruppo Domain Administrators, mentre il proprietario degli account computer creati tramite le autorizzazioni per il contenitore Computer è il creatore dell'account. Se un utente dispone sia delle autorizzazioni per il contenitore che del diritto utente Aggiunta di workstation al dominio, il computer verrà aggiunto in base alle autorizzazioni per il contenitore Computer anziché in base al diritto utente. |
Add workstations to domain
This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right. |
1926 | Regolazione limite risorse memoria per un processo
Questo privilegio specifica gli account autorizzati a modificare la quantità massima di memoria che può essere utilizzata da un processo. Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefiniti e nei criteri di sicurezza locali di server e workstation. Nota: questo privilegio è utile per l'ottimizzazione del sistema, ma potrebbe essere utilizzato anche per scopi non consentiti, ad esempio per un attacco Denial of Service. Impostazione predefinita: Administrators Servizio locale Servizio di rete |
Adjust memory quotas for a process
This privilege determines who can change the maximum memory that can be consumed by a process. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack. Default: Administrators Local Service Network Service. |
1927 | Consenti accesso locale
Specifica gli utenti autorizzati ad accedere al computer. Importante La modifica di questa impostazione può influire sulla compatibilità con client, servizi e applicazioni. Per informazioni sulla compatibilità con questa impostazione, vedere Consenti accesso locale (https://go.microsoft.com/fwlink/?LinkId=24268) sul sito Web Microsoft. Impostazione predefinita: • In workstation e server: Administrators, Backup Operators, Power Users, Users e Guest. • Nei controller di dominio: Account Operators, Administrators, Backup Operators e Print Operators. |
Log on locally
Determines which users can log on to the computer. Important Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website. Default: • On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest. • On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators. |
1928 | Consenti accesso tramite Servizi Desktop remoto
Questa impostazione di sicurezza specifica i gruppi o gli utenti autorizzati a effettuare l'accesso come client di Servizi Desktop remoto. Impostazione predefinita: In workstation e server: Administrators, Utenti desktop remoto Nei controller di dominio: Administrators Importante Questa impostazione non ha effetto nei computer Windows 2000 non aggiornati a Service Pack 2. |
Allow log on through Remote Desktop Services
This security setting determines which users or groups have permission to log on as a Remote Desktop Services client. Default: On workstation and servers: Administrators, Remote Desktop Users. On domain controllers: Administrators. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1929 | Backup di file e directory
Questo diritto utente specifica gli utenti autorizzati a eludere le autorizzazioni relative a file e directory, impostazioni del Registro di sistema e altre autorizzazioni permanenti per gli oggetti al fine di eseguire il backup del sistema. In particolare, questo diritto utente è analogo alla concessione delle autorizzazioni seguenti, per tutti i file e le cartelle del sistema, a un utente o gruppo specificato: Visita cartella/Esecuzione file Visualizzazione contenuto cartella/Lettura dati Lettura attributi Lettura attributi estesi Autorizzazioni di lettura Attenzione L'assegnazione di questo diritto utente può comportare un rischio a livello di sicurezza. Poiché non è in alcun modo possibile verificare se l'utente sta eseguendo il backup dei dati, rubando i dati o copiando i dati per distribuirli, assegnare questo diritto utente esclusivamente a utenti attendibili. Impostazione predefinita in workstation e server: Administrators Backup Operators Impostazione predefinita nei controller di dominio: Administrators Backup Operators Server Operators |
Back up files and directories
This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Read Permissions Caution Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users. Default on workstations and servers: Administrators Backup Operators. Default on domain controllers:Administrators Backup Operators Server Operators |
1930 | Ignorare controllo incrociato
Questo diritto utente specifica gli utenti autorizzati ad attraversare gli alberi di directory anche se non dispongono di autorizzazioni per le directory attraversate. Questo privilegio non consente all'utente di elencare il contenuto di una directory, ma solo di attraversare directory. Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefiniti e nei criteri di sicurezza locali di server e workstation. Impostazione predefinita in workstation e server: Administrators Backup Operators Users Everyone Servizio locale Servizio di rete Impostazione predefinita nei controller di dominio: Administrators Authenticated Users Everyone Servizio locale Servizio di rete Accesso compatibile precedente a Windows 2000 |
Bypass traverse checking
This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Backup Operators Users Everyone Local Service Network Service Default on domain controllers: Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access |
1931 | Modifica dell'orario di sistema
Questo diritto utente specifica gli utenti e i gruppi autorizzati a modificare la data e l'ora dell'orologio interno del computer. Gli utenti a cui viene assegnato questo diritto utente possono modificare l'aspetto dei registri eventi. Se l'ora di sistema viene modificata, gli eventi verranno registrati indicando il nuovo orario, non l'ora effettiva in cui si sono verificati gli eventi. Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefiniti e nei criteri di sicurezza locali di server e workstation. Impostazione predefinita in workstation e server: Administrators Servizio locale Impostazione predefinita nei controller di dominio: Administrators Server Operators Servizio locale |
Change the system time
This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Local Service Default on domain controllers: Administrators Server Operators Local Service |
1932 | Creazione di file di paging
Questo diritto utente specifica gli utenti e i gruppi autorizzati a chiamare un'interfaccia API interna per creare un file di paging e modificarne la dimensione. Questo diritto utente viene utilizzato internamente dal sistema operativo e in genere non deve essere assegnato ad alcun utente. Per informazioni su come specificare la dimensione del file di paging per una determinata unità, vedere Per modificare la dimensione del file di paging della memoria virtuale. Impostazione predefinita: Administrators |
Create a pagefile
This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users. For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file. Default: Administrators. |
1933 | Creazione di oggetti token
Questa impostazione di sicurezza specifica gli account che possono essere utilizzati dai processi per la creazione di un token da utilizzare per ottenere accesso a una risorsa locale quando il processo utilizza un'interfaccia API interna per creare un token di accesso. Questo diritto utente viene utilizzato internamente dal sistema operativo. Se non è effettivamente necessario, non assegnare questo diritto utente a utenti, gruppi o processi diversi da Sistema locale. Attenzione L'assegnazione di questo diritto utente può comportare un rischio a livello di sicurezza. Non assegnare questo diritto utente a qualsiasi utente, gruppo o processo a cui non si desidera consentire il controllo del sistema. Impostazione predefinita: nessuna |
Create a token object
This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token. This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default: None |
1934 | Creazione oggetti globali
Questa impostazione di sicurezza specifica se gli utenti possono o meno creare oggetti globali disponibili in tutte le sessioni. Se non dispongono di questo diritto utente, gli utenti possono comunque creare oggetti specifici per la propria sessione. La creazione di oggetti globali può influire su processi eseguiti nelle sessioni di altri utenti, pertanto potrebbero verificarsi errori nell'applicazione o nei dati. Attenzione L'assegnazione di questo diritto utente può comportare un rischio a livello di sicurezza. Assegnare questo diritto utente esclusivamente a utenti attendibili. Impostazione predefinita: Administrators Servizio locale Servizio di rete Servizio |
Create global objects
This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption. Caution Assigning this user right can be a security risk. Assign this user right only to trusted users. Default: Administrators Local Service Network Service Service |
1935 | Creazione di oggetti condivisi permanentemente
Questo diritto utente specifica gli account che possono essere utilizzati dai processi per creare un oggetto directory mediante il gestore oggetti. Questo diritto utente viene utilizzato internamente dal sistema operativo ed è utile ai componenti in modalità kernel che estendono lo spazio dei nomi degli oggetti. Poiché questo diritto utente è già assegnato ai componenti eseguiti in modalità kernel, non è necessario assegnarlo esplicitamente. Impostazione predefinita: nessuna |
Create permanent shared objects
This user right determines which accounts can be used by processes to create a directory object using the object manager. This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it. Default: None. |
1936 | Debug di programmi
Questo diritto utente specifica gli utenti autorizzati a collegare un debugger a un processo qualsiasi o al kernel. Non è necessario assegnare questo diritto utente agli sviluppatori che eseguono il debug delle proprie applicazioni. È invece necessario assegnare questo diritto utente agli sviluppatori che eseguono il debug dei nuovi componenti di sistema. Questo diritto utente fornisce accesso completo a componenti critici e riservati del sistema operativo. Attenzione L'assegnazione di questo diritto utente può comportare un rischio a livello di sicurezza. Assegnare questo diritto utente esclusivamente a utenti attendibili. Impostazione predefinita: Administrators |
Debug programs
This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators |
1937 | Nega accesso al computer dalla rete
Questa impostazione di sicurezza specifica gli utenti a cui non è consentito accedere al computer dalla rete. Questa impostazione sostituisce l'impostazione Accedi al computer dalla rete, se all'account utente sono applicati entrambi i criteri. Impostazione predefinita: Guest |
Deny access to this computer from the network
This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies. Default: Guest |
1938 | Nega accesso come processo batch
Questa impostazione di sicurezza specifica gli account a cui non è consentito effettuare l'accesso come processo batch. Questa impostazione sostituisce l'impostazione Accesso come processo batch, se all'account sono applicati entrambi i criteri. Impostazione predefinita: nessuna |
Deny log on as a batch job
This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies. Default: None. |
1939 | Nega accesso come servizio
Questa impostazione di sicurezza specifica gli account a cui non è consentito registrare un processo come servizio. Questa impostazione sostituisce l'impostazione Accedi come servizio, se all'account sono applicati entrambi i criteri. Nota: questa impostazione di sicurezza non è applicabile agli account Sistema, Servizio locale e Servizio di rete. Impostazione predefinita: nessuna |
Deny log on as a service
This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies. Note: This security setting does not apply to the System, Local Service, or Network Service accounts. Default: None. |
1940 | Nega accesso locale
Questa impostazione di sicurezza specifica gli utenti a cui non è consentito accedere al computer. Questa impostazione sostituisce l'impostazione Consenti accesso locale, se all'account sono applicati entrambi i criteri. Importante Se si applica questo criterio di sicurezza al gruppo Everyone, nessun utente sarà più in grado di effettuare l'accesso localmente. Impostazione predefinita: nessuna |
Deny log on locally
This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies. Important If you apply this security policy to the Everyone group, no one will be able to log on locally. Default: None. |
1941 | Nega accesso tramite Servizi Desktop remoto
Questa impostazione di sicurezza specifica i gruppi e gli utenti a cui non è consentito effettuare l'accesso come client di Servizi Desktop remoto. Impostazione predefinita: nessuna Importante Questa impostazione non ha effetto nei computer Windows 2000 non aggiornati a Service Pack 2. |
Deny log on through Remote Desktop Services
This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client. Default: None. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1942 | Impostazione account computer ed utente a tipo trusted per la delega
Questa impostazione di sicurezza specifica gli utenti autorizzati a configurare l'impostazione Trusted per la delega per un oggetto utente o computer. L'utente o l'oggetto a cui viene concesso questo privilegio deve avere accesso in scrittura ai flag di controllo dell'account per l'oggetto utente o computer. Un processo server in esecuzione in un computer (o nell'ambito di un contesto utente) trusted per la delega può accedere alle risorse di un altro computer utilizzando le credenziali delegate di un client, a meno che per l'account di tale client non sia impostato il flag di controllo L'account non può essere delegato. Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefiniti e nei criteri di sicurezza locali di server e workstation. Attenzione L'utilizzo non appropriato di questo diritto utente, o dell'impostazione Trusted per la delega, può rendere la rete vulnerabile a sofisticati attacchi basati su programmi trojan horse che rappresentano client in ingresso e ne utilizzano le credenziali per ottenere accesso alle risorse di rete. Impostazione predefinita nei controller di dominio: Administrators |
Enable computer and user accounts to be trusted for delegation
This security setting determines which users can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Caution Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources. Default: Administrators on domain controllers. |
1943 | Arresto forzato da un sistema remoto
Questa impostazione di sicurezza specifica gli utenti autorizzati ad arrestare un computer da una posizione remota della rete. L'utilizzo non appropriato di questo diritto utente può determinare una situazione analoga a un attacco Denial of Service. Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefiniti e nei criteri di sicurezza locali di server e workstation. Impostazione predefinita: In workstation e server: Administrators Nei controller di dominio: Administrators, Server Operators |
Force shutdown from a remote system
This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default: On workstations and servers: Administrators. On domain controllers: Administrators, Server Operators. |
1944 | Generazione di controlli di sicurezza
Questa impostazione di sicurezza specifica gli account che possono essere utilizzati da un processo per aggiungere voci al registro di sicurezza. Il registro di sicurezza consente di tracciare gli accessi non autorizzati al sistema. L'utilizzo non appropriato di questo diritto utente può determinare la generazione di numerosi eventi di controllo, che potrebbero nascondere gli indizi di un attacco oppure determinare una situazione analoga a un attacco Denial of Service, se è selezionata l'impostazione Controllo: arresto del sistema immediato se non è possibile registrare i controlli di sicurezza. Per ulteriori informazioni vedere Controllo: arresto del sistema immediato se non è possibile registrare i controlli di sicurezza. Impostazione predefinita: Servizio locale Servizio di rete |
Generate security audits
This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits Default: Local Service Network Service. |
1945 | Rappresenta un client dopo l'autenticazione
L'assegnazione di questo privilegio a un utente consente ai programmi eseguiti per conto di tale utente di rappresentare un client. Richiedendo questo diritto utente per questo tipo di rappresentazione è possibile impedire a utenti non autorizzati di indurre un client a connettersi, ad esempio tramite chiamate di procedura remota (RPC) o named pipe, a un servizio da essi stessi creato e quindi rappresentare il client, al fine di elevare le proprie autorizzazioni a livelli amministrativi o di sistema. Attenzione L'assegnazione di questo diritto utente può comportare un rischio a livello di sicurezza. Assegnare questo diritto utente esclusivamente a utenti attendibili. Impostazione predefinita: Administrators Servizio locale Servizio di rete Servizio Nota: il gruppo predefinito Servizio viene aggiunto per impostazione predefinita ai token di accesso dei servizi avviati da Gestione controllo servizi e lo stesso vale per i server COM (Component Object Model) avviati dall'infrastruttura COM e configurati per l'esecuzione con un account specifico. Tali servizi ottengono pertanto questo diritto utente quando vengono avviati. Un utente può inoltre rappresentare un token di accesso se si verifica una delle condizioni seguenti. Il token di accesso da rappresentare è per l'utente. L'utente ha creato il token di accesso nella sessione di accesso corrente effettuando l'accesso alla rete con credenziali esplicite. È richiesto un livello inferiore a Rappresenta, ad esempio Anonimo o Identifica. Per le ragioni illustrate in precedenza, non è in genere necessario assegnare questo diritto agli utenti. Per ulteriori informazioni, cercare "SeImpersonatePrivilege" nel Microsoft Platform SDK. Avviso Se si attiva questa impostazione, i programmi che in precedenza disponevano del privilegio Rappresenta potrebbero perderlo e non essere eseguiti. |
Impersonate a client after authentication
Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators Local Service Network Service Service Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started. In addition, a user can also impersonate an access token if any of the following conditions exist. The access token that is being impersonated is for this user. The user, in this logon session, created the access token by logging on to the network with explicit credentials. The requested level is less than Impersonate, such as Anonymous or Identify. Because of these factors, users do not usually need this user right. For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK. Warning If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run. |
1946 | Aumento della priorità di pianificazione
Questa impostazione di sicurezza specifica gli account che possono utilizzare un processo dotato di accesso Proprietà di scrittura a un altro processo per aumentare la priorità di esecuzione assegnata all'altro processo. Un utente dotato di questo privilegio può modificare la priorità di pianificazione di un processo tramite l'interfaccia utente Gestione attività. Impostazione predefinita: Administrators |
Increase scheduling priority
This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface. Default: Administrators. |
1947 | Caricamento/rimozione di driver di dispositivo
Questo diritto utente specifica gli utenti autorizzati a caricare e rimuovere dinamicamente driver di dispositivo o altro codice nella modalità kernel. Questo diritto utente non è applicabile ai driver di dispositivo Plug and Play. È consigliabile non assegnare questo privilegio ad altri utenti. Attenzione L'assegnazione di questo diritto utente può comportare un rischio a livello di sicurezza. Non assegnare questo diritto utente a qualsiasi utente, gruppo o processo a cui non si desidera consentire il controllo del sistema. Impostazione predefinita in workstation e server: Administrators Impostazione predefinita nei controller di dominio: Administrators Print Operators |
Load and unload device drivers
This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default on workstations and servers: Administrators. Default on domain controllers: Administrators Print Operators |
1948 | Blocco di pagine in memoria
Questa impostazione di sicurezza specifica gli account che possono utilizzare un processo per conservare i dati nella memoria fisica, impedendo al sistema di eseguire il paging dei dati nella memoria virtuale su disco. L'utilizzo di questo privilegio può influire in modo significativo sulle prestazioni del sistema, poiché riduce la quantità di memoria RAM disponibile. Impostazione predefinita: nessuna |
Lock pages in memory
This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM). Default: None. |
1949 | Accesso come processo batch
Questa impostazione di sicurezza consente a un utente di effettuare l'accesso tramite una funzionalità che utilizza una coda batch ed è fornita unicamente per garantire la compatibilità con le versioni precedenti di Windows. Se ad esempio un utente invia un processo tramite il servizio Utilità di pianificazione, quest'ultimo connetterà l'utente come utente batch anziché come utente interattivo. Impostazione predefinita: Administrators Backup Operators |
Log on as a batch job
This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows. For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user. Default: Administrators Backup Operators. |
1950 | Accedi come servizio
Questa impostazione di sicurezza consente a un'entità di sicurezza di accedere come servizio. È possibile configurare i servizi per l'esecuzione con gli account Sistema locale, Servizio locale o Servizio di rete, che dispongono di un diritto predefinito per l'accesso come servizio. Il diritto deve essere assegnato a qualsiasi servizio eseguito con un account utente diverso. Impostazione predefinita: nessuna |
Log on as a service
This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right. Default setting: None. |
1951 | Gestione file registro di controllo e di sicurezza
Questa impostazione di sicurezza specifica gli utenti autorizzati a impostare opzioni di controllo dell'accesso agli oggetti per singole risorse, ad esempio file, oggetti di Active Directory e chiavi del Registro di sistema. Questa impostazione di sicurezza non consente agli utenti di attivare il controllo dell'accesso a file e oggetti in generale. Per attivare tale tipo di controllo, è necessario configurare l'impostazione Controlla accesso agli oggetti in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Criteri controllo. Per visualizzare gli eventi controllati, è possibile consultare il registro di sicurezza del Visualizzatore eventi. Gli utenti che dispongono di questo privilegio possono inoltre visualizzare e cancellare il registro di sicurezza. Impostazione predefinita: Administrators |
Manage auditing and security log
This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured. You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log. Default: Administrators. |
1952 | Modifica dei valori di ambiente firmware
Questa impostazione di sicurezza specifica gli account autorizzati a modificare i valori di ambiente del firmware. Le variabili di ambiente del firmware sono impostazioni archiviate nella RAM non volatile dei computer non basati su x86. L'effetto dell'impostazione dipende dal processore. Nei computer basati su x86 l'unico valore di ambiente del firmware che è possibile modificare grazie a questo diritto è l'impostazione Ultima configurazione valida nota, che dovrebbe essere modificata solo dal sistema. Nei computer basati su Itanium le informazioni di avvio sono archiviate nella RAM non volatile. Solo gli utenti che dispongono di questo diritto possono eseguire bootcfg.exe e modificare l'impostazione Sistema operativo predefinito nella scheda Avvio e ripristino di Proprietà del sistema. In tutti i computer questo diritto utente è necessario per installare o aggiornare Windows. Nota: questa impostazione di sicurezza non specifica o modifica l'account autorizzato a modificare le variabili di ambiente relative al sistema e le variabili di ambiente relative all'utente visualizzate nella scheda Avanzate della finestra Proprietà del sistema. Per informazioni sulla modifica di tali variabili, vedere Per aggiungere o modificare i valori delle variabili di ambiente. Impostazione predefinita: Administrators |
Modify firmware environment values
This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor. On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system. On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties. On all computers, this user right is required to install or upgrade Windows. Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables. Default: Administrators. |
1953 | Esecuzione operazioni di manutenzione volume
Questa impostazione di sicurezza specifica gli utenti e i gruppi autorizzati a eseguire attività di manutenzione su un volume, ad esempio la deframmentazione remota. Questo diritto deve essere assegnato con molta attenzione, perché consente agli utenti di esplorare dischi ed estendere file in aree di memoria che contengono altri dati, nonché di leggere e modificare i dati acquisiti nei file estesi aperti. Impostazione predefinita: Administrators |
Perform volume maintenance tasks
This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation. Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data. Default: Administrators |
1954 | Creazione di profilo del singolo processo
Questa impostazione di sicurezza specifica gli utenti autorizzati a utilizzare gli strumenti di monitoraggio delle prestazioni per monitorare le prestazioni dei processi non di sistema. Impostazione predefinita: Administrators, Power Users. |
Profile single process
This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes. Default: Administrators, Power users. |
1955 | Creazione di profilo delle prestazioni del sistema
Questa impostazione di sicurezza specifica gli utenti autorizzati a utilizzare gli strumenti di monitoraggio delle prestazioni per monitorare le prestazioni dei processi di sistema. Valore predefinito: Administrators |
Profile system performance
This security setting determines which users can use performance monitoring tools to monitor the performance of system processes. Default: Administrators. |
1956 | Rimozione del computer dall'alloggiamento
Questa impostazione di sicurezza specifica se un determinato utente è autorizzato a disinserire un computer portatile dal relativo alloggiamento di espansione senza effettuare l'accesso al sistema. Se questo criterio è attivato, l'utente dovrà effettuare l'accesso al sistema prima di rimuovere il computer portatile dal relativo alloggiamento di espansione. Se questo criterio è disattivato, l'utente potrà rimuovere il computer portatile dal relativo alloggiamento di espansione senza effettuare l'accesso al sistema. Impostazione predefinita: Administrators, Power Users, Users |
Remove computer from docking station
This security setting determines whether a user can undock a portable computer from its docking station without logging on. If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on. Default: Administrators, Power Users, Users |
1957 | Sostituzione di token a livello di processo
Questa impostazione di sicurezza specifica gli account utente autorizzati a chiamare l'interfaccia API CreateProcessAsUser() per consentire a un servizio di avviarne un altro. Questo diritto utente viene utilizzato ad esempio dal servizio Utilità di pianificazione. Per informazioni sul servizio Utilità di pianificazione, vedere Panoramica di Utilità di pianificazione. Impostazione predefinita: Servizio di rete, Servizio locale |
Replace a process level token
This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview. Default: Network Service, Local Service. |
1958 | Ripristino di file e directory
