wsecedit.dll.mui Módulo de interface com o usuário do editor de configuração de segurança a898fd95b22cd4c67f6e06355456904c

File info

File name: wsecedit.dll.mui
Size: 472064 byte
MD5: a898fd95b22cd4c67f6e06355456904c
SHA1: da696073ec14f65604de3d979f2b55904bfb0986
SHA256: 4a85187e60d2d2426a19616e77f5fe5585ebda7a3a568ad3e87aea7f3baaf117
Operating systems: Windows 10
Extension: MUI

Translations messages and strings

If an error occurred or the following message in Portuguese (Brazilian) language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.

id Portuguese (Brazilian) English
1Classe de Extensão WSecEdit WSecEdit Extension Class
2Nome Name
3Descrição Description
4Política Policy
5Conf. banco de dados Database Setting
6Configuração do computador Computer Setting
7Modelo de segurança Security Template
8Modelos Templates
9Última configuração/análise Last Configuration/Analysis
10Modelos de segurança definidos para configurar ou analisar um computador. Security templates defined to configure or analyze a computer.
12Política de segurança Security Policy
13Atribuição de direitos de usuário User Rights Assignment
14Grupos restritos Restricted Groups
15Serviços do sistema System Services
16Registro Registry
17Sistema de arquivos File System
19Atribuições de direitos do usuário User rights assignments
21Configurações de serviço do sistema System service settings
22Configurações de segurança do Registro Registry security settings
23Configurações de segurança do sistema de arquivos File system security settings
24Modelos de segurança Security Templates
25(não salvo) (not saved)
26Configurações de segurança Security Settings
27Classe de Configurações de Segurança WSecEdit WSecEdit Security Configuration Class
28Classe de Gerenciador de Segurança WSecEdit WSecEdit Security Manager Class
29Tem certeza de que deseja excluir %s? Are you sure you want to delete %s?
30Você deseja excluir todos os itens selecionados? Do you want to delete all selected items?
31Ana&lisar computador agora...
Compara as configurações atuais do computador com as configurações de segurança no banco de dados selecionado
&Analyze Computer Now...
Compares the current computer settings against the security settings in the database
34Exp&ortar modelo...
Exporta o modelo base para o computador atual
&Export Template...
Exports the base template for the current computer
35&Adicionar arquivos...
Adiciona novos arquivos a este modelo
Add Fi&les...
Adds new files to this template
36&Novo caminho de pesquisa de modelo...
Adiciona o local de modelos ao caminho de pesquisa dos modelos de segurança.(.inf - formato INF)
&New Template Search Path...
Adds a template location to the Security Templates' search path (.inf - INF format)
37&Novo modelo...
Cria um novo modelo
&New Template...
Creates a new template
38&Remover caminho
Remove o local selecionado do caminho de pesquisa
&Remove Path
Removes the selected location from the search path
39A&tualizar
Atualiza este local para exibir modelos adicionados recentemente
Re&fresh
Updates this location to display recently added templates
40&Configurar computador agora...
Configura o computador de acordo com o modelo selecionado
Con&figure Computer Now...
Configures the computer according to the selected template
42O Windows não pode importar o modelo de %s Windows cannot import the template from %s
43Salvar &como...
Salva o modelo com um novo nome
Save &As...
Saves the template with a new name
44Co&piar
Copia as informações do modelo selecionado para a 'Área de transferência'
&Copy
Copies the selected template information to the Clipboard
45&Colar
Cola as informações da 'Área de transferência' no modelo
&Paste
Pastes Clipboard information into the template
46GPO de origem Source GPO
47&Atualizar
Atualiza os dados
&Refresh
Refreshes data
48Segurança é necessária para adicionar este objeto Security is required to add this object
49O Windows não pode importar o modelo de segurança Windows cannot import the security template
50Políticas de senha Password Policy
51Tempo de vida máximo da senha
Dias
Maximum password age
days
52Tempo de vida mínimo da senha
Dias
Minimum password age
days
53Comprimento mínimo da senha
Caracteres
Minimum password length
characters
54Aplicar histórico de senhas
senhas memorizadas
Enforce password history
passwords remembered
55A senha deve satisfazer a requisitos de complexidade Password must meet complexity requirements
56O usuário deve fazer logon para alterar a senha User must log on to change the password
57Política de bloqueio de conta Account Lockout Policy
58Limite de bloqueio de conta
tentativas de logon inválidas
Account lockout threshold
invalid logon attempts
59Zerar contador de bloqueios de conta após
minutos
Reset account lockout counter after
minutes
60Duração do bloqueio de conta
minutos
Account lockout duration
minutes
61Deseja excluir este modelo? Do you want to delete this template?
62O banco de dados não está carregado. The database is not loaded.
63Segurança de rede: forçar logoff quando o horário de logon terminar Network security: Force logoff when logon hours expire
65Contas: renomear conta do administrador Accounts: Rename administrator account
67Contas: renomear conta do convidado Accounts: Rename guest account
68Recarregar
Recarrega as tabelas de política local e em vigor a partir do banco de dados de políticas
Reload
Reloads the local and effective policy tables from the policy database
69Nome do grupo Group Name
70Log de eventos Event Log
71Tamanho máximo do log do sistema
kilobytes
Maximum system log size
kilobytes
72Método de retenção do log do sistema Retention method for system log
73Reter log do sistema
dias
Retain system log
days
74Tamanho máximo do log de segurança
kilobytes
Maximum security log size
kilobytes
75Método de retenção do log de segurança Retention method for security log
76Reter log de segurança
dias
Retain security log
days
77Tamanho máximo do log de aplicativo
kilobytes
Maximum application log size
kilobytes
78Método de retenção do log de aplicativo Retention method for application log
79Reter log de aplicativo
dias
Retain application log
days
80Desligar computador quando o log de auditoria de segurança estiver cheio Shut down the computer when the security audit log is full
81Política de auditoria Audit Policy
82Modo de auditoria de eventos Event Auditing Mode
83Auditoria de eventos de sistema Audit system events
84Auditoria de eventos de logon Audit logon events
85Auditoria de acesso a objetos Audit object access
86Auditoria de uso de privilégios Audit privilege use
87Auditoria de alteração de políticas Audit policy change
88Auditoria de gerenciamento de conta Audit account management
89Auditoria de acompanhamento de processos Audit process tracking
90Opções de segurança Security Options
92Não definido Not Defined
95Não é possível adicionar membros Cannot add members
96Não é possível exibir segurança Cannot display security
97Não é possível adicionar usuários Cannot add users
98Não é possível adicionar objeto de diretório Cannot add directory object
99Não é possível adicionar uma pasta Cannot add a folder
100-- membros -- Members
102Este nome de arquivo contém caracteres que talvez não sejam reconhecidos pelo idioma atual do sistema. Renomeie-o. This file name contains some characters that can not be recognized by current system language. Please rename it.
103Permissão Permission
104Auditoria Audit
106O Windows não pode adicionar um arquivo. Windows cannot add a file.
107Nome de modelo inválido. The template name is not valid.
108Erro ao exportar o modelo armazenado. An error occurred while exporting the stored template.
109O Windows não pode adicionar uma chave do Registro Windows cannot add a registry key
110Controle total Full Control
111Modificar Modify
112Ler e executar Read and Execute
113Listar Conteúdo da Pasta List Folder Contents
114Ler Read
115Gravar Write
116Percorrer Pasta/Executar Arquivo Traverse Folder/Execute File
117Excluir Delete
120Nenhum None
124Consultar valor Query Value
125Definir valor Set Value
126Criar subchave Create Subkey
127Enumerar subchaves Enumerate Subkeys
128Notificar Notify
129Criar vínculo Create Link
130Executar Execute
131Não é possível criar um thread Cannot create a thread
132As seguintes contas não puderam ser validadas: %1
The following accounts could not be validated: %1
141Nome do arquivo de log Log File Name
143Executar análise de segurança Perform Security Analysis
144Configurações de política de segurança Security policy settings
146Configuração e análise de segurança
v1.0
Security Configuration and Analysis
v1.0
147A 'Configuração e análise de segurança' é uma ferramenta administrativa usada para proteger um computador e analisar os aspectos relacionados à segurança. Você pode criar ou editar um modelo de segurança, aplicar o modelo de segurança, executar uma análise baseada em um modelo e exibir o resultado da análise. Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results.
148A última análise foi executada em
Last analysis was performed on
149Descrição da configuração de segurança base:
Base security configuration description:
150O computador foi configurado de acordo com o modelo a seguir.
Nenhuma análise foi executada.
The computer was configured by the following template.
Analysis was not performed.
151O computador nunca foi configurado ou analisado usando-se a configuração e análise de segurança. The database has not been configured or analyzed using Security Configuration and Analysis.
152Sobre a 'Configuração e análise de segurança' About Security Configuration and Analysis
153Sobre a Última análise About Last Analysis
154Adicionar um local de modelo aos modelos de segurança Add a Template Location to Security Templates
165Nome do objeto Object Name
166Valores inconsistentes Inconsistent Values
168Abrir modelo Open Template
169Modelo de segurança (.inf)|*.inf|| Security Template (.inf)|*.inf||
170inf inf
171Abrir arquivo de log de erros Open Error Log File
172log log
173Arquivos de log (.log)|*.log|| Log files (.log)|*.log||
193Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations
194O Windows não pode abrir o arquivo de modelo. Windows cannot open template file.
195O Windows não pode ler as informações do modelo. Windows cannot read template information.
196Não há informações sobre análise disponíveis no banco de dados selecionado para exibição. Use a opção de menu 'Analisar' para começar a usar esta ferramenta. There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool.
1970 0
198Conforme necessário As needed
199Por dias By days
200Manualmente Manually
201Habilitada Enabled
202Desabilitada Disabled
203Ligada On
204Desligada Off
205Não definida Not Defined
210Membros Members
211Membro de Member Of
214CLASSES_ROOT CLASSES_ROOT
215MACHINE MACHINE
216USERS USERS
217Com êxito Succeeded
229Erro desconhecido Unknown error
232\Security\Templates \Security\Templates
233Acesso a este computador pela rede Access this computer from the network
234Permitir logon local Allow log on locally
235Falha ao salvar Failed to save
236&Salvar
Salvar o modelo
&Save
Save the template
237Software\Microsoft\Windows NT\CurrentVersion\SecEdit Software\Microsoft\Windows NT\CurrentVersion\SecEdit
238Adicionar pasta Add Folder
239Adicionar &pasta...
Adiciona uma nova pasta a este modelo
Add &Folder...
Adds a new folder to this template
240Adicionar c&have...
Adiciona uma nova chave a este modelo
Add &Key...
Adds a new key to this template
241Adicionar &Grupo...
Adiciona um novo grupo a este modelo
Add &Group...
Adds a new group to this template
248Nome do serviço Service Name
249Inicializar Startup
250Analisado Analyzed
251Configurado Configured
252Automático Automatic
253Manual Manual
254OK OK
255Investigar Investigate
256Segurança de banco de dados para Database Security for
257Última segurança analisada para Last Analyzed Security for
258Segurança para Security for
262Associação de Grupo Group Membership
263Membros deste grupo Members of this group
266Políticas de conta Account Policies
267Políticas de bloqueio de contas e senhas Password and account lockout policies
268Políticas locais Local Policies
269Políticas de opções de auditoria, direitos do usuário e segurança Auditing, user rights and security options policies
271Configurações do 'Log de eventos' e de 'Visualizador de Eventos' Event Log settings and Event Viewer
272Auditoria de acesso ao serviço de diretório Audit directory service access
273Auditoria de eventos de logon de conta Audit account logon events
275Impedir que o grupo de convidados locais acesse o log de sistema Prevent local guests group from accessing system log
276Impedir que o grupo de convidados locais acesse o log de segurança Prevent local guests group from accessing security log
277Impedir que o grupo de convidados locais acesse o log do aplicativo Prevent local guests group from accessing application log
278Sempre Always
281Ignorar Ignore
284Substituir Replace
286Fazer logon como um trabalho em lotes Log on as a batch job
287Fazer logon como um serviço Log on as a service
288Objetos do Active Directory Active Directory Objects
289Gerenciamento de segurança de objetos do Active Directory Security management of Active Directory objects
290Adicionar &Objeto de Diretório
Adiciona um objeto do Active Directory a este modelo
Add Directory &Object
Adds an Active Directory object to this template
293Listar pasta/Ler dados List folder / Read data
294Ler atributos Read attributes
295Ler atributos estendidos Read extended attributes
296Criar arquivos / Gravar dados Create files / Write data
297Criar pastas/Acrescentar dados Create folders / Append data
298Gravar atributos Write attributes
299Gravar atributos estendidos Write extended attributes
300Excluir subpastas e arquivos Delete subfolders and files
302Permissões de leitura Read permissions
303Alterar permissões Change permissions
304Apropriar-se Take ownership
305Sincronizar Synchronize
306Ler, gravar e executar Read, Write and Execute
307Gravar e executar Write and Execute
308Desviar / executar Traverse / Execute
309Somente esta pasta This folder only
310Esta pasta, subpastas e arquivos This folder, subfolders and files
311Esta pasta e subpastas This folder and subfolders
312Esta pasta e arquivos This folder and files
313Subpastas e arquivos somente Subfolders and files only
314Subpastas somente Subfolders only
315Arquivos somente Files only
316Esta chave somente This key only
317Esta chave e subchaves This key and subkeys
318Subchaves somente Subkeys only
321Iniciar, parar e pausar Start, stop and pause
322Modelo de consulta Query template
323Alterar modelo Change template
324Status da consulta Query status
325Enumerar dependentes Enumerate dependents
326Iniciar Start
327Parar Stop
328Pausar e continuar Pause and continue
329Interrogar Interrogate
330Controle definido pelo usuário User-defined control
335Criar filhos Create children
336Excluir filhos Delete children
337Listar conteúdo List contents
338Adicionar ou remover a si mesmo Add/remove self
339Ler propriedades Read properties
340Gravar propriedades Write properties
341Este contêiner somente This container only
342Este contêiner e sub-contêineres This container and subcontainers
343Sub-contêineres somente Subcontainers only
344[[Local Computer Policy Configuration ]] [[Local Computer Policy Configuration ]]
345Sem bloqueio de conta. Account will not lock out.
346Permitir alteração da senha imediatamente. Password can be changed immediately.
347Senha não necessária. No password required.
348Não manter histórico de senhas. Do not keep password history.
349A senha expirará em: Password will expire in:
350A senha pode ser alterada após: Password can be changed after:
351A senha deve ter pelo menos: Password must be at least:
352Manter histórico da senha por: Keep password history for:
353Bloquear conta após: Account will lock out after:
354Conta bloqueada por: Account is locked out for:
355Substituir eventos com mais de: Overwrite events older than:
356A senha nunca expira. Password will not expire.
357Conta bloqueada até que um administrador a desbloqueie. Account is locked out until administrator unlocks it.
359Armazenar senhas usando criptografia reversível Store passwords using reversible encryption
360Políticas do Kerberos Kerberos Policy
361Impor restrições ao logon do usuário Enforce user logon restrictions
362Tolerância máxima para a sincronização do relógio do
computador (minutos)
Maximum tolerance for computer clock synchronization
minutes
363Tempo de vida máximo para tíquetes de serviço
minutos
Maximum lifetime for service ticket
minutes
364Tempo de vida máximo para permissão de usuário
horas
Maximum lifetime for user ticket
hours
365Tempo de vida máximo para renovação da permissão de usuário
dias
Maximum lifetime for user ticket renewal
days
366Adicionar membro Add Member
368Não há memória suficiente disponível para exibir esta seção There is not enough memory to display this section
369Não há informações disponíveis sobre a última análise No information is available about the last analysis
370O Windows não pode salvar modelos alterados. Windows cannot save changed templates.
372Configuração e análise de segurança Security Configuration and Analysis
374&Importar modelo...
Importa um modelo para este banco de dados
&Import Template...
Import a template into this database
376O Windows não pode criar ou abrir %s Windows cannot create or open %s
377Localizar arquivo de log de erros Locate error log file
378sdb sdb
379Arquivos do banco de dados de segurança (*.sdb)|*.sdb|Todos arquivos (*.*)|*.*|| Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*||
380Aplicar modelo ao computador Apply Template to Computer
381Caminho do arquivo de log de erros para registrar o progresso de configuração do computador Error log file path to record the progress of configuring the computer
382&Segurança... &Security...
383Editar segurança para este sistema Edit security for this item
384Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration
385&Segurança...
Editar segurança para este item
&Security...
Edit security for this item
386EnvironmentVariables EnvironmentVariables
387%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|
388Abrir ba&nco de dados...
Abre um banco de dados novo ou existente
O&pen Database...
Open an existing or new database
389&Novo banco de dados...
Cria e abre um novo banco de dados
&New Database...
Create and open a new database
390&Definir descrição...
Cria uma descrição para os modelos neste diretório
Set Descri&ption...
Create a description for the templates in this directory
392\help\sce.chm \help\sce.chm
395Todos os Arquivos (*.*)|*.*|| All files (*.*)|*.*||
396Banco de dados: %s Database: %s
397Erro desconhecido ao tentar abrir o banco de dados. An unknown error occurred when attempting to open the database.
398Antes de usar o banco de dados, é necessário analisá-lo. No menu 'Banco de dados', selecione a opção para executar uma análise. Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis.
399O banco de dados que você está tentando abrir não existe. No menu 'Banco de dados', clique em 'Importar modelo'. The database you are attempting to open does not exist. On the Database menu, click Import Template.
400O banco de dados está corrompido. Para obter informações sobre como corrigir o banco de dados, consulte a 'Ajuda' on-line. The database is corrupt. For information about fixing the database, see online Help.
401Memória insuficiente para carregar o banco de dados. Feche alguns programas e tente novamente. There is not enough memory available to load the database. Close some programs and then try again.
402Acesso ao banco de dados negado. A menos que as permissões no banco de dados tenham sido alteradas, você deve ter direitos de administrador para usá-lo. Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it.
403\Security\Database \Security\Database
404Deseja salvar as alterações em %s? Do you want to save changes to %s?
405Há um modelo importado existente pendente. Para salvar, clique em 'Cancelar' e execute uma análise ou configuração antes de importar outro modelo. Para ignorar o modelo importado anterior, clique em 'OK'.
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK.
406Todos os Arquivos Selecionados All Selected Files
407Negar logon local Deny log on locally
408Negar acesso a este computador pela rede Deny access to this computer from the network
409Negar logon como um serviço Deny log on as a service
410Negar logon como um trabalho em lotes Deny log on as a batch job
411Adicionar Grupo Add Group
412&Grupo: &Group:
413Não analisado Not Analyzed
414Erro ao analisar Error Analyzing
416Configuração sugerida Suggested Setting
417Política local...
Cria um arquivo de modelo a partir das configurações da política local
Local Policy ...
Create template file from the local policy settings
418Política em vigor...
Cria um arquivo de modelo a partir das configurações da política em vigor
Effective Policy ...
Create template file from the effective policy settings
419Configuração e Análise de Segurança Para abrir um Banco de Dados Existente Clique com o botão direito do mouse no item de escopo Configuração e Análise de Segurança Clique em Abrir Banco de Dados Selecione um banco de dados e clique em Abrir Para Criar um Novo Banco de Dados Clique com o botão direito do mouse no item de escopo Configuração e Análise de Segurança Clique em Abrir Banco de Dados Digite um novo nome de banco de dados e clique em Abrir Selecione um modelo de segurança para importar e clique em Abrir Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open
420
422O banco de dados que você está tentando abrir não existe. The database you are attempting to open does not exist.
423É possível criar um novo banco de dados de política local selecionando Importar política a partir dos comandos do menu Configurações de segurança. You can create a new local policy database by choosing Import Policy from the Security Settings menu commands.
424Acesso ao banco de dados negado. Access to database has been denied.
425Exibi&r arquivo de log
Ativa/desativa exibição do arquivo de log ou árvore de pastas quando a 'Configuração de segurança' e o 'Nó de análise' estiverem selecionados
View Lo&g File
Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected
426Você já pode configurar ou analisar o computador usando as configurações de segurança deste banco de dados. Para Configurar o ComputadorClique com o botão direito do mouse no item de escopo Configuração e Análise de Segurança Selecione Configurar Computador AgoraNa caixa de diálogo, digite o nome do arquivo de log que deseja exibir e clique em OKOBSERVAÇÃO: Ao concluir a configuração, você deve executar uma análise para exibir as informações no banco de dadosPara Analisar as Configurações de Segurança do Computador Clique com o botão direito do mouse no item de escopo Configuração e Análise de SegurançaSelecione Analisar Computador AgoraNa caixa de diálogo, digite o caminho do arquivo de log e clique em OKOBSERVAÇÃO: Para exibir o arquivo de log criado durante uma configuração ou análise, selecione Exibir Arquivo de Log no menu de contexto Configuração e Análise de Segurança. You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu.
427 Erro ao ler local Error Reading Location
429Configuração de política Policy Setting
430A&ssistente de segurança...
Assistente de função de servidor de segurança
Secure &Wizard...
Secure Server Role Wizard
431O Windows não pode importar o modelo inválido %s Windows cannot import invalid template %s
432Contas: status de conta de administrador Accounts: Administrator account status
433Contas: status de conta de convidado Accounts: Guest account status
434Propriedades Properties
435O nome de usuário não é válido. Ele está em branco ou não pode conter nenhum dos caracteres a seguir:
%1
The username is not valid. It is empty or it may not contain any of the following characters:
%1
436Sem mínimo No minimum
437É possível que nomes de usuário e grupo não contenham um dos seguintes caracteres:
%1
User and group names may not contain any of the following characters:
%1
438O sistema não pode encontrar o caminho especificado:
%1
The system can not find the path specified:
%1
439O nome de arquivo não pode conter os seguintes caracteres:
%1
File name may not contain any of the following characters:
%1
440Deve ser selecionado um modo de inicialização. A startup mode must be selected.
441O objeto "%1" não pode ser excluído porque uma janela aberta está exibindo suas propriedades.
Para excluir este objeto, feche a janela e selecione 'Excluir' novamente.
Object "%1" cannot be deleted because an open window is displaying its properties.
To delete this object, close that window and select "Delete" again.
442Configurar Participação para %.17s... Configure Membership for %.17s...
443Zerar contador de bloqueios de conta após Reset account lockout counter after
444&Definir descrição...
Cria uma descrição para este modelo
Set Descri&ption...
Create a description for this template
445A descrição não pode conter os seguintes caracteres:
%1
Description may not contain any of the following characters:
%1
446Configuração de modelo Template Setting
449Certifique-se de que você tem as permissões corretas para este objeto. Make sure that you have the right permissions to this object.
450Certifique-se de que este objeto existe. Make sure that this object exists.
451A pasta %1 não pode ser usada. Escolha outra pasta. The folder %1 cannot be used. Choose another folder.
452Meu computador My Computer
453O nome do arquivo é muito longo. The file name is too long.
552spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm
697O nome de arquivo não pode conter apenas os seguintes caracteres:
%1
File name may not only contain any of the following characters:
%1
698%1
Este nome de arquivo é um nome de dispositivo reservado.
Escolha outro nome.
%1
This file name is a reserved device name.
Choose another name.
699O tipo de arquivo não está correto. The file type is not correct.
700Você deve ser membro do grupo 'Administradores' para executar a operação solicitada. You must be a member of the Administrators group to perform the requested operation.
701O nome de arquivo %1 não é válido.
Digite novamente o nome de arquivo no formato correto, como c:\local\arquivo.%2.
The file name %1 is not valid.
Reenter the file name in the correct format, such as c:\location\file.%2.
702Não foi feito mapeamento entre os nomes de conta e as identificações de segurança No mapping between account names and security IDs was done
709Para afetar as contas de domínio, esta configuração deve ser definida na política de domínio padrão. To affect domain accounts, this setting must be defined in default domain policy.
718Política de Segurança Local Local Security Policy
740%1%2 %1%2
741%1%2
%3
%1%2
%3
745Especial Special
753Configurações de Segurança para Acesso Remoto a SAM Security Settings for Remote Access to SAM
754Acesso Remoto Remote Access
762Política de Acesso Central Central Access Policy
763Políticas de Acesso Central aplicadas ao sistema de arquivos Central Access Policies applied to the file system
764!!Política desconhecida!!: !!Unknown policy!!:
765%1 %2 %1 %2
1900Impor histórico de senhas