Questa impostazione di sicurezza specifica gli utenti autorizzati a eludere le autorizzazioni relative a file, directory, impostazioni del Registro di sistema e altre autorizzazioni permanenti per gli oggetti durante il ripristino di file e directory da un backup. Specifica inoltre gli utenti autorizzati a impostare qualsiasi entità di sicurezza valida come proprietario di un oggetto. In particolare, questo diritto utente è analogo alla concessione delle autorizzazioni seguenti, per tutti i file e le cartelle del sistema, a un utente o gruppo specificato: Visita cartella/Esecuzione file Scrittura Attenzione L'assegnazione di questo diritto utente può comportare un rischio in termini di sicurezza. Poiché gli utenti che dispongono di questo diritto possono sovrascrivere le impostazioni del Registro di sistema, nascondere dati e acquisire la proprietà di oggetti di sistema, assegnare questo diritto utente esclusivamente a utenti attendibili. Impostazione predefinita: In workstation e server: Administrators, Backup Operators Nei controller di dominio: Administrators, Backup Operators, Server Operators |
Restore files and directories
This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File Write Caution Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users. Default: Workstations and servers: Administrators, Backup Operators. Domain controllers: Administrators, Backup Operators, Server Operators. |
1959 | Arresto del sistema
Questa impostazione di sicurezza specifica quali degli utenti connessi localmente al computer sono autorizzati ad arrestare il sistema operativo utilizzando il comando Chiudi sessione. L'utilizzo non appropriato di questo diritto utente può determinare una situazione analoga a un attacco Denial of Service. Impostazione predefinita nelle workstation: Administrators, Backup Operators, Users Impostazione predefinita nei server: Administrators, Backup Operators Impostazione predefinita nei controller di dominio: Administrators, Backup Operators, Server Operators, Print Operators |
Shut down the system
This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service. Default on Workstations: Administrators, Backup Operators, Users. Default on Servers: Administrators, Backup Operators. Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators. |
1960 | Sincronizzazione dei dati del servizio directory
Questa impostazione di sicurezza specifica i gruppi o gli utenti autorizzati a sincronizzare tutti i dati del servizio directory. L'operazione è nota anche come sincronizzazione di Active Directory. Impostazione predefinita: nessuna |
Synchronize directory service data
This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization. Defaults: None. |
1961 | Acquisizione proprietà di file o di altri oggetti
Questa impostazione di sicurezza specifica gli utenti autorizzati ad acquisire la proprietà di qualsiasi oggetto a protezione diretta presente nel sistema, inclusi gli oggetti di Active Directory, i file e le cartelle, le stampanti, le chiavi del Registro di sistema, i processi e i thread. Attenzione L'assegnazione di questo diritto utente può comportare un rischio a livello di sicurezza. Poiché il proprietario di un oggetto ha il controllo completo dell'oggetto, assegnare questo diritto utente esclusivamente a utenti attendibili. Impostazione predefinita: Administrators |
Take ownership of files or other objects
This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. Caution Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users. Default: Administrators. |
1962 | Account: stato account Administrator
Questa impostazione di sicurezza specifica se l'account Administrator locale è attivato o disattivato. Note Se si tenta di riattivare l'account Administrator dopo che è stato disattivato, e la password corrente per tale account non soddisfa i requisiti per le password, non sarà possibile riattivare l'account. In questo caso, è necessario che la password dell'account Administrator venga reimpostata da un altro membro del gruppo Administrators. Per informazioni sulla reimpostazione delle password, vedere Per reimpostare una password. In determinate circostanze la disattivazione dell'account Administrator può costituire un problema a livello di manutenzione. Quando si avvia il sistema in modalità provvisoria, l'account Administrator disattivato verrà attivato solo se il computer non è aggiunto al dominio e non sono disponibili altri account Administrator attivi locali. Se il computer è aggiunto al dominio, l'account Administrator disattivato non verrà attivato. Impostazione predefinita: disattivato |
Accounts: Administrator account status
This security setting determines whether the local Administrator account is enabled or disabled. Notes If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password. Disabling the Administrator account can become a maintenance issue under certain circumstances. Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled. Default: Disabled. |
1963 | Account: stato account Guest
Questa impostazione di sicurezza specifica se l'account Guest è attivato o disattivato. Impostazione predefinita: disattivato Nota: se l'account Guest è disattivato e l'opzione di sicurezza Accesso di rete: modello di condivisione e sicurezza per gli account locali è impostata su Solo Guest, gli accessi in rete, quali quelli eseguiti da Server di rete Microsoft (servizio SMB), non riusciranno. |
Accounts: Guest account status
This security setting determines if the Guest account is enabled or disabled. Default: Disabled. Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail. |
1964 | Account: limita l'uso locale di account con password vuote solo per l'accesso alla console
Questa impostazione di sicurezza specifica se gli account locali non protetti da password possono essere utilizzati per accedere da postazioni diverse dalla console del computer fisico. Se questa impostazione è attivata, gli account locali non protetti da password potranno accedere solo tramite la tastiera del computer. Impostazione predefinita: Attivato Avviso: Per i computer che non si trovano in posizioni fisicamente sicure è consigliabile applicare sempre criteri password complessi a tutti gli account utente locali. In caso contrario, chiunque riesca ad accedere fisicamente al computer potrà effettuare l'accesso utilizzando un account utente privo di password. Questa misura è particolarmente importante per i computer portatili. Se si applica questo criterio di sicurezza al gruppo Everyone, nessun utente sarà più in grado di accedere tramite Servizi Desktop remoto. Note Questa impostazione non interessa gli accessi eseguiti tramite account di dominio. Le applicazioni che utilizzano accessi interattivi remoti possono eludere questa impostazione. Nota: Servizi Desktop remoto è denominato Servizi terminal nelle versioni precedenti di Windows Server. |
Accounts: Limit local account use of blank passwords to console logon only
This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard. Default: Enabled. Warning: Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services. Notes This setting does not affect logons that use domain accounts. It is possible for applications that use remote interactive logons to bypass this setting. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. |
1965 | Account: rinomina account amministratore
Questa impostazione di sicurezza specifica se è possibile associare un nome account diverso da Administrator all'ID di sicurezza (SID) dell'account Administrator. Se si rinomina tale ben noto account, per gli utenti non autorizzati sarà molto più difficile indovinare la combinazione di nome utente e password per questo account con privilegi elevati. Impostazione predefinita: Administrator |
Accounts: Rename administrator account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination. Default: Administrator. |
1966 | Account: rinomina account guest
Questa impostazione di sicurezza specifica se è possibile associare un nome account diverso da Guest all'ID di sicurezza (SID) dell'account Guest. Se si rinomina tale ben noto account, per gli utenti non autorizzati sarà molto più difficile indovinare la combinazione di nome utente e password per questo account. Impostazione predefinita: Guest |
Accounts: Rename guest account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination. Default: Guest. |
1967 | Controllo: controllo accesso oggetti di sistema globale
Questa impostazione di sicurezza specifica se controllare l'accesso agli oggetti di sistema a livello globale. Se questo criterio è attivato, gli oggetti di sistema quali mutex, eventi, semafori e dispositivi DOS, verranno creati con un elenco di controllo di accesso di sistema (SACL) predefinito. Gli elenchi di controllo di accesso di sistema vengono assegnati solo a oggetti denominati e non a oggetti senza nome. Se è attivato anche il criterio Controlla accesso agli oggetti, l'accesso a tali oggetti di sistema verrà controllato. Nota: le modifiche apportate durante la configurazione di questa impostazione di sicurezza non avranno effetto fino al riavvio di Windows. Impostazione predefinita: disattivata |
Audit: Audit the access of global system objects
This security setting determines whether to audit the access of global system objects. If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1968 | Controllo: controllo utilizzo dei privilegi di backup e di ripristino
Questa impostazione di sicurezza specifica se controllare o meno l'utilizzo di tutti i privilegi utente, incluso il privilegio Backup e ripristino, quando il criterio Controlla uso dei privilegi è attivo. Se si attiva questa opzione quando è attivo anche il criterio Controlla uso dei privilegi, verrà generato un evento di controllo per ogni file di cui viene eseguito il backup o il ripristino. Se si disattiva questo criterio, l'utilizzo del privilegio Backup e ripristino non verrà controllato, anche se il criterio Controlla uso dei privilegi è attivo. Nota: nelle versioni di Windows precedenti a Windows Vista le modifiche apportate durante la configurazione di questa impostazione di sicurezza non avranno effetto fino al riavvio di Windows. L'attivazione di questa impostazione può comportare la generazione di un numero elevato di eventi, talvolta centinaia al secondo, durante un'operazione di backup. Impostazione predefinita: disattivata |
Audit: Audit the use of Backup and Restore privilege
This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored. If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation. Default: Disabled. |
1969 | Controllo: arresto del sistema immediato se non è possibile registrare i controlli di sicurezza
Questa impostazione di sicurezza specifica se arrestare il sistema quando non è possibile registrare gli eventi di sicurezza. Se questa impostazione di sicurezza è attivata, nel caso in cui, per qualsiasi ragione, non sia possibile registrare un controllo di sicurezza il sistema verrà arrestato. Non è in genere possibile registrare un evento quando il registro di controllo della sicurezza è pieno e il criterio di gestione specificato per il registro di sicurezza è Non sovrascrivere gli eventi o Sovrascrivi eventi ogni giorno. Se questa opzione è attivata, quando il registro di sicurezza è pieno e non è possibile sovrascrivere una voce esistente viene visualizzato l'errore irreversibile seguente: STOP: C0000244 {Controllo fallito} Tentativo di generare un controllo della sicurezza fallito. Per risolvere il problema, accedere al sistema come amministratore, archiviare il registro (facoltativo), cancellare il registro, quindi reimpostare questa opzione come desiderato. Finché questa impostazione di sicurezza non viene reimpostata nessun utente, a eccezione dei membri del gruppo Administrators, sarà in grado di accedere al sistema, anche se il registro di sicurezza non è pieno. Nota: nelle versioni di Windows precedenti a Windows Vista le modifiche apportate durante la configurazione di questa impostazione di sicurezza non avranno effetto fino al riavvio di Windows. Impostazione predefinita: disattivata |
Audit: Shut down system immediately if unable to log security audits
This security setting determines whether the system shuts down if it is unable to log security events. If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days. If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1970 | Dispositivi: consenti il disinserimento senza dover effettuare l'accesso
Questa impostazione di sicurezza specifica se è possibile disinserire un computer portatile dal relativo alloggiamento di espansione senza effettuare l'accesso al sistema. Se questo criterio è attivato, non sarà necessario effettuare l'accesso al sistema e sarà possibile disinserire il computer tramite un pulsante di espulsione hardware esterno. Se questo criterio è disattivato, per disinserire il computer sarà necessario effettuare l'accesso al sistema con un account utente dotato del privilegio Rimozione del computer dall'alloggiamento. Impostazione predefinita: attivata Attenzione La disattivazione di questo criterio potrebbe indurre gli utenti a tentare di rimuovere fisicamente il computer portatile dall'alloggiamento di espansione utilizzando metodi diversi dal pulsante di espulsione hardware esterno. Poiché ciò potrebbe danneggiare l'hardware, è in genere consigliabile disattivare questa impostazione solo nei computer portatili che possono essere protetti fisicamente. |
Devices: Allow undock without having to log on
This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer. Default: Enabled. Caution Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable. |
1971 | Dispositivi: è consentita la formattazione e la rimozione dei supporti rimovibili
Questa impostazione di sicurezza specifica gli account autorizzati a formattare ed espellere i supporti rimovibili NTFS. Questo diritto può essere attribuito ai gruppi seguenti: Administrators Administrators e Interactive Users Impostazione predefinita: questo criterio non è definito e può essere utilizzato solo dagli account Administrators. |
Devices: Allowed to format and eject removable media
This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to: Administrators Administrators and Interactive Users Default: This policy is not defined and only Administrators have this ability. |
1972 | Dispositivi: non consentire agli utenti di installare i driver della stampante quando si connettono a stampanti condivise
È possibile stampare su una stampante condivisa solo se il driver della stampante condivisa è installato nel computer locale. Questa impostazione di sicurezza specifica gli account autorizzati a installare il driver della stampante durante la connessione a una stampante condivisa. Se questa impostazione è attivata, solo i membri del gruppo Administrators potranno installare il driver della stampante durante la connessione a una stampante condivisa. Se questa impostazione è disattivata, tutti gli utenti potranno installare il driver della stampante durante la connessione a una stampante condivisa. Impostazione predefinita nei server: attivata Impostazione predefinita nelle workstation: disattivata Note Questa impostazione non influisce sulla possibilità di aggiungere una stampante locale. Questa impostazione non interessa il gruppo Administrators. |
Devices: Prevent users from installing printer drivers when connecting to shared printers
For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer. Default on servers: Enabled. Default on workstations: Disabled Notes This setting does not affect the ability to add a local printer. This setting does not affect Administrators. |
1973 | Dispositivi: limita accesso al CD-ROM agli utenti che hanno effettuato l'accesso locale
Questa impostazione di sicurezza specifica se una determinata unità CD-ROM è accessibile contemporaneamente a utenti locali e remoti. Se questo criterio è attivato, il supporto CD rimovibile sarà accessibile solo agli utenti connessi interattivamente. Se questo criterio è attivato e non sono presenti utenti connessi interattivamente, l'unità CD-ROM sarà accessibile in rete. Impostazione predefinita: questo criterio non è definito e l'accesso all'unità CD-ROM non è limitato all'utente connesso localmente. |
Devices: Restrict CD-ROM access to locally logged-on user only
This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network. Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user. |
1974 | Dispositivi: limita accesso al disco floppy agli utenti che hanno effettuato l'accesso locale
Questa impostazione di sicurezza specifica se l'unità floppy è accessibile contemporaneamente a utenti locali e remoti. Se questo criterio è attivato, i dischi floppy rimovibili saranno accessibili solo agli utenti connessi interattivamente. Se questo criterio è attivato e non sono presenti utenti connessi interattivamente, l'unità floppy sarà accessibile in rete. Impostazione predefinita: questo criterio non è definito e l'accesso all'unità disco floppy non è limitato all'utente connesso localmente. |
Devices: Restrict floppy access to locally logged-on user only
This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network. Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user. |
1975 | Dispositivi: funzionamento installazione driver non firmato
Questa impostazione di sicurezza specifica cosa avviene quando l'API di installazione tenta di installare un driver di dispositivo non verificato da Windows Hardware Quality Lab (WHQL). Opzioni disponibili: Installa senza avvisare Avvisa ma consenti installazione Non consentire installazione Impostazione predefinita: Avvisa ma consenti installazione |
Devices: Unsigned driver installation behavior
This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL). The options are: Silently succeed Warn but allow installation Do not allow installation Default: Warn but allow installation. |
1976 | Controller di dominio: consenti agli operatori dei server di pianificare le attività
Questa impostazione di sicurezza specifica se i membri del gruppo Server Operators sono autorizzati a inviare processi tramite la funzionalità di pianificazione AT. Nota: questa impostazione di sicurezza interessa solo la funzionalità di pianificazione AT e non il servizio Utilità di pianificazione. Impostazione predefinita: il criterio non è definito e viene pertanto considerato come disattivato |
Domain controller: Allow server operators to schedule tasks
This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility. Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility. Default: This policy is not defined, which means that the system treats it as disabled. |
1977 | Controller di dominio: requisiti di accesso al server LDAP
Questa impostazione di sicurezza specifica se il server LDAP richiede la negoziazione della firma con i client LDAP. Sono disponibili le opzioni seguenti: Nessuno: per l'associazione al server non è necessaria la firma dei dati. Se il client richiede la firma dei dati, il server la supporta. Richiedi firma: se non viene utilizzato il protocollo TLS/SSL, l'opzione LDAP relativa alla firma dei dati deve essere negoziata. Impostazione predefinita: questo criterio non è definito ed equivale a Nessuno. Attenzione Se si imposta Richiedi firma sul server, sarà necessario specificare anche il client. Se non si specifica il client, la connessione al server verrà interrotta. Note Questa impostazione non ha effetto sull'associazione semplice LDAP o l'associazione semplice LDAP tramite SSL. Nessun client LDAP Microsoft incluso in Windows XP Professional utilizza l'associazione semplice LDAP o l'associazione semplice LDAP tramite SSL per comunicare con un controller di dominio. Se è necessaria la firma, le richieste di associazione semplice LDAP e associazione semplice LDAP tramite SSL verranno rifiutate. Nessun client LDAP Microsoft che esegue Windows XP Professional o un sistema operativo della famiglia Windows Server 2003 utilizza l'associazione semplice LDAP o l'associazione semplice LDAP tramite SSL per effettuare l'associazione al servizio directory. |
Domain controller: LDAP server signing requirements
This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows: None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it. Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated. Default: This policy is not defined, which has the same effect as None. Caution If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server. Notes This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller. If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service. |
1978 | Controller di dominio: rifiuta cambio password account computer
Questa impostazione di sicurezza specifica se i controller di dominio devono rifiutare le richieste di modifica delle password degli account computer inviate dai computer membri. Per impostazione predefinita, i computer membri modificano le password dei propri account computer ogni 30 giorni. Se questa impostazione è attivata, i controller di dominio rifiuteranno le richieste di modifica delle password degli account computer. Se attivata, questa impostazione non consente ai controller di dominio di accettare alcuna modifica alle password degli account computer. Impostazione predefinita: questo criterio non è definito, quindi viene interpretato dal sistema come disattivato. |
Domain controller: Refuse machine account password changes
This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests. If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password. Default: This policy is not defined, which means that the system treats it as Disabled. |
1979 | Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale sicuro (sempre)
Questa impostazione di sicurezza specifica se tutto il traffico inviato sul canale sicuro dal membro di dominio deve essere firmato o crittografato. Quando si aggiunge un computer a un dominio, viene creato un account computer. All'avvio il sistema utilizza quindi la password di tale account computer per creare un canale sicuro con un controller di dominio del proprio dominio. Il canale sicuro viene utilizzato per eseguire operazioni quali l'autenticazione pass-through NTLM, la ricerca dei nomi SID LSA e così via. Questa impostazione determina se tutto il traffico inviato sul canale sicuro dal membro di dominio soddisfa o meno i requisiti di sicurezza minimi. In particolare, determina se tutto il traffico inviato sul canale sicuro dal membro di dominio deve essere firmato o crittografato. Se questo criterio è attivato, il canale sicuro verrà creato esclusivamente se la firma o la crittografia di tutto il traffico sul canale sicuro viene negoziata. Se questo criterio è disattivato, la firma o la crittografia di tutto il traffico sul canale sicuro verrà negoziata con il controller di dominio. In tal caso, il livello di firma o crittografia dipende dalla versione del controller di dominio e dalle impostazioni dei due criteri seguenti: Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale sicuro (quando possibile) Membro di dominio: aggiunta firma digitale ai dati del canale sicuro (quando possibile) Impostazione predefinita: attivata Note: Se questo criterio è attivato, il criterio Membro di dominio: aggiunta firma digitale ai dati del canale sicuro (quando possibile) verrà considerato attivato, indipendentemente dall'impostazione corrente. Questo garantisce che il membro di dominio tenterà di negoziare almeno la firma del traffico del canale sicuro. Se questo criterio è attivato, il criterio Membro di dominio: aggiunta firma digitale ai dati del canale sicuro (quando possibile) verrà considerato attivato, indipendentemente dall'impostazione corrente. Questo garantisce che il membro di dominio tenterà di negoziare almeno la firma del traffico del canale sicuro. Le informazioni di accesso trasmesse sul canale sicuro vengono sempre crittografate, indipendentemente dal fatto che la crittografia di tutto il restante traffico del canale sicuro venga negoziata o meno. |
Domain member: Digitally encrypt or sign secure channel data (always)
This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies: Domain member: Digitally encrypt secure channel data (when possible) Domain member: Digitally sign secure channel data (when possible) Default: Enabled. Notes: If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not. |
1980 | Membro di dominio: applica crittografia ai dati del canale sicuro (quando possibile)
Questa impostazione di sicurezza specifica se un membro di dominio deve tentare di negoziare la crittografia per tutto il traffico del canale sicuro creato dal membro di dominio. Quando si aggiunge un computer a un dominio, viene creato un account computer. All'avvio il sistema utilizza quindi la password del relativo account computer per creare un canale sicuro con un controller di dominio del proprio dominio. Il canale sicuro viene utilizzato per eseguire operazioni quali l'autenticazione pass-through NTLM, la ricerca dei nomi SID LSA e così via. Questa impostazione specifica se il membro di dominio tenterà o meno di negoziare la crittografia per tutto il traffico del canale sicuro creato dal membro di dominio. Se questa impostazione è attivata, il membro di dominio richiederà la crittografia di tutto il traffico del canale sicuro. Se il controller di dominio supporta la crittografia di tutto il traffico del canale sicuro, tutto il traffico del canale sicuro verrà crittografato. In caso contrario verranno crittografate solo le informazioni di accesso trasmesse sul canale sicuro. Se questa impostazione è disattivata, il membro di dominio non tenterà di negoziale la crittografia per il canale sicuro. Impostazione predefinita: abilitata. Importante Non esistono ragioni note per la disattivazione di questa impostazione. Oltre a ridurre inutilmente il potenziale livello di riservatezza del canale sicuro, la disattivazione di questa impostazione potrebbe ridurne inutilmente anche la velocità effettiva, perché le chiamate simultanee alle API che utilizzano il canale sicuro sono possibili solo se il canale sicuro è firmato o crittografato. Nota: i controller di dominio sono anche membri di dominio e stabiliscono canali sicuri con gli altri controller di dominio dello stesso dominio, nonché con i controller di dominio dei domini trusted. |
Domain member: Digitally encrypt secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption. Default: Enabled. Important There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted. Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1981 | Membro di dominio: aggiunta firma digitale ai dati del canale sicuro (quando possibile)
Questa impostazione di sicurezza specifica se un membro di dominio deve tentare di negoziare la firma per tutto il traffico del canale sicuro creato dal membro di dominio. Quando si aggiunge un computer a un dominio, viene creato un account computer. All'avvio tale sistema utilizza quindi la password del relativo account computer per creare un canale sicuro con un controller di dominio del proprio dominio. Il canale sicuro viene utilizzato per eseguire operazioni quali l'autenticazione pass-through NTLM, la ricerca dei nomi SID LSA e così via. Questa impostazione specifica se il membro di dominio tenterà o meno di negoziare la firma per tutto il traffico del canale sicuro creato dal membro di dominio. Se questa impostazione è attivata, il membro di dominio richiederà la firma di tutto il traffico del canale sicuro. Se il controller di dominio supporta la firma di tutto il traffico del canale sicuro, tutto il traffico del canale sicuro verrà firmato, per garantire che non potrà essere alterato durante il trasferimento. Impostazione predefinita: attivata Note: Se il criterio Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale sicuro (sempre) è attivato, questo criterio verrà considerato attivato, indipendentemente dall'impostazione corrente. I controller di dominio sono anche membri di dominio e stabiliscono canali sicuri con gli altri controller di dominio dello stesso dominio, nonché con i controller di dominio dei domini trusted. |