Configuração de segurança que determina o número de novas senhas exclusivas que devem ser associadas a uma conta de usuário para que uma senha antiga possa ser reutilizada. O valor deve estar entre 0 e 24 senhas.

Esta política permite aos administradores melhorar a segurança garantindo a não utilização das senhas an tigas.

Padrão:

24 em controladores de domínio.
0 em servidores autônomos.

Observação: por padrão, computadores membros seguem a configuração dos controladores de domínio.
Para manter a eficiência do histórico de senhas, não permita que as senhas sejam alteradas imediatamente após a alteração, habilitando a configuração de política de segurança Duração mínima da senha. Para obter informações sobre a configuração de política de segurança de duração mínima da senha, consulte Duração mínima da senha.
Enforce password history

This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords.

This policy enables administrators to enhance security by ensuring that old passwords are not reused continually.

Default:

24 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age.
1901Duração máxima da senha

Configuração de segurança que determina o período de tempo (em dias) que uma senha pode ser usada antes da alteração ser solicitada pelo sistema. Você pode definir o vencimento da senha entre 1 e 999 dias ou pode especificar que as senhas nunca vencem definindo o número de dias como 0. Se a duração máxima da senha for entre 1 e 999 dias, a duração mínima deverá ser menor. Se a duração máxima da senha for definida como 0, a duração mínima poderá ser qualquer valor entre 0 e 998 dias.

Observação: a prática de segurança ideal é as senhas perderem a validade a cada 30 a 90 dias, dependendo do ambiente. Dessa maneira, um invasor terá uma quantidade limitada de tempo para violar a senha do usuário e ter acesso aos recursos da rede.

Padrão: 42.
Maximum password age

This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days.

Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources.

Default: 42.
1902Duração mínima da senha

Configuração de segurança que determina o período de tempo (em dias) que uma senha deve ser usada antes de o usuário poder alterá-la. Você pode definir o valor entre 1 e 998 dias ou pode permitir alterações imediatamente definindo o número de dias como 0.

A duração minima da senha deve ser menor que a duração máxima, a menos que a duração máxima seja definida como 0, o que indica que as senhas nunca perderão a validade. Se a duração máxima da senha for definida como 0, a duração mínima poderá ser definida como qualquer valor entre 0 e 998.

Configure a duração mínima como mais de 0 para que a configuração de segurança Impor histórico de senhas seja eficiente. Sem uma duração mínima da senha, os usuários podem usar as mesmas senhas repetidamente até encontrarem uma antiga favorita. A configuração padrão não segue essa recomendação, para que um administrador possa especificar uma senha para um usuário e, em seguida, exigir que o usuário altere a senha definida pelo administrador quando fizer logon. Se o histórico de senhas for definido como 0, o usuário não precisará escolher uma nova senha. Por essa razão, a configuração Impor histórico de senhas é definida como 1 por padrão.

Padrão:

1 em controladores de domínio.
0 em servidores autônomos.

Observação: por padrão, computadores membros seguem a configuração dos controladores de domínio.
Minimum password age

This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0.

The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.

Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default.

Default:

1 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1903Comprimento mínimo da senha

Configuração de segurança que determina o menor número de caracteres que a senha de uma conta de usuário pode conter. Você pode definir um valor entre 1 e 14 caracteres ou pode estabelecer que não há necessidade de senha definindo o número de caracteres como 0.

Padrão:

7 em controladores de domínio.
0 em servidores autônomos.

Observação: por padrão, computadores membros seguem a configuração dos controladores de domínio.
Minimum password length

This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0.

Default:

7 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1904A senha deve atender os requisitos de complexidade

Configuração de segurança que determina se as senhas devem atender os requisitos de complexidade.

Se essa política estiver habilitada, as senhas deverão atender aos seguintes requisitos mínimos:

Não conter o nome da conta ou mais de dois caracteres consecutivos de partes do nome completo do usuário
Ter pelo menos seis caracteres
Conter caracteres de três destas quatro categorias:
Maiúsculos (A-Z)
Minúsculos (a-z)
Dígitos de base 10 (0 a 9)
Não alfabéticos (por exemplo, !, $, #, %)
Os requisitos de complexidade são impostos quando as senhas são alteradas ou criadas.



Padrão:

habilitado em controladores de domínio.
Desabilitado em servidores autônomos.

Observação: por padrão, computadores membros seguem a configuração dos controladores de domínio.
Password must meet complexity requirements

This security setting determines whether passwords must meet complexity requirements.

If this policy is enabled, passwords must meet the following minimum requirements:

Not contain the user's account name or parts of the user's full name that exceed two consecutive characters
Be at least six characters in length
Contain characters from three of the following four categories:
English uppercase characters (A through Z)
English lowercase characters (a through z)
Base 10 digits (0 through 9)
Non-alphabetic characters (for example, !, $, #, %)
Complexity requirements are enforced when passwords are changed or created.



Default:

Enabled on domain controllers.
Disabled on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1905Armazenar senhas usando criptografia reversível

Configuração de segurança que determina se o sistema operacional armazena senhas usando criptografia reversível.

Esta política oferece suporte aos aplicativos que usam protocolos que exigem conhecimento da senha do usuário para fins de autenticação. Armazenar senhas usando criptografia reversível é praticamente o mesmo que armazenar versões das senhas em texto não criptografado. Por essa razão, essa política não deve ser habilitada a menos que os requisitos do aplicativo superem a necessidade de proteger as informações da senha.

Esta política é necessária ao usar a autenticação do protocolo CHAP por meio de acesso remoto ou Serviços de Autenticação da Internet (IAS). Também é necessária ao usar a Autenticação Digest nos Serviços de Informações da Internet (IIS).

Padrão: desabilitada.
Store passwords using reversible encryption

This security setting determines whether the operating system stores passwords using reversible encryption.

This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.

This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS).

Default: Disabled.
1906Duração do bloqueio de conta

Configuração de segurança que determina o número de minutos durante o qual uma conta permanece bloqueada antes de ser automaticamente desbloqueada. O intervalo disponível é de 0 a 99.999 minutos. Se você definir a duração do bloqueio da conta como 0, a conta ficará bloqueada até um administrador desbloqueá-la explicitamente.

Se um limite de bloqueio de conta for definido, a duração do bloqueio deverá ser maior ou igual ao tempo de redefinição.

Padrão: nenhum, pois a configuração dessa política tem significado apenas quando um Limite de bloqueio da conta é especificado.
Account lockout duration

This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it.

If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1907Limite de bloqueio de conta

Configuração de segurança que determina o número de tentativas de logon sem êxito que provocam o bloqueio de uma conta de usuário. Uma conta bloqueada não pode ser usada até ser redefinida por um administrador ou até a duração do bloqueio vencer. Você pode definir um valor entre 0 e 999 tentativas de logon sem êxito. Se você definir o valor como 0, a conta nunca será bloqueada.

Tentativas de senha sem êxito em estações de trabalho ou servidores membros que foram bloqueados por meio de CTRL+ALT+DELETE ou proteções de tela protegidas por senha contam como tentativas de logon sem êxito.

Padrão: 0.
Account lockout threshold

This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts.

Default: 0.
1908Zerar contador de bloqueios de conta após

Configuração de segurança que determina o número de minutos que devem passar após uma tentativa de logon sem êxito antes de o respectivo contador de tentativas de logon inválidas ser zerado. O intervalo disponível é de 1 a 99.999 minutos.

Se um limite de bloqueio de conta for definido, esse tempo de redefinição deverá ser menor ou igual à Duração do bloqueio de conta.

Padrão: nenhum, pois a configuração dessa política tem significado apenas quando um Limite de bloqueio de conta é especificado.
Reset account lockout counter after

This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes.

If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1909Impor restrições ao logon do usuário

Configuração de segurança que determina se o Centro de Distribuição de Chaves (KDC) Kerberos V5 valida cada solicitação de tíquete de sessão em relação à política de direitos da conta do usuário. A validação de cada solicitação de tíquete de sessão é opcional, pois a etapa adicional leva tempo e pode tornar lento o acesso da rede aos serviços.

Padrão: habilitada.
Enforce user logon restrictions

This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services.

Default: Enabled.
1910Tempo de vida máximo para o tíquete de serviço

Configuração de segurança que determina o tempo máximo (em minutos) que um tíquete de sesssão concedido pode ser usado para acessar um determinado serviço. A configuração deve ser superior a 10 minutos e inferior ou igual à configuração de Tempo de vida máximo para o tíquete de usuário.

Se um cliente apresentar um tíquete de sessão vencido ao solicitar uma conexão com um servidor, o servidor retornará uma mensagem de erro. O cliente deve solicitar um novo tíquete de sessão ao Centro de Distribuição de Chaves (KDC) Kerberos V5. No entanto, após a autenticação de uma conexão, não importará mais a validade do tíquete de sessão. Os tíquetes de sessão são usados apenas para autenticar novas conexões com servidores. Operações em andamento não serão interrompidas se o tíquete de sessão usado para autenticar a conexão vencer durante a conexão.

Padrão: 600 minutos (10 horas).
Maximum lifetime for service ticket

This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket.

If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection.

Default: 600 minutes (10 hours).
1911Tempo de vida máximo para o tíquete de usuário

Configuração de segurança que determina o período de tempo (em dias) durante o qual o tíquete de concessão de tíquete (TGT) de um usuário pode ser usado.

Padrão: 10 horas.
Maximum lifetime for user ticket

This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used.

Default: 10 hours.
1912Tempo de vida máximo para a renovação do tíquete de usuário

Configuração de segurança que determina o período de tempo (em dias) durante o qual o tíquete de concessão de tíquete (TGT) de um usuário pode ser renovado.

Padrão: 7 dias.
Maximum lifetime for user ticket renewal

This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed.

Default: 7 days.
1913Tolerância máxima para a sincronização do relógio do computador

Configuração de segurança que determina a diferença máxima de tempo (em minutos) que Kerberos V5 tolera entre a hora no relógio do cliente e a hora no controlador de domínio que está executando o Windows Server 2003 que fornece a autenticação Kerberos.

Para evitar "ataques de repetição", Kerberos V5 usa carimbos de data/hora como parte de sua definição de protocolo. Para que os carimbos de data/hora funcionem corretamente, os relógios do cliente e do controlador de domínio precisam estar o máximo possível sincronizados. Ou seja, ambos os computadores devem ter definidas a mesma data e hora. Como os relógios dos dois computadores normalmente estão dessincronizados, os administradores podem usar essa política para estabelecer a diferença máxima aceitável para Kerberos V5 entre o relógio do cliente e o relógio do controlador de domínio. Se a diferença entre o relógio do cliente e o do controlador de domínio for menor que a diferença máxima de tempo especificada nessa política, qualquer carimbo de data-hora usado em uma sessão entre os dois computadores será considerado autêntico.

Importante

Esta configuração não é persistente em plataformas anteriores ao Vista. Se você definir essa configuração e reiniciar o computador em seguida, ela será revertida ao valor padrão.

Padrão: 5 minutos.
Maximum tolerance for computer clock synchronization

This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication.

To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic.

Important

This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value.

Default: 5 minutes.
1914Auditoria de eventos de logon de conta

Esta configuração de segurança determina se o SO fará uma auditoria sempre que este computador validar as credenciais de uma conta.

Os membros do domínio e as máquinas agregadas que não pertencem ao domínio são autoritativas em relação às suas contas locais; todos os controladores de domínio são autoritativos em relação às contas no domínio. A validação de credenciais pode suportar um logon local ou, no caso de uma conta de domínio do Active Directory em um controlador de domínio, o logon em outro computador. A validação de credenciais não é monitorada pelo estado para que não haja um evento de logoff correspondente para eventos de logon de conta.

Se essa configuração de política for definida, o administrador poderá especificar se deseja fazer a auditoria de êxitos, falhas, êxitos e falhas ou se não auditará esses eventos (por exemplo, nenhum êxito e nenhuma falha).

Valores padrão nas edições de Cliente:

Validação de Credenciais: Sem Auditoria
Operações do Tíquete de Serviço Kerberos: Sem Auditoria
Outros Eventos de Logon de Conta: Sem Auditoria
Serviço de Autenticação Kerberos: Sem Auditoria

Valores padrão nas edições do Servidor:

Validação de Credenciais: Êxito
Operações de Tíquete de Serviço Kerberos: Êxito
Outros Eventos de Logon de Conta: Sem Auditoria
Serviço de Autenticação Kerberos: Êxito

Importante: para obter mais controle sobre as políticas de auditoria, use as configurações no nó de Configuração Avançada de Política de Auditoria. Para obter mais informações sobre a Configuração Avançada de Política de Auditoria, consulte https://go.microsoft.com/fwlink/?LinkId=140969.
Audit account logon events

This security setting determines whether the OS audits each time this computer validates an account’s credentials.

Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Credential Validation: No Auditing
Kerberos Service Ticket Operations: No Auditing
Other Account Logon Events: No Auditing
Kerberos Authentication Service: No Auditing

Default values on Server editions:

Credential Validation: Success
Kerberos Service Ticket Operations: Success
Other Account Logon Events: No Auditing
Kerberos Authentication Service: Success

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1915Gerenciamento de conta de auditoria

Esta configuração de segurança determina a necessidade ou não de auditar cada evento de gerenciamento de contas de um computador. Os exemplos de eventos de gerenciamento de contas incluem:

Uma conta de usuário ou grupo é criada, alterada ou excluída.
Uma conta de usuário é renomeada, desabilitada ou habilitada.
Uma senha é definida ou alterada.
Se você definir essa configuração de política, poderá especificar se deseja fazer a auditoria de êxitos, falhas ou não auditar nenhum tipo de evento. As auditorias de êxitos geram uma entrada de auditoria quando um evento de gerenciamento de conta é bem-sucedido. As auditorias de falhas geram uma entrada de auditoria quando um evento de gerenciamento de conta falha. Para definir esse valor como Sem auditoria, na caixa de diálogo Propriedades dessa configuração de política, marque a caixa de seleção Definir estas configurações de políticas e desmarque as caixas de seleção Êxito e Falha.