Domain member: Digitally sign secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit. Default: Enabled. Notes: If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting. Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1982 | Controller di dominio: validità massima password account computer
Questa impostazione di sicurezza specifica la frequenza con cui un membro di dominio deve tentare di modificare la password del proprio account computer. Impostazione predefinita: 30 giorni Importante Questa impostazione è applicabile ai computer Windows 2000, ma in tali computer non è disponibile tramite gli strumenti di gestione della configurazione della sicurezza. |
Domain member: Maximum machine account password age
This security setting determines how often a domain member will attempt to change its computer account password. Default: 30 days. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1983 | Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive)
Questa impostazione di sicurezza specifica se per i dati crittografati del canale sicuro è necessaria una chiave a 128 bit. Quando si aggiunge un computer a un dominio, viene creato un account computer. All'avvio il sistema utilizza quindi la password del relativo account computer per creare un canale sicuro con un controller di dominio del proprio dominio. Il canale sicuro viene utilizzato per eseguire operazioni quali l'autenticazione pass-through NTLM, la ricerca dei nomi SID LSA e così via. Le informazioni trasmesse sul canale sicuro verranno crittografate completamente o in parte, a seconda della versione di Windows in esecuzione nel controller di dominio con cui sta comunicando il membro di dominio e delle impostazioni dei parametri: Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale sicuro (sempre) Membro di dominio: applica crittografia ai dati del canale sicuro (quando possibile) Questa impostazione di sicurezza specifica se per i dati crittografati del canale sicuro è necessaria o meno una chiave a 128 bit. Se questa impostazione è attivata, il canale sicuro verrà creato esclusivamente se è possibile applicare la crittografia a 128 bit. Se questa impostazione è disattivata, la lunghezza della chiave verrà negoziata con il controller di dominio. Impostazione predefinita: abilitata. Importante È possibile avvalersi di questo criterio sulle workstation e i server membri solo se tutti i controller di dominio che costituiscono il dominio del membro eseguono Windows 2000 o versione successiva. È possibile avvalersi di questo criterio sui controller di dominio solo se tutti i controller di dominio inclusi nello stesso dominio e nei domini trusted eseguono Windows 2000 o versione successiva. |
Domain member: Require strong (Windows 2000 or later) session key
This security setting determines whether 128-bit key strength is required for encrypted secure channel data. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on. Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters: Domain member: Digitally encrypt or sign secure channel data (always) Domain member: Digitally encrypt secure channel data (when possible) Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted. If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller. Default: Enabled. Important In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later. In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later. |
1984 | Membro di dominio: disabilitazione cambio password account computer
Specifica se un membro di dominio può modificare periodicamente la password del proprio account computer. Se questa impostazione è attivata, il membro di dominio non tenterà di modificare la password del proprio account computer. Se questa impostazione è disattivata, il membro di dominio tenterà di modificare la password del proprio account computer secondo quanto specificato dal valore di Controller di dominio: validità massima password account computer, che per impostazione predefinita è 30 giorni. Impostazione predefinita: disattivata Note È consigliabile non attivare questa impostazione di sicurezza. Le password degli account computer vengono utilizzate per stabilire la comunicazione su un canale sicuro tra i membri e i controller di dominio, oltre che tra i controller di dominio stessi all'interno del dominio. Dopo la creazione il canale sicuro viene utilizzato per trasmettere le informazioni sensibili necessarie per l'autenticazione e l'autorizzazione. È consigliabile non utilizzare questa impostazione per tentare di supportare scenari ad avvio doppio che utilizzano lo stesso account computer. Se si desidera configurare per l'avvio doppio due installazioni aggiunte allo stesso dominio, assegnare nomi di computer diversi alle due installazioni. |
Domain member: Disable machine account password changes
Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days. Default: Disabled. Notes This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions. This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names. |
1985 | Accesso interattivo: non visualizzare l'ultimo accesso
Questa impostazione di sicurezza specifica se nella schermata di accesso di Windows deve essere visualizzato il nome dell'ultimo utente ha effettuato l'accesso a questo computer. Se questo criterio è abilitato, il nome utente non verrà visualizzato. Se il criterio è disabilitato, il nome utente verrà visualizzato. Impostazione predefinita: disabilitato. |
Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
1986 | Accesso interattivo: non richiedere CTRL+ALT+CANC
Questa impostazione di sicurezza specifica se l'utente deve premere CTRL+ALT+CANC per effettuare l'accesso. Nei computer in cui questo criterio è attivato l'utente non deve premere CTRL+ALT+CANC per effettuare l'accesso. Eliminando la necessità di premere CTRL+ALT+CANC si espone il sistema ad attacchi basati sul tentativo di intercettare la password dell'utente. Richiedendo la pressione di CTRL+ALT+CANC prima dell'accesso è possibile garantire che il canale usato per l'immissione della password è attendibile. Se questo criterio è disabilitato, prima di accedere a Windows tutti gli utenti devono premere CTRL+ALT+CANC. Impostazione predefinita nei computer di dominio: abilitata: almeno Windows 8/disabilitata: Windows 7 o versione precedente. Impostazione predefinita nei computer autonomi: abilitata. |
Interactive logon: Do not require CTRL+ALT+DEL
This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on. If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords. If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows. Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier. Default on stand-alone computers: Enabled. |
1987 | Accesso interattivo: testo del messaggio per gli utenti che tentano l'accesso
Questa impostazione di sicurezza specifica il testo del messaggio visualizzato al momento dell'accesso utente. Tale testo viene in genere utilizzato per motivi legali, ad esempio per informare gli utenti in merito alle possibili conseguenze dell'utilizzo non appropriato delle informazioni della società o per avvertirli che le operazioni eseguite potrebbero essere controllate. Impostazione predefinita: nessun messaggio |
Interactive logon: Message text for users attempting to log on
This security setting specifies a text message that is displayed to users when they log on. This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited. Default: No message. |
1988 | Accesso interattivo: titolo del messaggio per gli utenti che tentano l'accesso
Questa impostazione di sicurezza consente di specificare il testo da visualizzare nella barra del titolo della finestra contenente il messaggio specificato in Accesso interattivo: testo del messaggio per gli utenti che tentano l'accesso. Impostazione predefinita: nessun messaggio |
Interactive logon: Message title for users attempting to log on
This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on. Default: No message. |
1989 | Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile)
Le informazioni di accesso di ogni utente univoco vengono memorizzate nella cache in modo che, se durante i tentativi di accesso successivi non fosse disponibile un controller di dominio, tali utenti potranno comunque effettuare l'accesso. Le informazioni di accesso memorizzate nella cache sono quelle memorizzate durante la sessione di accesso precedente. Se non è disponibile un controller di dominio e le informazioni di accesso dell'utente non sono memorizzate nella cache, verrà visualizzato il messaggio seguente: Non è attualmente disponibile alcun server in grado di soddisfare la richiesta di accesso. Se questo criterio viene impostato su 0, la memorizzazione delle informazioni di accesso nella cache viene disabilitata. Se viene impostato su un valore superiore a 50, vengono memorizzati nella cache solo 50 tentativi di accesso. Windows supporta un massimo di 50 voci di cache e il numero di voci utilizzato da ogni utente dipende dalle credenziali. Ad esempio, in un sistema Windows è possibile memorizzare nella cache un massimo di 50 account utente univoci protetti da password, ma solo 25 account utente univoci protetti da smart card, perché vengono memorizzate sia le informazioni sulla password che quelle sulla smart card. Quando un utente le cui informazioni di accesso sono memorizzate nella cache ripete l'accesso, le singole informazioni memorizzate nella cache vengono sostituite. Impostazione predefinita: Windows Server 2008: 25 Tutte le altre versioni: 10 |
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message: There are currently no logon servers available to service the logon request. In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced. Default: Windows Server 2008: 25 All Other Versions: 10 |
1990 | Accesso interattivo: richiesta cambio password prima della scadenza
Specifica con quanti giorni di anticipo è necessario avvisare gli utenti che la password sta per scadere. In questo modo l'utente potrà disporre del tempo necessario per creare una password sufficientemente complessa. Impostazione predefinita: 14 giorni. |
Interactive logon: Prompt user to change password before expiration
Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong. Default: 5 days. |
1991 | Accesso interattivo: richiesta autenticazione controller di dominio per effettuare lo sblocco della workstation
Per sbloccare un computer bloccato è necessario immettere le informazioni di accesso. Per gli account di dominio, questa impostazione di sicurezza specifica se per sbloccare un computer è necessario contattare un controller di dominio. Se questa impostazione è disattivata, l'utente potrà sbloccare il computer utilizzando le credenziali memorizzate nella cache. Se questa impostazione è attivata, l'account di dominio utilizzato per sbloccare il computer dovrà essere autenticato da un controller di dominio. Impostazione predefinita: disattivata Importante Questa impostazione è applicabile ai computer Windows 2000, ma in tali computer non è disponibile tramite gli strumenti di gestione della configurazione della sicurezza. |
Interactive logon: Require Domain Controller authentication to unlock
Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer. Default: Disabled. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1992 | Accesso interattivo: richiedi Windows Hello for Business o smart card
Questa impostazione di sicurezza richiede che gli utenti effettuino l'accesso tramite Windows Hello for Business o una smart card. Opzioni disponibili: Abilitato: gli utenti possono accedere al dispositivo esclusivamente tramite Windows Hello for Business o una smart card. Disabilitato: gli utenti possono accedere al dispositivo con qualsiasi metodo. Importante Nei computer che eseguono Windows 2000 questa impostazione viene applicata sotto forma di modifica al Registro di sistema, ma non è possibile visualizzare la corrispondente impostazione di sicurezza tramite gli strumenti di gestione della configurazione della sicurezza. In Windows 10 versione 1607 e precedenti la richiesta di eseguire l'accesso con Windows Hello for Business non è supportata. |
Interactive logon: Require Windows Hello for Business or smart card
This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card. The options are: Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card. Disabled or not configured: Users can sign-in to the device using any method. Important This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set. Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier. |
1993 | Accesso interattivo: funzionamento rimozione smart card
Questa impostazione di sicurezza specifica le conseguenze della rimozione della smart card di un utente connesso dal lettore di smart card. Opzioni disponibili: Nessuna operazione Blocca workstation Imponi disconnessione Disconnetti se in sessione remota Servizi Desktop remoto Se si fa clic su Blocca workstation nella finestra di dialogo delle proprietà di questo criterio, quando la smart card viene rimossa la workstation verrà bloccata, consentendo agli utenti di lasciare l'area e prendere la smart card mantenendo una sessione protetta. Se si fa clic su Imponi disconnessione, quando la smart card viene rimossa l'utente verrà disconnesso automaticamente. Se si fa clic su Disconnetti se in sessione remota Servizi Desktop remoto, rimuovendo la smart card verrà disconnessa la sessione senza disconnettere l'utente. Questa modalità consente all'utente di inserire la smart card e di riprendere la sessione in seguito oppure di utilizzare un altro terminale dotato di lettore di smart card senza dover effettuare un'altra connessione. Se la sessione è locale, il funzionamento del criterio è identico a Blocca workstation. Nota: Servizi Desktop remoto è denominato Servizi terminal nelle versioni precedenti di Windows Server. Impostazione predefinita: questo criterio non è definito e viene interpretato dal sistema come se fosse impostato su Nessuna operazione. In Windows Vista e versioni successive: per il corretto funzionamento dell'impostazione, è necessario che il servizio Criterio rimozione smart card sia avviato. |
Interactive logon: Smart card removal behavior
This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader. The options are: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed. If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default: This policy is not defined, which means that the system treats it as No action. On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started. |
1994 | Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (sempre)
Questa impostazione di sicurezza specifica se il componente client di SMB richiede la firma dei pacchetti. Il protocollo SMB (Server Message Block) costituisce la base delle funzionalità Microsoft per la condivisione di file e stampanti e di molte altre funzionalità di rete, quale l'amministrazione remota di Windows. Per impedire gli attacchi man-in-the-middle che modificano i pacchetti SMB durante la trasmissione, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione specifica se è necessario negoziare la firma dei pacchetti SMB prima di consentire ulteriori comunicazioni con un server SMB. Se questa impostazione è abilitata, il client di rete Microsoft potrà comunicare solo con i server di rete Microsoft che accettano di eseguire la firma dei pacchetti SMB. Se questo criterio è disabilitato, la firma dei pacchetti SMB verrà negoziata tra client e server. Impostazione predefinita: disabilitata Importante Affinché questo criterio abbia effetto sui computer che eseguono Windows 2000, è necessario abilitare anche la firma dei pacchetti lato client. Per abilitare la firma dei pacchetti SMB lato client, impostare il criterio Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (se autorizzato dal server). Note Tutti i sistemi operativi Windows supportano sia il componente lato client che il componente lato server di SMB. Nei sistemi operativi Windows 2000 e versioni successive, per abilitare o richiedere la firma dei pacchetti per i componenti lato client e lato server di SMB è necessario configurare le quattro impostazioni seguenti: Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (sempre) - Specifica se il componente lato client di SMB richiede o meno la firma dei pacchetti. Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (se autorizzato dal server) - Specifica se per il componente lato client di SMB la firma dei pacchetti è abilitata o meno. Server di rete Microsoft: aggiungi firma digitale alla comunicazione (sempre) - Specifica se il componente lato server di SMB richiede o meno la firma dei pacchetti. Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) - Specifica se per il componente lato server di SMB la firma dei pacchetti è abilitata o meno. La firma dei pacchetti SMB può ridurre in modo significativo le prestazioni di SMB, a seconda di versione del dialetto, versione del sistema operativo, dimensioni dei file, funzionalità di offload del processore e comportamenti di I/O delle applicazioni. Per altre informazioni, fai riferimento a: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB client component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted. If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled. Important For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees). Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1995 | Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (se autorizzato dal server)
Questa impostazione di sicurezza specifica se il client SMB deve tentare di negoziare la firma dei pacchetti SMB. Il protocollo SMB (Server Message Block) costituisce la base delle funzionalità Microsoft per la condivisione di file e stampanti e di molte altre funzionalità di rete, quale l'amministrazione remota di Windows. Per impedire gli attacchi man-in-the-middle che modificano i pacchetti SMB durante la trasmissione, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione specifica se il componente client di SMB deve tentare di negoziare la firma dei pacchetti SMB quando si connette a un server SMB. Se questa impostazione è abilitata, il client di rete Microsoft richiederà al server di eseguire la firma dei pacchetti SMB al momento della configurazione della sessione. Se la firma dei pacchetti è abilitata sul server, verrà negoziata. Se questo criterio è disabilitato, il client SMB non potrà mai negoziare la firma dei pacchetti SMB. Impostazione predefinita: abilitata. Note Tutti i sistemi operativi Windows supportano sia il componente lato client che il componente lato server di SMB. Nei sistemi operativi Windows 2000 e versioni successive, per abilitare o richiedere la firma dei pacchetti per i componenti lato client e lato server di SMB è necessario configurare le quattro impostazioni seguenti: Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (sempre) - Specifica se il componente lato client di SMB richiede o meno la firma dei pacchetti. Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (se autorizzato dal server) - Specifica se per il componente lato client di SMB la firma dei pacchetti è abilitata o meno. Server di rete Microsoft: aggiungi firma digitale alla comunicazione (sempre) - Specifica se il componente lato server di SMB richiede o meno la firma dei pacchetti. Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) - Specifica se per il componente lato server di SMB la firma dei pacchetti è abilitata o meno. Se la firma SMB è abilitata sia sul lato client che sul lato server e il client stabilisce una connessione SMB 1.0 al server, verrà tentata la firma SMB. La firma dei pacchetti SMB può ridurre in modo significativo le prestazioni di SMB, a seconda di versione del dialetto, versione del sistema operativo, dimensioni dei file, funzionalità di offload del processore e comportamenti di I/O delle applicazioni. Questa impostazione si applica solo alle connessioni SMB 1.0. Per altre informazioni, fai riferimento a: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (if server agrees)
This security setting determines whether the SMB client attempts to negotiate SMB packet signing. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server. If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1996 | Client di rete Microsoft: invia password non crittografata per la connessione ai server SMB di terzi
Se questa impostazione di sicurezza è attivata, durante l'autenticazione il redirector SMB (Server Message Block) può inviare password in formato non crittografato ai server SMB non Microsoft che non supportano la crittografia delle password. L'invio di password non crittografate rappresenta un rischio di sicurezza. Impostazione predefinita: disattivata |
Microsoft network client: Send unencrypted password to connect to third-party SMB servers
If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication. Sending unencrypted passwords is a security risk. Default: Disabled. |
1997 | Server di rete Microsoft: periodo di inattività richiesto prima di sospendere la sessione
Questa impostazione di sicurezza specifica il periodo di tempo per cui una sessione SMB (Server Message Block) deve rimanere continuativamente inattiva prima che la sessione venga sospesa per inattività. Gli amministratori possono utilizzare questo criterio per determinare quando sospendere una sessione SMB inattiva. Se il client riprende l'attività, la sessione verrà automaticamente ristabilita. Se questa impostazione ha valore 0, la sessione inattiva verrà disconnessa il più presto possibile. Il valore massimo è 99999, che corrisponde a 208 giorni, e di fatto disattiva il criterio. Impostazione predefinita: questo criterio non è definito e viene interpretato dal sistema come 15 minuti per i server e non definito per le workstation. |
Microsoft network server: Amount of idle time required before suspending a session
This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity. Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished. For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy. Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations. |
1998 | Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre)
Questa impostazione di sicurezza specifica se il componente server di SMB richiede la firma dei pacchetti. Il protocollo SMB (Server Message Block) costituisce la base delle funzionalità Microsoft per la condivisione di file e stampanti e di molte altre funzionalità di rete, quale l'amministrazione remota di Windows. Per impedire gli attacchi man-in-the-middle che modificano i pacchetti SMB durante la trasmissione, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione specifica se la firma dei pacchetti SMB deve essere negoziata prima di consentire ulteriori comunicazioni con un client SMB. Se questa impostazione è abilitata, il server di rete Microsoft potrà comunicare solo con i client di rete Microsoft che accettano di eseguire la firma dei pacchetti SMB. Se questa impostazione è disabilitata, la firma dei pacchetti SMB verrà negoziata tra client e server. Impostazione predefinita: Disabilitata per i server membro Abilitata per i controller di dominio Note Tutti i sistemi operativi Windows supportano sia il componente lato client che il componente lato server di SMB. Nei sistemi operativi Windows 2000 e versioni successive, per abilitare o richiedere la firma dei pacchetti per i componenti lato client e lato server di SMB è necessario configurare le quattro impostazioni seguenti: Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (sempre) - Specifica se il componente lato client di SMB richiede o meno la firma dei pacchetti. Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (se autorizzato dal server) - Specifica se per il componente lato client di SMB la firma dei pacchetti è abilitata o meno. Server di rete Microsoft: aggiungi firma digitale alla comunicazione (sempre) - Specifica se il componente lato server di SMB richiede o meno la firma dei pacchetti. Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) - Specifica se per il componente lato server di SMB la firma dei pacchetti è abilitata o meno. Analogamente, se è richiesta la firma SMB lato client, il client non potrà stabilire una sessione con i server in cui la firma dei pacchetti non è abilitata. Per impostazione predefinita, la firma SMB lato server è abilitata solo nei controller di dominio. Se la firma SMB lato server è abilitata, la firma dei pacchetti SMB verrà negoziata con i client in cui la firma SMB lato client è abilitata. La firma dei pacchetti SMB può ridurre in modo significativo le prestazioni di SMB, a seconda di versione del dialetto, versione del sistema operativo, dimensioni dei file, funzionalità di offload del processore e comportamenti di I/O delle applicazioni. Importante Affinché questo criterio abbia effetto sui computer che eseguono Windows 2000, è necessario abilitare anche la firma dei pacchetti SMB lato server. Per abilitare anche la firma dei pacchetti SMB lato server, è necessario impostare il criterio seguente: Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) Per consentire ai server Windows 2000 di negoziare la firma con i client Windows NT 4.0, nel server Windows 2000 è necessario impostare su 1 il seguente valore del Registro di sistema: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Per altre informazioni, fai riferimento a: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB server component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted. If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled for member servers. Enabled for domain controllers. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers. If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. Important For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1999 | Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client)
Questa impostazione di sicurezza specifica se il server SMB deve negoziare la firma dei pacchetti SMB con i client che la richiedono. Il protocollo SMB (Server Message Block) costituisce la base delle funzionalità Microsoft per la condivisione di file e stampanti e di molte altre funzionalità di rete, quale l'amministrazione remota di Windows. Per impedire gli attacchi man-in-the-middle che modificano i pacchetti SMB durante la trasmissione, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione specifica se il componente server di SMB deve negoziare la firma dei pacchetti SMB quando un client la richiede. Se questa impostazione è abilitata, il server di rete Microsoft negozierà la firma dei pacchetti SMB come richiesto dal client. Ciò significa che la firma verrà negoziata se nel client è abilitata la firma dei pacchetti. Se questo criterio è disabilitato, il client SMB non potrà mai negoziare la firma dei pacchetti SMB. Impostazione predefinita: abilitata solo nei controller di dominio. Importante Per consentire ai server Windows 2000 di negoziare la firma con i client Windows NT 4.0, nel server Windows 2000 è necessario impostare su 1 il seguente valore del Registro di sistema: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Note Tutti i sistemi operativi Windows supportano sia il componente lato client che il componente lato server di SMB. Nei sistemi operativi Windows 2000 e versioni successive, per abilitare o richiedere la firma dei pacchetti per i componenti lato client e lato server di SMB è necessario configurare le quattro impostazioni seguenti: Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (sempre) - Specifica se il componente lato client di SMB richiede o meno la firma dei pacchetti. Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (se autorizzato dal server) - Specifica se per il componente lato client di SMB la firma dei pacchetti è abilitata o meno.. Server di rete Microsoft: aggiungi firma digitale alla comunicazione (sempre) - Specifica se il componente lato server di SMB richiede o meno la firma dei pacchetti. Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) - Specifica se per il componente lato server di SMB la firma dei pacchetti è abilitata o meno. Se la firma SMB è abilitata sia sul lato client che sul lato server e il client stabilisce una connessione SMB 1.0 al server, verrà tentata la firma SMB. La firma dei pacchetti SMB può ridurre in modo significativo le prestazioni di SMB, a seconda di versione del dialetto, versione del sistema operativo, dimensioni dei file, funzionalità di offload del processore e comportamenti di I/O delle applicazioni. Questa impostazione si applica solo alle connessioni SMB 1.0. Per altre informazioni, fai riferimento a: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (if client agrees)
This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it. If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled on domain controllers only. Important For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
2000 | Server di rete Microsoft: disconnetti automaticamente i client al termine dell'orario di accesso
Questa impostazione di sicurezza specifica se gli utenti connessi al computer locale al di fuori dell'orario di accesso valido per l'account utente in uso devono essere disconnessi. Questa impostazione interessa il componente SMB (Server Message Block) . Se questo criterio è attivato, le sessioni client con il servizio SMB verranno automaticamente disconnesse al termine dell'orario di accesso del client. Se questo criterio è disattivato, le sessioni client esistenti potranno rimanere attive anche dopo il termine dell'orario di accesso del client. Impostazione predefinita in Windows Vista e versioni successive: Attivato Impostazione predefinita in Windows XP: Disattivato |
Microsoft network server: Disconnect clients when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default on Windows Vista and above: Enabled. Default on Windows XP: Disabled |
2001 | Accesso di rete: consenti conversione anonima SID/nome
Questo criterio specifica se un utente anonimo può richiedere attributi SID per un altro utente. Se questo criterio è attivato, un utente anonimo può richiedere l'attributo SID per un altro utente. Qualsiasi utente che conosca il SID dell'amministratore può contattare un computer in cui è attivato questo criterio e utilizzare tale SID per ottenere il nome dell'amministratore. Questa impostazione interessa sia la conversione da SID a nome sia la conversione da nome a SID. Se questo criterio è disattivato, gli utenti anonimi non possono richiedere l'attributo SID per un altro utente. Impostazione predefinita in workstation e server membri: Disattivato. Impostazione predefinita nei controller di dominio che eseguono Windows Server 2008 o versione successiva: Disattivato. Impostazione predefinita in controller di dominio che eseguono Windows Server 2003 R2 o versione precedente: Attivato. |
Network access: Allow anonymous SID/name translation
This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user. If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation. If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user. Default on workstations and member servers: Disabled. Default on domain controllers running Windows Server 2008 or later: Disabled. Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled. |
2002 | Accesso di rete: non consentire l'enumerazione anonima degli account SAM
Questa impostazione di sicurezza specifica le autorizzazioni aggiuntive da concedere alle connessioni anonime al computer. In Windows agli utenti anonimi è consentita l'esecuzione di determinate operazioni, come l'enumerazione dei nomi degli account di dominio e delle condivisioni di rete. Questo è utile ad esempio quando l'amministratore desidera consentire l'accesso agli utenti di un dominio trusted che non mantiene una relazione di trust reciproca. Questa opzione di sicurezza consente di impostare le ulteriori limitazioni seguenti per le connessioni anonime. Abilitata: non consente l'enumerazione degli account SAM. Questa opzione sostituisce Everyone con Authenticated Users nelle autorizzazioni di sicurezza per le risorse. Disabilitata: nessuna restrizione aggiuntiva. Si basa sulle autorizzazioni predefinite. Impostazione predefinita nelle workstation: abilitata. Impostazione predefinita nei server: disabilitata. Importante Questo criterio non ha effetto sui controller di dominio. |
Network access: Do not allow anonymous enumeration of SAM accounts
This security setting determines what additional permissions will be granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. This security option allows additional restrictions to be placed on anonymous connections as follows: Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources. Disabled: No additional restrictions. Rely on default permissions. Default on workstations: Enabled. Default on server:Enabled. Important This policy has no impact on domain controllers. |
2003 | Accesso di rete: non consentire l'enumerazione anonima di account e condivisioni SAM
Questa impostazione di sicurezza specifica se è consentita l'enumerazione anonima degli account e delle condivisioni SAM. In Windows agli utenti anonimi è consentita l'esecuzione di determinate operazioni, quale l'enumerazione dei nomi degli account di dominio e delle condivisioni di rete. Questo è utile ad esempio quando l'amministratore desidera consentire l'accesso agli utenti di un dominio trusted che non mantiene una relazione di trust reciproca. Se non si desidera consentire l'enumerazione anonima degli account e delle condivisioni SAM, attivare questo criterio. Impostazione predefinita: disattivata |
Network access: Do not allow anonymous enumeration of SAM accounts and shares
This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy. Default: Disabled. |
2004 | Accesso di rete: non consentire l'archiviazione di password e credenziali per l'autenticazione di rete
Questa impostazione di sicurezza specifica se è possibile salvare password e credenziali tramite Gestione credenziali per utilizzarle in seguito al momento dell'autenticazione di dominio. Se attivata, questa impostazione impedisce l'archiviazione di password e credenziali nel computer tramite Gestione credenziali. Se questa impostazione è disattivata o non configurata, è possibile archiviare password e credenziali nel computer tramite Gestione credenziali per utilizzarle in seguito per l'autenticazione di dominio. Nota: le modifiche apportate durante la configurazione di questa impostazione di sicurezza non avranno effetto fino al riavvio di Windows. Impostazione predefinita: Disattivato |
Network access: Do not allow storage of passwords and credentials for network authentication
This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication. If you enable this setting, Credential Manager does not store passwords and credentials on the computer. If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
2005 | Accesso di rete: consenti l'accesso libero agli utenti anonimi
Questa impostazione di sicurezza specifica le autorizzazioni aggiuntive concesse alle connessioni anonime al computer. In Windows agli utenti anonimi è consentita l'esecuzione di determinate operazioni, quale l'enumerazione dei nomi degli account di dominio e delle condivisioni di rete. Questo è utile ad esempio quando l'amministratore desidera consentire l'accesso agli utenti di un dominio trusted che non mantiene una relazione di trust reciproca. Per impostazione predefinita, l'ID di sicurezza (SID) del gruppo Everyone viene rimosso dal token creato per le connessioni anonime. Le autorizzazioni concesse al gruppo Everyone non vengono pertanto applicate agli utenti anonimi. Se questa opzione è impostata, gli utenti anonimi potranno accedere solo alle risorse per cui sono stati esplicitamente autorizzati. Se questo criterio è attivato, il SID del gruppo Everyone verrà aggiunto al token creato per le connessioni anonime. In questo caso, gli utenti anonimi potranno accedere a tutte le risorse accessibili al gruppo Everyone. Impostazione predefinita: disattivata |
Network access: Let Everyone permissions apply to anonymous users
This security setting determines what additional permissions are granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission. If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions. Default: Disabled. |
2006 | Accesso di rete: named pipe a cui è possibile accedere in modo anonimo
Questa impostazione di sicurezza specifica le sessioni di comunicazione (pipe) a cui devono essere concessi attributi e autorizzazioni che consentono l'accesso anonimo. Impostazione predefinita: nessuna |
Network access: Named pipes that can be accessed anonymously
This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access. Default: None. |
2007 | Accesso di rete: percorsi del Registro di sistema ai quali è possibile accedere in modo remoto
Questa impostazione di sicurezza specifica le chiavi del Registro di sistema accessibili dalla rete, indipendentemente dagli utenti e dai gruppi indicati nell'elenco di controllo di accesso (ACL) della chiave winreg del Registro di sistema. Impostazione predefinita: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Attenzione La modifica non corretta del Registro di sistema può danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è consigliabile eseguire il backup di tutti i dati rilevanti presenti nel computer. Nota: questa impostazione di sicurezza non è disponibile nelle versioni precedenti di Windows. L'impostazione di sicurezza disponibile nei computer che eseguono Windows XP, ovvero "Accesso di rete: percorsi del Registro di sistema ai quali è possibile accedere in modo remoto", corrisponde all'opzione di sicurezza "Accesso di rete: percorsi e sottopercorsi del Registro di sistema ai quali è possibile accedere in modo remoto" nei sistemi operativi della famiglia Windows Server 2003. Per ulteriori informazioni, vedere Accesso di rete: percorsi e sottopercorsi del Registro di sistema ai quali è possibile accedere in modo remoto. Impostazione predefinita: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
Network access: Remotely accessible registry paths
This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
2008 | Accesso di rete: percorsi e sottopercorsi del Registro di sistema ai quali è possibile accedere in modo remoto
Questa impostazione di sicurezza specifica i percorsi e sottopercorsi del Registro di sistema accessibili dal rete, indipendentemente dagli utenti e dai gruppi indicati nell'elenco di controllo di accesso (ACL) della chiave winreg del Registro di sistema. Impostazione predefinita: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Attenzione La modifica non corretta del Registro di sistema può danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è consigliabile eseguire il backup di tutti i dati rilevanti presenti nel computer. Nota: in Windows XP questa impostazione di sicurezza è denominata "Accesso di rete: percorsi del Registro di sistema ai quali è possibile accedere in modo remoto". Se si configura questa impostazione in un computer con un sistema operativo della famiglia Windows Server 2003 aggiunto a un dominio, l'impostazione verrà ereditata dai computer che eseguono Windows XP, ma sarà denominata "Accesso di rete: percorsi del Registro di sistema ai quali è possibile accedere in modo remoto". Per ulteriori informazioni, vedere Accesso di rete: percorsi e sottopercorsi del Registro di sistema ai quali è possibile accedere in modo remoto. |
Network access: Remotely accessible registry paths and subpaths
This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths. |
2009 | Accesso alla rete: limita accesso anonimo a named pipe e condivisioni
Se attivata, questa impostazione di sicurezza limita l'accesso anonimo alle condivisioni e alle named pipe specificate per le impostazioni: Accesso di rete: named pipe a cui è possibile accedere in modo anonimo Accesso di rete: condivisioni alle quali è possibile accedere in modo anonimo Impostazione predefinita: attivata |
Network access: Restrict anonymous access to Named Pipes and Shares
When enabled, this security setting restricts anonymous access to shares and pipes to the settings for: Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously Default: Enabled. |
2010 | Accesso di rete: condivisioni alle quali è possibile accedere in modo anonimo
Questa impostazione di sicurezza specifica le condivisioni di rete accessibili agli utenti anonimi. Impostazione predefinita: nessuna |
Network access: Shares that can be accessed anonymously
This security setting determines which network shares can accessed by anonymous users. Default: None specified. |
2011 | Accesso di rete: modello di condivisione e sicurezza per gli account locali
Questa impostazione di sicurezza specifica la modalità di autenticazione degli accessi di rete che utilizzano account locali. Se si utilizza il modello Classico, gli accessi di rete che utilizzano le credenziali degli account locali verranno autenticati tramite tali credenziali. Il modello Classico consente un controllo dettagliato dell'accesso alle risorse, poiché per una stessa risorsa è possibile concedere tipi di accesso diversi a utenti diversi. Se è impostato il modello Solo Guest, gli accessi di rete che utilizzano account locali verranno automaticamente mappati all'account Guest. Con il modello Guest tutti gli utenti vengono gestiti allo stesso modo, poiché vengono autenticati come Guest e ricevono lo stesso livello di accesso per ogni risorsa, che può essere Sola lettura o Modifica. Impostazione predefinita nei computer di dominio: Classico Impostazione predefinita nei computer autonomi: Solo Guest Importante Con il modello Solo Guest, tutti gli utenti in grado di accedere al computer dalla rete (inclusi gli utenti Internet anonimi) possono accedere alle risorse condivise di tale computer. Per proteggere il computer dall'accesso non autorizzato, è necessario utilizzare Windows Firewall o un altro dispositivo analogo. Con il modello Classico, invece, gli account locali devono essere protetti da password. In caso contrario, possono essere utilizzati da qualsiasi utente per accedere alle risorse di sistema condivise. Nota: Questa impostazione non interessa gli accessi interattivi eseguiti in remoto tramite servizi quali Telnet o Servizi Desktop remoto. Nelle versioni precedenti di Windows Server Servizi Desktop remoto è denominato Servizi terminal. Questo criterio non ha effetto sui computer che eseguono Windows 2000. Nei computer che non fanno parte di alcun dominio, questa impostazione modifica inoltre le schede Condivisione e Sicurezza di Esplora risorse, in modo che corrispondano al modello di condivisione e sicurezza utilizzato. |
Network access: Sharing and security model for local accounts
This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource. If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify. Default on domain computers: Classic. Default on stand-alone computers: Guest only Important With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources. Note: This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services Remote Desktop Services was called Terminal Services in previous versions of Windows Server. This policy will have no impact on computers running Windows 2000. When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used. |
2012 | Sicurezza di rete: non memorizzare il valore hash di LAN Manager al prossimo cambio di password
Questa impostazione di sicurezza specifica se, al cambio di password successivo, deve essere memorizzato il valore hash di LAN Manager per la nuova password. Il valore hash di LAN Manager è relativamente vulnerabile e soggetto ad attacchi rispetto all'hash di Windows NT, che è basato su una crittografia più avanzata. Poiché l'hash di LAN Manager è archiviato nel database di sicurezza del computer locale, un eventuale attacco al database di sicurezza può compromettere le password. Impostazione predefinita in Windows Vista e versioni successive: Disattivato Impostazione predefinita in Windows XP: Attivato Importante Windows 2000 Service Pack 2 (SP2) e versioni successive supportano l'autenticazione con computer che utilizzano versioni precedenti di Windows, ad esempio Microsoft Windows NT 4.0. Questa impostazione può influire sulla capacità dei computer che eseguono Windows 2000 Server, Windows 2000 Professional, Windows XP e i sistemi operativi della famiglia Windows Server 2003 di comunicare con i computer che eseguono Windows 95 e Windows 98. |
Network security: Do not store LAN Manager hash value on next password change
This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked. Default on Windows Vista and above: Enabled Default on Windows XP: Disabled. Important Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0. This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98. |
2013 | Sicurezza di rete: imponi disconnessione al termine dell'orario di accesso
Questa impostazione di sicurezza specifica se gli utenti connessi al computer locale al di fuori dell'orario di accesso valido per l'account utente in uso devono essere disconnessi. Questa impostazione interessa il componente SMB (Server Message Block). Se questo criterio è attivato, le sessioni client con il server SMB verranno automaticamente disconnesse al termine dell'orario di accesso del client. Se questo criterio è disattivato, le sessioni client esistenti potranno rimanere attive anche dopo il termine dell'orario di accesso del client. Impostazione predefinita: attivata Nota: il comportamento di questa impostazione di sicurezza è analogo a quello dei criteri di account. Per gli account di dominio è possibile specificare un solo criterio di account, che deve essere definito nell'oggetto Criterio dominio predefinito e viene applicato dai controller di dominio che costituiscono il dominio. I controller di dominio utilizzano sempre i criteri di account disponibili nell'oggetto Criteri di gruppo Criterio dominio predefinito, anche se all'unità organizzativa che contiene il controller di dominio è applicato un criterio di account diverso. Per impostazione predefinita, anche le workstation e i server aggiunti a un dominio (ad esempio i computer membri) ricevono gli stessi criteri di account per i propri account locali. Per i computer membri è tuttavia possibile specificare criteri di account locali diversi dai criteri di account di dominio, definendo un criterio di account per l'unità organizzativa che contiene i computer membri. Le impostazioni Kerberos non vengono applicate ai computer membri. |
Network security: Force logoff when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default: Enabled. Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers. |
2014 | Sicurezza di rete: livello di autenticazione di LAN Manager
Questa impostazione di sicurezza specifica il protocollo di autenticazione Richiesta di verifica/Risposta utilizzato per gli accessi di rete. L'opzione selezionata determina il livello del protocollo di autenticazione utilizzato dai client, il livello della sicurezza di sessione negoziata e il livello di autenticazione accettato dai server. Sono disponibili le opzioni seguenti: Invia risposte LM e NTLM: i client utilizzano l'autenticazione LM ed NTLM e non utilizzano mai la sicurezza di sessione NTLMv2. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. Invia LM e NTLM; usa sicurezza sessione NTLMv2 se negoziata: i client utilizzano l'autenticazione LM ed NTLM, nonché la sicurezza di sessione NTLMv2 se il server la supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. Invia solo risposta NTLM: i client utilizzano solo l'autenticazione NTLM e la sicurezza di sessione NTLMv2, se il server la supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. Invia solo risposta NTLMv2: i client utilizzano solo l'autenticazione NTLMv2 e la sicurezza di sessione NTLMv2, se il server la supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. Invia solo risposta NTLMv2, rifiuta LM: i client utilizzano solo l'autenticazione NTLMv2 e la sicurezza di sessione NTLMv2, se il server la supporta. I controller di dominio rifiutano l'autenticazione LM e accettano l'autenticazione NTLM e NTLMv2. Invia solo risposta NTLMv2, rifiuta LM e NTLM: i client utilizzano solo l'autenticazione NTLMv2 e la sicurezza di sessione NTLMv2, se il server la supporta. I controller di dominio rifiutano l'autenticazione LM e NTLM e accettano solo l'autenticazione NTLMv2. Importante Questa impostazione può influire sulla capacità dei computer che eseguono Windows 2000 Server, Windows 2000 Professional, Windows XP Professional e i sistemi operativi della famiglia Windows Server 2003 di comunicare in rete con i computer che eseguono Windows NT 4.0 e versioni precedenti. I computer che eseguono Windows NT 4.0 SP4 e versioni successive, ad esempio, non supportano NTLMv2. I computer che eseguono Windows 95 e Windows 98 non supportano NTLM. Impostazione predefinita: In Windows 2000 e Windows XP: invia risposte LM e NTLM In Windows Server 2003: invia solo risposta NTLM In Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2: invia solo risposta NTLMv2 |
Network security: LAN Manager authentication level
This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows: Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication). Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication). Important This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM. Default: Windows 2000 and windows XP: send LM & NTLM responses Windows Server 2003: Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only |
2015 | Sicurezza di rete: requisiti per la firma client LDAP
Questa impostazione di sicurezza specifica il livello di firma dei dati richiesto per conto dei client che inviano richieste LDAP BIND. Sono disponibili le opzioni seguenti: Nessuno/a: la richiesta LDAP BIND viene inviata con le opzioni specificate dal chiamante. Negozia firma: se il protocollo Transport Layer Security/Secure Sockets Layer (TLS/SSL) non è stato avviato, la richiesta LDAP BIND verrà generata impostando l'opzione LDAP per la firma dei dati, oltre alle opzioni specificate dal chiamante. Se il protocollo TLS/SSL è stato avviato, la richiesta LDAP BIND verrà generata con le opzioni specificate dal chiamante. Richiedi firma: analoga a Negozia firma con la differenza che, se la risposta intermedia saslBindInProgress del server LDAP non indica che è richiesta la firma del traffico LDAP, al chiamante verrà comunicato che la richiesta LDAP BIND non è riuscita. Attenzione Se nel server è selezionata l'opzione Richiedi firma, sarà necessario specificare anche il client. Se non si specifica il client, la connessione al server verrà interrotta. Nota: questa impostazione non ha effetto su ldap_simple_bind o ldap_simple_bind_s. Nessun client LDAP Microsoft incluso in Windows XP Professional utilizza ldap_simple_bind o ldap_simple_bind_s per comunicare con un controller di dominio. Impostazione predefinita: Negozia firma |
Network security: LDAP client signing requirements
This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows: None: The LDAP BIND request is issued with the options that are specified by the caller. Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller. Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed. Caution If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server. Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller. Default: Negotiate signing. |
2016 | Sicurezza di rete: sicurezza sessione minima per client basati su NTLM SSP (incluso l'RPC sicuro)
Questa impostazione di sicurezza consente ai client di richiedere la negoziazione della crittografia a 128 bit e/o della sicurezza di sessione NTLMv2. Tali valori dipendono dal valore dell'impostazione di sicurezza Livello di autenticazione di LAN Manager. Opzioni disponibili: Richiedi sicurezza sessione NTLMv2: se il protocollo NTLMv2 non viene negoziato, la connessione non riesce. Richiedi crittografia a 128 bit: se la crittografia avanzata (a 128 bit) non viene negoziata, la connessione non riesce. Impostazione predefinita Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: nessun requisito. Windows 7 e Windows Server 2008 R2: è necessaria la crittografia a 128 bit |
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated. Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2017 | Sicurezza di rete: sicurezza sessione minima per server basati su NTLM SSP (incluso l'RPC sicuro)
Questa impostazione di sicurezza consente ai server di richiedere la negoziazione della crittografia a 128 bit e/o della sicurezza di sessione NTLMv2. Tali valori dipendono dal valore dell'impostazione di sicurezza Livello di autenticazione di LAN Manager. Opzioni disponibili: Richiedi sicurezza sessione NTLMv2: se l'integrità del messaggio non viene negoziata, la connessione non riesce. Richiedi crittografia a 128 bit: se la crittografia avanzata (a 128 bit) non viene negoziata, la connessione non riesce. Impostazione predefinita Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: nessun requisito. Windows 7 e Windows Server 2008 R2: è necessaria la crittografia a 128 bit |
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if message integrity is not negotiated. Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2018 | Console di ripristino di emergenza: consente l'accesso di amministrazione automatico
Questa impostazione di sicurezza specifica se, prima di consentire l'accesso al sistema, deve essere richiesta la password dell'account Administrator. Se questa opzione è attivata, la Console di ripristino di emergenza non richiederà l'immissione della password ed effettuerà automaticamente l'accesso al sistema. Impostazione predefinita: questo criterio non è definito e l'accesso amministrativo automatico non è consentito. |
Recovery console: Allow automatic administrative logon
This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system. Default: This policy is not defined and automatic administrative logon is not allowed. |
2019 | Console di ripristino di emergenza: consente la copia di dischi floppy e l'accesso a tutte le unità e cartelle
Se si attiva questa opzione di sicurezza, verrà reso disponibile il comando SET della Console di ripristino di emergenza, che consente di impostare le seguenti variabili di ambiente della Console di ripristino di emergenza: AllowWildCards: attiva il supporto dei caratteri jolly per alcuni comandi, ad esempio il comando DEL. AllowAllPaths: consente l'accesso a tutti i file e cartelle del computer. AllowRemovableMedia: consente di copiare file su supporti rimovibili, ad esempio un disco floppy. NoCopyPrompt: non chiede conferma prima di sovrascrivere un file esistente. Impostazione predefinita: questo criterio non è definito e il comando SET della console di ripristino non è disponibile. |
Recovery console: Allow floppy copy and access to all drives and all folders
Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables: AllowWildCards: Enable wildcard support for some commands (such as the DEL command). AllowAllPaths: Allow access to all files and folders on the computer. AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk. NoCopyPrompt: Do not prompt when overwriting an existing file. Default: This policy is not defined and the recover console SET command is not available. |
2020 | Arresto del sistema: consente di arrestare il sistema senza effettuare l'accesso
Questa impostazione di sicurezza specifica se è possibile arrestare il computer senza accedere a Windows. Quando questo criterio è attivato, il comando Chiudi sessione è disponibile nella schermata di accesso di Windows. Quando questo criterio è disattivato, l'opzione per l'arresto del computer non viene visualizzata nella schermata di accesso di Windows. In questo caso, possono arrestare il sistema solo gli utenti che riescono ad accedere al computer e che dispongono del diritto utente Arresto del sistema. Impostazione predefinita nelle workstation: Attivato Impostazioni predefinita nei server: Disattivato |
Shutdown: Allow system to be shut down without having to log on
This security setting determines whether a computer can be shut down without having to log on to Windows. When this policy is enabled, the Shut Down command is available on the Windows logon screen. When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown. Default on workstations: Enabled. Default on servers: Disabled. |