Valores padrão nas edições de Cliente:

Gerenciamento de Conta de Usuário: Êxito
Gerenciamento de Conta de Computador: Sem Auditoria
Gerenciamento de Grupo de Segurança: Êxito
Gerenciamento de Grupo de Distribuição: Sem Auditoria
Gerenciamento de Grupo de Aplicativos: Sem Auditoria
Outros Eventos de Gerenciamento de Contas: Sem Auditoria

Valores padrão nas edições de Servidor:

Gerenciamento de Conta de Usuário: Êxito
Gerenciamento de Conta de Computador: Êxito
Gerenciamento de Grupo de Segurança: Êxito
Gerenciamento de Grupo de Distribuição: Sem Auditoria
Gerenciamento de Grupo de Aplicativos: Sem Auditoria
Outros Eventos de Gerenciamento de Contas: Sem Auditoria

Importante: para obter mais controle sobre as políticas de auditoria, use as configurações no nó de Configuração Avançada de Política de Auditoria. Para obter mais informações sobre a Configuração Avançada de Política de Auditoria, consulte https://go.microsoft.com/fwlink/?LinkId=140969.
Audit account management

This security setting determines whether to audit each event of account management on a computer. Examples of account management events include:

A user account or group is created, changed, or deleted.
A user account is renamed, disabled, or enabled.
A password is set or changed.
If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default values on Client editions:

User Account Management: Success
Computer Account Management: No Auditing
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Default values on Server editions:

User Account Management: Success
Computer Account Management: Success
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1916Auditoria de acesso ao serviço de diretório

Esta configuração de segurança determina se o SO fará a auditoria das tentativas do usuário de acessar os objetos do Active Directory. A auditoria só é gerada para objetos que têm SACL (listas de controle de acesso ao sistema) especificadas e somente se o tipo de acesso solicitado (como Gravar, Ler ou Modificar) e a conta que está fazendo a solicitação corresponderem à SACL.

O administrador pode especificar se deseja fazer a auditoria de êxitos, falhas, êxitos e falhas ou se não deseja auditar nenhum tipo de evento (por exemplo, nenhum êxito e nenhuma falha).

Se a Auditoria de êxitos estiver habilitada, uma entrada de auditoria será gerada sempre que uma conta acessar com êxito um objeto de Diretório com uma SACL correspondente especificada.

Se a Auditoria de falhas estiver habilitada, uma entrada de auditoria será gerada sempre que um usuário não conseguir acessar um objeto de Diretório com uma SACL correspondente especificada.

Valores padrão nas edições de Cliente:

Acesso ao Serviço de Diretórios: Sem Auditoria
Alterações no Serviço de Diretório: Sem Auditoria
Replicação do Serviço de Diretório: Sem Auditoria
Replicação Detalhada do Serviço de Diretório: Sem Auditoria

Valores padrão nas edições do Servidor:

Acesso ao Serviço de Diretórios: Êxito
Alterações no Serviço de Diretório: Sem Auditoria de Diretório
Replicação de Serviço: Sem Auditoria
Replicação Detalhada do Serviço de Diretório: Sem Auditoria

Importante: para obter mais controle sobre as políticas de auditoria, use as configurações no nó de Configuração Avançada de Política de Auditoria. Para obter mais informações sobre a Configuração Avançada de Política de Auditoria, consulte https://go.microsoft.com/fwlink/?LinkId=140969.
Audit directory service access

This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified.

Default values on Client editions:

Directory Service Access: No Auditing
Directory Service Changes: No Auditing
Directory Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Default values on Server editions:

Directory Service Access: Success
Directory Service Changes: No Auditing Directory
Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1917Eventos de logon de auditoria

Esta configuração de segurança determina a necessidade de o SO fazer a auditoria de cada instância de tentativa de logon ou logoff de um usuário neste computador.

Eventos de logoff são gerados sempre que a sessão de logon de conta de um usuário é encerrada. Se essa configuração de política for definida, o administrador poderá especificar se deseja fazer a auditoria de êxitos, falhas, êxitos e falhas ou se nenhum tipo de evento será auditado (por exemplo, nenhum êxito e nenhuma falha).

Valores padrão nas edições de Cliente:

Logon: Êxito
Logoff: Êxito
Bloqueio de Conta: Êxito
Modo Principal do IPsec: Sem Auditoria
Modo Rápido do IPsec: Sem Auditoria
Modo Estendido do IPsec: Sem Auditoria
Logon Especial: Êxito
Outros Eventos de Logon/Logoff: Sem Auditoria
Servidor de Políticas de Rede: Êxito, Falha

Valores padrão nas edições do Servidor:
Logon: Êxito, Falha
Logoff: Êxito
Bloqueio de Conta: Êxito
Modo Principal do IPsec: Sem Auditoria
Modo Rápido do IPsec: Sem Auditoria
Modo Estendido do IPsec: Sem Auditoria
Logon Especial: Êxito
Outros Eventos de Logon/Logoff: Sem Auditoria
Servidor de Políticas de Rede: Êxito, Falha

Importante: para obter mais controle sobre as políticas de auditoria, use as configurações no nó de Configuração Avançada de Política de Auditoria. Para obter mais informações sobre a Configuração Avançada de Política de Auditoria, consulte https://go.microsoft.com/fwlink/?LinkId=140969.
Audit logon events

This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer.

Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Logon: Success
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Default values on Server editions:
Logon: Success, Failure
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1918Auditoria de acesso a objetos

Esta configuração de segurança determina a necessidade ou não de o SO fazer a auditoria das tentativas de um usuário acessar objetos que não pertencem ao Active Directory. A auditoria só é gerada para objetos que possuem listas de controle de acesso ao sistema especificadas e somente se o tipo de acesso solicitado (como Gravar, Ler ou Modificar) e a conta que está fazendo a solicitação corresponderem à lista de controle de acesso ao sistema.

O administrador pode especificar se deseja fazer a auditoria de êxitos, falhas, êxitos e falhas ou nenhum tipo de evento (por exemplo, nenhum êxito e nenhuma falha).

Se a Auditoria de êxitos estiver habilitada, uma entrada de auditoria será gerada sempre que uma conta acessar com êxito um objeto que não pertence ao Diretório com uma lista de controle de acesso ao sistema especificada.

Se a Auditoria de falhas estiver habilitada, uma entrada de auditoria será gerada sempre que um usuário não conseguir acessar um objeto que não pertence ao Diretório com uma lista de controle de acesso ao sistema especificada.

Lembre-se de que você pode definir uma SACL em um objeto do sistema de arquivos usando a guia Segurança da caixa de diálogo Propriedades.

Padrão: sem auditoria.

Importante: para obter mais controle sobre as políticas de auditoria, use as configurações no nó de Configuração Avançada de Política de Auditoria. Para obter mais informações sobre a Configuração Avançada de Política de Auditoria, consulte https://go.microsoft.com/fwlink/?LinkId=140969.
Audit object access

This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified.

Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box.

Default: No auditing.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1919Alteração da política de auditoria

Esta configuração de segurança determina se o SO fará a auditoria de cada instância de tentativas de alteração da política de atribuição de direitos, políticas de auditoria, políticas de conta ou políticas de confiança do usuário.

O administrador pode especificar se deseja fazer a auditoria de êxitos, falhas, êxitos e falhas ou não auditar nenhum desses eventos (por exemplo, nenhum êxito e nenhuma falha).

Se a Auditoria de êxitos estiver habilitada, uma entrada de auditoria será gerada quando houver êxito na tentativa de alteração da política de atribuição de direitos, da política de auditoria ou da política de confiança do usuário.

Se a Auditoria de falhas estiver habilitada, uma entrada de auditoria será gerada quando uma conta que não possui autorização para fazer a alteração de política solicitada tentar alterar a política de atribuição de direitos, a política de auditoria ou a política de confiança do usuário.

Padrão:

Alteração na Política de Auditoria: Êxito
Alteração na Política de Autenticação: Êxito
Alteração na Política de Autorização: Sem Auditoria
Alteração na Política de Nível de Regra MPSSVC: Sem Auditoria
Alteração na Política da Plataforma de Filtragem: Sem Auditoria
Outros Eventos de Alteração na Política: Sem Auditoria

Importante: para obter mais controle sobre as políticas de auditoria, use as configurações no nó de Configuração Avançada da Política de Auditoria. Para obter mais informações sobre a Configuração Avançada da Política de Auditoria, consulte https://go.microsoft.com/fwlink/?LinkId=140969.
Audit policy change

This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful.

If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change.

Default:

Audit Policy Change: Success
Authentication Policy Change: Success
Authorization Policy Change: No Auditing
MPSSVC Rule-Level Policy Change: No Auditing
Filtering Platform Policy Change: No Auditing
Other Policy Change Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1920Auditoria de uso de privilégios

Configuração de segurança que determina a necessidade ou não de fazer a auditoria de cada instância de um usuário exercendo seu direito.

Se você definir essa configuração de política, poderá especificar se deseja fazer a auditoria de êxitos, falhas ou nenhum tipo de evento. As auditorias de êxitos geram uma entrada de auditoria quando o exercício de um direito do usuário é bem-sucedido. As auditorias de falhas geram uma entrada de auditoria quando o exercício de um direito do usuário falha.

Para definir esse valor como Sem auditoria, na caixa de diálogo Propriedades dessa configuração de política, marque a caixa de seleção Definir estas configurações de políticas e desmarque as caixas de seleção Êxito e Falha.

Padrão: sem auditoria.

Não são geradas auditorias de uso dos direitos a seguir, mesmo que sejam especificadas auditorias de êxitos ou falhas em Auditoria de uso de privilégios. Habilitar auditoria desses direitos do usuário costuma gerar muitos eventos no log de segurança, o que pode prejudicar o desempenho do computador. Para auditar os direitos de usuário a seguir, habilite a chave FullPrivilegeAuditing do Registro.

Ignorar percurso completo
Depurar programas
Criar um objeto token
Substituir um token no nível de processo
Gerar auditorias de segurança
Fazer backup de arquivos e diretórios
Restaurar arquivos e diretórios

Atenção

A edição incorreta do Registro pode causar danos graves ao sistema. Antes de fazer alterações no Registro, faça backup de qualquer dado importante do computador.

Importante: para obter mais controle sobre as políticas de auditoria, use as configurações no nó de Configuração Avançada da Política de Auditoria. Para obter mais informações sobre a Configuração Avançada da Política de Auditoria, consulte https://go.microsoft.com/fwlink/?LinkId=140969.
Audit privilege use

This security setting determines whether to audit each instance of a user exercising a user right.

If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails.

To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default: No auditing.

Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key.

Bypass traverse checking
Debug programs
Create a token object
Replace process level token
Generate security audits
Back up files and directories
Restore files and directories

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1921Auditoria de controle de processos

Configuração de segurança que determina a necessidade ou não de o SO fazer a auditoria de eventos relacionados ao processo, como criação de processo, encerramento de processo, duplicação e acesso indireto a objetos.

Se essa configuração de política for definida, o administrador poderá especificar se deseja fazer a auditoria de êxitos, falhas, êxitos e falhas ou nenhum tipo de evento (por exemplo, nenhum êxito e nenhuma falha).

Se a Auditoria de êxito for habilitada, será gerada uma entrada de auditoria sempre que o SO executar uma dessas atividades relacionadas ao processo.

Se a Auditoria de falhas for habilitada, uma entrada de auditoria será gerada sempre que o SO não conseguir executar uma dessas atividades.

Padrão: Sem auditoria

Importante: para obter mais controle sobre as políticas de auditoria, use as configurações no nó de Configuração Avançada da Política de Auditoria. Para obter mais informações sobre a Configuração Avançada da Política de Auditoria, consulte https://go.microsoft.com/fwlink/?LinkId=140969.
Audit process tracking

This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities.

If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities.

Default: No auditing\r

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1922Auditoria de eventos de sistema

Configuração de segurança que determina a necessidade ou não de o SO fazer a auditoria de um dos seguintes eventos:

• o tentativa de alteração de horário do sistema
• tentativa de inicialização ou desligamento do sistema de segurança
• tentativas de carregar componentes de autenticação extensível
• perda de eventos que passaram por auditoria devido à falha no sistema de auditoria
• o tamanho do log de segurança excede o nível de limite de aviso configurável.

Se essa configuração de política for definida, o administrador poderá especificar se deseja fazer a auditoria de êxitos, falhas, êxitos e falhas ou nenhum tipo de evento (por exemplo, nenhum êxito e nenhuma falha).

Se a Auditoria de êxitos for habilitada, uma entrada de auditoria será gerada sempre que o SO executar uma dessas atividades com êxito.

Se a Auditoria de falhas for habilitada, uma entrada de auditoria será gerada sempre que o SO não conseguir executar uma dessas atividades.

Padrão:
Alteração no Estado de Segurança Êxito
Extensão do Sistema de Segurança Sem Auditoria
Integridade do Sistema Êxito, Falha
Driver do IPsec Sem Auditoria
Outros Evento do Sistema Êxito, Falha

Importante: para obter mais controle sobre as políticas de auditoria, use as configurações no nó de Configuração Avançada da Política de Auditoria. Para obter mais informações sobre a Configuração Avançada da Política de Auditoria, consulte https://go.microsoft.com/fwlink/?LinkId=140969.
Audit system events

This security setting determines whether the OS audits any of the following events:

• Attempted system time change
• Attempted security system startup or shutdown
• Attempt to load extensible authentication components
• Loss of audited events due to auditing system failure
• Security log size exceeding a configurable warning threshold level.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully.

If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities.

Default:
Security State Change Success
Security System Extension No Auditing
System Integrity Success, Failure
IPsec Driver No Auditing
Other System Events Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1923Acesso a este computador pela rede

Este direito do usuário determina quais usuários e grupos têm permissão para se conectar ao computador pela rede. Os Serviços de Área de Trabalho Remota não são afetados por este direito do usuário.

Observação: os Serviços de Área de Trabalho Remota eram chamados de Serviços de Terminal nas versões anteriores do Windows Server.

Padrão em estações de trabalho e servidores:
Administradores
Operadores de Backup
Usuários
Todos

Padrão em controladores de domínio:

Administradores

Usuários Autenticados

Controladores de Domínio da Empresa

Todos

Acesso Compatível com Versões Anteriores ao Windows 2000
Access this computer from the network

This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone

Default on domain controllers:
Administrators
Authenticated Users
Enterprise Domain Controllers
Everyone
Pre-Windows 2000 Compatible Access
1924Atuar como parte do sistema operacional

Direito do usuário que permite a um processo representar qualquer usuário sem autenticação. Assim, o processo pode ter acesso aos mesmos recursos locais que esse usuário.

Processos que exijam esse privilégio devem usar a conta LocalSystem, que já o inclui, em vez de usar outra conta de usuário com esse privilégio especialmente atribuído. Se a sua organização usa apenas servidores membros da família Windows Server 2003, não é preciso atribuir esse privilégio aos usuários. No entanto, se a sua organização usa servidores com Windows 2000 ou Windows NT 4.0, talvez seja necessário atribuir esse privilégio para usar aplicativos que trocam senhas em texto não criptografado.

Atenção

Atribuir esse direito do usuário pode colocar em risco a segurança. Atribua esse direito somente a usuário confiáveis.

Padrão: nenhum.
Act as part of the operating system

This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user.

Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: None.
1925Adicionar estações de trabalho ao domínio

Configuração de segurança que determina os grupos ou usuários que podem adicionar estações de trabalho a um domínio.

Ela é válida apenas em controladores de domínio. Por padrão, qualquer usuário autenticado tem esse direito e pode criar até 10 contas de computador no domínio.

Adicionar uma conta de computador ao domínio permite ao computador participar do sistema de rede baseado no Active Directory. Por exemplo, adicionar uma estação de trabalho a um domínio permite à estação de trabalho reconhecer contas e grupos existentes no Active Directory.

Padrão: Usuários Autenticados em controladores de domínio.

Observação: usuários que tenham a permissão para criar objetos de computador no contêiner de computadores do Active Directory também poderão criar contas de computador no domínio. A diferença é que os usuários com permissões no contêiner não estão restritos à criação de apenas 10 contas de computador. Além disso, as contas de computador criadas usando o recurso de adicionar estações de trabalho ao domínio têm Administradores de Domínio como proprietários da conta, enquanto aquelas criadas por meio de permissões no contêiner de computadores têm como criador o proprietário da conta do computador. Se um usuário tiver permissões no contêiner e também tiver o direito do usuário Adicionar estações de trabalho ao domínio, o computador será adicionado com base nas permissões do contêiner de computadores e não no direito do usuário.

Add workstations to domain

This security setting determines which groups or users can add workstations to a domain.

This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain.

Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory.

Default: Authenticated Users on domain controllers.

Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right.

1926Ajustar cotas de memória para um processo

Privilégio que determina quem pode alterar a quantidade máxima de memória consumida por um processo.

Esse direito do usuário é definido no objeto de Política de Grupo Controlador de Domínio Padrão e na política de segurança local de estações de trabalho e servidores.

Observação: esse privilégio é útil para ajuste do sistema, mas pode ser usado incorretamente, como em um ataque de negação.

Padrão: Administradores
Serviço Local
Serviço de Rede.

Adjust memory quotas for a process

This privilege determines who can change the maximum memory that can be consumed by a process.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack.

Default: Administrators
Local Service
Network Service.

1927Logon local

Determina os usuários que podem fazer logon no computador.

Importante

Modificar esta configuração poderá afetar a compatibilidade com clientes, serviços e aplicativos. Para obter informações de compatibilidade desta configuração, consulte Permitir logon local (https://go.microsoft.com/fwlink/?LinkId=24268 ) no site da Microsoft.

Padrão:

• Em estações de trabalho e servidores: Administradores, Operadores de Backup, Usuários Avançados, Usuários e Convidado.
• Em controladores de domínio: Operadores de Conta, Administradores, Operadores de Backup e Operadores de Impressão.
Log on locally

Determines which users can log on to the computer.

Important

Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website.

Default:

• On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest.
• On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators.
1928Permitir logon pelos Serviços de Área de Trabalho Remota

Esta configuração de segurança determina quais usuários ou grupos têm permissão para fazer logon como cliente de Serviços de Área de Trabalho Remota.

Padrão:

Em estações de trabalho e servidores: Administradores, Usuários de Área de Trabalho Remota.
Em controladores de domínio: Administradores.

Importante

Esta configuração não tem efeito em computadores com Windows 2000 sem a atualização do Service Pack 2.

Allow log on through Remote Desktop Services

This security setting determines which users or groups have permission to log on as a Remote Desktop Services client.

Default:

On workstation and servers: Administrators, Remote Desktop Users.
On domain controllers: Administrators.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.

1929Fazer backup de arquivos e diretórios

Direito do usuário que determina os usuários que podem ignorar permissões de diretório, Registro e outros objetos persistentes com a finalidade de fazer backup do sistema.