2021 | Arresto del sistema; cancella il file di paging della memoria virtuale
Questa impostazione di sicurezza specifica se il file di paging della memoria virtuale viene cancellato all'arresto del sistema. Il supporto della memoria virtuale utilizza un file di paging di sistema per effettuare lo swapping su disco delle pagine di memoria non utilizzate. In un sistema in esecuzione, il file di paging viene aperto in modo esclusivo dal sistema operativo ed è pertanto ben protetto. Nei sistemi operativi configurati in modo da consentire l'avvio di altri sistemi operativi, tuttavia, può essere necessario verificare che il file di paging di sistema venga cancellato prima dell'arresto del sistema. Ciò garantisce che le informazioni sensibili contenute nella memoria dei processi, che può essere inclusa nel file di paging, non saranno disponibili agli utenti non autorizzati che tentano di accedere direttamente al file di paging. Se questo criterio è attivato, il file di paging di sistema verrà cancellato alla chiusura normale del sistema. Se si attiva questa opzione di sicurezza, quando l'ibernazione è disattivata verrà azzerato anche il file ibernazione (hiberfil.sys). Impostazione predefinita: disattivata |
Shutdown: Clear virtual memory pagefile
This security setting determines whether the virtual memory pagefile is cleared when the system is shut down. Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile. When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled. Default: Disabled. |
2022 | Crittografia di sistema: imponi sicurezza chiave avanzata per chiavi utente archiviate nel computer
Questa impostazione di sicurezza specifica se per l'utilizzo delle chiavi private degli utenti è necessaria una password. Opzioni disponibili: Non è richiesto alcun input utente per l'archiviazione e l'utilizzo di nuove chiavi L'utente riceve una richiesta al primo utilizzo della chiave L'utente deve immettere una password ogni volta che utilizza una chiave Per ulteriori informazioni, vedere Infrastruttura a chiave pubblica. Impostazione predefinita: questo criterio non è definito. |
System Cryptography: Force strong key protection for user keys stored on the computer
This security setting determines if users' private keys require a password to be used. The options are: User input is not required when new keys are stored and used User is prompted when the key is first used User must enter a password each time they use a key For more information, see Public key infrastructure. Default: This policy is not defined. |
2023 | Crittografia di sistema: utilizza algoritmi di crittografia FIPS 140 compatibili, inclusi algoritmi di crittografia, hash e firma
Per il provider di servizi di sicurezza Schannel, questa impostazione di sicurezza disabilita i protocolli SSL (Secure Sockets Layer) più deboli e supporta solo i protocolli TLS (Transport Layer Security) come client e come server (se applicabile). Se questa impostazione è abilitata, il provider di sicurezza TLS/SSL (Transport Layer Security/Secure Sockets Layer) utilizza solo gli algoritmi di crittografia approvati con FIPS 140: 3DES e AES per la crittografia, la crittografia a chiave pubblica RSA o ECC per l'autenticazione e lo scambio di chiavi TLS e solo l'algoritmo Secure Hashing Algorithm (SHA1, SHA256, SHA384 e SHA512) per i requisiti di hashing TLS. Per il servizio EFS (Encrypting File System), supporta gli algoritmi di crittografia Triple DES (Data Encryption Standard) e AES (Advanced Encryption Standard) per la crittografia dei dati dei file supportati dal file system NTFS. Per impostazione predefinita, EFS utilizza l'algoritmo AES (Advanced Encryption Standard) con una chiave a 256 bit nella famiglia di sistemi operativi Windows Server 2003 e Windows Vista e l'algoritmo DESX in Windows XP per la crittografia dei dati dei file. Per informazioni su EFS, vedere EFS. Per Servizi Desktop remoto, supporta solo l'algoritmo di crittografia Triple DES per la crittografia delle comunicazioni di rete di Servizi Desktop remoto. Nota: Servizi Desktop remoto è denominato Servizi terminal nelle versioni precedenti di Windows Server. Per BitLocker è necessario attivare questi criteri prima di generare qualsiasi chiave di crittografia. Le password di ripristino create quando questi criteri sono abilitati sono incompatibili con BitLocker in Windows 8, Windows Server 2012 e sistemi operativi precedenti. Se questi criteri vengono applicati a computer che eseguono sistemi operativi precedenti a Windows 8.1 e Windows Server 2012 cR2, BitLocker impedirà la creazione o l'utilizzo di password di ripristino e sarà invece necessario utilizzare chiavi di ripristino. Impostazione predefinita: disabilitata. Nota: lo standard FIPS (Federal Information Processing Standard) 140 è un'implementazione di sicurezza progettata per la certificazione del software di crittografia. Il governo degli Stati Uniti e altre importanti istituzioni richiedono software convalidato FIPS 140. |
System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms
For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements. For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System. For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead. Default: Disabled. Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions. |
2024 | Oggetti di sistema: proprietario predefinito per gli oggetti creati dai membri del gruppo Administrators
Descrizione Questa impostazione di sicurezza specifica l'entità di sicurezza (SID) a cui verrà assegnato il PROPRIETARIO di oggetti creati da un membro del gruppo Administrators. Impostazione predefinita: Windows XP: SID utente Windows 2003: gruppo Administrators |
System objects: Default owner for objects created by members of the Administrators group
Description This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group. Default: Windows XP: User SID Windows 2003 : Administrators Group |
2025 | Oggetti di sistema: non richiedere differenziazione tra maiuscole e minuscole per sottosistemi diversi da Windows
Questa impostazione di sicurezza specifica se per tutti i sottosistemi non deve essere fatta distinzione tra maiuscole e minuscole. Il sottosistema Win32 non fa distinzione tra maiuscole e minuscole. Il kernel supporta tuttavia la distinzione tra maiuscole e minuscole per altri sottosistemi, ad esempio POSIX. Se questa impostazione è attivata, non verrà fatta distinzione tra maiuscole e minuscole per tutti gli oggetti directory, i collegamenti simbolici e gli oggetti di I/O, inclusi gli oggetti file. Se si disattiva questa impostazione, il sottosistema Win32 non farà comunque distinzione tra maiuscole e minuscole. Impostazione predefinita: attivata |
System objects: Require case insensitivity for non-Windows subsystems
This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX. If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive. Default: Enabled. |
2026 | Oggetti di sistema: potenzia le autorizzazioni predefinite degli oggetti di sistema interni (ad esempio, i collegamenti simbolici)
Questa impostazione di sicurezza determina il livello di sicurezza garantito dall'elenco di controllo di accesso discrezionale (DACL) predefinito per gli oggetti. Active Directory gestisce un elenco globale delle risorse di sistema condivise, quali nomi di dispositivi DOS, mutex e semafori, per consentire ai processi di individuare e condividere le risorse. Ogni tipo di oggetto viene creato con un DACL predefinito che specifica le entità autorizzate ad accedere all'oggetto e le autorizzazioni di cui dispongono. Se questo criterio è attivato, il DACL predefinito verrà potenziato, consentendo agli utenti non amministratori di leggere gli oggetti condivisi ma non di modificare gli oggetti condivisi creati da altri. Impostazione predefinita: attivata |
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)
This security setting determines the strength of the default discretionary access control list (DACL) for objects. Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted. If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create. Default: Enabled. |
2027 | Impostazioni di sistema: sottosistemi facoltativi
Questa impostazione di sicurezza specifica i sottosistemi che è possibile avviare facoltativamente per supportare le applicazioni dell'utente. Tramite questa impostazione di sicurezza è possibile specificare tutti i sottosistemi per supportare le applicazioni dell'utente in base alle esigenze dell'ambiente utilizzato. Impostazione predefinita: POSIX |
System settings: Optional subsystems
This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands. Default: POSIX. |
2028 | Impostazioni di sistema: utilizza regole certificati con i file eseguibili di Windows per i criteri di restrizione software
Questa impostazione di sicurezza specifica se, quando un utente o un processo tenta di eseguire software con estensione di file exe, vengono elaborati i certificati digitali. Questa impostazione di sicurezza consente di attivare o disattivare le regole per i certificati, che rientrano nella categoria Criteri restrizione software. Tramite i criteri di restrizione software è possibile creare una regola di certificato che consente o impedisce l'esecuzione del software firmato da Authenticode, in base al certificato digitale associato al software. Affinché le regole per i certificati abbiano effetto, è necessario attivare questa impostazione di sicurezza. Quando le regole per i certificati sono attivate, i criteri di restrizione software controllano l'elenco di revoche di certificati (CRL) per verificare che la firma e il certificato del software siano validi. Ciò potrebbe determinare un calo di prestazioni all'avvio dei programmi firmati. Questa funzionalità può essere disattivata deselezionando le caselle di controllo Autore e Timestamp nella finestra delle proprietà di Autori attendibili. Per ulteriori informazioni, vedere Impostazione delle opzioni relative agli autori attendibili. Impostazione predefinita: disattivata |
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting. When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options. Default: Disabled. |
2029 | Dimensione massima registro applicazioni
Questa impostazione di sicurezza specifica la dimensione massima del registro eventi delle applicazioni, che può arrivare in teoria fino a 4 GB. Il limite è tuttavia inferiore nella pratica (~300 MB). Note La dimensione di un file di registro deve essere un multiplo di 64 KB. Se il valore immesso non è un multiplo di 64 KB, la dimensione del file di registro verrà automaticamente arrotondata a un multiplo di 64 KB. Questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. La dimensione e il metodo di sovrascrittura del registro eventi devono essere definiti in modo da soddisfare i requisiti aziendali e di sicurezza determinati durante la progettazione del piano di sicurezza aziendale. È consigliabile implementare queste impostazioni del registro eventi a livello di sito, dominio o unità organizzativa, per avvalersi delle impostazioni dei Criteri di gruppo. Impostazione predefinita: 16 MB per i sistemi operativi della famiglia Windows Server 2003, 8 MB per Windows XP Professional Service Pack 1, 512 KB per Windows XP Professional |
Maximum application log size
This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2030 | Dimensione massima registro sicurezza
Questa impostazione di sicurezza specifica la dimensione massima del registro eventi di sicurezza, che può arrivare in teoria fino a 4 GB. Il limite è tuttavia inferiore nella pratica (~300 MB). Note La dimensione di un file di registro deve essere un multiplo di 64 KB. Se il valore immesso non è un multiplo di 64 KB, la dimensione del file di registro verrà automaticamente arrotondata a un multiplo di 64 KB. Questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. La dimensione e il metodo di sovrascrittura del registro eventi devono essere definiti in modo da soddisfare i requisiti aziendali e di sicurezza determinati durante la progettazione del piano di sicurezza aziendale. È consigliabile implementare queste impostazioni del registro eventi a livello di sito, dominio o unità organizzativa, per avvalersi delle impostazioni dei Criteri di gruppo. Impostazione predefinita: 16 MB per i sistemi operativi della famiglia Windows Server 2003, 8 MB per Windows XP Professional Service Pack 1, 512 KB per Windows XP Professional |
Maximum security log size
This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2031 | Dimensione massima registro sistema
Questa impostazione di sicurezza specifica la dimensione massima del registro eventi di sistema, che può arrivare in teoria fino a 4 GB. Il limite è tuttavia inferiore nella pratica (~300 MB). Note La dimensione di un file di registro deve essere un multiplo di 64 KB. Se il valore immesso non è un multiplo di 64 KB, la dimensione del file di registro verrà automaticamente arrotondata a un multiplo di 64 KB. Questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. La dimensione e il metodo di sovrascrittura del registro eventi devono essere definiti in modo da soddisfare i requisiti aziendali e di sicurezza determinati durante la progettazione del piano di sicurezza aziendale. È consigliabile implementare queste impostazioni del registro eventi a livello di sito, dominio o unità organizzativa, per avvalersi delle impostazioni dei Criteri di gruppo. Impostazione predefinita: 16 MB per i sistemi operativi della famiglia Windows Server 2003, 8 MB per Windows XP Professional Service Pack 1, 512 KB per Windows XP Professional |
Maximum system log size
This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2032 | Impedisci accesso guest locale e utenti ACCESSO ANONIMO al registro applicazioni
Questa impostazione di sicurezza specifica se ai membri del gruppo Guests deve essere impedito l'accesso al registro eventi applicazioni. Note Questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Questa impostazione di sicurezza interessa solo i computer che eseguono Windows 2000 e Windows XP. Impostazione predefinita: attivata per Windows XP, disattivata per Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2033 | Impedisci accesso guest locale e utenti ACCESSO ANONIMO al registro di sicurezza
Questa impostazione di sicurezza specifica se ai membri del gruppo Guests deve essere impedito l'accesso al registro eventi applicazioni. Note Questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Questa impostazione di sicurezza interessa solo i computer che eseguono Windows 2000 e Windows XP. Impostazione predefinita: attivata per Windows XP, disattivata per Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2034 | Impedisci accesso guest locale e utenti ACCESSO ANONIMO al registro di sistema
Questa impostazione di sicurezza specifica se ai membri del gruppo Guests deve essere impedito l'accesso al registro eventi applicazioni. Note Questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Questa impostazione di sicurezza interessa solo i computer che eseguono Windows 2000 e Windows XP. Impostazione predefinita: attivata per Windows XP, disattivata per Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2035 | Mantieni registro applicazioni per
Questa impostazione di sicurezza specifica il numero di giorni di cui conservare gli eventi per il registro applicazioni, se l'opzione Criteri gestione registro applicazioni è impostata su Per giorni. Impostare questo valore solo se si archivia il registro a intervalli pianificati e si è certi che il valore di Dimensione massima registro applicazioni è sufficiente per memorizzare tutti gli eventi generati nell'intervallo specificato. Nota: questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Impostazione predefinita: nessuna |
Retain application log
This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2036 | Mantieni registro sicurezza per
Questa impostazione di sicurezza specifica il numero di giorni di cui conservare gli eventi per il registro di sicurezza, se l'opzione Criteri gestione registro sicurezza è impostata su Per giorni. Impostare questo valore solo se si archivia il registro a intervalli pianificati e si è certi che il valore di Dimensione massima registro sicurezza è sufficiente per memorizzare tutti gli eventi generati nell'intervallo specificato. Note Questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Possono accedere al registro di sicurezza solo gli utenti che dispongono del diritto utente Gestione file registro di controllo e di sicurezza. Impostazione predefinita: nessuna |
Retain security log
This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2037 | Mantieni registro sistema per
Questa impostazione di sicurezza specifica il numero di giorni di cui conservare gli eventi per il registro eventi di sistema, se l'opzione Criteri gestione registro eventi di sistema è impostata su Per giorni. Impostare questo valore solo se si archivia il registro a intervalli pianificati e si è certi che il valore di Dimensione massima registro sistema è sufficiente per memorizzare tutti gli eventi generati nell'intervallo specificato. Nota: questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Impostazione predefinita: nessuna |
Retain system log
This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2038 | Criteri gestione registro applicazioni
Questa impostazione di sicurezza determina il metodo di sovrascrittura per il registro applicazioni. Se il registro applicazioni non viene archiviato, nella finestra di dialogo Proprietà di questo criterio selezionare la casella di controllo Definisci le impostazioni relative al criterio, quindi fare clic su Sovrascrivi eventi se necessario. Se il registro viene archiviato a intervalli pianificati, nella finestra di dialogo Proprietà di questo criterio selezionare la casella di controllo Definisci le impostazioni relative al criterio, quindi fare clic su Sovrascrivi eventi ogni giorno e specificare il numero di giorni appropriato nell'impostazione Mantieni registro applicazioni per. Verificare che il valore di Dimensione massima registro applicazioni sia sufficiente per memorizzare tutti gli eventi generati nell'intervallo di tempo specificato. Se è necessario conservare tutti gli eventi nel registro, nella finestra di dialogo Proprietà di questo criterio selezionare la casella di controllo Definisci le impostazioni relative al criterio, quindi fare clic su Non sovrascrivere eventi (pulizia manuale del registro). Questa opzione richiede la pulizia manuale del registro. In questo caso, quando viene raggiunta la dimensione massima del registro i nuovi eventi vengono ignorati. Nota: questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Impostazione predefinita: nessuna |
Retention method for application log
This security setting determines the "wrapping" method for the application log. If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2039 | Criteri gestione registro sicurezza
Questa impostazione di sicurezza determina il metodo di sovrascrittura per il registro di sicurezza. Se il registro di sicurezza non viene archiviato, nella finestra di dialogo Proprietà di questo criterio selezionare la casella di controllo Definisci le impostazioni relative al criterio, quindi fare clic su Sovrascrivi eventi se necessario. Se il registro viene archiviato a intervalli pianificati, nella finestra di dialogo Proprietà di questo criterio selezionare la casella di controllo Definisci le impostazioni relative al criterio, quindi fare clic su Sovrascrivi eventi ogni giorno e specificare il numero di giorni appropriato nell'impostazione Mantieni registro sicurezza per. Verificare che il valore di Dimensione massima registro sicurezza sia sufficiente per memorizzare tutti gli eventi generati nell'intervallo di tempo specificato. Se è necessario conservare tutti gli eventi nel registro, nella finestra di dialogo Proprietà di questo criterio selezionare la casella di controllo Definisci le impostazioni relative al criterio, quindi fare clic su Non sovrascrivere eventi (pulizia manuale del registro). Questa opzione richiede la pulizia manuale del registro. In questo caso, quando viene raggiunta la dimensione massima del registro i nuovi eventi vengono ignorati. Note Questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Possono accedere al registro di sicurezza solo gli utenti che dispongono del diritto utente Gestione file registro di controllo e di sicurezza. Impostazione predefinita: nessuna |
Retention method for security log
This security setting determines the "wrapping" method for the security log. If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2040 | Criteri gestione registro eventi di sistema
Questa impostazione di sicurezza determina il metodo di sovrascrittura per il registro eventi di sistema. Se il registro eventi di sistema non viene archiviato, nella finestra di dialogo Proprietà di questo criterio selezionare la casella di controllo Definisci le impostazioni relative al criterio, quindi fare clic su Sovrascrivi eventi se necessario. Se il registro viene archiviato a intervalli pianificati, nella finestra di dialogo Proprietà di questo criterio selezionare la casella di controllo Definisci le impostazioni relative al criterio, quindi fare clic su Sovrascrivi eventi ogni giorno e specificare il numero di giorni appropriato nell'impostazione Mantieni registro sistema per. Verificare che il valore di Dimensione massima registro sistema sia sufficiente per memorizzare tutti gli eventi generati nell'intervallo di tempo specificato. Se è necessario conservare tutti gli eventi nel registro, nella finestra di dialogo Proprietà di questo criterio selezionare la casella di controllo Definisci le impostazioni relative al criterio, quindi fare clic su Non sovrascrivere eventi (pulizia manuale del registro). Questa opzione richiede la pulizia manuale del registro. In questo caso, quando viene raggiunta la dimensione massima del registro i nuovi eventi vengono ignorati. Nota: questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Impostazione predefinita: nessuna |
Retention method for system log
This security setting determines the "wrapping" method for the system log. If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval .If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2041 | Gruppi con restrizioni
Questa impostazione di sicurezza consente agli amministratori di definire due proprietà per i gruppi che possono creare problemi di sicurezza (gruppi con restrizioni). Si tratta delle proprietà Membri e Membro di. L'elenco Membri determina gli utenti che devono essere inclusi o rimossi dal gruppo con restrizioni. Nell'elenco Membro di sono specificati i gruppi a cui appartiene il gruppo con restrizioni. Quando viene applicato un criterio di tipo Gruppi con restrizioni, vengono rimossi tutti i membri correnti del gruppo con restrizioni non inclusi nell'elenco Membri. Tutti gli utenti inclusi nell'elenco Membri e che non sono attualmente membri del gruppo con restrizioni vengono aggiunti. È possibile utilizzare i criteri di tipo Gruppi con restrizioni per controllare l'appartenenza ai gruppi. Tramite questo criterio è possibile specificare i membri di un gruppo. Tutti i membri non specificati nel criterio vengono rimossi durante la configurazione o l'aggiornamento. L'opzione per la configurazione dell'appartenenza inversa garantisce inoltre che ogni gruppo con restrizioni è membro di uno solo dei gruppi specificati nella colonna Membro di. È ad esempio possibile creare un criterio di tipo Gruppi con restrizioni che consente di includere nel gruppo Administrators solo gli utenti specificati, ad esempio Utente1 e Utente2. Quando il criterio viene aggiornato, nel gruppo Administrators rimangono solo gli account Utente1 e Utente2. I criteri di tipo Gruppi con restrizioni possono essere applicati in due modi: Definendo il criterio in un modello di sicurezza, che verrà applicato durante la configurazione sul computer locale. Definendo l'impostazione direttamente sull'oggetto Criteri di gruppo, di modo che il criterio venga applicato a ogni aggiornamento del criterio. Queste impostazioni di sicurezza vengono aggiornate ogni 90 minuti su workstation e server e ogni 5 minuti sui controller di dominio. Le impostazioni vengono inoltre aggiornate ogni 16 ore, anche se non sono state modificate. Impostazione predefinita: nessuna Attenzione Se si definisce un criterio di tipo Gruppi con restrizioni e i Criteri di gruppo vengono aggiornati, tutti i membri correnti non inclusi nell'elenco Membri del criterio Gruppi con restrizioni verrà rimosso. Possono essere rimossi anche i membri predefiniti, ad esempio gli amministratori. Note È consigliabile utilizzare i criteri di tipo Gruppi con restrizioni principalmente per configurare l'appartenenza ai gruppi locali in workstation e server membri. Se l'elenco Membri è vuoto, significa che il gruppo con restrizioni non ha membri. Se l'elenco Membro di è vuoto, significa che i gruppi a cui appartiene il gruppo con restrizioni non sono specificati. |
Restricted Groups
This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups). The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to. When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added. You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column. For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group. There are two ways to apply Restricted Groups policy: Define the policy in a security template, which will be applied during configuration on your local computer. Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes. Default: None specified. Caution If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators. Notes Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers. An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified. |
2042 | Impostazioni sicurezza Servizi di sistema
Consente agli amministratori di definire la modalità di avvio (avvio manuale, automatico o disattivato) e le autorizzazioni di accesso (Avvio, Interruzione o Pausa) per tutti i servizi di sistema Impostazione predefinita: non definita Note Questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. Se si sceglie di impostare l'avvio automatico dei servizi di sistema, è necessario eseguire i test necessari per verificare che tali servizi possano essere avviati senza l'intervento dell'utente. Per ottimizzare le prestazioni, impostare su Manuale l'avvio dei servizi non necessari o inutilizzati. |
System Services security settings
Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services. Default: Undefined. Notes This setting does not appear in the Local Computer Policy object. If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention. For performance optimization, set unnecessary or unused services to Manual. |
2043 | Impostazioni sicurezza Registro di sistema
Consente agli amministratori di definire le autorizzazioni di accesso (negli elenchi di controllo di accesso discrezionali, o DACL) e le impostazioni di controllo (negli elenchi di controllo di accesso di sistema, o SACL) per le chiavi del Registro di sistema, tramite gli strumenti di gestione della configurazione della sicurezza. Impostazione predefinita: non definita Nota: questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. |
Registry security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2044 | Impostazioni sicurezza file system
Consente agli amministratori di definire le autorizzazioni di accesso (negli elenchi di controllo di accesso discrezionali, o DACL) e le impostazioni di controllo (negli elenchi di controllo di accesso di sistema, o SACL) per gli oggetti del file system, tramite gli strumenti di gestione della configurazione della sicurezza. Impostazione predefinita: non definita Nota: questa impostazione non viene visualizzata nell'oggetto Criteri del computer locale. |
File System security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2045 | Controllo: imposizione delle impostazioni di sottocategoria del criterio di controllo (Windows Vista o versione successiva) per sostituire le impostazioni di categoria del criterio di controllo.