Especificamente, esse direito do usuário é semelhante a conceder as seguintes permissões ao usuário ou grupo em questão para todos os arquivos e pastas do sistema:

Percorrer Pasta/Executar Arquivo
Listar Pasta/Ler Dados
Ler Atributos
Ler Atributos Estendidos
Permissões de Leitura

Atenção

Atribuir esse direito do usuário pode colocar em risco a segurança. Como não há maneira de verificar se um usuário está fazendo backup de dados, roubando dados ou copiando para distribuí-los, atribua esse direito apenas a usuários confiáveis.

Padrão em estações de trabalho e servidores: Administradores
Operadores de Backup.

Padrão em controladores de domínio: Administradores
Operadores de Backup
Operadores de Servidores

Back up files and directories

This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
List Folder/Read Data
Read Attributes
Read Extended Attributes
Read Permissions

Caution

Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users.

Default on workstations and servers: Administrators
Backup Operators.

Default on domain controllers:Administrators
Backup Operators
Server Operators

1930Ignorar percurso completo

Direito do usuário que determina os usuários que podem percorrer árvores de diretório, embora não tenham permissões no diretório atravessado. Esse privilégio não permite ao usuário listar o conteúdo de um diretório, somente percorrer diretórios.

Esse direito do usuário é definido no objeto de Política de Grupo Controlador de Domínio Padrão e na política de segurança local de estações de trabalho e servidores.

Padrão em estações de trabalho e servidores:
Administradores
Operadores de Backup
Usuários
Todos
Serviço Local
Serviço de Rede

Padrão em controladores de domínio:
Administradores
Usuários Autenticado
Todos
Serviço Local
Serviço de Rede
Acesso Compatível com Versões Anteriores ao Windows 2000

Bypass traverse checking

This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone
Local Service
Network Service

Default on domain controllers:
Administrators
Authenticated Users
Everyone
Local Service
Network Service
Pre-Windows 2000 Compatible Access

1931Alterar a hora do sistema

Direito do usuário que determina os usuários e grupos que podem alterar a data e a hora no relógio interno do computador. Os usuários que têm esse direito atribuído podem afetar a aparência dos logs de eventos. Se a data e a hora do sistema forem alteradas, os eventos registrados refletirão essa data e hora novas e não aquelas em que os eventos realmente ocorreram.

Esse direito do usuário é definido no objeto de Política de Grupo Controlador de Domínio Padrão e na política de segurança local de estações de trabalho e servidores.

Padrão em estações de trabalho e servidores:
Administradores
Serviço Local

Padrão em controladores de domínio:
Administradores
Operadores de Servidor
Serviço Local

Change the system time

This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Local Service

Default on domain controllers:
Administrators
Server Operators
Local Service

1932Criar um arquivo de paginação

Direito do usuário que determina os usuários e grupos que podem chamar uma interface de programação de aplicativo (API) interna para criar um arquivo de paginação e alterar o tamanho desse arquivo. Esse direito do usuário é usado internamente pelo sistema operacional e normalmente não precisa ser atribuído aos usuários.

Para obter informações sobre como especificar o tamanho do arquivo de paginação de uma determinada unidade, consulte Para alterar o tamanho do arquivo de paginação da memória virtual.

Padrão: Administradores.

Create a pagefile

This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users.

For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file.

Default: Administrators.

1933Criar um objeto token

Configuração de segurança que determina as contas que podem ser usadas por processos para criar um token que pode ser usado para obter acesso a qualquer recurso local quando o processo usa uma interface de programação de aplicativo (API) interna para criar um token de acesso.

Esse direito do usuário é usado internamente pelo sistema operacional. A menos que seja necessário, não atribua esse direito a outro usuário, grupo ou processo que não seja Sistema Local.

Atenção

Atribuir esse direito do usuário pode colocar em risco a segurança. Não atribua esse direito do usuário a qualquer usuário, grupo ou processo que não deva assumir o controle do sistema.
Padrão: Nenhum.

Create a token object

This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token.

This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.
Default: None

1934Criar objetos globais

Configuração de segurança que determina se os usuários podem criar objetos globais disponíveis para todas as sessões. Os usuários podem criar objetos específicos da sessão mesmo sem esse direito atribuído. Os usuários que podem criar objetos globais podem afetar processos executados em sessões de outros usuários, o que pode causar falhas em aplicativos ou fazer com que os dados fiquem corrompidos.

Atenção

Atribuir esse direito do usuário pode colocar em risco a segurança. Atribua esse direito somente a usuários confiáveis.

Padrão:

Administradores
Serviço Local
Serviço de Rede
Serviço
Create global objects

This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption.

Caution

Assigning this user right can be a security risk. Assign this user right only to trusted users.

Default:

Administrators
Local Service
Network Service
Service
1935Criar objetos compartilhados permanentemente

Direito do usuário que determina as contas que podem ser usadas pelos processos para criar um objeto de diretório usando o gerenciador de objetos.

Esse direito do usuário é usado internamente pelo sistema operacional e é útil para componentes do modo kernel que estendem o namespace de objeto. Como os componentes executados no modo kernel já têm esse direito do usuário atribuído, não é necessário atribuí-lo especificamente.

Padrão: nenhum.
Create permanent shared objects

This user right determines which accounts can be used by processes to create a directory object using the object manager.

This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it.

Default: None.
1936Depurar programas

Direito do usuário que determina os usuários que podem conectar um depurador a qualquer processo ou ao kernel. Os desenvolvedores que estão depurando seus próprios aplicativos não precisam desse direito do usuário atribuído. Os que estão depurando novos componentes do sistema precisam. Esse direito do usuário fornece acesso completo a componentes sigilosos e importantes do sistema operacional.

Atenção

Atribuir esse direito do usuário pode colocar em risco a segurança. Atribua esse direito somente a usuários confiáveis.

Padrão: Administradores
Debug programs

This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: Administrators
1937Negar acesso a este computador pela rede

Configuração de segurança que determina aqueles usuários e grupos que não têm permissão para acessar um computador pela rede. Esta configuração de política prevalecerá sobre a configuração de política Acesso a este computador pela rede se uma conta do usuário estiver sujeita a ambas.

Padrão: Convidado
Deny access to this computer from the network

This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies.

Default: Guest
1938Negar logon como um trabalho em lotes

Configuração de segurança que determina as contas que não podem fazer logon como um trabalho em lotes. Esta configuração de política prevalecerá sobre a configuração de política Fazer logon como um trabalho em lotes se uma conta do usuário estiver sujeita a ambas.

Padrão: Nenhum.

Deny log on as a batch job

This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies.

Default: None.

1939Negar logon como um serviço

Configuração de segurança que determina as contas de serviço que não podem registrar um processo como serviço. Essa configuração de política prevalecerá sobre a configuração de política Fazer logon como um serviço se uma conta do usuário estiver sujeita a ambas.

Observação: esta configuração de segurança não se aplica às contas Sistema, Serviço Local ou Serviço de Rede.

Padrão: nenhum.
Deny log on as a service

This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies.

Note: This security setting does not apply to the System, Local Service, or Network Service accounts.

Default: None.
1940Negar logon local

Configuração de segurança que determina os usuários que não podem fazer logon no computador. Esta configuração de política prevalecerá sobre a configuração de política Permitir logon local se uma conta estiver sujeita a ambas.

Importante

Se você aplicar esta política de segurança ao grupo Todos, ninguém poderá fazer logon localmente.

Padrão: nenhum.
Deny log on locally

This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies.

Important

If you apply this security policy to the Everyone group, no one will be able to log on locally.

Default: None.
1941Negar logon pelos Serviços de Área de Trabalho Remota

Esta configuração de segurança determina quais usuários ou grupos não podem fazer logon como cliente dos Serviços de Área de Trabalho Remota.

Padrão: nenhum.

Importante

Esta configuração não tem efeito em computadores com Windows 2000 sem a atualização do Service Pack 2.
Deny log on through Remote Desktop Services

This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client.

Default: None.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.
1942Habilitar computador e contas de usuário para serem confiáveis para delegação

Configuração de segurança que determina os usuários que podem definir a configuração Confiável para Delegação para um usuário ou objeto de computador.

O usuário ou objeto que tem esse privilégio concedido deve ter acesso para gravação aos sinalizadores de controle da conta no usuário ou no objeto do computador. Um processo de servidor executado em um computador (ou em um contexto de usuário) que seja confiável para delegação pode acessar recursos em outro computador usando credenciais delegadas de um cliente, desde que a conta do cliente não tenha definido o sinalizador de controle da conta Conta não pode ser delegada.

Esse direito de usuário é definido no objeto de Política de Grupo Controlador de Domínio Padrão e na política de segurança local de estações de trabalho e servidores.

Atenção

O uso incorreto desse direito de usuário ou da Configuração Confiável para Delegação pode tornar a rede vulnerável a ataques sofisticados por meio de programas cavalo de Troia que representam clientes de entrada e usam as credenciais dele para obter acesso aos recursos da rede.

Padrão: Administradores em controladores de domínio.
Enable computer and user accounts to be trusted for delegation

This security setting determines which users can set the Trusted for Delegation setting on a user or computer object.

The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Caution

Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources.

Default: Administrators on domain controllers.
1943Forçar o desligamento a partir de um sistema remoto

Configuração de segurança que determina os usuários que podem desligar um computador em um local remoto da rede. O uso incorreto deste direito do usuário pode resultar em negação de serviço.

Esse direito do usuário é definido no objeto de Política de Grupo Controlador de Domínio Padrão e na política de segurança local de estações de trabalho e servidores.

Padrão:

Em estações de trabalho e servidores: Administradores.
Em controladores de domínio: Administradores, Operadores de Servidor.
Force shutdown from a remote system

This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default:

On workstations and servers: Administrators.
On domain controllers: Administrators, Server Operators.
1944Gerar auditoria de segurança

Configuração de segurança que determina as contas que podem ser usadas por um processo para adicionar entradas ao log de segurança. O log de segurança é usado para rastrear o acesso não autorizado ao sistema. O uso incorreto deste direito do usuário pode resultar na geração de muitos eventos de auditoria, possivelmente ocultando a evidência de um ataque ou causando uma negação de serviço se estiver habilitada a configuração de política de segurança Auditoria: desligar o sistema imediatamente se não for possível o log de auditorias de segurança. Para obter mais informações, consulte Auditoria: desligar o sistema imediatamente se não for possível o log de auditorias de segurança

Padrão: serviço local
Serviço de Rede.
Generate security audits

This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits

Default: Local Service
Network Service.
1945Representar um cliente após autenticação

Atribuir este privilégio a um usuário permite aos programas em execução em nome desse usuário representar um cliente. Exigir este direito do usuário para esse tipo de representação impede um usuário não autorizado de convencer um cliente a se conectar (por exemplo, por chamada de procedimento remoto (RPC) ou pipes nomeados) a um serviço que tenha criado e, em seguida, representar esse cliente, o que pode elevar as permissões do usuário não autorizado aos níveis administrativo ou de sistema.

Atenção

Atribuir esse direito do usuário pode colocar em risco a segurança. Atribua esse direito somente a usuários confiáveis.

Padrão:

Administradores
Serviço Local
Serviço de Rede
Serviço

Observação: por padrão, serviços iniciados pelo Gerenciador de Controle de Serviços têm o grupo Serviço interno adicionado aos tokens de acesso. Servidores COM (Component Object Model) iniciados pela infraestrutura COM e configurados para executar em uma conta específica também têm o grupo Serviço adicionado aos seus tokens de acesso. Como resultado, esses serviços obtêm este direito do usuário quando são iniciados.

Além disso, um usuário também pode representar um token de acesso se alguma das condições a seguir existir.

O token de acesso que está sendo representado for para este usuário.
O usuário, nesta sessão de logon, criou o token de acesso fazendo logon na rede com credenciais explícitas.
O nível solicitado for inferior a Representar, como Anônimo ou Identificar.
Por causa desses fatores, os usuários normalmente não precisam desse direito.

Para obter mais informações, procure "SeImpersonatePrivilege" no Microsoft Platform SDK.

Aviso

Se você habilitar esta configuração, os programas que anteriormente tinham o privilégio Representar poderão perdê-lo e talvez não funcionem mais.
Impersonate a client after authentication

Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default:

Administrators
Local Service
Network Service
Service

Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started.

In addition, a user can also impersonate an access token if any of the following conditions exist.

The access token that is being impersonated is for this user.
The user, in this logon session, created the access token by logging on to the network with explicit credentials.
The requested level is less than Impersonate, such as Anonymous or Identify.
Because of these factors, users do not usually need this user right.

For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK.

Warning

If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run.
1946Aumentar a prioridade de planejamento

Configuração de segurança que determina as contas que podem usar um processo com acesso Propriedade de Gravação a outro processo para aumentar a prioridade de execução atribuída a outro processo. Um usuário com este privilégio pode alterar a prioridade de agendamento de um processo por meio da interface do usuário do Gerenciador de Tarefas.

Padrão: Administradores.
Increase scheduling priority

This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface.

Default: Administrators.
1947Carregar e descarregar drivers de dispositivos

Direito do usuário que determina os usuários que podem carregar e descarregar dinamicamente drivers de dispositivo e outro código no modo kernel. Este direito do usuário não se aplica aos drivers de dispositivo Plug and Play. Não é recomendado atribuir este privilégio aos outros usuários.

Atenção

Atribuir esse direito do usuário pode colocar em risco a segurança. Não atribua esse direito do usuário a qualquer usuário, grupo ou processo que não deva assumir o controle do sistema.

Padrão em estações de trabalho e servidores: Administradores.

Padrão em controladores de domínio:
Administradores
Operadores de Impressão
Load and unload device drivers

This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.

Default on workstations and servers: Administrators.

Default on domain controllers:
Administrators
Print Operators
1948Bloquear páginas na memória

Configuração de segurança que determina as contas que podem usar um processo para manter dados na memória física, o que impede o sistema de fazer a paginação dos dados na memória virtual do disco. O uso deste privilégio pode afetar significativamente o desempenho do sistema, reduzindo a quantidade de memória RAM disponível.

Padrão: nenhum.
Lock pages in memory

This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM).

Default: None.
1949Fazer logon como um trabalho em lotes

Configuração de segurança que permite a um usuário fazer logon por meio de um recursos de fila em lotes e é fornecido apenas para compatibilidade com versões anteriores do Windows.

Por exemplo, quando um usuário envia um trabalho pelo agendador de tarefas, o agendador faz o logon desse usuário como em lote, em vez de um usuário interativo.


Padrão: Administradores
Operadores de Backup.
Log on as a batch job

This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows.

For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user.


Default: Administrators
Backup Operators.
1950Fazer logon como um serviço

Configuração de segurança que permite que uma entidade de segurança faça logon como um serviço. Os serviços podem ser configurados para serem executados em contas Sistema Local, Serviço Local ou Serviço de Rede, que têm o direito de fazer logon como um serviço. É preciso atribuir esse direito a todos os serviços que são executados em contas de usuário separadas.

Configuração padrão: nenhuma.
Log on as a service

This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right.

Default setting: None.
1951Gerenciar a auditoria e o log de segurança

Configuração de segurança que determina os usuários que podem especificar opções de auditoria de acesso a objetos para recursos individuais, como arquivos objetos do Active Directory e chaves do Registro.

Esta configuração de segurança não permite ao usuário habilitar auditorias de acesso a arquivos e objetos de maneira geral. Para que esse tipo de auditoria seja habilitado, a configuração Auditoria de acesso a objetos deve estar configurada em Configuração de Computadores\Configurações do Windows\Configurações de Segurança\Políticas Locais\Políticas de Auditoria.

Você pode exibir eventos auditorados no log de segurança de Visualizador de Eventos. Um usuário com este privilégio também pode exibir e limpar o log de segurança.

Padrão: Administradores.
Manage auditing and security log

This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys.

This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured.

You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log.

Default: Administrators.
1952Alterar valores de ambiente de firmware

Configuração de segurança que determina quem pode modificar valores de ambiente de firmware. Variáveis de ambiente de firmware são configurações armazenadas na RAM não-volátil de computadores não baseados em -x86. O efeito da configuração depende do processador.

Em computadores baseados em x86, o único valor de ambiente de firmware que pode ser modificado por meio da atribuição deste direito é a configuração Última Configuração Válida, que só deve ser modificada pelo sistema.
Em computadores baseados em Itanium, as informações de inicialização são armazenadas na RAM não-volátil. Os usuários devem ter esse direito atribuído para executar bootcfg.exe e para alterar a configuração Sistema Operacional Padrão de Inicialização e Recuperação em Propriedades do Sistema.
Em todos os computadores, esse direito do usuário é necessário para instalar ou atualizar o Windows.

Observação: esta configuração de segurança não afeta quem pode modificar as variáveis de ambiente do sistema e do usuário exibidas na guia Avançado de Propriedades do Sistema. Para obter informações sobre como modificar essas variáveis, consulte Para adicionar ou alterar os valores das variáveis de ambiente.

Padrão: Administradores.
Modify firmware environment values

This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor.

On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system.
On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties.
On all computers, this user right is required to install or upgrade Windows.

Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables.

Default: Administrators.
1953Executar tarefas de manutenção de volume

Configuração de segurança que determina os usuários e grupos que podem executar tarefas de manutenção em um volume, como desfragmentação remota.

Atenção ao atribuir esse direito do usuário. Os usuários com esse direito podem explorar discos e estender arquivos para a memória que contém outros dados. Quando arquivos estendidos são abertos, o usuário pode ler e modificar os dados adquiridos.

Padrão: Administradores
Perform volume maintenance tasks

This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation.

Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data.

Default: Administrators
1954Traçar um perfil de um único processo

Configuração de segurança que determina os usuários que podem usar ferramentas de monitoração de desempenho para monitorar o desempenho de processos que não são do sistema.

Padrão: Administradores, Usuários avançados.
Profile single process

This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes.

Default: Administrators, Power users.
1955Traçar um perfil do desempenho do sistema

Configuração de segurança que determina os usuários que podem usar ferramentas de monitoração de desempenho para monitorar o desempenho de processos do sistema.

Padrão: Administradores.

Profile system performance

This security setting determines which users can use performance monitoring tools to monitor the performance of system processes.

Default: Administrators.

1956Remover o computador da base de encaixe

Configuração de segurança que determina se um usuário pode desencaixar um computador portátil de sua base de encaixe sem fazer logon.

Se esta política estiver habilitada, o usuário deverá fazer logon antes de remover o computador portátil de sua base de encaixe. Se esta política estiver desabilitada, o usuário poderá remover o computador portátil de sua base de encaixe sem fazer logon.

Padrão: Administradores, Usuários Avançados, Usuários
Remove computer from docking station

This security setting determines whether a user can undock a portable computer from its docking station without logging on.

If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on.

Default: Administrators, Power Users, Users
1957Substituir um token no nível de processo

Configuração de segurança que determina as contas de usuário que podem chamar a interface de programação de aplicativo (API) CreateProcessAsUser() para que um serviço possa iniciar outro. O Agendador de Tarefas é um exemplo de um processo que usa esse direito do usuário. Para obter informações sobre o Agendador de Tarefas, consulte Visão geral do Agendador de Tarefas.

Padrão: Serviço de Rede, Serviço Local.
Replace a process level token

This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview.