Windows Vista e le versioni successive di Windows consentono una gestione più precisa del criterio di controllo mediante le sottocategorie. L'impostazione del criterio di controllo a livello di categoria sostituisce la nuova funzionalità del criterio di controllo a livello di sottocategoria. I Criteri di gruppo consentono di impostare criteri di controllo solo a livello di categoria, pertanto è possibile che i Criteri di gruppo esistenti sostituiscano le impostazioni di sottocategoria di nuovi computer quando questi vengono aggiunti al dominio oppure aggiornati a Windows Vista o a versioni successive. Per consentire la gestione del criterio di controllo mediante sottocategorie senza dover modificare i Criteri di gruppo, in Windows Vista e versioni successive esiste un nuovo valore del Registro di sistema, SCENoApplyLegacyAuditPolicy, che impedisce l'applicazione del criterio di controllo a livello di categoria da parte dei Criteri di gruppo e dello strumento di amministrazione Criteri di sicurezza locali. Se il criterio di controllo a livello di categoria non è coerente con gli eventi generati, la causa potrebbe essere l'impostazione di questa chiave del Registro di sistema. Impostazione predefinita: Attivato |
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool. If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set. Default: Enabled |
2046 | Controllo dell'account utente: modalità Approvazione amministratore per l'account Administrator predefinito
Questo criterio specifica il comportamento della modalità Approvazione amministratore per l'account Administrator predefinito. Opzioni disponibili: • Attivato: l'account Administrator predefinito utilizza la modalità Approvazione amministratore. Per impostazione predefinita, per qualunque operazione che richiede l'elevazione dei privilegi l'utente dovrà scegliere se autorizzare o rifiutare l'esecuzione. • Disattivato (impostazione predefinita): l'account Administrator predefinito esegue tutte le applicazioni con privilegi amministrativi completi. |
User Account Control: Use Admin Approval Mode for the built-in Administrator account
This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account. The options are: • Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation. • Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege. |
2047 | DCOM: restrizioni accesso computer nella sintassi Security Descriptor Definition Language (SDDL)
Questa impostazione di sicurezza specifica quali utenti o gruppi possono accedere all'applicazione DCOM localmente o in modalità remota. Questa impostazione è utilizzata per controllare la superficie di attacco del computer in relazione alle applicazioni DCOM. È possibile utilizzare questa impostazione di sicurezza per specificare le autorizzazioni di accesso a tutti i computer per determinati utenti in relazione alle applicazioni DCOM dell'organizzazione. Quando si specificano gli utenti o i gruppi a cui concedere l'autorizzazione, il campo del descrittore di sicurezza viene popolato con la rappresentazione SDDL (Security Descriptor Definition Language) dei gruppi e dei privilegi. Se il descrittore di sicurezza viene lasciato vuoto, l'impostazione di sicurezza viene definita nel modello, ma senza essere imposta. È possibile concedere agli utenti e ai gruppi privilegi espliciti per consentire o negare l'accesso sia a livello locale che remoto. Le impostazioni del Registro di sistema create come risultato dell'attivazione dell'impostazione di sicurezza DCOM: restrizioni accesso computer nella sintassi Security Descriptor Definition Language (SDDL) hanno la precedenza (hanno priorità più alta) sulle impostazioni precedenti del Registro di sistema in quest'area. I servizi RPC (chiamata a procedura remota) controllano le nuove chiavi del Registro di sistema nella sezione Criteri delle restrizioni del computer e tali chiavi hanno la precedenza sulle chiavi precedenti del Registro di sistema in OLE. Ciò significa che le impostazioni del Registro di sistema precedentemente esistenti non sono più valide e, anche se vengono modificate, non influiranno sulle autorizzazioni di accesso al computer degli utenti. È consigliabile configurare con prudenza l'elenco degli utenti e dei gruppi. Valori disponibili per questa impostazione di sicurezza: Vuota. Rappresenta la modalità del criterio di sicurezza locale per eliminare la chiave di imposizione del criterio. Questo valore consente di eliminare il criterio e di impostarlo sullo stato Non definita. Il valore Vuota viene impostato utilizzando l'editor ACL per svuotare l'elenco e scegliendo OK. SDDL. È la rappresentazione SDDL dei gruppi e dei privilegi specificati quando si attiva il criterio. Non definita. È il valore predefinito. Nota In caso di accesso negato alle applicazioni DCOM a causa delle modifiche apportate a DCOM in Windows, l'amministratore può utilizzare l'impostazione di sicurezza DCOM: restrizioni accesso computer nella sintassi Security Descriptor Definition Language (SDDL) per gestire l'accesso DCOM al computer. Utilizzando questa impostazione, l'amministratore può specificare quali utenti e gruppi possono accedere all'applicazione DCOM del computer sia a livello locale che remoto. In questo modo il controllo dell'applicazione DCOM verrà restituito all'amministratore e agli utenti. Per effettuare questa operazione, aprire l'impostazione DCOM: restrizioni accesso computer nella sintassi Security Descriptor Definition Language (SDDL) e fare clic su Modifica sicurezza. Specificare i gruppi da includere e le relative autorizzazioni di accesso al computer. In tal modo verranno definiti l'impostazione e il valore SDDL appropriato. |
DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access. The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups. The possible values for this policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2048 | DCOM: restrizioni avvio computer nella sintassi Security Descriptor Definition Language (SDDL)
Questa impostazione di sicurezza specifica quali utenti o gruppi possono avviare o attivare applicazioni DCOM localmente o in modalità remota. Questa impostazione è utilizzata per controllare la superficie di attacco del computer in relazione alle applicazioni DCOM. È possibile utilizzare questa impostazione per concedere l'accesso a tutti i computer agli utenti delle applicazioni DCOM. Quando si definisce questa impostazione e si specificano gli utenti o i gruppi a cui concedere l'autorizzazione, il campo del descrittore di sicurezza viene popolato con la rappresentazione SDDL (Security Descriptor Definition Language) dei gruppi e dei privilegi. Se il descrittore di sicurezza viene lasciato vuoto, l'impostazione di sicurezza viene definita nel modello, ma senza essere imposta. È possibile concedere agli utenti e ai gruppi privilegi espliciti per consentire o negare l'avvio e l'attivazione sia a livello locale che remoto. Le impostazioni del Registro di sistema create come risultato del criterio hanno la precedenza sulle impostazioni precedenti del Registro di sistema in quest'area. I servizi RPC (chiamata a procedura remota) controllano le nuove chiavi del Registro di sistema nella sezione Criteri delle restrizioni del computer; tali chiavi hanno la precedenza sulle chiavi esistenti del Registro di sistema in OLE. Valori disponibili per questa impostazione dei Criteri di gruppo: Vuota. Rappresenta la modalità del criterio di sicurezza locale per eliminare la chiave di imposizione del criterio. Questo valore consente di eliminare il criterio e di impostarlo sullo stato Non definita. Il valore Vuota viene impostato utilizzando l'editor ACL per svuotare l'elenco e scegliendo OK. SDDL. È la rappresentazione SDDL dei gruppi e dei privilegi specificati quando si attiva il criterio. Non definita. È il valore predefinito. Nota In caso di accesso negato per attivare e avviare le applicazioni DCOM a causa delle modifiche apportate a DCOM in questa versione di Windows, l'amministratore può utilizzare questa impostazione di sicurezza per controllare l'attivazione e l'avvio DCOM nel computer. Utilizzando l'impostazione DCOM: restrizioni avvio computer nella sintassi Security Descriptor Definition Language (SDDL), l'amministratore può specificare quali utenti e gruppi possono avviare e attivare le applicazioni DCOM del computer sia a livello locale che remoto. In questo modo il controllo dell'applicazione DCOM verrà restituito all'amministratore e agli utenti specificati. Per effettuare questa operazione, aprire l'impostazione DCOM: restrizioni avvio computer nella sintassi Security Descriptor Definition Language (SDDL) e fare clic su Modifica sicurezza. Specificare i gruppi da includere e le relative autorizzazioni di avvio del computer. In tal modo verranno definiti l'impostazione e il valore SDDL appropriato. |
DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE. The possible values for this Group Policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2049 | Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore
Questo criterio specifica il comportamento della richiesta di elevazione dei privilegi per gli amministratori. Opzioni disponibili: • Esegui con privilegi elevati senza chiedere conferma: questa opzione consente di eseguire un'operazione che richiede l'elevazione dei privilegi senza consenso o credenziali. Nota: è consigliabile utilizzare questo scenario solo in ambienti molto vincolati. • Richiedi credenziali sul desktop sicuro: per un'operazione che richiede l'elevazione dei privilegi, l'utente del desktop sicuro dovrà immettere il nome utente e la password di utente provvisto dei privilegi necessari. Se l'utente immette credenziali valide, l'operazione continuerà con il privilegio più elevato disponibile. • Richiedi consenso sul desktop sicuro: per un'operazione che richiede l'elevazione dei privilegi, l'utente del desktop sicuro dovrà scegliere se consentire o rifiutare l'esecuzione. Se l'utente acconsente, l'operazione continuerà con il privilegio più elevato disponibile. • Richiedi credenziali: per un'operazione che richiede l'elevazione dei privilegi sarà necessario inserire il nome utente e la password. Se l'utente immette credenziali valide, l'operazione continuerà con il privilegio applicabile. • Richiedi consenso: per un'operazione che richiede l'elevazione dei privilegi sarà necessario consentire o rifiutare l'esecuzione. Se l'utente acconsente, l'operazione continuerà con il privilegio più elevato disponibile. • Richiedi consenso per file binari non Windows (impostazione predefinita): per un'operazione che richiede l'elevazione dei privilegi, l'utente del desktop sicuro dovrà scegliere se consentire o rifiutare l'esecuzione. Se l'utente acconsente, l'operazione continuerà con il privilegio più elevato disponibile. |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
This policy setting controls the behavior of the elevation prompt for administrators. The options are: • Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege. • Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. |
2050 | Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard
Questo criterio specifica il comportamento della richiesta di elevazione dei privilegi per gli utenti standard. Opzioni disponibili: • Richiedi credenziali: per un'operazione che richiede l'elevazione dei privilegi, l'utente dovrà specificare nome utente e password di amministratore. Se l'utente immette credenziali valide, l'operazione continuerà con il privilegio applicabile. • Rifiuta automaticamente richieste di elevazione: quando un utente standard tenta di eseguire un'operazione che richiede l'elevazione dei privilegi, viene restituito un messaggio di errore di accesso negato. Nelle organizzazioni in cui vengono eseguiti sistemi desktop utilizzando account utente standard è possibile configurare questo criterio per ridurre le chiamate al supporto tecnico. • Richiedi credenziali sul desktop sicuro: per un'operazione che richiede l'elevazione dei privilegi, l'utente del desktop sicuro dovrà immettere un altra combinazione di nome utente e password di utente. Se l'utente immette credenziali valide, l'operazione continuerà con il privilegio applicabile. |
User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users. The options are: • Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. |
2051 | Controllo dell'account utente: rileva installazione applicazioni e richiedi elevazione
Questo criterio specifica il comportamento del rilevamento dell'installazione di applicazioni nel computer. Opzioni disponibili: • Abilitato (impostazione predefinita): per i pacchetti di installazione delle applicazioni che richiedono l'elevazione dei privilegi, l'utente dovrà immettere nome utente e password amministrativi. Se l'utente immette credenziali valide, l'operazione continuerà con il privilegio applicabile. • Disabilitato: i pacchetti di installazione delle applicazioni non vengono rilevati e non viene richiesta l'elevazione dei privilegi. Le organizzazioni che eseguono desktop utente standard e utilizzano tecnologie di installazione delegata quali Estensione dell'installazione software basata su Criteri di gruppo o Systems Management Server (SMS) devono disattivare questo criterio, in quanto il rilevamento dei programmi di installazione non è necessario. |
User Account Control: Detect application installations and prompt for elevation
This policy setting controls the behavior of application installation detection for the computer. The options are: • Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary. |
2052 | Controllo dell'account utente: eleva solo file eseguibili firmati e convalidati
Questo criterio impone controlli di firma PKI su qualunque applicazione interattiva che richiede l'elevazione dei privilegi. Gli amministratori dell'organizzazione possono controllare l'elenco delle applicazioni consentite tramite l'aggiunta di certificati nell'archivio autori attendibili dei computer locali. Opzioni disponibili: • Attivato: impone la convalida del percorso di certificazione PKI di un determinato file eseguibile prima che ne sia consentita l'esecuzione. • Disattivato (impostazione predefinita): non impone la convalida del percorso di certificazione PKI di un determinato file eseguibile prima che ne sia consentita l'esecuzione. |
User Account Control: Only elevate executable files that are signed and validated
This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers. The options are: • Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run. • Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run. |
2053 | Controllo dell'account utente: solo applicazioni con accesso all'interfaccia utente e con privilegi elevati installate in percorsi sicuri
Questo criterio specifica che le applicazioni che richiedono l'esecuzione con un livello di integrità di accesso all'interfaccia utente (UIAccess) devono risiedere in un percorso sicuro nel file system. I percorsi sicuri sono limitati alle directory seguenti: - …\Programmi\, incluse le sottodirectory - …\Windows\system32\r - …\Programmi (x86)\, incluse le sottodirectory per le versioni di Windows a 64 bit Nota: Windows impone un controllo di firma PKI per qualunque applicazione interattiva che richieda l'esecuzione con il livello di integrità di accesso all'interfaccia utente indipendentemente dallo stato di questa impostazione di sicurezza. Opzioni disponibili: • Attivato (impostazione predefinita): un'applicazione viene avviata con integrità di accesso all'interfaccia utente solo in un percorso protetto nel file system. • Disattivato: un'applicazione viene avviata con integrità di accesso all'interfaccia utente anche se non risiede in un percorso sicuro nel file system. |
User Account Control: Only elevate UIAccess applications that are installed in secure locations
This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following: - …\Program Files\, including subfolders - …\Windows\system32\ - …\Program Files (x86)\, including subfolders for 64-bit versions of Windows Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting. The options are: • Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity. • Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system. |
2054 | Controllo dell'account utente: attiva modalità Approvazione amministratore.
Questo criterio specifica il comportamento di tutti i criteri di Controllo dell'account utente per il computer. Opzioni disponibili: • Attivato (impostazione predefinita): la modalità Approvazione amministratore è attivata. Affinché l'account Administrator predefinito e tutti gli altri utenti membri del gruppo Administrators possano essere eseguiti in modalità Approvazione amministratore, è necessario che questo criterio sia attivato e che tutti i criteri di Controllo dell'account utente correlati siano impostato in modo appropriato. • Disattivato: la modalità Approvazione amministratore e i criteri correlati di Controllo dell'account utente sono disattivati. Nota: se il criterio è disattivato, il tipo di utente in modalità Approvazione amministratore e tutti i relativi criteri Controllo account utente verranno disattivati. Nota: se il criterio è disattivato, Centro sicurezza PC indica che la sicurezza complessiva del sistema operativo è ridotta. |
User Account Control: Turn on Admin Approval Mode
This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer. The options are: • Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode. • Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced. |
2055 | Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro
Questo criterio specifica se la richiesta di elevazione verrà visualizzata sul desktop degli utenti interattivi o sul desktop sicuro. Opzioni disponibili: • Attivato (impostazione predefinita): tutte le richieste di elevazione verranno passate al desktop sicuro indipendentemente dal criterio relativo al comportamento di richiesta per amministratori e utenti standard. • Disattivato: tutte le richieste di elevazione verranno passate al desktop degli utenti interattivi. Vengono utilizzati i criteri relativi al comportamento di richiesta per amministratori e utenti standard. |
User Account Control: Switch to the secure desktop when prompting for elevation
This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop. The options are: • Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users. • Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used. |
2056 | Controllo dell'account utente: virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente
Questo criterio specifica se gli errori di scrittura delle applicazioni vengono reindirizzati in percorsi definiti sia nel Registro di sistema sia nel file system. Questo criterio riduce l'impatto delle applicazioni che vengono eseguite con account amministratore e che scrivono i dati in fase di esecuzione in %ProgramFiles%, %Windir%; %Windir%\system32 o HKLM\Software\ Opzioni disponibili: • Attivato (impostazione predefinita): gli errori di scrittura delle applicazioni in fase di esecuzione vengono reindirizzati a percorsi utente definiti sia per il file system sia per il Registro di sistema. • Disattivato: le applicazioni che scrivono i dati in percorsi protetti genereranno errori. |
User Account Control: Virtualize file and registry write failures to per-user locations
This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software. The options are: • Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry. • Disabled: Applications that write data to protected locations fail. |
2057 | Creazione di collegamenti simbolici
Questo privilegio specifica se l'utente può creare un collegamento simbolico dal computer a cui è connesso. Impostazione predefinita: Administrator Avviso: è consigliabile assegnare questo privilegio solo a utenti attendibili. I collegamenti simbolici possono esporre vulnerabilità di sicurezza in applicazioni non progettate per gestirli. Nota Questa impostazione può essere utilizzata insieme a un'impostazione di file system, che può essere modificata con l'utilità da riga di comando per controllare i tipi di collegamenti simbolici consentiti nel computer. Per ulteriori informazioni su fsutil e i collegamenti simbolici, digitare fsutil behavior set symlinkevalution /? sulla riga di comando. |
Create Symbolic Links
This privilege determines if the user can create a symbolic link from the computer he is logged on to. Default: Administrator WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them. Note This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links. |
2058 | Modifica delle etichette di oggetti
Questo privilegio specifica gli account utente che possono modificare l'etichetta di integrità degli oggetti, quali file, chiavi del Registro di sistema o processi di proprietà di altri utenti. Senza questo privilegio, i processi eseguiti da un account utente possono modificare a un livello inferiore l'etichetta di un oggetto di proprietà di un altro utente. Impostazione predefinita: nessuno |
Modify an object label
This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege. Default: None |
2059 | Controllo account utente: consenti alle applicazioni con accesso all'interfaccia utente di richiedere l'elevazione dei privilegi senza utilizzare il desktop sicuro.
Questo criterio determina se le applicazioni con accesso all'interfaccia utente (UIAccess o UIA) possono disattivare automaticamente il desktop sicuro per le richieste di elevazione provenienti da un utente standard. • Attivato: i programmi con accesso all'interfaccia utente, incluso Assistenza remota Windows, disattivano automaticamente il desktop sicuro per le richieste di elevazione dei privilegi. Se non si disattiva il criterio "Controllo account utente: alla richiesta di elevazione passa al desktop sicuro", le richieste vengono visualizzate sul desktop degli utenti interattivi invece che sul desktop sicuro. • Disattivato (impostazione predefinita): il desktop sicuro può essere disattivato solo dall'utente del desktop interattivo o disattivando il criterio "Controllo account utente: alla richiesta di elevazione passa al desktop sicuro". |
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.
This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user. • Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. • Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting. |
2060 | Questa impostazione viene utilizzata da Gestione credenziali durante il backup/ripristino. Questo privilegio non deve essere disponibile per nessun account poiché viene assegnato solo a Winlogon. Se viene assegnato ad altre entità, le credenziali salvate dagli utenti potrebbero risultare compromesse. | This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities. |
2061 | Modifica del fuso orario
Questo diritto utente specifica gli utenti e i gruppi autorizzati a modificare il fuso orario utilizzato dal computer per visualizzare l'ora locale, ovvero l'ora del sistema del computer più la differenza di fuso orario. L'ora di sistema è di per sé assoluta e non viene interessata da una modifica del fuso orario. Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefiniti e nei criteri di sicurezza locali di server e workstation. Impostazione predefinita: Administrators, Users |
Change the Time Zone
This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers. Default: Administrators, Users |
2062 | Aumento di un working set di processo
Questo privilegio specifica gli account utente che possono aumentare o ridurre la dimensione del working set di un processo. Impostazione predefinita: Users Il working set di un processo è rappresentato dall'insieme delle pagine di memoria attualmente visibili per il processo nella memoria RAM fisica. Queste pagine sono residenti e possono essere utilizzate da un'applicazione senza originare un errore di pagina. Le dimensioni minima e massima del working set influiscono sul paging nella memoria virtuale di un processo. Avviso: l'aumento della dimensione del working set per un processo implica una diminuzione della quantità di memoria fisica disponibile per gli altri componenti del sistema. |
Increase a process working set
This privilege determines which user accounts can increase or decrease the size of a process’s working set. Default: Users The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process. Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system. |
2063 | Sicurezza di rete: limitazione di NTLM: traffico NTLM in uscita verso server remoti
Questo criterio consente di rifiutare o controllare il traffico NTLM in uscita verso i server Windows remoti dal computer con Windows 7 o Windows Server 2008 R2. Se si seleziona "Consenti tutto" o non si configura il criterio, il computer client sarà in grado di autenticare le identità in un server remoto tramite l'autenticazione NTLM. Se si seleziona "Controlla tutto", il computer client registra un evento per ogni richiesta di autenticazione NTLM a un server remoto. Ciò consente di identificare i server che ricevono richieste di autenticazione NTLM dal computer client. Se si seleziona "Rifiuta tutto", il computer client non sarà in grado di autenticare le identità in un server remoto tramite l'autenticazione NTLM. È possibile utilizzare il criterio "Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server remoti per autenticazione NTLM" per definire un elenco di server remoto nei quali i client sono autorizzati a utilizzare l'autenticazione NTLM. Questo criterio è supportato in computer con almeno Windows 7 o Windows Server 2008 R2. Nota: gli eventi di controllo e di blocco sono registrati nel computer nel registro "Operativo" che si trova in Registri applicazioni e servizi/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server. If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication. If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer. If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2064 | Sicurezza di rete: limitazione di NTLM: traffico NTLM in entrata
Questo criterio consente di rifiutare o controllare il traffico NTLM in entrata. Se si seleziona "Consenti tutto" o non si configura il criterio, il server consentirà tutte le richieste di autenticazione NTLM. Se si seleziona "Rifiuta tutti gli account di dominio", il server rifiuterà le richieste di autenticazione NTLM per l'accesso al dominio e visualizzare un errore di blocco NTLM, tuttavia verrà consentito l'accesso all'account locale.. Se si seleziona "Rifiuta tutti gli account", il server rifiuterà tutte le richieste di autenticazione del traffico in entrata e visualizzerà un errore di blocco NTLM. Questo criterio è supportato in computer con almeno Windows 7 o Windows Server 2008 R2. Nota: gli eventi di blocco sono registrati nel computer nel registro "Operativo" che si trova in Registri applicazioni e servizi/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Incoming NTLM traffic
This policy setting allows you to deny or allow incoming NTLM traffic. If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests. If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon. If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2065 | Sicurezza di rete: limitazione di NTLM: autenticazione NTLM nel dominio
Questa impostazione consente di rifiutare o consentire l'autenticazione NTLM in un dominio dal controller di dominio. L'impostazione non influisce sull'accesso interattivo al controller di dominio. Se si seleziona "Disattivato" o non si configura il criterio, il controllo di dominio consentirà tutte le richieste di autenticazione NTLM pass-through nel dominio. Se si seleziona "Rifiuta per account di dominio in server di dominio", il controller di dominio rifiuterà tutti i tentativi di accesso con autenticazione NTLM a tutti i server del dominio che utilizzano account di dominio e restituirà un errore di blocco a meno che il nome server non sia incluso nell'elenco di eccezioni del criterio Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server per autenticazione NTLM nel dominio". Se si seleziona "Rifiuta per account di dominio", il controller di dominio rifiuterà tutti i tentativi di accesso con autenticazione NTLM dagli account di dominio e restituirà un errore di blocco NTLM a meno che il nome del server non sia incluso nell'elenco di eccezioni del criterio "Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server per autenticazione NTLM nel dominio". Se si seleziona "Rifiuta per server di dominio", il controller di dominio rifiuterà le richieste di autenticazione NTLM per tutti i server nel dominio e restituirà un errore di blocco NTLM a meno che il nome del server non si trovi nell'elenco di eccezioni del criterio "Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server per autenticazione NTLM nel dominio". Se si seleziona "Rifiuta tutto", il controller di dominio rifiuterà tutte le richieste di autenticazione NTLM pass-through dai server e per i relativi account e restituirà un errore di blocco NTLM a meno che il nome del server non si trovi nell'elenco di eccezioni del criterio "Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server per autenticazione NTLM nel dominio". Questo criterio è supportato in computer con almeno Windows Server 2008 R2. Nota: gli eventi di blocco sono registrati nel computer nel registro "Operativo" che si trova in Registri applicazioni e servizi/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: NTLM authentication in this domain
This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller. If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain. If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2066 | Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server remoti per autenticazione NTLM
Questa impostazione consente di creare un elenco di eccezioni dei server remoti in cui ai client è consentito l'utilizzo dell'autenticazione NTLM se è configurata l'impostazione "Sicurezza di rete: limitazione di NTLM: traffico NTLM in uscita verso server remoti". Se si configura questa impostazione, è possibile definire un elenco di server remoti in cui ai client è consentito l'utilizzo dell'autenticazione NTLM. Se non si configura questa impostazione, non verrà applicata alcuna eccezione. Il formato di denominazione per i server è il nome di dominio completo (FQDN) o il nome server NetBIOS utilizzato dall'applicazione, elencato uno per riga. Per creare le eccezioni, è necessario inserire nell'elenco il nome utilizzato da tutte le applicazioni e per verificarne l'esattezza, il nome del server deve essere elencato in entrambi i formati di denominazione. È possibile utilizzare un asterisco (*) in qualsiasi posizione nella stringa come carattere jolly. |
Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured. If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character. |
2067 | Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server nel dominio
Questa impostazione consente di creare un elenco di eccezioni dei server nel dominio in cui ai client è consentito l'utilizzo dell'autenticazione pass-through NTLM se è configurata l'impostazione "Sicurezza di rete: limitazione di NTLM: non consentire autenticazione NTLM nel dominio". Se si configura questa impostazione, è possibile definire un elenco di server nel dominio in cui ai client è consentito l'utilizzo dell'autenticazione NTLM. Se non si configura questa impostazione, non verrà applicata alcuna eccezione. Il formato di denominazione per i server in questo elenco di eccezioni è il nome di dominio completo (FQDN) o il nome server NetBIOS utilizzato dall'applicazione chiamante, elencato uno per riga. È possibile utilizzare un asterisco (*) all'inizio o alla fine della stringa come carattere jolly. |
Network security: Restrict NTLM: Add server exceptions in this domain
This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set. If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character. |
2068 | Sicurezza di rete: consenti fallback di sessioni NULL in LocalSystem
Consente a NTLM di eseguire il fallback della sessione NULL quando viene utilizzato con LocalSystem. L'impostazione predefinita è TRUE fino a Windows Vista e FALSE in Windows 7. |
Network security: Allow LocalSystem NULL session fallback
Allow NTLM to fall back to NULL session when used with LocalSystem. The default is TRUE up to Windows Vista and FALSE in Windows 7. |
2069 | Sicurezza di rete: configura tipi di crittografia consentiti per Kerberos
Questa impostazione consente di specificare i tipi di crittografia consentiti per Kerberos. Se non è selezionata, il tipo di crittografia non sarà consentito. Questa impostazione può influire sulla compatibilità con computer client o con servizi e applicazioni. Sono consentite selezioni multiple. Questo criterio è supportato su computer con almeno Windows 7 o Windows Server 2008 R2. |
Network security: Configure encryption types allowed for Kerberos
This policy setting allows you to set the encryption types that Kerberos is allowed to use. If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted. This policy is supported on at least Windows 7 or Windows Server 2008 R2. |
2071 | Sicurezza di rete: consenti utilizzo di identità online da parte di richieste di autenticazione PKU2U a questo computer.