Default: Network Service, Local Service.
1958Restaurar arquivos e diretórios

Configuração de segurança que determina os usuários que podem ignorar permissões de arquivo, diretório, Registro e outros objetos persistentes ao restaurar o backup de arquivos e diretórios e determina os usuários que podem definir qualquer entidade de segurança válida como proprietário de um objeto.

Especificamente, este direito do usuário é semelhante a conceder as permissões a seguir ao usuário ou grupo em questão para todos os arquivos e pastas do sistema:

Percorrer Pasta/Executar Arquivo
Gravar

Atenção

Atribuir esse direito do usuário pode colocar em risco a segurança. Como os usuários com esse direito podem substituir configurações do Registro, ocultar dados e obter a posse de objetos do sistema, atribua-o somente a usuários confiáveis.

Padrão:

Estações de trabalho e servidores: Administradores, Operadores de Backup.
Controladores de domínio: Administradores, Operadores de Backup, Operadores de Servidor.
Restore files and directories

This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
Write

Caution

Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users.

Default:

Workstations and servers: Administrators, Backup Operators.
Domain controllers: Administrators, Backup Operators, Server Operators.
1959Desligar o sistema

Configuração de segurança que determina os usuários que fizeram logon localmente no computador que podem desligar o sistema operacional usando o comando Desligar. O uso incorreto deste direito do usuário pode resultar em negação de serviço.

Padrão em estações de trabalho: Administradores, Operadores de Backup, Usuários.

Padrão em servidores: Administradores, Operadores de Backup.

Padrão em controladores de domínio: Administradores, Operadores de Backup, Operadores de Servidor, Operadores de Impressão.
Shut down the system

This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service.

Default on Workstations: Administrators, Backup Operators, Users.

Default on Servers: Administrators, Backup Operators.

Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators.
1960Sincronizar dados do serviço de diretório

Configuração de segurança que determina os usuários e grupos que têm autoridade para sincronizar todos os dados do serviço de diretório. É também conhecida como sincronização do Active Directory.

Padrões: Nenhum.
Synchronize directory service data

This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization.

Defaults: None.
1961Apropriar-se de arquivos e de outros objetos

Configuração de segurança que determina os usuários que podem se apropriar de qualquer objeto protegível do sistema, incluindo objetos do Active Directory, arquivos e pastas, impressoras, chaves do Registro, processos e threads.

Atenção

Atribuir esse direito de usuário pode colocar em risco a segurança. Como os proprietários dos objetos têm controle total sobre eles, atribua esse direito somente a usuários confiáveis.

Padrão: Administradores.
Take ownership of files or other objects

This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads.

Caution

Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users.

Default: Administrators.
1962Contas: status de conta de administrador

Configuração de segurança que determina se a conta local Administrador está habilitada ou desabilitada.

Observações

Se você tentar habilitar novamente a conta Administrador depois de desabilitá-la e a senha de Administrador atual não atender aos requisitos de senha, não será possível habilitá-la. Neste caso, outro membro do grupo Administradores deverá redefinir a senha na conta Administardor. Para obter informações sobre como redefinir uma senha, consulte Para redefinir uma senha.
Desabilitar a conta Administrador poderá tornar-se um problema de manutenção em algumas circunstâncias.

Na inicialização no modo de segurança, a conta Administrador desabilitada só será habilitada se a máquina não for participante do domínio e não houver outras contas de administrador locais habilitadas. Se o computador for unido por domínio, o administrador desabilitado não será habilitado.

Padrão: desabilitada.
Accounts: Administrator account status

This security setting determines whether the local Administrator account is enabled or disabled.

Notes

If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password.
Disabling the Administrator account can become a maintenance issue under certain circumstances.

Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled.

Default: Disabled.
1963Contas: status de conta de convidado

Configuração de segurança que determina se a conta Convidado está habilitada ou desabilitada.

Padrão: desabilitada.

Observação: se a conta Convidado estiver desabilitada e a opção de segurança Acesso à Rede: Modelo de Compartilhamento e Segurança para Contas Locais da conta local estiver definida como Somente Convidados, logons na rede, como os executados pelo Servidor de Rede Microsoft (Serviço SMB), falharão.
Accounts: Guest account status

This security setting determines if the Guest account is enabled or disabled.

Default: Disabled.

Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail.
1964Contas: limite o uso em contas locais de senhas em branco somente ao logon no console

Esta configuração de segurança determina se as contas locais não protegidas por senha podem ser usadas para fazer logon de outros locais além do console físico do computador. Se habilitada, as contas locais não protegidas por senha poderão fazer logon no teclado do computador.

Padrão: habilitada.


Aviso:

computadores em locais não fisicamente seguros devem sempre aplicar políticas de senha forte a todas as contas de usuário local. Caso contrário, qualquer pessoa com acesso físico ao computador poderá fazer logon usando uma conta de usuário sem senha. Isso é especialmente importante em computadores portáteis.
Se você aplicar esta política de segurança ao grupo Todos, ninguém conseguirá fazer logon por meio dos Serviços de Área de Trabalho Remota.

Observações

Esta configuração não afeta logons que usam contas de domínio.
Os aplicativos que usam logons interativos remotos podem ignorar essa configuração.

Observação: os Serviços de Área de Trabalho Remota eram chamados de Serviços de Terminal nas versões anteriores do Windows Server.
Accounts: Limit local account use of blank passwords to console logon only

This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard.

Default: Enabled.


Warning:

Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers.
If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services.

Notes

This setting does not affect logons that use domain accounts.
It is possible for applications that use remote interactive logons to bypass this setting.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.
1965Contas: renomear conta do administrador

Configuração de segurança que determina se um nome de conta diferente está associado ao identificador de segurança (SID) da conta Administrador. Se você renomear a conta Administrador conhecida, isso dificultará para pessoas não autorizadas o conhecimento dessa combinação de nome de usuário e senha com privilégios.

Padrão: Administrador.
Accounts: Rename administrator account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination.

Default: Administrator.
1966Contas: renomear conta do convidado

Configuração de segurança que determina se um nome de conta diferente está associado ao identificador de segurança (SID) da conta Convidado. Renomear a conta Convidado tornará mais difícil pessoas não autorizadas adivinharem essa combinação de nome de usuário e senha.

Padrão: Convidado.

Accounts: Rename guest account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination.

Default: Guest.

1967Auditoria: fazer auditoria do acesso a objetos do sistema global

Configuração de segurança que determina a necessidade ou não de auditar o acesso a objetos do sistema global.

Se esta política estiver habilitada, fará com que objetos do sistema, como mutexes (exclusivo mútuo), eventos, semáforos e dispositivos DOS, sejam criados com uma lista de controle de acesso do sistema (SACL) padrão. Somente os objetos nomeados recebem uma SACL, as SACLs não são fornecidas para objetos sem nomes. Se a política de auditoria de acesso a objetos também estiver habilitada, o acesso a esses objetos do sistema será auditada.

Observação: quando essa configuração de segurança for feita, as alterações não serão aplicadas até a reinicialização do Windows.

Padrão: desabilitada.
Audit: Audit the access of global system objects

This security setting determines whether to audit the access of global system objects.

If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.
1968Auditoria: fazer auditoria do uso dos privilégios Backup e Restauração

Configuração de segurança que determina a necessidade ou não de auditar o uso de todos os privilégios do usuário, incluindo Backup e Restauração, quando a política Auditoria de uso de privilégios está em vigor. Habilitar esta opção quando a política Auditoria de uso de privilégios também está habilitada gera um evento de auditoria para cada arquivo incluído no backup ou na restauração.

Se você desabilitar esta política, o uso do privilégio Backup ou Restauração não será auditado mesmo quando Auditoria de uso de privilégios estiver habilitada.

Observação: nas versões do Windows anteriores ao Windows Vista, as alterações nesta configuração de segurança não serão aplicadas até a reinicialização do Windows. Habilitar essa configuração pode causar MUITOS eventos, às vezes, centenas de eventos por segundo, durante uma operação de backup.

Padrão: desabilitada.

Audit: Audit the use of Backup and Restore privilege

This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored.

If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation.

Default: Disabled.

1969Auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança

Configuração de segurança que determina se o sistema será desligado caso não consiga registrar eventos de segurança.

Se esta configuração de segurança for habilitada, fará com que o sistema pare caso uma auditoria de segurança não possa ser registrada por algum motivo. Geralmente, o registro de um evento falha quando o log de auditoria de segurança está cheio e o método de retenção especificado para ele é Não substituir eventos ou Substituir eventos periodicamente.

Se o log de segurança estiver cheio e uma entrada não puder ser substituída quando esta opção estiver habilitada, será exibido o seguinte erro:

PARAR: C0000244 {Falha na Auditoria}
Falha na tentativa de gerar uma auditoria de segurança.
Para se recuperar, um administrador deve fazer logon, arquivar o log (opcional), limpar o log e redefinir esta opção como desejado. Enquanto esta configuração de segurança não for redefinida, nenhum usuário, além de um membro do grupo Administradores, conseguirá fazer logon no sistema, mesmo que o log de segurança não esteja cheio.

Observação: as alterações nesta configuração de segurança serão aplicadas somente após a reinicialização do Windows nas versões anteriores ao Windows Vista.

Padrão: desabilitada.

Audit: Shut down system immediately if unable to log security audits

This security setting determines whether the system shuts down if it is unable to log security events.

If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days.

If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears:

STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.
To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

1970Dispositivos: permitir desencaixe sem fazer logon

Configuração de segurança que determina se um computador portátil pode ser desencaixado sem fazer logon. Se esta política estiver habilitada, não será necessário o logon e um botão externo de ejeção do hardware poderá ser usado para desencaixar o computador. Se estiver desabilitada, o usuário deverá fazer logon e ter o privilégio Remover o computador da base de encaixe para desencaixar o computador.

Padrão: habilitada.

Atenção

Desabilitar esta política poderá fazer com que os usuários tentem e removam fisicamente o laptop de sua base de encaixe usando outros métodos além do botão externo de ejeção do hardware. Como isso pode causar danos ao hardware, esta configuração, em geral, deve ser desabilitada somente em configurações de laptop que estejam fisicamente protegidas.

Devices: Allow undock without having to log on

This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer.

Default: Enabled.

Caution

Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable.

1971Dispositivos: permite formatar e ejetar a mídia removível

Configuração de segurança que determina quem tem permissão para formatar e ejetar mídia NTFS removível. Essa capacidade pode ser dada a:

Administradores
Administradores e Usuários Interativos

Padrão: essa política não está definida e apenas Administradores têm essa capacidade.

Devices: Allowed to format and eject removable media

This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to:

Administrators
Administrators and Interactive Users

Default: This policy is not defined and only Administrators have this ability.

1972Dispositivos: evita que usuários instalem drivers de impressora ao fazerem a conexão com impressoras compartilhadas.

Para um computador imprimir em uma impressora compartilhada, o driver dessa impressora deve estar instalado no computador local. Esta configuração de segurança determina quem pode instalar um driver de impressora como parte da conexão com uma impressora compartilhada. Se essa configuração estiver habilitada, somente Administradores poderão instalar um driver de impressora como parte da conexão com uma impressora compartilhada. Se estiver desabilitada, qualquer usuário poderá instalá-lo.

Padrão em servidores: habilitada.
Padrão em estações de trabalho: desabilitada


Observações

Esta configuração não afeta a capacidade de adicionar uma impressora local.
Esta configuração não afeta Administradores.
Devices: Prevent users from installing printer drivers when connecting to shared printers

For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer.

Default on servers: Enabled.
Default on workstations: Disabled


Notes

This setting does not affect the ability to add a local printer.
This setting does not affect Administrators.
1973Dispositivos: restringir acesso ao CD-ROM apenas aos usuários com logon local

Configuração de segurança que determina se um CD-ROM pode ser acessado por usuários locais e remotos simultaneamente.

Se esta política estiver habilitada, ela permitirá o acesso à mídia removível de CD-ROM somente por usuário que tenha feito logon de maneira interativa. Se ela estiver habilitada e ninguém fizer logon interativamente, o CD-ROM poderá ser acessado pela rede.

Padrão: essa política não está definida e o acesso ao CD-ROM não está restrito aos usuários que fizeram logon localmente.

Devices: Restrict CD-ROM access to locally logged-on user only

This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network.

Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user.

1974Dispositivos: restringir acesso ao disquete apenas aos usuários com logon local

Configuração de segurança que determina se uma mídia removível de disquete pode ser acessada por usuários locais e remotos simultaneamente.

Se esta política estiver habilitada, ela permitirá o acesso à mídia removível de disquete somente por usuário que tenha feito logon de maneira interativa. Se ela estiver habilitada e ninguém fizer logon interativamente, o disquete poderá ser acessado pela rede.

Padrão: essa política não está definida e o acesso à unidade de disquete não está restrito aos usuários que fizeram logon localmente.

Devices: Restrict floppy access to locally logged-on user only

This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network.

Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user.

1975Dispositivos: comportamento de instalação de driver não assinado

Configuração de segurança que determina o que acontece quando é feita uma tentativa de instalar um driver de dispositivo (por meio da API Instalar) não testado pelo Windows Hardware Quality Labs (WHQL).

As opções são:

Bem-sucedido silenciosamente
Avisar, mas permitir a instalação
Não permitir a instalação
Padrão: Avisar, mas permitir a instalação.

Devices: Unsigned driver installation behavior

This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL).

The options are:

Silently succeed
Warn but allow installation
Do not allow installation
Default: Warn but allow installation.

1976Controlador de domínio: permitir que operadores do servidor agendem tarefas

Configuração de segurança que determina se Operadores de Servidor podem enviar trabalhos por meio do recurso de agendamento de AT.

Observação: esta configuração de segurança afeta apenas o recurso de agendamento de AT e não afeta o recurso Agendador de Tarefas.
Padrão: esta política não está definida, o que significa que o sistema a trata como se estivesse desabilitada.

Domain controller: Allow server operators to schedule tasks

This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility.

Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility.
Default: This policy is not defined, which means that the system treats it as disabled.

1977Controlador de domínio: requisitos de assinatura de servidor LDAP

Configuração que determina se o servidor LDAP exigirá a negociação de assinaturas com clientes LDAP, como segue:

Observação: a assinatura de dados não é necessária para ligar ao servidor. Se o cliente solicitar assinatura dos dados, o servidor oferece suporte.
Solicitar assinatura: pelo menos TLS\SSL está sendo usado, a opção de assinatura de dados LDAP deve ser negociada.

Padrão: essa política não está definida, o que tem o mesmo efeito de Nenhum.

Atenção

Se você definir o servidor como Solicitação de Assinatura, também deverá definir o cliente. Não definir o cliente resultará em perda da conexão com o servidor.

Observações

Esta configuração não causa impacto na ligação simples LDAP nem na ligação simples por SSL . Nenhum cliente LDAP da Microsoft fornecido com o Windows XP Professional usa ligação simples LDAP ou ligação simples LDAP por SSL para se comunicar com um controlador de domínio.
Se forem necessárias assinaturas, as solicitações de ligação simples LDAP e ligação simples LDAP por SSL serão rejeitadas. Nenhum cliente LDAP da Microsoft executando o Windows XP Professional ou a família Windows Server 2003 usa ligação simples LDAP ou ligação simples LDAP por SSL para ligação com o serviço de diretório.

Domain controller: LDAP server signing requirements

This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows:

None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it.
Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated.

Default: This policy is not defined, which has the same effect as None.

Caution

If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server.

Notes

This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller.
If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service.

1978Controlador de domínio: recusar alterações de senha de conta de computador

Configuração de segurança que determina se os controladores de domínio recusarão solicitações de computadores membros para alterar senhas de conta de computador. Por padrão, computadores membros trocam de senhas de conta a cada 30 dias. Se habilitada, o controlador de domínio recusará solicitações de troca de senha da conta do computador.

Se estiver habilitada, esta configuração não permitirá ao controlador de domínio aceitar qualquer alteração de senha da conta de um computador.

Padrão: essa política não está definida, o que significa que o sistema a tratará como desabilitada.

Domain controller: Refuse machine account password changes

This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests.

If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password.

Default: This policy is not defined, which means that the system treats it as Disabled.

1979Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sempre)

Configuração de segurança que determina se todo o tráfego de canal seguro iniciado pelo membro do domínio deverá ser assinado ou criptografado.

Quando um computador se une a um domínio, uma conta é criada. Depois disso, quando o sistema é iniciado, ele usa a senha da conta do computador para criar um canal seguro com um controlador desse domínio. Esse canal seguro é usado para executar operações, como autenticação de passagem de NTLM, pesquisa de nomes/SID da LSA etc.

Esta configuração determina se o tráfego do canal seguro iniciado pelo membro do domínio atende aos requisitos mínimos de segurança. Especificamente, ele determina se todo o tráfego do canal seguro iniciado pelo membro do domínio deve ser assinado ou criptografado. Se esta política estiver habilitada, o canal seguro não será estabelecido se a assinatura ou a criptografia de todo o tráfego dele não for negociada. Se esta política estiver desabilitada, a criptografia e a assinatura de todo o tráfego do canal seguro serão negociadas com o controlador de domínio e o nível delas dependerá da versão do controlador de domínio e das configurações destas duas políticas:

Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível)
Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível)

Padrão: habilitada.

Observações

Se esta política estiver habilitada, a política Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível) será considerada habilitada independentemente de sua configuração atual. Isso garante que o membro do domínio tente negociar pelo menos a assinatura do tráfego do canal seguro.
Se esta política estiver habilitada, a política Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível) será considerada habilitada, independentemente de sua configuração atual. Isso garante que o membro do domínio tente negociar pelo menos a assinatura do tráfego do canal seguro.
As informações de logon transmitidas pelo canal seguro são sempre criptografadas, independentemente de a criptografia de TODO o tráfego do outro canal seguro ser negociada ou não.

Domain member: Digitally encrypt or sign secure channel data (always)

This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies:

Domain member: Digitally encrypt secure channel data (when possible)
Domain member: Digitally sign secure channel data (when possible)

Default: Enabled.

Notes:

If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not.

1980Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível)

Configuração de segurança que determina se um membro do domínio tentará negociar criptografia para todo o tráfego do canal seguro que inicie.

Quando um computador ingressa em um domínio, uma conta é criada. Depois disso, quando o sistema é iniciado, ele usa a senha da conta do computador para criar um canal seguro com um controlador desse domínio. Esse canal seguro é usado para executar operações, como autenticação de passagem de NTLM, pesquisa de nomes/SID da LSA etc.

Esta configuração determina se o membro do domínio tentará ou não negociar criptografia para todo o tráfego do canal seguro que ele inicie. Se habilitada, o membro do domínio solicitará criptografia de todo o tráfego do canal seguro. Se o controlador de domínio oferecer suporte à criptografia de todo o tráfego do canal seguro, então todo o tráfego do canal seguro será criptografado. Caso contrário, apenas informações de logon transmitidas pelo canal seguro serão criptografadas. Se esta configuração estiver desabilitada, então o membro do domínio não tentará negociar criptografia do canal seguro.

Padrão: habilitada.

Importante

Não há motivo para desabilitar esta configuração. Além de reduzir desnecessariamente o nível potencial de confidencialidade do canal seguro, desabilitar esta configuração pode reduzir desnecessariamente a taxa de transferência do canal seguro, pois chamadas de API simultâneas que usam o canal seguro são possíveis somente quando ele está assinado ou criptografado.

Observação: controladores de domínio também são membros do domínio e estabelecem canais seguros com outros controladores no mesmo domínio e também com controladores em domínios confiáveis.

Domain member: Digitally encrypt secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption.

Default: Enabled.

Important

There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted.

Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1981Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível)

Configuração de segurança que determina se um membro do domínio tentará negociar criptografia para todo o tráfego do canal seguro que inicie.

Quando um computador ingressa em um domínio, uma conta é criada. Depois disso, quando o sistema é iniciado, ele usa a senha da conta do computador para criar um canal seguro com um controlador desse domínio. Esse canal seguro é usado para executar operações, como autenticação de passagem de NTLM, pesquisa de nomes/SID da LSA etc.

Esta configuração determina se o membro do domínio tentará ou não negociar criptografia para todo o tráfego do canal seguro que ele inicie. Se habilitada, o membro do domínio solicitará criptografia de todo o tráfego do canal seguro. Se o controlador de domínio oferecer suporte à criptografia de todo o tráfego do canal seguro, então todo o tráfego do canal seguro será criptografado. Caso contrário, apenas informações de logon transmitidas pelo canal seguro serão criptografadas. Se esta configuração estiver desabilitada, então o membro do domínio não tentará negociar criptografia do canal seguro.

Padrão: habilitada.

Observações:

Se a política Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sempre) estiver habilitada, essa política será considerada habilitada independentemente da configuração atual.
Controladores de domínio também são membros do domínio e estabelecem canais seguros com outros controladores no mesmo domínio e também com controladores em domínios confiáveis.

Domain member: Digitally sign secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit.

Default: Enabled.

Notes:

If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting.
Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1982Membro do domínio: duração máxima de senha de conta de computador

Configuração de segurança que determina a frequência com que um membro do domínio tentará alterar a senha da conta do computador.

Padrão: 30 dias.

Importante

Esta configuração se aplica a computadores que tenham o Windows 2000, mas não está disponível por meio das ferramentas do Gerenciador de Configuração de Segurança nesses computadores.

Domain member: Maximum machine account password age

This security setting determines how often a domain member will attempt to change its computer account password.

Default: 30 days.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1983Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior)

Esta configuração de segurança determina a necessidade da força da chave de 128 bits para dados criptografados de canal seguro.

Quando um computador ingressa em um domínio, uma conta é criada. Depois disso, quando o sistema é iniciado, ele usa a senha da conta do computador para criar um canal seguro com um controlador desse domínio. Esse canal seguro é usado para executar operações, como autenticação de passagem de NTLM, pesquisa de nomes/SID da LSA etc.

Dependendo da versão do Windows executada no controlador de domínio com o qual o membro do domínio está se comunicando e nas configurações dos parâmetros:

Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sempre)
Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível).
Algumas ou todas as informações transmitidas pelo canal seguro serão criptografadas. Esta configuração de política determina se a força da chave de 128 bits será ou não necessária para criptografia das informações do canal seguro.

Se estiver habilitada, o canal seguro não será estabelecido se não for possível executar a criptografia de 128 bits. Se estiver desabilitada, a força da chave será negociada com o controlador de domínio.

Padrão: desabilitada.

Importante

Para aproveitar esta política em estações de trabalho e servidores membro, todos os controladores de domínio que constituem o domínio do membro devem estar executando o Windows 2000 ou posterior.
Para aproveitar esta política em controladores de domínio, todos devem estar no mesmo domínio e todos os domínios confiáveis devem executar o Windows 2000 ou posterior.

Domain member: Require strong (Windows 2000 or later) session key

This security setting determines whether 128-bit key strength is required for encrypted secure channel data.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on.

Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters:

Domain member: Digitally encrypt or sign secure channel data (always)
Domain member: Digitally encrypt secure channel data (when possible)
Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted.

If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller.

Default: Enabled.

Important

In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later.
In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later.

1984Membro do domínio: desativar alterações de senha de conta da máquina

Determina se um membro do domínio altera periodicamente a senha da conta do computador. Se esta configuração estiver habilitada, o membro do domínio não tentará alterar a senha. Se estiver desabilitada, o membro do domínio tentará alterá-la conforme especificado na configuração de Membro do domínio: duração máxima de senha de conta de computador, que por padrão é a cada 30 dias.

Padrão: desabilitada.

Observações

Esta configuração de segurança não deve ser habilitada. As senhas de conta de computador são usadas para estabelecer comunicações de canal seguro entre membros e controladores de domínio e, no domínio, entre os próprios controladores. Depois de estabelecido, o canal seguro é usado para transmitir informações sigilosas que são necessárias para tomar decisões de autenticação e autorização.
Esta configuração não deve ser usada na tentativa de oferecer suporte a situações de inicialização dupla que usem a mesma conta de computador. Para fazer inicialização dupla de duas instalações unidas ao mesmo domínio, atribua a elas nomes diferentes de computador.
Domain member: Disable machine account password changes

Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days.

Default: Disabled.

Notes

This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions.
This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names.
1985Logon interativo: não exibir quem entrou pela última vez
Essa configuração de segurança determina se a tela de entrada do Windows mostrará o nome de usuário da última pessoa que entrou no computador.
Se essa política estiver habilitada, o nome de usuário não será mostrado.

Se essa política estiver desabilitada, o nome de usuário será mostrado.

Padrão: Desabilitada.


Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


1986Logon interativo: não exige CTRL+ALT+DEL

Esta configuração de segurança determina se um usuário precisa pressionar CTRL+ALT+DEL para fazer logon.

Se esta política estiver habilitada no computador, não é necessário que um usuário pressione CTRL+ALT+DEL para fazer logon. Não pressionando CTRL+ALT+DEL, o usuário fica vulnerável a ataques de interceptação de senhas. Ao pressionar CTRL+ALT+DEL antes do logon, há a garantia de uma comunicação por um caminho confiável ao inserir senhas.

Se esta política estiver desabilitada, será necessário pressionar CTRL+ALT+DEL para fazer logon no Windows.

Padrão em computadores de domínio: Habilitado: pelo menos no Windows 8/Desabilitado: no Windows 7 ou em versões anteriores.
Padrão em computadores autônomos: Habilitado.

Interactive logon: Do not require CTRL+ALT+DEL

This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on.

If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords.

If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows.

Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier.
Default on stand-alone computers: Enabled.

1987Logon interativo: texto de mensagem para usuários tentando fazer logon

Configuração de segurança que especifica uma mensagem de texto exibida para usuários quando fazem logon.

Normalmente, esse texto é usado por motivos jurídicos, como para avisar usuários sobre as implicações de usar incorretamente as informações da empresa ou para avisá-los de que suas ações podem ser auditoradas.

Padrão: nenhuma mensagem.

Interactive logon: Message text for users attempting to log on

This security setting specifies a text message that is displayed to users when they log on.

This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited.

Default: No message.

1988Logon interativo: título da mensagem para usuários tentando fazer logon

Configuração de segurança que permite que a especificação de um título seja exibida na barra de título da janela que contém o Logon interativo: texto de mensagem para usuários tentando fazer logon.

Padrão: nenhuma mensagem.

Interactive logon: Message title for users attempting to log on

This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on.

Default: No message.

1989Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível)

As informações de logon exclusivas de cada usuário são armazenadas localmente em cache para que, caso um controlador de domínio não esteja disponível durante as tentativas de logon subsequentes, eles possam fazer logon. As informações de logon em cache são armazenadas da sessão de logon anterior. Se um controlador de domínio não estiver disponível e as informações de logon de um usuário não estiverem em cache, será exibida esta mensagem:

Não há servidores de logon disponíveis para atender à solicitação de logon.

Nesta configuração de política, o valor 0 desabilita o cache de logon. Qualquer valor acima de 50 armazena em cache apenas 50 tentativas de logon. O Windows dá suporte a no máximo 50 entradas de cache, e o número de entradas consumidas por usuário depende da credencial. Por exemplo, no máximo 50 contas de usuário com senhas exclusivas podem ser armazenadas em cache em um sistema Windows, mas somente 25 contas de usuário de cartão inteligente podem ser armazenadas em cache, porque as informações de senha e as informações de cartão inteligente são armazenadas. Quando um usuário com informações de logon em cache faz logon novamente, as informações individuais em cache do usuário são substituídas.

Padrão:

Windows Server 2008: 25

Todas as Outras Versões: 10

Interactive logon: Number of previous logons to cache (in case domain controller is not available)

Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message:

There are currently no logon servers available to service the logon request.

In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced.

Default:

Windows Server 2008: 25

All Other Versions: 10

1990Interactive logon: Prompt user to change password before expiration

Determina com quanto tempo de antecedência (em dias) os usuários são avisados de que a senha está prestes a vencer. Com esse aviso antecipado, o usuário tem tempo para criar uma senha suficientemente forte.

Padrão: 5 dias.

Interactive logon: Prompt user to change password before expiration

Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong.

Default: 5 days.

1991Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho

Informações de logon devem ser fornecidas para desbloquear um computador bloqueado. Em contas de domínio, esta configuração de segurança determina se um controlador de domínio deve ser contatado para desbloquear um computador. Se estiver desabilitada, um usuário poderá desbloquear o computador usando credenciais em cache. Se estiver habilitada, um controlador de domínio deverá autenticar a conta de domínio que está sendo usada para desbloquear o computador.

Padrão: desabilitada.

Importante

Esta configuração se aplica a computadores que tenham o Windows 2000, mas não está disponível por meio das ferramentas do Gerenciador de Configuração de Segurança nesses computadores.

Interactive logon: Require Domain Controller authentication to unlock

Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer.

Default: Disabled.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1992Logon interativo: exigir o Windows Hello para Empresas ou cartão inteligente

Essa configuração de segurança requer que os usuários entrem em um dispositivo usando o Windows Hello para Empresas ou um cartão inteligente.

As opções são:

Habilitada: os usuários podem entrar no dispositivo somente com Windows Hello para Empresas ou um cartão inteligente.
Desabilitada ou não configurada: os usuários podem entrar no dispositivo usando qualquer método.

Importante

Esta configuração se aplica a qualquer computador que execute o Windows 2000 por meio de alterações no Registro, mas a configuração de segurança não é visível por meio do conjunto de ferramentas do Gerenciador de Configurações de Segurança.

A exigência do Windows Hello para Empresas para entrar não é compatível com o Windows 10 v1607 ou anterior.

Interactive logon: Require Windows Hello for Business or smart card

This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card.

The options are:

Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card.
Disabled or not configured: Users can sign-in to the device using any method.

Important

This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set.

Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier.

1993Logon interativo: comportamento de remoção do cartão inteligente

Essa configuração de segurança determina o que acontece quando o cartão inteligente de um usuário que fez logon é removido do leitor de cartão inteligente.

As opções são:

Nenhuma Ação
Bloquear Estação de Trabalho
Forçar Logoff
Desconectar se em uma sessão de Serviços de Área de Trabalho Remota

Se você clicar em Bloquear Estação de Trabalho, na caixa de diálogo Propriedades dessa política, a estação de trabalho será bloqueada quando o cartão inteligente for removido, permitindo que os usuários saiam da área, levem consigo seus respectivos cartões inteligentes e ainda mantenham uma sessão protegida.

Se você clicar em Forçar Logoff, na caixa de diálogo Propriedades dessa política, o usuário será automaticamente desconectado quando o cartão inteligente for removido.

Se você clicar em Desconectar se em uma sessão de Serviços de Área de Trabalho Remota, a remoção do cartão inteligente desconectará a sessão sem fazer logoff do usuário. Isso permite que o usuário insira o cartão inteligente e reinicie a sessão mais tarde ou em outro computador equipado com leitor de cartão inteligente, sem precisar fazer logon novamente. Se a sessão for local, essa política funcionará de forma idêntica à opção Bloquear Estação de Trabalho.

Observação: os Serviços de Área de Trabalho Remota eram chamados de Serviços de Terminal nas versões anteriores do Windows Server.

Padrão: essa política não está definida, o que significa que o sistema a trata como Nenhuma ação.

No Windows Vista e superior: para que essa configuração funcione, o serviço Política de Remoção de Cartão Inteligente deve ser iniciado.

Interactive logon: Smart card removal behavior

This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader.

The options are:

No Action
Lock Workstation
Force Logoff
Disconnect if a Remote Desktop Services session

If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session.

If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed.

If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default: This policy is not defined, which means that the system treats it as No action.

On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started.

1994Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre)

Configuração de segurança que determina se é necessária a assinatura do pacote pelo componente do cliente SMB.

O protocolo SMB oferece a base para compartilhamento de arquivos e impressão da Microsoft e muitas outras operações de sistema de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital desses pacotes. Esta configuração de política determina se a assinatura do pacote SMB deve ser negociada antes de permitir uma nova comunicação com um servidor SMB.

Se esta configuração estiver habilitada, o cliente de rede Microsoft não se comunicará com um servidor de rede Microsoft se esse servidor não concordar em executar a assinatura do pacote SMB. Se estiver desabilitada, a assinatura do pacote SMB será negociada entre cliente e servidor.

Padrão: desabilitada.

Importante

Para que esta política seja aplicada a computadores que executam o Windows 2000, a assinatura de pacote do lado do cliente também deverá estar habilitada. Para habilitar assinatura de pacote SMB do lado do cliente, defina Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar).

Observações

Todos os sistemas operacionais Windows dão suporte a um componente SMB do lado cliente e do lado servidor. Para aproveitar a assinatura de pacote SMB, os componentes SMB do lado cliente e do lado servidor envolvidos na comunicação devem ter a assinatura de pacote SMB habilitada ou exigida. Em sistemas operacionais Windows 2000 e posteriores, habilitar ou exigir assinatura de pacote para componentes SMB do lado cliente e servidor é uma ação controlada pelas quatro seguintes configurações de política:
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) - controla se o componente SMB do lado do cliente exige ou não assinatura de pacote.
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) - controla se o componente SMB do lado do cliente tem a assinatura de pacote habilitada.
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) - controla se o componente SMB do lado do servidor exige assinatura de pacote.
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) - controla se o componente SMB do lado do servidor tem a assinatura de pacote habilitada.
A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operacional, dos tamanhos de arquivo, dos recursos de descarga do processador e dos comportamentos de E/S do aplicativo.
Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network client: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB client component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted.

If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server.

Default: Disabled.

Important

For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees).

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1995Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)

Configuração de segurança que determina se o cliente SMB tentará negociar assinatura de pacote SMB.

O protocolo SMB oferece a base para compartilhamento de arquivos e impressão da Microsoft e muitas outras operações de sistema de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital desses pacotes. Esta configuração de política determina se o componente do cliente SMB tentará negociar assinatura de pacote SMB ao se conectar a um servidor SMB.

Se esta configuração estiver habilitada, o cliente de rede Microsoft solicitará ao servidor a assinatura do pacote SMB ao estabelecer a sessão. Se a assinatura de pacote foi habilitada no servidor, ela será negociada. Se esta política estiver desabilitada, o cliente SMB nunca negociará assinatura de pacote SMB.

Padrão: habilitada.

Observações

Todos os sistemas operacionais Windows dão suporte a componentes SMB do lado cliente e do lado servidor. Para aproveitar a assinatura de pacote SMB, os componentes SMB do lado cliente e do lado servidor envolvidos na comunicação devem ter a assinatura de pacote SMB habilitada ou exigida. No Windows 2000 e posterior, habilitar ou exigir assinatura de pacote para componentes SMB do lado cliente e servidor é uma ação controlada pelas quatro seguintes configurações de política:
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) - controla se o componente SMB do lado do cliente exige ou não assinatura de pacote.
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) - controla se o componente SMB do lado do cliente tem a assinatura de pacote habilitada.
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) - controla se o componente SMB do lado do servidor exige assinatura de pacote.
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) - controla se o componente SMB do lado do servidor tem a assinatura de pacote habilitada.
Se a assinatura SMB de cliente e servidor estiver habilitada e o cliente estabelecer uma conexão SMB 1.0 com o servidor, será feita uma tentativa de assinatura SMB.
A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operacional, dos tamanhos de arquivo, dos recursos de descarga do processador e dos comportamentos de E/S do aplicativo. Essa configuração se aplica somente a conexões SMB 1.0.
Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network client: Digitally sign communications (if server agrees)

This security setting determines whether the SMB client attempts to negotiate SMB packet signing.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server.

If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1996Cliente de rede Microsoft: enviar senha não criptografada para conectar-se a servidores SMB de terceiros

Se esta configuração de segurança estiver habilitada, o redirecionador de SMB (Bloco de Mensagens do Servidor) poderá enviar senhas em texto não criptografado a servidores SMB não Microsoft que não dão suporte à criptografia de senha durante a autenticação.

O envio de senhas não criptografadas é um risco à segurança.

Padrão: desabilitada.
Microsoft network client: Send unencrypted password to connect to third-party SMB servers

If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication.

Sending unencrypted passwords is a security risk.

Default: Disabled.
1997Servidor de rede Microsoft: período de tempo ocioso necessário antes de desconectar a sessão

Configuração de segurança que determina o período de tempo ocioso contínuo que deve transcorrer em uma sessão SMB antes de ela ser desconectada por inatividade.

Os administradores podem usar esta política para controlar quando um computador desconectará uma sessão SMB inativa. Se a atividade do cliente continuar, a sessão será automaticamente restabelecida.

Para esta configuração de política, 0 significa desconectar uma sessão ociosa o mais rapidamente possível. O valor máximo é 99999, que representa 208 dias; na verdade, essa valor desabilita a política.

Padrão: essa política não está definida, o que significa que o sistema a trata como 15 minutos para servidores e indefinida para estações de trabalho.

Microsoft network server: Amount of idle time required before suspending a session

This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity.

Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished.

For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy.

Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations.

1998Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)

Essa configuração de segurança determina se a assinatura de pacotes é exigida pelo componente de servidor SMB.

O protocolo SMB oferece a base para compartilhamento de arquivos e impressão da Microsoft e muitas outras operações de sistema de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital desses pacotes. Esta configuração de política determina se a assinatura do pacote SMB deve ser negociada antes de permitir uma nova comunicação com um cliente SMB.

Se esta configuração estiver habilitada, o servidor de rede Microsoft não se comunicará com um cliente de rede Microsoft se esse cliente não concordar em executar a assinatura do pacote SMB. Se esta configuração estiver desabilitada, a assinatura de pacote SMB será negociada entre cliente e servidor.

Padrão:

Desabilitada em servidores membro.
Habilitada em controladores de domínio.