Questo criterio verrà disattivato per impostazione predefinita nei computer in un dominio. In tal modo l'autenticazione delle identità online nel computer nel dominio non sarà consentita. |
Network security: Allow PKU2U authentication requests to this computer to use online identities.
This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine. |
2072 | Sicurezza di rete: limitazione di NTLM: controlla traffico NTLM in ingresso
Questo criterio consente di controllare il traffico NTLM in ingresso. Se si seleziona "Disattiva" o non si configura il criterio, il server non registrerà eventi per il traffico NTLM in entrata. Se si seleziona "Attiva controllo per gli account di dominio", il server registrerà gli eventi relativi alle richieste di autenticazione pass-through NTLM che verrebbero bloccate se per l'impostazione "Sicurezza di rete: limitazione di NTLM: traffico NTLM in entrata" fosse configurata l'opzione che rifiuta tutti gli account di dominio. Se si seleziona Attiva controllo per tutti gli account", il server registrerà eventi per tutte le richieste di autenticazione NTLM che verrebbero bloccate se per l'impostazione "Sicurezza di rete: limitazione di NTLM: traffico NTLM in entrata" fosse configurata l'opzione che rifiuta tutti gli account Questo criterio è supportato su computer con almeno Windows 7 o Windows Server 2008 R2. Nota: gli eventi di controllo sono registrati nel computer nel registro "Operativo" che si trova in Registri applicazioni e servizi/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit Incoming NTLM Traffic
This policy setting allows you to audit incoming NTLM traffic. If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic. If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option. If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2073 | Sicurezza di rete: limitazione di NTLM: controlla autenticazione NTLM nel dominio
Questo criterio consente di controllare l'autenticazione NTLM in un dominio dal controller di dominio. Se si seleziona "Disattiva" o non si configura il criterio, il controller di dominio non registrerà eventi relativi all'autenticazione NTLM nel dominio. Se si seleziona "Attiva per gli account di dominio nei server di dominio", il controller di dominio registrerà gli eventi relativi ai tentativi di accesso con autenticazione NTLM per gli account di dominio nei server di dominio nei casi in cui l'autenticazione NTLM verrebbe rifiutata a causa dell'opzione "Rifiuta per account di dominio nei server di dominio" selezionata nel criterio "Sicurezza di rete: limitazione di NTLM: autenticazione NTLM nel dominio". Se si seleziona "Attiva per gli account di dominio", il controller di dominio registrerà gli eventi relativi ai tentativi di accesso con autenticazione NTLM che utilizzano account di dominio nei casi in cui l'autenticazione NTLM verrebbe bloccata a causa dell'opzione "Rifiuta per account di dominio" selezionata nel criterio "Sicurezza di rete: limitazione di NTLM: autenticazione NTLM nel dominio.. Se si seleziona "Attiva per server di dominio", il controller di dominio registrerà gli eventi relativi alle richieste di autenticazione NTLM a tutti i server nel dominio nei casi in cui l'autenticazione NTLM verrebbe bloccata a causa dell'opzione "Rifiuta per server di dominio" selezionata nel criterio "Sicurezza di rete: limitazione di NTLM: autenticazione NTLM nel dominio". Se si seleziona "Attiva tutto", il controller di dominio registrerà gli eventi relativi alle richieste di autenticazione pass-through NTLM dai server e per i relativi account, le quali verrebbero rifiutate a causa dell'opzione "Rifiuta tutto" selezionata nel criterio "Sicurezza di rete: limitazione di NTLM: autenticazione NTLM nel dominio". Questo criterio è supportato in computer con almeno Windows Server 2008 R2. Nota: gli eventi di controllo sono registrati nel computer nel registro "Operativo" che si trova in Registri applicazioni e servizi/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit NTLM authentication in this domain
This policy setting allows you to audit NTLM authentication in a domain from this domain controller. If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain. If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2074 | Sicurezza di rete: consenti al sistema locale di utilizzare l'identità del computer per NTLM
Questo criterio consente ai servizi del sistema locale che utilizzano l'autenticazione con negoziazione di utilizzare l'identità del computer per ritornare all'autenticazione NTLM. Se si abilita questa impostazione, i servizi in esecuzione con l'account di sistema locale che utilizzano l'autenticazione con negoziazione utilizzeranno l'identità del computer. Ciò potrebbe causare l'esito negativo di alcune richieste di autenticazione tra i sistemi operativi Windows, nonché la registrazione di un errore. Se si disabilita questa impostazione, i servizi in esecuzione con l'account di sistema locale che utilizzano l'autenticazione con negoziazione per tornare all'autenticazione NTLM verranno autenticati come anonimi. Per impostazione predefinita, questo criterio è abilitato in Windows 7 e versioni successive. Per impostazione predefinita, questo criterio è disabilitato in Windows Vista. Questo criterio è supportato almeno Windows Vista o Windows Server 2008. Nota: in Criteri di gruppo di Windows Vista o Windows Server 2008 questa impostazione non è presente. |
Network security: Allow Local System to use computer identity for NTLM
This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication. If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error. If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously. By default, this policy is enabled on Windows 7 and above. By default, this policy is disabled on Windows Vista. This policy is supported on at least Windows Vista or Windows Server 2008. Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy. |
2075 | Server di rete Microsoft: livello di convalida nome di destinazione SPN del server
Questa impostazione controlla il livello di convalida eseguito da un computer con cartelle e stampanti condivise (il server) sul nome principale di servizio (SPN) fornito dal computer client quando viene stabilita una sessione mediante il protocollo SMB (Server Message Block). Il protocollo SMB costituisce la base per la condivisione di file e stampa nonché per altre operazioni in rete, ad esempio l'amministrazione remota di Windows. Il protocollo SMB supporta la convalida del nome principale di servizio (SPN) del server SMB all'interno del blob di autenticazione fornito da un client SMB per impedire una classe di attacchi contro i server SMB noti come attacchi di tipo relay SMB. Questa impostazione interessa sia SMB1 sia SMB2. Questa impostazione di sicurezza determina il livello di convalida eseguito da un server SMB sul nome principale di servizio (SPN) fornito da un client SMB quando si tenta di stabilire una sessione nel server SMB. Le opzioni sono: Disattivata: il nome SPN fornito da un client SMB non è necessario o non viene convalidato dal server SMB. Accetta se fornito dal client: il server SMB accetta e convalida il nome SPN fornito dal client SMB e consente di stabilire una sessione se il nome trova corrispondenza nell'elenco di SPN del server SMB. Se il nome SPN NON corrisponde, la richiesta di sessione del client SMB viene rifiutata. Richiesto al client: il client SMB DEVE inviare un nome SPN per la configurazione della sessione e tale nome DEVE trovare corrispondenza nel server SMB a cui viene richiesta la connessione. Se non viene fornito un nome SPN dal client oppure se quello fornito non corrisponde, la sessione viene rifiutata. Impostazione predefinita: Disattivata Tutti i sistemi operativi Windows supportano sia il componente SMB lato client che quello lato server. Questa impostazione influenza il funzionamento del protocollo SMB nel server e la sua implementazione deve essere valutata e testata con attenzione per impedire interruzioni delle funzionalità dei servizi file e di stampa. Ulteriori informazioni sull'implementazione e l'utilizzo di questa impostazione per proteggere i server SMB sono disponibili nel sito Web Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505). |
Microsoft network server: Server SPN target name validation level
This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol. The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2. This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server. The options are: Off – the SPN is not required or validated by the SMB server from a SMB client. Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied. Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied. Default: Off All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505). |
2076 | Server di rete Microsoft: tentativo di S4U2Self di ottenere informazioni sulle attestazioni
Questa impostazione di sicurezza consente di supportare client che eseguono una versione di Windows anteriore a Windows 8 e tentano di accedere a una condivisione file che richiede attestazioni utente. Questa impostazione determina se il file server locale tenterà di utilizzare la funzionalità Kerberos S4U2Self (Service-For-User-To-Self) per ottenere le attestazioni dell'entità client di rete dal dominio dell'account del client. È consigliabile attivare questa impostazione solo se il file server utilizza le attestazioni utente per controllare l'accesso ai file e se il file server supporterà entità client con account che potrebbero appartenere a un dominio contenente computer client e controller di dominio che eseguono una versione di Windows precedente a Windows 8. L'impostazione dovrebbe essere impostata su Automatico (impostazione predefinita) in modo che il file server possa stabilire automaticamente se sono necessarie attestazioni per l'utente. L'amministratore dovrebbe impostare questa opzione in modo esplicito su "Attivato" solo se esistono criteri di accesso ai file locali che includono attestazioni utente. Se questa impostazione di sicurezza è attivata, il file server Windows esaminerà il token di accesso di un'entità client di rete autenticata per stabilire se sono presenti informazioni sulle attestazioni. Se non sono presenti, il file server utilizzerà la funzionalità Kerberos S4U2Self per tentare di contattare un controller di dominio Windows Server 2012 nel dominio di account del client e di ottenere un token di accesso abilitato alle attestazioni per l'entità client. Potrebbe essere necessario un token abilitato alle attestazioni per accedere ai file o alle cartelle a cui sono applicati criteri di controllo dell'accesso basato sulle attestazioni. Se l'impostazione è disattivata, il file server di Windows non tenterà di ottenere un token di accesso abilitato alle attestazioni per l'entità client. Impostazione predefinita: Automatico. |
Microsoft network server: Attempt S4U2Self to obtain claim information
This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8. This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims. When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied. If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal. Default: Automatic. |
2077 | Account: blocca gli account Microsoft
Questo criterio impedisce agli utenti di aggiungere nuovi account Microsoft al computer in uso. Se si seleziona l'opzione "Gli utenti non possono aggiungere account Microsoft gli utenti non saranno in grado di creare nuovi account Microsoft nel computer in uso, passare da un account locale a un account Microsoft o connettere un account di dominio a un account Microsoft. Questa è la scelta consigliata quando è necessario limitare l'uso degli account Microsoft nell'azienda. Se si seleziona l'opzione "Gli utenti non possono aggiungere account Microsoft né utilizzarli per effettuare l'accesso" gli account utente Microsoft esistenti non potranno accedere a Windows. Se si seleziona questa opzione, per un amministratore esistente sul computer in uso potrebbe risultare impossibile effettuare l'accesso e gestire il sistema. Se si disabilita o non si configura questo criterio (scelta consigliata), gli utenti potranno utilizzare i propri account Microsoft con Windows. |
Accounts: Block Microsoft accounts
This policy setting prevents users from adding new Microsoft accounts on this computer. If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise. If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system. If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows. |
2078 | Accesso interattivo: soglia account computer.
Il criterio di blocco del computer viene imposto solo per i computer in cui è attivata la protezione tramite Bitlocker dei volumi del sistema operativo. Verificare che siano abilitati i criteri appropriati per il backup delle password di ripristino. Questa impostazione di sicurezza determina il numero di tentativi di accesso non riusciti dopo i quali il computer viene bloccato. È possibile ripristinare un computer bloccato solo specificando la chiave di ripristino dalla console. Per il numero di tentativi di accesso non riusciti è possibile impostare un valore compreso tra 1 e 999. Se si imposta il valore 0, il computer non verrà mai bloccato. I valori da 1 a 3 vengono interpretati come 4. I tentativi non riusciti di digitazione della password su workstation o server membri bloccati tramite la combinazione CTRL+ALT+CANC o screensaver protetti da password contano come tentativi di accesso non riusciti. Il criterio di blocco del computer viene imposto solo per i computer in cui è attivata la protezione tramite Bitlocker dei volumi del sistema operativo. Verificare che siano abilitati i criteri appropriati per il backup delle password di ripristino. Impostazione predefinita: 0. |
Interactive logon: Machine account threshold.
The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled. This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled. Default: 0. |
2079 | Accesso interattivo: limite di inattività del computer.
Il sistema rileva l'inattività di una sessione di accesso e, se il tempo di inattività supera il limite di inattività, verrà eseguito lo screen saver bloccando la sessione. Impostazione predefinita: non applicato. |
Interactive logon: Machine inactivity limit.
Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session. Default: not enforced. |
2080 | Ottieni un token di rappresentazione per un altro utente nella stessa sessione.
L'assegnazione di questo privilegio a un utente consente ai programmi in esecuzione per conto di tale utente di ottenere un token di rappresentazione di altri utenti che hanno eseguito l'accesso in modo interattivo nella stessa sessione, a condizione che il chiamante abbia un token di rappresentazione dell'utente della sessione. Non applicabile in configurazioni client/server di finestre desktop in cui ogni utente ottiene una sessione distinta. |
Obtain an impersonation token for another user in the same session.
Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session. |
2081 | Accesso alla rete: limita i client a cui è consentito effettuare chiamate remote a SAM
Questa impostazione dei criteri consente di limitare le connessioni RPC remote a SAM. Se non è selezionata, verrà usato il descrittore di sicurezza predefinito. Questo criterio è supportato su almeno Windows Server 2016. |
Network access: Restrict clients allowed to make remote calls to SAM
This policy setting allows you to restrict remote rpc connections to SAM. If not selected, the default security descriptor will be used. This policy is supported on at least Windows Server 2016. |
2082 | Accesso interattivo: non visualizzare il nome utente durante l'accesso
Questa impostazione di sicurezza specifica se nella schermata di accesso di Windows deve essere visualizzato il nome dell'utente che sta effettuando l'accesso al computer, dopo che sono state immesse le credenziali e prima che venga visualizzato il desktop del PC desktop. Se questo criterio è abilitato, il nome utente non verrà visualizzato. Se il criterio è disabilitato, il nome utente verrà visualizzato. Impostazione predefinita: disabilitato. |
Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
57343 | Le impostazioni di sicurezza per questo servizio verranno modificate. La modifica delle impostazioni di sicurezza predefinite per il servizio può causare problemi dovuti a configurazioni incoerenti tra questo servizio e altri servizi che si basano su di esso. Continuare? |
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it. Do you want to continue? |
57345 | Nuove informazioni sul modello stanno per essere importate nei criteri locali di questo computer. Le impostazioni di sicurezza del sistema corrente saranno cambiate. Continuare? | You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue? |
57346 | Configurazione sicurezza computer | Configuring Computer Security |
57350 | Database di configurazione della sicurezza corrente: database "Criterio locale" %s | Current Security Configuration Database: Local Policy Database %s |
57351 | Database di configurazione della sicurezza corrente: database privato %s | Current Security Configuration Database: Private Database %s |
57352 | Generazione di informazioni di analisi in corso | Generating analysis information |
57353 | Importazione non riuscita | Import Failed |
57354 | Elementi secondari definiti | Subitems defined |
57355 | Non disponibile | Not Available |
57356 | Nuovo servizio | New Service |
57357 | Configurazione: | Configuring: |
57358 | Aggiungi &file... Aggiunge un nuovo file o una nuova cartella al modello |
Add &File... Adds a new file or folder to this template |
57359 | Aggiunge il file o la cartella al modello: | Add this file or folder to the template: |
57360 | Aggiunge un file o una cartella | Add a file or folder |
57361 | Microsoft Corporation | Microsoft Corporation |
57362 | 10.0 | 10.0 |
57363 | Modelli di sicurezza è uno snap-in MMC che offre funzionalità di modifica per i file modello di sicurezza. | Security Templates is an MMC snap-in that provides editing capabilities for security template files. |
57364 | Analisi e configurazione della sicurezza è uno snap-in MMC che offre funzionalità di analisi e configurazione della sicurezza per i computer Windows che utilizzano file modello di sicurezza. | Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files. |
57365 | Lo snap-in Impostazioni sicurezza estende lo snap-in Criteri di gruppo e consente di definire i criteri di sicurezza per i computer nel dominio. | The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain. |
57366 | &Importa criterio... Importa un file modello nell'oggetto criterio. |
&Import Policy... Import a template file into this policy object. |
57367 | &Esporta criterio... Esporta il modello dal criterio a un file. |
E&xport policy... Export template from this policy to a file. |
57368 | Il file %s è già esistente. Sovrascriverlo? |
File %s already exists. Do you want to overwrite it? |
57369 | Operazioni riuscite | Success |
57370 | Operazioni non riuscite | Failure |
57371 | Nessun controllo | No auditing |
57372 | Impossibile aggiornare i criteri. | Windows cannot update the policies. |
57373 | Impossibile copiare la sezione. | Windows cannot copy the section |
57374 | Selezione file da importare | Select File to Add |
57375 | Apri database | Open database |
57376 | Crea database | Create Database |
57377 | Esporta criterio in | Export Policy To |
57378 | Importa criterio da | Import Policy From |
57380 | Importazione modello | Import Template |
57381 | Esporta modello in | Export Template To |
57382 | Impostazione di sicurezza | Security Setting |
57384 | Impossibile aprire il database del criterio locale. | Windows cannot open the local policy database. |
57385 | Database criterio locale | Local Policy Database |
57386 | Impossibile modificare il database delle impostazioni di sicurezza locale dallo snap-in Analisi e configurazione della sicurezza. Utilizzare lo snap-in Criteri di gruppo per modificare le impostazioni di sicurezza locale. | The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings. |
57387 | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm |
57388 | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm |
57389 | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm |
57390 | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm |
57391 | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm |
57392 | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm |
57394 | Sul computer esistono nuove impostazioni criterio. Aggiornare la visualizzazione del criterio valido? | There are new policy settings on your computer. Do you want to update your view of the effective policy? |
57395 | Impostazione computer su %s | Computer setting on %s |
57396 | Impossibile creare il database, in quanto non è stato selezionato alcun file modello. Per aprire un database esistenteFare clic con il pulsante destro del mouse sull'elemento dell'ambito Analisi e configurazione della sicurezza. Scegliere Apri database. Scegliere un database e scegliere Apri. Per creare un nuovo database Fare clic con il pulsante destro del mouse sull'elemento dell'ambito Analisi e configurazione della sicurezza. Scegliere Apri database. Digitare un nuovo nome di database e scegliere Apri. Scegliere un file di configurazione della sicurezza da importare e scegliere Apri. |
This database couldn't be created because no template file was selected. To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN. |
57397 | &Sostituisci le autorizzazioni esistenti di tutte le sottochiavi con autorizzazioni ereditabili | &Replace existing permissions on all subkeys with inheritable permissions |
57398 | &Propaga le autorizzazioni ereditabili a tutte le sottochiavi | &Propagate inheritable permissions to all subkeys |
57399 | &Non consentire la sostituzione delle autorizzazioni per questa chiave | &Do not allow permissions on this key to be replaced |
57400 | Configura appartenenza per %s | Configure Membership for %s |
57401 | Scadenza ticket: | Ticket expires in: |
57402 | Il ticket non scade. | Ticket doesn't expire. |
57403 | Scadenza rinnovo ticket: | Ticket renewal expires in: |
57404 | Il rinnovo ticket è disabilitato. | Ticket renewal is disabled. |
57405 | Tolleranza massima: | Maximum tolerance: |
57407 | (Non applicabile) | Not Applicable |
57410 | Nomi utenti e gruppi | User and group names |
57411 | Aggiungi utente o gruppo | Add User or Group |
57412 | Non disconnettere i client: | Do not disconnect clients: |
57413 | Disconnettere quando il tempo di inattività supera: | Disconnect when idle time exceeds: |
57414 | Non memorizzare nella cache gli accessi alla rete: | Do not cache logons: |
57415 | Cache: | Cache: |
57416 | Richiesta cambio password prima della scadenza: | Begin prompting this many days before password expires: |
57418 | &Configura questa chiave quindi | &Configure this key then |
57419 | Impossibile salvare la descrizione della posizione globale | Could not save global location description |
57420 | Impossibile salvare la descrizione locale | Could not save location description |
57421 | Ricarica Ricarica i criteri di sicurezza |
Reload Reload the security policy |
57422 | Salvare le modifiche apportate a %1 prima di ricaricarlo? | Save changes to %1 before reloading it? |
57423 | Impostazioni sicurezza locale | Local Security Settings |
57424 | Classe impostazioni di sicurezza WSecEdit | WSecEdit Security Settings Class |
57425 | Classe impostazioni di sicurezza locale WSecEdit | WSecEdit Local Security Settings Class |
57428 | Lo snap-in Impostazioni sicurezza locale consente di definire la sicurezza sul sistema locale. | The Local Security Settings snap-in helps you define security on the local system. |
57430 | Classe impostazioni di sicurezza RSOP WSecEdit | WSecEdit RSOP Security Settings Class |
57431 | Lo snap-in RSOP Security Settings Extension estende lo snap-in RSOP e consente la visualizzazione dei criteri di protezioni risultanti per i computer nel dominio. | The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain. |
57435 | &Applica | &Apply |
57436 | Impossibile determinare le impostazioni di sicurezza dei Criteri di gruppo che sono applicabili al computer in uso. L'errore restituito durante il recupero delle impostazioni dal database dei criteri di sicurezza locale (%%windir%%\security\database\secedit.sdb) è il seguente: %s Tutte le impostazioni di sicurezza locale verranno visualizzate, ma non verrà indicato se una particolare impostazione è definita dai Criteri di gruppo. Qualsiasi impostazione di sicurezza locale modificata tramite questa interfaccia utente potrà in seguito essere sostituita di criteri a livello di dominio. |
The Group Policy security settings that apply to this machine could not be determined. The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies. |