Observações

Todos os sistemas operacionais Windows dão suporte a um componente SMB do lado cliente e do lado servidor. Para aproveitar a assinatura de pacote SMB, os componentes SMB do lado cliente e do lado servidor envolvidos na comunicação devem ter a assinatura de pacote SMB habilitada ou exigida. No Windows 2000 e posterior, habilitar ou exigir assinatura de pacote para componentes SMB do lado cliente e servidor é uma ação controlada pelas quatro seguintes configurações de política:
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) – controla se o componente SMB do lado do cliente exige ou não assinatura de pacote.
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) – controla se o componente SMB do lado do cliente tem a assinatura de pacote habilitada.
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) – controla se o componente SMB do lado do servidor exige assinatura de pacote.
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) – controla se o componente SMB do lado do servidor tem a assinatura de pacote habilitada.
Da mesma maneira, se a assinatura de SMB do lado do cliente for necessária, esse cliente não conseguirá estabelecer uma sessão com servidores que não tenham assinatura de pacote habilitada. Por padrão, a assinatura de SMB do lado do servidor está habilitada apenas em controladores de domínio.
Se a assinatura de SMB do lado do servidor for necessária, a assinatura de pacotes SMB será negociada com clientes que têm a assinatura SMB do cliente habilitada.
A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operacional, dos tamanhos de arquivo, dos recursos de descarga do processador e dos comportamentos de E/S do aplicativo.

Importante

Para que esta política seja aplicada a computadores que executam o Windows 2000, a assinatura de pacote do lado do servidor também deverá estar habilitada. Para habilitar a assinatura de pacote SMB do lado do servidor, defina a seguinte política:
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)

Para que os servidores Windows 2000 negociem assinatura com clientes Windows NT 4.0, 1 deverá ser definido para o seguinte valor do Registro no servidor Windows 2000:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network server: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB server component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted.

If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server.

Default:

Disabled for member servers.
Enabled for domain controllers.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers.
If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.

Important

For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy:
Microsoft network server: Digitally sign communications (if server agrees)

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1999Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar)

Essa configuração de segurança determina se o servidor SMB negociará assinatura de pacote SMB com clientes que a solicitarem.

O protocolo SMB oferece a base para compartilhamento de arquivos e impressão da Microsoft e muitas outras operações de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital desses pacotes. Esta configuração de política determina se o servidor SMB negociará a assinatura de pacote SMB quando o cliente SMB solicitar.

Se essa configuração estiver habilitada, o servidor de rede Microsoft negociará a assinatura de pacote SMB conforme solicitado pelo cliente. Ou seja, se a assinatura de pacote foi habilitada no cliente, ela será negociada. Se esta política estiver desabilitada, o cliente SMB nunca negociará assinatura de pacote SMB.

Padrão: habilitada apenas em controladores de domínio.

Importante

Para que os servidores Windows 2000 negociem assinatura com clientes Windows NT 4.0, deverá ser definido 1 para o seguinte valor do Registro no servidor que executa o Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Observações

Todos os sistemas operacionais Windows dão suporte a componentes SMB do lado cliente e do lado servidor. Para aproveitar a assinatura de pacote SMB, os componentes SMB do lado cliente e do lado servidor envolvidos na comunicação devem ter a assinatura de pacote SMB habilitada ou exigida. No Windows 2000 e posterior, habilitar ou exigir assinatura de pacote para componentes SMB do lado cliente e servidor é uma ação controlada pelas quatro seguintes configurações de política:
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) – controla se o componente SMB do lado do cliente exige ou não assinatura de pacote.
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) – controla se o componente SMB do lado do cliente tem a assinatura de pacote habilitada.
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) – controla se o componente SMB do lado do servidor exige assinatura de pacote.
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) – controla se o componente SMB do lado do servidor tem a assinatura de pacote habilitada.
Se a assinatura SMB de cliente e servidor estiver habilitada e o cliente estabelecer uma conexão SMB 1.0 com o servidor, será feita uma tentativa de assinatura SMB.
A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operacional, dos tamanhos de arquivo, dos recursos de descarga do processador e dos comportamentos de E/S do aplicativo. Essa configuração se aplica somente a conexões SMB 1.0.
Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network server: Digitally sign communications (if client agrees)

This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it.

If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled on domain controllers only.

Important

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

2000Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon

Configuração de segurança que determina se os usuários conectados ao computador local fora dos horários de logon válidos da conta devem ser desconectados. Esta configuração afeta o componente SMB.

Quando esta política está habilitada, ela faz com que as sessões de cliente com o Serviço SMB sejam forçosamente desconectadas quando os horários de logon do cliente vencem.

Se ela estiver desabilitada, uma sessão de cliente estabelecida poderá ser mantida depois que vencer o horário de logon do cliente.

Padrão no Windows Vista e posterior: habilitada.
Padrão no Windows XP: desabilitada

Microsoft network server: Disconnect clients when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default on Windows Vista and above: Enabled.
Default on Windows XP: Disabled

2001Acesso à rede: permitir SID anônimo/conversão de nomes

Esta configuração de segurança determina se um usuário anônimo pode solicitar
atributos de identificador de segurança (SID) a outro usuário.

Se esta política estiver habilitada, um usuário anônimo pode solicitar o
atributo SID de outro usuário. Um usuário anônimo com conhecimento do SID de
um administrador poderá entrar em contato com um computador que tenha a
política habilitada e usar o SID para obter o nome do administrador.
Esta configuração afeta a conversão do SID-para-nome e de nome-para-SID

Padrão em estações de trabalho e servidores membro: desabilitada.

Padrão em controladores de domínio com o Windows Server 2008 ou superior:
desabilitada.
Padrão em controladores de domínio com o Windows Server 2003 R2 ou inferior:
habilitada.
Network access: Allow anonymous SID/name translation

This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user.

If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation.

If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user.

Default on workstations and member servers: Disabled.
Default on domain controllers running Windows Server 2008 or later: Disabled.
Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled.
2002Acesso à rede: não permitir enumeração anônima de contas SAM

Configuração de segurança que determina as permissões adicionais que serão concedidas a conexões anônimas com o computador.

O Windows permite que usuários anônimos executem determinadas atividades, como enumeração de nomes das contas de domínio e dos compartilhamentos de rede. Isso é conveniente, por exemplo, quando um administrador deseja conceder acesso a usuários em um domínio confiável que não mantenha uma confiança recíproca.

Esta opção de segurança permite estabelecer restrições adicionais em conexões anônimas da seguinte maneira:

Habilitada: não permite enumeração de compartilhamentos e contas SAM. Esta opção substitui Todos por Usuários Autenticados nas permissões de segurança dos recursos.
Desabilitada: nenhuma restrição adicional. Conta com as permissões padrão.

Padrão em estações de trabalho: habilitada.
Padrão em servidores: habilitada.

Importante

Esta política não causa impacto em controladores de domínio.

Network access: Do not allow anonymous enumeration of SAM accounts

This security setting determines what additional permissions will be granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust.

This security option allows additional restrictions to be placed on anonymous connections as follows:

Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources.
Disabled: No additional restrictions. Rely on default permissions.

Default on workstations: Enabled.
Default on server:Enabled.

Important

This policy has no impact on domain controllers.

2003Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM

Configuração de segurança que determina se será permitida a enumeração anônima de contas e compartilhamentos SAM.

O Windows permite que usuários anônimos executem determinadas atividades, como enumeração de nomes das contas de domínio e dos compartilhamentos de rede. Isso é conveniente, por exemplo, quando um administrador deseja conceder acesso a usuários em um domínio confiável que não mantenha uma confiança recíproca. Para não permitir a enumeração anônima e contas e compartilhamentos SAM, desabilite esta política.

Padrão. desabilitada.

Network access: Do not allow anonymous enumeration of SAM accounts and shares

This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy.

Default: Disabled.

2004Acesso à rede: não permitir o armazenamento de credenciais e senhas para autenticação de rede

Esta configuração de segurança determina se o Gerenciador de Credenciais salvará senhas e credenciais para uso posterior ao obter autenticação do domínio.

Se você habilitar esta configuração, o Gerenciador de Credenciais não armazenará senhas e credenciais no computador.
Se você desabilitar ou não definir esta configuração de política, o Gerenciador de Credenciais armazenará senhas e credenciais neste computador para uso posterior na autenticação do domínio.

Observação: quando definir esta configuração de segurança, as alterações são terão efeito até que você reinicie o Windows.

Padrão: Desabilitado.

Network access: Do not allow storage of passwords and credentials for network authentication

This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication.

If you enable this setting, Credential Manager does not store passwords and credentials on the computer.
If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

2005Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos

Configuração de segurança que determina as permissões adicionais que serão concedidas a conexões anônimas com o computador.

O Windows permite que usuários anônimos executem determinadas atividades, como enumeração de nomes das contas de domínio e dos compartilhamentos de rede. Isso é conveniente, por exemplo, quando um administrador deseja conceder acesso a usuários em um domínio confiável que não mantenha uma confiança recíproca. Por padrão, o identificador de segurança (SID) Todos é removido do token criado para conexões anônimas. Portanto, as permissões concedidas ao grupo Todos não se aplicam aos usuários anônimos. Se esta opção for definida, usuários anônimos poderão acessar somente os recursos para os quais tiverem permissão explícita.

Se esta política estiver habilitada, o SID Todos será adicionado ao token criado para conexões anônimas. Neste caso, os usuários anônimos poderão acessar qualquer recurso para o qual o grupo Todos tiver permissões.

Padrão: desabilitada.

Network access: Let Everyone permissions apply to anonymous users

This security setting determines what additional permissions are granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission.

If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions.

Default: Disabled.

2006Acesso à rede: pipes nomeados acessíveis anonimamente

Configuração de segurança que determina as sessões de comunicação (pipes) que terão atributos e permissões para acesso anônimo.

Padrão: Nenhum.

Network access: Named pipes that can be accessed anonymously

This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access.

Default: None.

2007Acesso à rede: caminhos do Registro acessíveis remotamente

Configuração de segurança que determina os caminhos do Registro que podem ser acessados pela rede, independentemente de usuários ou grupos listados na lista de controle de acesso (ACL) da chave winreg do Registro.

Padrão:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Caution

A edição incorreta do Registro pode causar danos graves ao sistema. Antes de fazer alterações no Registro, faça backup de qualquer dado importante do computador.
Observação: esta configuração de segurança não está disponível em versões anteriores do Windows. A configuração de segurança exibida em computadores com o Windows XP, "Acesso à rede: caminhos do Registro acessíveis remotamente" corresponde à opção de segurança "Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente" nos membros da família Windows Server 2003. Para obter mais informações, consulte Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente.
Padrão:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
Network access: Remotely accessible registry paths

This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.
Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths.
Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
2008Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente

Configuração de segurança que determina os caminhos e subcaminhos do Registro que podem ser acessados pela rede, independentemente de usuários ou grupos listados na lista de controle de acesso (ACL) da chave winreg do Registro.

Padrão:

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

Atenção

A edição incorreta do Registro pode causar danos graves ao sistema. Antes de fazer alterações no Registro, faça backup de qualquer dado importante do computador.

Observação: no Windows XP, esta configuração de segurança foi chamada de "Acesso à rede: caminhos do Registro acessíveis remotamente". Se você definir esta configuração em um membro da família Windows Server 2003 que esteja em um domínio, ela será herdada pelo computador executando o Windows XP, mas parecerá como a opção de segurança: "Acesso à rede: caminhos do Registro acessíveis remotamente". Para obter mais informações, consulte Acesso à rede: caminhos do Registro acessíveis remotamente.
Network access: Remotely accessible registry paths and subpaths

This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths.
2009Acesso à rede: acesso anônimo restrito a pipes nomeados e compartilhamentos

Quando habilitada, esta configuração de segurança restringe o acesso anônimo a compartilhamentos e pipes para as configurações de:

Acesso à rede: pipes nomeados acessíveis anonimamente
Acesso à rede: compartilhamentos acessíveis anonimamente
Padrão: habilitada.

Network access: Restrict anonymous access to Named Pipes and Shares

When enabled, this security setting restricts anonymous access to shares and pipes to the settings for:

Network access: Named pipes that can be accessed anonymously
Network access: Shares that can be accessed anonymously
Default: Enabled.

2010Acesso à rede: compartilhamentos acessíveis anonimamente

Configuração de segurança que determina os compartilhamentos de rede que podem ser acessados por usuários anônimos.

Padrão: Nenhum especificado.

Network access: Shares that can be accessed anonymously

This security setting determines which network shares can accessed by anonymous users.

Default: None specified.

2011Acesso à rede: modelo de compartilhamento e segurança para contas locais

Esta configuração de segurança determina como são autenticados os logons da rede que usam contas locais. Se esta configuração for definida como Clássico, os logons da rede que usam credenciais de conta local serão autenticados usando essas credenciais. O modelo Clássico permite um maior controle do acesso aos recursos. Ao usar o modelo Clássico, você pode conceder tipos de acesso diferentes a usuários diferentes para o mesmo recurso.
Se esta configuração for definida como Somente convidados, os logons de rede que usam contas locais serão mapeados automaticamente para a conta Convidado. Ao usar o modelo Convidado, todos os usuários serão tratados igualmente. Todos os usuários farão autenticação como Convidado e receberão o mesmo nível de acesso a um determinado recurso, que pode ser Somente Leitura ou Modificar.

Padrão em computadores de domínio: Clássico.
Padrão em computadores autônomos: Somente convidados.

Importante

Com o modelo Somente convidados, qualquer usuário que possa acessar o computador pela rede (incluindo usuários anônimos da Internet) poderá acessar recursos compartilhados. Você deve usar o Firewall do Windows ou outro dispositivo semelhante para proteger o computador contra o acesso não autorizado. Da mesma maneira, com o modelo Clássico, as contas locais deverão ser protegidas por senha; caso contrário, essas contas de usuário poderão ser usadas por qualquer pessoa para acessar recursos compartilhados do sistema

Observações

Esta configuração não afeta logons interativos executados remotamente usando serviços como Telnet ou Serviços de Área de Trabalho Remota.

Os Serviços de Área de Trabalho Remota eram chamados de Serviços de Terminal nas versões anteriores do Windows Server.

Essa política não terá impacto sobre computadores que estejam executando o Windows 2000.

Se o computador não estiver unido a um domínio, esta configuração modificará também as guias Compartilhamento e Segurança do Explorador de Arquivos para corresponder ao modelo de compartilhamento e segurança que está sendo usado.

Network access: Sharing and security model for local accounts

This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource.
If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify.

Default on domain computers: Classic.
Default on stand-alone computers: Guest only

Important

With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources.

Note:

This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services

Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

This policy will have no impact on computers running Windows 2000.
When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used.

2012Segurança de rede: Não armazenar o valor de hash do LAN Manager na próxima alteração de senha

Configuração de segurança que determina se, na próxima alteração de senha, será armazenado o valor hash do LAN Manager (LM) para a nova senha. O hash do LM é relativamente fraco e vulnerável aos ataques se comparado com o hash do Windows NT criptograficamente mais forte. Como o hash do LM é armazenado no computador local do banco de dados de segurança, as senhas poderão ficar comprometidas se esse banco de dados for atacado.


Padrão no Windows Vista e superior: habilitada
Padrão no Windows XP: desabilitada.

Importante

O Windows 2000 Service Pack 2 (SP2) e posterior oferecem compatibilidade com autenticação em versões anteriores do Windows, como Microsoft Windows NT 4.0.
Esta configuração pode afetar a capacidade dos computadores que executam o Windows 2000 Server, Windows 2000 Professional, Windows XP e a família Windows Server 2003 de se comunicarem com computadores que executam o Windows 95 e o Windows 98.

Network security: Do not store LAN Manager hash value on next password change

This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked.


Default on Windows Vista and above: Enabled
Default on Windows XP: Disabled.

Important

Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0.
This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98.

2013Segurança de rede: forçar logoff quando o horário de logon terminar

Configuração de segurança que determina se os usuários conectados ao computador local fora dos horários de logon válidos da conta devem ser desconectados. Esta configuração afeta o componente SMB.

Quando esta política está habilitada, ela faz com que as sessões de cliente com o servidor SMB sejam forçosamente desconectadas quando os horários de logon do cliente vencem.

Se ela estiver desabilitada, uma sessão de cliente estabelecida poderá ser mantida depois que vencer o horário de logon do cliente.

Padrão: habilitada.

Observação: esta configuração de segurança se comporta como uma política de conta. Em contas de domínio, pode haver apenas uma política de conta. A política de conta deve ser definida na Política de Conta Padrão e é aplicada por controladores que fazem parte do domínio. Um controlador de domínio sempre extrai a política de conta do objeto de política de grupo (GPO) Política de Domínio Padrão, mesmo quando há uma política de conta diferente aplicada à unidade organizacional que contém o controlador de domínio. Por padrão, estações de trabalho e servidores que estejam em um domínio (como computadores membros) também recebem a mesma política de conta para as contas locais. No entanto, as políticas de conta local para computadores membros podem ser diferentes da política de conta de domínio com a definição de uma política de conta para a unidade organizacional que contenha os computadores membros. As configurações de Kerberos não são aplicadas a computadores membros.

Network security: Force logoff when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default: Enabled.

Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers.

2014Segurança de rede: nível de autenticação LAN Manager

Essa configuração de segurança determina o protocolo de autenticação de
desafio/resposta usado para logons na rede. Esta opção afeta o nível do
protocolo de autenticação usado pelos clientes, o nível da segurança de
sessão negociada e o nível de autenticação aceito pelos servidores da seguinte
maneira:

Enviar respostas LM e NTLM: os clientes usam autenticação LM e NTLM e nunca
usam segurança de sessão NTLMv2; controladores de domínio aceitam autenticação
LM, NTLM e NTLMv2.

Enviar LM & NTLM - use a segurança da sessão NTLMv2, se estiver negociada:
os clientes usam autenticação LM e NTLM e usam segurança de sessão NTLMv2 caso
o servidor ofereça suporte; controladores de domínio aceitam autenticação LM,
NTLM e NTLMv2.

Enviar somente resposta NTLM: os clientes usam autenticação NTLM somente e
usam segurança de sessão NTLMv2 caso o servidor ofereça suporte; controladores
de domínio aceitam autenticação LM, NTLM e NTLMv2.

Enviar somente resposta NTLMv2: os clientes usam autenticação NTLMv2 somente e
usam segurança de sessão NTLMv2 caso o servidor ofereça suporte; controladores
de domínio aceitam autenticação LM, NTLM e NTLMv2.

Enviar somente resposta NTLMv2\recusar LM: os clientes usam autenticação
NTLMv2 somente e segurança de sessão NTLMv2 caso o servidor ofereça suporte;
controladores de domínio recusam LM (aceitam autenticação NTLM e NTLMv2
apenas).

Enviar somente resposta NTLMv2\recusar LM & NTLM: os clientes usam
autenticação NTLMv2 somente e usam segurança de sessão NTLMv2 caso o servidor
ofereça suporte; controladores de domínio recusam LM e NTLM (aceitam apenas
autenticação NTLMv2).


Importante

Essa configuração pode afetar a capacidade dos computadores executando o
Windows 2000 Server, Windows 2000 Professional, Windows XP Professional e a
família Windows Server 2003 de se comunicarem com computadores executando o
Windows NT 4.0 e versões anteriores pela rede. Por exemplo, quando este
documento foi redigido, os computadores executando o Windows NT 4.0 SP4 e
anteriores não ofereciam suporte a NTLMv2. Computadores executando o Windows
95 e o Windows 98 não ofereciam suporte a NTLM.