57437 | Impossibile determinare le impostazioni di sicurezza dei Criteri di gruppo che sono applicabili al computer in uso. L'errore restituito durante il recupero delle impostazioni dal database dei criteri di sicurezza locale (%%windir%%\security\database\secedit.sdb) è il seguente: %s Tutte le impostazioni di sicurezza locale verranno visualizzate, ma non verrà indicato se una particolare impostazione è definita dai Criteri di gruppo. |
The Group Policy security settings that apply to this machine could not be determined. The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. |
57438 | File registro: | Log file: |
57439 | Nome criterio | Policy Name |
57440 | Impostazione | Setting |
57441 | Il criterio %1 è stato applicato correttamente. | The policy %1 was correctly applied. |
57442 | Si è verificato un errore durante la configurazione di un figlio dell'oggetto oppure il modulo criteri ha tentato di configurare il figlio di un'impostazione di criterio specifica con esito negativo. Per ulteriori informazioni, vedere %windir%\security\logs\winlogon.log | There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log |
57443 | Il criterio %1 ha dato come risultato il seguente errore %2. Per ulteriori informazioni, vedere %windir%\security\logs\winlogon.log nel computer di destinazione. | The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57444 | Il criterio %1 ha dato come risultato uno stato non valido ed è stato registrato. Vedere %%windir%%\security\logs\winlogon.log nel computer di destinazione per ulteriori informazioni. | The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information. |
57445 | Il modulo criteri non ha tentato di eseguire la configurazione dell'impostazione. Per ulteriori informazioni, vedere %windir%\security\logs\winlogon.log nel computer di destinazione. | The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57446 | &Visualizza sicurezza... | &View Security... |
57447 | Impossibile esportare il modello in %1. È stato restituito il seguente errore: %2 |
Couldn't export template to %1. The error returned was: %2 |
57448 | Salvare le modifiche nel database di sicurezza? | Save changes to Security Database? |
57449 | Nega accesso tramite Servizi Desktop remoto | Deny log on through Remote Desktop Services |
57450 | Consenti accesso tramite Servizi Desktop remoto | Allow log on through Remote Desktop Services |
57451 | Impossibile aggiungere il percorso di ricerca del modello | Couldn't add template search path |
57453 | \Security\Logs | \Security\Logs |
57454 | La sezione relativa alla sicurezza di questi criteri di gruppo può essere modificata solo nell'emulatore PDC. | The security portion of this group policy may only be edited on the PDC Emulator. |
57455 | L'impostazione non è compatibile con computer che eseguono Windows 2000 Service Pack 1 o precedente. Applicare oggetti Criteri di gruppo che contengono questa impostazione solo a computer che eseguono una versione successiva del sistema operativo. | This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system. |
57456 | Prima di eliminare %1, chiudere tutte le pagine delle proprietà. | Close all property pages before deleting %1 |
57457 | Il valore deve essere compreso tra %d e %d | Value must be between %d and %d |
57458 | Accesso di rete: consenti conversione anonima SID/nome | Network access: Allow anonymous SID/Name translation |
57459 | È necessario concedere agli amministratori il diritto locale di accesso. | Administrators must be granted the logon local right. |
57460 | Impossibile negare l'accesso locale a tutti gli utenti o amministratori. | You cannot deny all users or administrator(s) from logging on locally. |
57461 | Alcuni account non possono essere convertiti. | Some accounts cannot be translated. |
57462 | Per applicare le modifiche e chiudere la scheda delle proprietà, chiudere tutte le finestre secondarie. | To apply your changes or close this property sheet, close all secondary windows. |
57463 | Impossibile aprire la finestra. Impossibile creare un thread UI per la scheda delle proprietà. | The window cannot be opened. Windows cannot create a UI thread for the property sheet. |
57464 | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm |
57465 | Guida rapida | What's this? |
57466 | sct | sct |
57467 | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm |
57468 | Il valore deve essere compreso tra %d e %d o 0 | Value must be between %d and %d or 0 |
57469 | Questa opzione ha effetto soltanto sui sistemi operativi precedenti a Windows Server 2003. | This setting affects only operating systems earlier than Windows Server 2003. |
57470 | La modifica di questa impostazione potrebbe compromettere la compatibilità con client, servizi e applicazioni. %1 |
Modifying this setting may affect compatibility with clients, services, and applications. %1 |
57471 | Per ulteriori informazioni, vedere %1. (Q%2!lu!) | For more information, see %1. (Q%2!lu!) |
57472 | Questa impostazione verrà modificata con un valore che potrebbe compromettere la compatibilità con client, servizi e applicazioni. %1 Continuare? |
You are about to change this setting to a value that may affect compatibility with clients, services, and applications. %1 Do you want to continue with the change? |
57473 | È necessario concedere ai membri dei gruppi Administrators e SERVIZIO il privilegio per la rappresentazione del client dopo l'autenticazione | Administrators and SERVICE must be granted the impersonate client after authentication privilege |
57474 | È possibile che questa impostazione non venga utilizzata se un altro criterio è configurato per sostituire il criterio di controllo a livello di categoria. %1 |
This setting might not be enforced if other policy is configured to override category level audit policy. %1 |
57475 | Per ulteriori informazioni, vedere %1 nella guida di riferimento tecnico ai criteri di sicurezza. | For more information, see %1 in the Security Policy Technical Reference. |
58000 | Nessun testo esplicativo disponibile per questa azione | No explain text for this action |
58003 | Il computer verrà bloccato dopo | Machine will be locked after |
58100 | Gestisci criteri di accesso centrale... Aggiungi/Rimuovi criteri di accesso centrale in questo modello |
Manage Central Access Policies... Add/Remove Central Access Policies to this template |
58107 | Questi criteri di accesso includono le regole di criteri seguenti: | This Access Policy includes the following Policy rules: |
58108 | Stato | Status |
58109 | Download dei criteri di accesso centrale da Active Directory in corso... | Downloading central access policies from active directory... |
58110 | Errore: impossibile scaricare i criteri di accesso centrale | Error: Central access policies could not be downloaded |
58111 | Pronto... | Ready... |
58112 | !!Criterio sconosciuto!!: | !!Unknown Policy!!: |
58113 | Impossibile trovare il criterio di accesso centrale. Potrebbe essere stato eliminato da Active Directory o le impostazioni del criterio potrebbero non essere valide. Ripristinare il criterio in Centro di amministrazione di Active Directory o rimuoverlo dalla configurazione. | This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration. |
59001 | Account: limita l'uso di account locali con password vuote solo per l'accesso alla console | Accounts: Limit local account use of blank passwords to console logon only |
59002 | Controllo: controlla l'accesso di oggetti di sistema globale | Audit: Audit the access of global system objects |
59003 | Controllo: controlla l'utilizzo dei privilegi di backup e di ripristino | Audit: Audit the use of Backup and Restore privilege |
59004 | Controllo: arresto del sistema immediato se non è possibile registrare i controlli di sicurezza | Audit: Shut down system immediately if unable to log security audits |
59005 | Dispositivi: non consentire agli utenti di installare i driver della stampante | Devices: Prevent users from installing printer drivers |
59010 | Dispositivi: consenti il disinserimento senza dover effettuare l'accesso | Devices: Allow undock without having to log on |
59011 | Controller di dominio: consenti agli operatori dei server di pianificare le attività | Domain controller: Allow server operators to schedule tasks |
59012 | Controller di dominio: rifiuta cambi password account computer | Domain controller: Refuse machine account password changes |
59013 | Controller di dominio: requisiti per la firma server LDAP | Domain controller: LDAP server signing requirements |
59015 | Richiedi firma | Require signing |
59016 | Controller di dominio: disabilita cambi password account computer | Domain member: Disable machine account password changes |
59017 | Controller di dominio: validità massima password account computer | Domain member: Maximum machine account password age |
59018 | Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale sicuro (sempre) | Domain member: Digitally encrypt or sign secure channel data (always) |
59019 | Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale sicuro (quando possibile) | Domain member: Digitally encrypt secure channel data (when possible) |
59020 | Membro di dominio: aggiunta firma digitale ai dati del canale sicuro (quando possibile) | Domain member: Digitally sign secure channel data (when possible) |
59021 | Membro di dominio: richiedi chiave di sessione avanzata (Windows 2000 o versioni successive) | Domain member: Require strong (Windows 2000 or later) session key |
59022 | Accesso interattivo: non richiedere CTRL+ALT+CANC | Interactive logon: Do not require CTRL+ALT+DEL |
59023 | Accesso interattivo: non visualizzare l'ultimo accesso | Interactive logon: Don't display last signed-in |
59024 | Accesso interattivo: visualizza informazioni utente quando la sessione è bloccata | Interactive logon: Display user information when the session is locked |
59025 | Nome utente visualizzato, nomi di dominio e utente | User display name, domain and user names |
59026 | Solo nome utente visualizzato | User display name only |
59027 | Non visualizzare informazioni utente | Do not display user information |
59028 | Accesso interattivo: testo del messaggio per gli utenti che tentano l'accesso | Interactive logon: Message text for users attempting to log on |
59029 | Accesso interattivo: titolo del messaggio per gli utenti che tentano l'accesso | Interactive logon: Message title for users attempting to log on |
59030 | Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile) | Interactive logon: Number of previous logons to cache (in case domain controller is not available) |
59031 | Accesso interattivo: richiedi cambio password utente prima della scadenza | Interactive logon: Prompt user to change password before expiration |
59032 | Accesso interattivo: richiedi autenticazione controller di dominio per sbloccare la workstation | Interactive logon: Require Domain Controller authentication to unlock workstation |
59033 | Accesso interattivo: richiedi Windows Hello for Business o smart card | Interactive logon: Require Windows Hello for Business or smart card |
59034 | Accesso interattivo: funzionamento rimozione smart card | Interactive logon: Smart card removal behavior |
59035 | Nessuna operazione | No Action |
59036 | Blocca workstation | Lock Workstation |
59037 | Imponi disconnessione | Force Logoff |
59038 | Disconnetti se in sessione remota Servizi Desktop remoto | Disconnect if a remote Remote Desktop Services session |
59039 | Client di rete Microsoft: aggiungi firma digitale alle comunicazioni client (sempre) | Microsoft network client: Digitally sign communications (always) |
59040 | Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server) | Microsoft network client: Digitally sign communications (if server agrees) |
59041 | Client di rete Microsoft: invia password non crittografata per la connessione ai server SMB di terzi | Microsoft network client: Send unencrypted password to third-party SMB servers |
59042 | Server di rete Microsoft: periodo di inattività necessario prima di sospendere la sessione | Microsoft network server: Amount of idle time required before suspending session |
59043 | Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre) | Microsoft network server: Digitally sign communications (always) |
59044 | Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) | Microsoft network server: Digitally sign communications (if client agrees) |
59045 | Server di rete Microsoft: disconnetti automaticamente i client al termine dell'orario di accesso | Microsoft network server: Disconnect clients when logon hours expire |
59046 | Accesso di rete: non consentire l'archiviazione di password e credenziali per l'autenticazione di rete | Network access: Do not allow storage of passwords and credentials for network authentication |
59047 | Accesso di rete: non consentire l'enumerazione anonima degli account SAM | Network access: Do not allow anonymous enumeration of SAM accounts |
59048 | Accesso di rete: non consentire l'enumerazione anonima di account e condivisioni SAM | Network access: Do not allow anonymous enumeration of SAM accounts and shares |
59049 | Accesso di rete: applica autorizzazioni account Everyone agli utenti anonimi | Network access: Let Everyone permissions apply to anonymous users |
59050 | Accesso di rete: limita accesso anonimo a named pipe e condivisioni | Network access: Restrict anonymous access to Named Pipes and Shares |
59051 | Accesso di rete: named pipe a cui è possibile accedere in modo anonimo | Network access: Named Pipes that can be accessed anonymously |
59052 | Accesso di rete: condivisioni alle quali è possibile accedere in modo anonimo | Network access: Shares that can be accessed anonymously |
59053 | Accesso di rete: percorsi e sottopercorsi del Registro di sistema ai quali è possibile accedere in modo remoto | Network access: Remotely accessible registry paths and sub-paths |
59054 | Accesso di rete: percorsi del Registro di sistema ai quali è possibile accedere in modo remoto | Network access: Remotely accessible registry paths |
59055 | Accesso di rete: modello di condivisione e sicurezza per gli account locali | Network access: Sharing and security model for local accounts |
59056 | Classico: gli utenti locali effettuano l'autenticazione come se stessi | Classic - local users authenticate as themselves |
59057 | Solo Guest: gli utenti locali effettuano l'autenticazione come Guest | Guest only - local users authenticate as Guest |
59058 | Sicurezza di rete: non memorizzare il valore hash di LAN Manager al prossimo cambio di password | Network security: Do not store LAN Manager hash value on next password change |
59059 | Sicurezza di rete: livello di autenticazione di LAN Manager | Network security: LAN Manager authentication level |
59060 | Invia risposte LM e NTLM | Send LM & NTLM responses |
59061 | Invia LM e NTLM; usa sicurezza sessione NTLMv2 se negoziata | Send LM & NTLM - use NTLMv2 session security if negotiated |
59062 | Invia solo risposta NTLM | Send NTLM response only |
59063 | Invia solo risposta NTLMv2 | Send NTLMv2 response only |
59064 | Invia solo risposta NTLMv2, rifiuta LM | Send NTLMv2 response only. Refuse LM |
59065 | Invia solo risposta NTLMv2, rifiuta LM e NTLM | Send NTLMv2 response only. Refuse LM & NTLM |
59066 | Sicurezza di rete: sicurezza sessione minima per client basati su NTLM SSP (incluso l'RPC sicuro) | Network security: Minimum session security for NTLM SSP based (including secure RPC) clients |
59067 | Sicurezza di rete: sicurezza sessione minima per server basati su NTLM SSP (incluso l'RPC sicuro) | Network security: Minimum session security for NTLM SSP based (including secure RPC) servers |
59070 | Richiedi sicurezza sessione NTLMv2 | Require NTLMv2 session security |
59071 | Richiedi crittografia a 128 bit | Require 128-bit encryption |
59072 | Sicurezza di rete: requisiti per la firma client LDAP | Network security: LDAP client signing requirements |
59074 | Negozia firma | Negotiate signing |
59076 | Console di ripristino di emergenza: consenti accesso di amministrazione automatico | Recovery console: Allow automatic administrative logon |
59077 | Console di ripristino di emergenza: consenti la copia di dischi floppy e l'accesso a tutte le unità e cartelle | Recovery console: Allow floppy copy and access to all drives and all folders |
59078 | Arresto del sistema: consenti di arrestare il sistema senza effettuare l'accesso | Shutdown: Allow system to be shut down without having to log on |
59079 | Arresto del sistema; cancella file di paging della memoria virtuale | Shutdown: Clear virtual memory pagefile |
59080 | Oggetti di sistema: potenzia le autorizzazioni predefinite degli oggetti di sistema interni (ad esempio, i collegamenti simbolici) | System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) |
59081 | Oggetti di sistema: proprietario predefinito per gli oggetti creati dai membri del gruppo Administrators | System objects: Default owner for objects created by members of the Administrators group |
59082 | Gruppo Administrators | Administrators group |
59083 | Creatore oggetto | Object creator |
59084 | Oggetti di sistema: non richiedere distinzione tra maiuscole e minuscole per sottosistemi non Windows | System objects: Require case insensitivity for non-Windows subsystems |
59085 | Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma | System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing |
59086 | Crittografia di sistema: imponi protezione chiave avanzata per chiavi utente archiviate nel computer | System cryptography: Force strong key protection for user keys stored on the computer |
59087 | Non è necessario alcun input utente per l'archiviazione e l'utilizzo di nuove chiavi | User input is not required when new keys are stored and used |
59088 | L'utente riceve una richiesta al primo utilizzo della chiave | User is prompted when the key is first used |
59089 | L'utente deve immettere una password ogni volta che utilizza una chiave | User must enter a password each time they use a key |
59090 | Impostazioni di sistema: utilizza regole certificati con i file eseguibili di Windows per i criteri di restrizione software | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies |
59091 | Impostazioni di sistema: sottosistemi facoltativi | System settings: Optional subsystems |
59092 | accessi | logons |
59093 | giorni | days |
59094 | minuti | minutes |
59095 | secondi | seconds |
59096 | DCOM: restrizioni avvio computer nella sintassi Security Descriptor Definition Language (SDDL) | DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59097 | DCOM: restrizioni accesso computer nella sintassi Security Descriptor Definition Language (SDDL) | DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59098 | Dispositivi: limita accesso al CD-ROM agli utenti che hanno effettuato l'accesso locale | Devices: Restrict CD-ROM access to locally logged-on user only |
59099 | Dispositivi: è consentita la formattazione e la rimozione dei supporti rimovibili | Devices: Allowed to format and eject removable media |
59100 | Administrators | Administrators |
59101 | Administrators e Power Users | Administrators and Power Users |
59102 | Administrators e Interactive Users | Administrators and Interactive Users |
59103 | Dispositivi: limita accesso al disco floppy agli utenti che hanno effettuato l'accesso locale | Devices: Restrict floppy access to locally logged-on user only |
59104 | Controllo: imposizione delle impostazioni di sottocategoria del criterio di controllo (Windows Vista o versione successiva) per sostituire le impostazioni di categoria del criterio di controllo | Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings |
59105 | Sicurezza di rete: limitazione di NTLM: traffico NTLM in uscita verso server remoti | Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers |
59106 | Consenti tutto | Allow all |
59107 | Rifiuta tutto | Deny all |
59108 | Sicurezza di rete: limitazione di NTLM: traffico NTLM in ingresso | Network security: Restrict NTLM: Incoming NTLM traffic |
59110 | Rifiuta tutti gli account di dominio | Deny all domain accounts |
59111 | Rifiuta tutti gli account | Deny all accounts |
59112 | Sicurezza di rete: limitazione di NTLM: autenticazione NTLM nel dominio | Network security: Restrict NTLM: NTLM authentication in this domain |
59113 | Disattiva | Disable |
59114 | Rifiuta per gli account di dominio nei server di dominio | Deny for domain accounts to domain servers |
59115 | Rifiuta per gli account di dominio | Deny for domain accounts |
59116 | Rifiuta per i server di dominio | Deny for domain servers |
59118 | Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server remoti per autenticazione NTLM | Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication |
59119 | Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server nel dominio | Network security: Restrict NTLM: Add server exceptions in this domain |
59120 | Sicurezza di rete: consenti fallback di sessioni NULL in LocalSystem | Network security: Allow LocalSystem NULL session fallback |
59121 | Sicurezza di rete: configura tipi di crittografia consentiti per Kerberos | Network security: Configure encryption types allowed for Kerberos |
59122 | DES_CBC_CRC | DES_CBC_CRC |
59123 | DES_CBC_MD5 | DES_CBC_MD5 |
59124 | RC4_HMAC_MD5 | RC4_HMAC_MD5 |
59125 | AES128_HMAC_SHA1 | AES128_HMAC_SHA1 |
59126 | AES256_HMAC_SHA1 | AES256_HMAC_SHA1 |
59127 | Tipi di crittografia futuri | Future encryption types |
59129 | Sicurezza di rete: consenti utilizzo di identità online da parte di richieste di autenticazione PKU2U a questo computer.
|
Network security: Allow PKU2U authentication requests to this computer to use online identities.
|
59130 | Controlla tutto | Audit all |
59131 | Sicurezza di rete: limitazione di NTLM: controlla traffico NTLM in ingresso | Network security: Restrict NTLM: Audit Incoming NTLM Traffic |
59132 | Sicurezza di rete: limitazione di NTLM: controlla autenticazione NTLM nel dominio | Network security: Restrict NTLM: Audit NTLM authentication in this domain |
59133 | Sicurezza di rete: consenti a Sistema locale di utilizzare l'identità del computer per NTLM | Network security: Allow Local System to use computer identity for NTLM |
59135 | Attiva controllo per gli account di dominio | Enable auditing for domain accounts |
59136 | Attiva controllo per tutti gli account | Enable auditing for all accounts |
59138 | Attiva per gli account di dominio nei server di dominio | Enable for domain accounts to domain servers |
59139 | Attiva per gli account di dominio | Enable for domain accounts |
59140 | Attiva per i server di dominio | Enable for domain servers |
59141 | Attiva tutto | Enable all |
59142 | Server di rete Microsoft: livello di convalida nome di destinazione SPN del server | Microsoft network server: Server SPN target name validation level |
59143 | Disattivata | Off |
59144 | Accetta se fornito dal client | Accept if provided by client |
59145 | Richiesto al client | Required from client |
59146 | Server di rete Microsoft: tentativo di ottenere informazioni sulle attestazioni tramite S4U2Self | Microsoft network server: Attempt S4U2Self to obtain claim information |
59147 | Predefinito | Default |
59148 | Abilitato | Enabled |
59149 | Disabilitato | Disabled |
59150 | Account: blocca gli account Microsoft | Accounts: Block Microsoft accounts |
59151 | Questo criterio è disabilitato | This policy is disabled |
59152 | Gli utenti non possono aggiungere account Microsoft | Users can't add Microsoft accounts |
59153 | Gli utenti non possono aggiungere account Microsoft né utilizzarli per effettuare l'accesso | Users can't add or log on with Microsoft accounts |
59154 | Accesso interattivo: soglia di blocco dell'account computer | Interactive logon: Machine account lockout threshold |
59155 | Accesso interattivo: limite di inattività del computer | Interactive logon: Machine inactivity limit |
59156 | tentativi di accesso non validi | invalid logon attempts |
59157 | Accesso alla rete: limita i client a cui è consentito effettuare chiamate remote a SAM | Network access: Restrict clients allowed to make remote calls to SAM |
59158 | Accesso interattivo: non visualizzare il nome utente all'accesso | Interactive logon: Don't display username at sign-in |
File Description: | Modulo interfaccia utente configurazione della sicurezza |
File Version: | 10.0.15063.0 (WinBuild.160101.0800) |
Company Name: | Microsoft Corporation |
Internal Name: | WSECEDIT |
Legal Copyright: | © Microsoft Corporation. Tutti i diritti riservati. |
Original Filename: | WSecEdit.dll.mui |
Product Name: | Sistema operativo Microsoft® Windows® |
Product Version: | 10.0.15063.0 |
Translation: | 0x410, 1200 |