Padrão:

Windows 2000 e Windows XP "enviar respostas LM & NTLM no servidor"

Windows Server 2003: enviar somente resposta NTLM

Windows Server 2008, Windows 7 e Windows Server 2008 R2: enviar somente
resposta NTLMv2

Network security: LAN Manager authentication level

This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows:

Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication).

Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication).

Important

This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM.

Default:

Windows 2000 and windows XP: send LM & NTLM responses

Windows Server 2003: Send NTLM response only

Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only

2015Segurança de rede: requisitos de assinatura de cliente LDAP

Esta configuração de segurança determina o nível de assinatura dos dados solicitada em nome dos clientes que emitem solicitações LDAP BIND, da seguinte maneira:

Nenhum: a solicitação LDAP BIND é emitida com as opções especificadas pelo chamador.
Negociar assinatura: Se os protocolos TLS/SSL (TLS\SSL) não foram iniciados, a solicitação LDAP BIND é iniciada com a opção de assinatura de dados LDAP definida além das opções especificadas pelo chamador. Se TLS\SSL foi iniciado, a solicitação LDAP BIND é iniciada com as opções especificadas pelo chamador.
Requer assinatura: é o mesmo que Negociar assinatura. No entanto, se a resposta saslBindInProgress intermediária do servidor LDAP não indicar que a assinatura do tráfego LDAP é necessária, o chamador será informado da falha da solicitação do comando LDAP BIND.

Atenção

Se você definir o servidor como Requer assinatura, também deverá definir o cliente. Não definir o cliente resultará em perda de conexão com o servidor.

Observação: Esta configuração não tem impacto em ldap_simple_bind ou ldap_simple_bind_s. Nenhum cliente Microsoft LDAP fornecido com Windows XP Professional usa ldap_simple_bind ou ldap_simple_bind_s para se comunicar com um controlador de domínio.

Padrão: Negociar assinatura.

Network security: LDAP client signing requirements

This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows:

None: The LDAP BIND request is issued with the options that are specified by the caller.
Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller.
Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed.

Caution

If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server.

Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller.

Default: Negotiate signing.

2016Segurança de rede: segurança mínima de sessão para clientes baseados em NTLM
SSP (incluindo RPC seguro)

Configuração de segurança que permite a um cliente exigir negociação de
criptografia de 128 bits e/ou segurança de sessão NTLMv2. Esses valores
dependem do valor da configuração de segurança Nível de Autenticação do LAN
Manager. As opções são:

Exigir segurança de sessão NTLMv2: a conexão falhará se o protocolo NTLMv2 não
for negociado.
Exigir criptografia de 128 bits: a conexão falhará se a criptografia forte
(128 bits) não for negociada.

Padrão:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows
Server 2008: sem requisitos.

Windows 7 e Windows Server 2008 R2: exigem a criptografia de 128 bits

Network security: Minimum session security for NTLM SSP based (including secure RPC) clients

This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated.
Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2017Segurança de rede: segurança mínima de sessão para clientes baseados em NTLM
SSP (incluindo RPC seguro)

Essa configuração de segurança permite a um cliente exigir negociação de
criptografia de 128 bits e/ou segurança de sessão NTLMv2. Esses valores
dependem do valor da configuração de segurança Nível de Autenticação do LAN
Manager. As opções são:

Exigir segurança de sessão NTLMv2: a conexão falhará se a integridade da
mensagem não for negociada.
Exigir criptografia de 128 bits: a conexão falhará se a criptografia forte
(128 bits) não for negociada.

Padrão:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows
Server 2008: sem requisitos.

Windows 7 e Windows Server 2008 R2: exigem a criptografia de 128 bits

Network security: Minimum session security for NTLM SSP based (including secure RPC) servers

This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if message integrity is not negotiated.
Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2018Console de recuperação: permitir logon administrativo automático

Configuração de segurança que determina se a senha da conta Administrador deverá ser fornecida antes de o acesso ao sistema ser concedido. Se esta opção estiver habilitada, o Console de Recuperação não solicitará uma senha e fará logon automaticamente no sistema.

Padrão: essa política não está definida e o logon administrativo automático não é permitido.

Recovery console: Allow automatic administrative logon

This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system.

Default: This policy is not defined and automatic administrative logon is not allowed.

2019Console de recuperação: permite cópia em disquete e acesso a todas as unidades e pastas

Habilitar esta opção de segurança disponibiliza o comando SET do Console de Recuperação, o que permite definir as seguintes variáveis de ambiente:

AllowWildCards: habilita o suporte a curingas em alguns comandos (como o comando DEL).
AllowAllPaths: permite acessar todos os arquivos e pastas do computador.
AllowRemovableMedia: permite copiar arquivos em mídia removível, como um disquete.
NoCopyPrompt: Não solicita confirmação ao substituir um arquivo.

Padrão: essa política não está definida e o comando SET do console de recuperação não está disponível.

Recovery console: Allow floppy copy and access to all drives and all folders

Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables:

AllowWildCards: Enable wildcard support for some commands (such as the DEL command).
AllowAllPaths: Allow access to all files and folders on the computer.
AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk.
NoCopyPrompt: Do not prompt when overwriting an existing file.

Default: This policy is not defined and the recover console SET command is not available.

2020Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon

Configuração de segurança que determina se um computador pode ser desligado sem fazer logon no Windows.

Quando esta política está habilitada, o comando Desligar está disponível na tela de logon do Windows.

Quando está desabilitada, a opção de desligar o computador não é exibida na tela de logon do Windows. Neste caso, os usuários precisarão fazer um logon bem-sucedido no computador e ter o direito do usuário do sistema Desligar para poder fazer o desligamento do sistema.

Padrão em estações de trabalho: habilitada.
Padrão em servidores: desabilitada.

Shutdown: Allow system to be shut down without having to log on

This security setting determines whether a computer can be shut down without having to log on to Windows.

When this policy is enabled, the Shut Down command is available on the Windows logon screen.

When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown.

Default on workstations: Enabled.
Default on servers: Disabled.

2021Desligamento: limpar arquivo de paginação de memória virtual

Esta configuração de segurança determina se o arquivo de paginação de memória virtual será limpo quando o sistema for desligado.

A memória virtual oferece suporte ao uso de um arquivo de paginação do sistema para trocar páginas da memória com o disco quando não usadas. Em um sistema em execução, esse arquivo de paginação é aberto exclusivamente pelo sistema operacional e está bem protegido. No entanto, os sistemas configurados para permitir a inicialização em outros sistemas operacionais talvez tenham que verificar se o arquivo de paginação é limpo quando esse sistema é desligado. Essa limpeza é uma garantia de que informações sigilosas da memória do processo que possam estar no arquivo de paginação não serão disponibilizadas para um usuário não autorizado que tente acessar diretamente o arquivo de paginação.

Quando esta política está habilitada, ela faz com que o arquivo de paginação do sistema seja limpo no desligamento. Se você habilitar esta opção de segurança, o arquivo de hibernação (hiberfil.sys) também será zerado quando a hibernação estiver desabilitada.

Padrão: desabilitada.

Shutdown: Clear virtual memory pagefile

This security setting determines whether the virtual memory pagefile is cleared when the system is shut down.

Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile.

When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled.

Default: Disabled.

2022Criptografia do sistema: forçar proteção de chave forte para chaves do usuário armazenadas no computador

Configuração de segurança que determina se chaves privadas dos usuários exigem o uso de uma senha.

As opções são:

A entrada do usuário não é necessária quando novas chaves são armazenadas e usadas
O usuário é consultado quando a chave é usada pela primeira vez
O usuário deve digitar uma senha sempre que usar uma chave
Para obter mais informações, consulte Infraestrutura de chave pública.

Padrão: política não definida.

System Cryptography: Force strong key protection for user keys stored on the computer

This security setting determines if users' private keys require a password to be used.

The options are:

User input is not required when new keys are stored and used
User is prompted when the key is first used
User must enter a password each time they use a key
For more information, see Public key infrastructure.

Default: This policy is not defined.

2023Criptografia do sistema: use algoritmos compatíveis com FIPS 140 incluindo os de criptografia, hash e assinatura

Para o SSP (Provedor de Serviços de Segurança Schannel), essa configuração de segurança desabilita os protocolos SSL mais fracos e somente dá suporte aos protocolos TLS como cliente e como servidor (se aplicável). Se essa configuração estiver habilitada, o Provedor de Segurança TLS/SSL usará apenas os algoritmos de criptografia aprovados pelo FIPS 140: 3DES e AES para criptografia, criptografia de chave pública RSA ou ECC para a troca de chaves e autenticação TLS e somente o Secure Hashing Algorithm 1 (SHA1, SHA256, SHA384 e SHA512) para os requisitos de hash de TLS.

Para o EFS (Sistema de Arquivos com Criptografia), ela dá suporte aos algoritmos de criptografia 3DES e AES para criptografia de dados de arquivo aos quais o sistema de arquivos NTFS dá suporte. Por padrão, o EFS usa o algoritmo AES com uma chave de 256 bits na família Windows Server 2003 e Windows Vista e o algoritmo DESX no Windows XP para criptografia de dados de arquivo. Para obter informações sobre o EFS, consulte Sistema de Arquivos com Criptografia.

Para Serviços de Área de Trabalho Remota, ele dá suporte apenas ao algoritmo de criptografia DES Triplo para criptografia da comunicação na rede dos Serviços de Área de Trabalho Remota.

Observação: os Serviços de Área de Trabalho Remota eram chamados de Serviços de Terminal nas versões anteriores do Windows Server.

Para o BitLocker, essa política precisa estar habilitada antes de qualquer chave de criptografia ser gerada. Senhas de recuperação criadas quando essa política está habilitada são incompatíveis com o BitLocker no Windows 8, no Windows Server 2012 e em sistemas operacionais anteriores. Se essa política for aplicada a computadores com sistemas operacionais anteriores ao Windows 8.1 e ao Windows Server 2012 R2, o BitLocker impedirá a criação ou uso de senhas de recuperação. Em vez disso, será necessário chaves de recuperação para esses computadores.

Padrão: desabilitada.

Observação: o padrão FIPS 140 é uma implementação de segurança criada para a certificação de softwares criptográficos. Softwares validados pelo FIPS 140 são uma exigência do governo americano e uma solicitação de outras instituições de destaque.

System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms

For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements.

For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System.

For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead.

Default: Disabled.

Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions.

2024Objetos do sistema: proprietário padrão de objetos criados por membros do grupo Administradores
Descrição
Essa configuração de segurança determina a entidade de segurança (SID) que será atribuída ao PROPRIETÁRIO de objetos quando o objeto for criado por um membro do grupo Administradores.
Padrão:
Windows XP: SID de usuário
Windows 2003: grupo Administradores
System objects: Default owner for objects created by members of the Administrators group
Description
This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group.
Default:
Windows XP: User SID
Windows 2003 : Administrators Group
2025Objetos do sistema: exigir distinção entre maiúsculas e minúsculas para subsistemas não-Windows

Configuração de segurança que determina se a distinção de maiúsculas e minúsculas será aplicada a todos os subsistemas. O subsistema Win32 não faz distinção entre maiúsculas e minúsculas. No entanto, o kernel oferece suporte à distinção de maiúsculas e minúsculas em outros subsistemas, como POSIX.

Se esta configuração for habilitada, a indistinção de maiúsculas e minúsculas será aplicada a todos os objetos de diretório, links simbólicos e objetos de E/S, incluindo objetos de arquivo. Desabilitar esta configuração não permite ao susbsistema Win32 fazer distinção entre maiúsculas e minúsculas.

Padrão: habilitada.

System objects: Require case insensitivity for non-Windows subsystems

This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX.

If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive.

Default: Enabled.

2026Objetos do sistema: restringir permissões padrão de objetos do sistema interno (por exemplo: links simbólicos)

Configuração de segurança que determina a força da lista de controle de acesso condicional (DACL) padrão dos objetos.

O Active Directory mantém uma lista global de recursos compartilhados do sistema, como nomes de dispositivo DOS, mutexes e semáforos. Dessa maneira, os objetos podem ser localizados e compartilhados entre processos. Cada tipo de objeto é criado com uma DACL padrão que especifica quem pode acessar os objetos e que permissões são concedidas.

Se esta política estiver habilitada, a DACL padrão será mais forte, permitindo aos usuários que não são administradores ler objetos compartilhados, porém não modificar objetos compartilhados não criados por eles.

Padrão: habilitada.

System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)

This security setting determines the strength of the default discretionary access control list (DACL) for objects.

Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted.

If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create.

Default: Enabled.

2027Configurações do sistema: subsistemas opcionais

Configuração de segurança que determina os subsistemas usados opcionalmente para oferecer suporte aos seus aplicativos. Com esta configuração de segurança, você pode especificar quantos subsistemas forem necessários para oferecer suporte aos aplicativos, de acordo com a exigência do ambiente.

Padrão: POSIX.

System settings: Optional subsystems

This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands.

Default: POSIX.

2028Configurações do sistema: usar regras de certificado em arquivos executáveis do Windows para políticas de restrição de software

Configuração de segurança que determina se os certificados digitais são processados quando um usuário ou processo tenta executar software com uma extensão de nome de arquivo .exe. Esta configuração de segurança é usada para habilitar ou desabilitar regras de certificado, um tipo de regra das políticas de restrição de software. Com as políticas de restrição de software, você pode criar uma regra de certificado que permitirá ou não que o software seja assinado por Authenticode para ser executado, com base no certificado digital associado a ele. Para que as regras de certificado sejam aplicadas, é preciso habilitar esta configuração de segurança.

Quando as regras de certificado estão habilitadas, as políticas de restrição de software consultam uma lista de certificados revogados (CRL) para verificar se o certificado e a assinatura do software são válidos. Isso pode reduzir o desempenho ao iniciar programas assinados. Você pode desabilitar este recurso. Em Propriedades de Fornecedores Confiáveis, desmarque as caixas Editor e Carimbo de Data/Hora. Para obter mais informações, consulte Definir opções do editor.

Padrão: desabilitada.

System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies

This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting.

When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options.

Default: Disabled.

2029Tamanho máximo do log do aplicativo

Configuração de segurança que especifica o tamanho máximo do log de eventos do aplicativo, que tem, teoricamente, no máximo 4 GB. Na prática, o limite é menor (~300MB).

Observações

Os tamanhos dos arquivos de log devem ser múltiplos de 64 KB. Se você inserir um valor que não seja múltiplo de 64 KB, o recurso Visualizador de Eventos arredondará o tamanho como um múltiplo de 64 KB.
Esta configuração não aparece no objeto Política de Computador Local.
O tamanho e as quebras de linhas do Log de Eventos devem ser definidos de acordo com os requisitos comerciais e de segurança determinados ao criar o plano de segurança da empresa. Considere a possibilidade de implementar essas configurações de Log de Eventos no nível de site, domínio ou nível da unidade organizacional para aproveitar as configurações de Política de Grupo.
Padrão: na família Windows Server 2003, 16 MB; no Windows XP Professional Service Pack 1, 8 MB; no Windows XP Professional, 512 KB.

Maximum application log size

This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2030Tamanho máximo do log de segurança

Configuração de segurança que especifica o tamanho máximo do log de eventos de segurança, que tem, teoricamente, no máximo 4 GB. Na prática, o limite é menor (~300MB).

Observações

Os tamanhos dos arquivos de log devem ser múltiplos de 64 KB. Se você inserir um valor que não seja múltiplo de 64 KB, o recurso Visualizador de Eventos arredondará o tamanho como um múltiplo de 64 KB.
Esta configuração não aparece no objeto Política de Computador Local.
O tamanho e as quebras de linhas do Log de Eventos devem ser definidos de acordo com os requisitos comerciais e de segurança determinados ao criar o plano de segurança da empresa. Considere a possibilidade de implementar essas configurações de Log de Eventos no nível de site, domínio ou nível da unidade organizacional para aproveitar as configurações de Política de Grupo.
Padrão: na família Windows Server 2003, 16 MB; no Windows XP Professional Service Pack 1, 8 MB; no Windows XP Professional, 512 KB.

Maximum security log size

This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2031Tamanho máximo do log do sistema

Configuração de segurança que especifica o tamanho máximo do log de eventos do sistema, que tem, teoricamente, no máximo 4 GB. Na prática, o limite é menor (~300MB).

Observações

Os tamanhos dos arquivos de log devem ser múltiplos de 64 KB. Se você inserir um valor que não seja múltiplo de 64 KB, o recurso Visualizador de Eventos arredondará o tamanho como um múltiplo de 64 KB.
Esta configuração não aparece no objeto Política de Computador Local.
O tamanho e as quebras de linhas do Log de Eventos devem ser definidos de acordo com os requisitos comerciais e de segurança determinados ao criar o plano de segurança da empresa. Considere a possibilidade de implementar essas configurações de Log de Eventos no nível de site, domínio ou nível da unidade organizacional para aproveitar as configurações de Política de Grupo.
Padrão: na família Windows Server 2003, 16 MB; no Windows XP Professional Service Pack 1, 8 MB; no Windows XP Professional, 512 KB.

Maximum system log size

This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2032Impedir que o grupo de convidados locais e usuários com LOGON ANÔNIMO acessem o log do aplicativo

Configuração de segurança que determina se os convidados serão impedidos de acessar o log de eventos do aplicativo.

Observações

Esta configuração não aparece no objeto Política de Computador Local.

Esta configuração de segurança afeta somente computadores que estejam executando o Windows 2000 e o Windows XP.

Padrão: habilitada para o Windows XP e desabilitada para o Windows 2000
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2033Impedir que o grupo de convidados locais e usuários com LOGON ANÔNIMO acessem o log de segurança

Configuração de segurança que determina se os convidados serão impedidos de acessar o log de eventos do aplicativo.

Observações

Esta configuração não aparece no objeto Política de Computador Local.

Esta configuração de segurança afeta somente computadores que estejam executando o Windows 2000 e o Windows XP.

Padrão: habilitada para o Windows XP e desabilitada para o Windows 2000
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2034Impedir que o grupo de convidados locais e usuários com LOGON ANÔNIMO acessem o log do sistema

Configuração de segurança que determina se os convidados serão impedidos de acessar o log de eventos do aplicativo.

Observações

Esta configuração não aparece no objeto Política de Computador Local.

Esta configuração de segurança afeta somente computadores que estejam executando o Windows 2000 e o Windows XP.

Padrão: habilitada para o Windows XP e desabilitada para o Windows 2000
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2035Reter log do aplicativo

Configuração de segurança que determina o número de dias que os eventos devem ser retidos no log do aplicativo se o método de retenção do log for Por Dias.

Defina esse valor somente se você costuma arquivar o log em intervalos agendados e se tiver certeza de que o tamanho máximo do log do aplicativo é grande o suficiente para acomodar o intervalo.

Observação: esta configuração não aparece no objeto Política de Computador Local.
Padrão: Nenhum.

Retain application log

This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2036Reter log de segurança

Configuração de segurança que determina o número de dias que os eventos devem ser retidos no log de segurança se o método de retenção do log for Por Dias.

Defina esse valor somente se costuma arquivar o log em intervalos agendados e se tiver certeza de que o tamanho máximo do log de segurança é grande o suficiente para acomodar o intervalo.

Observações
Esta configuração não aparece no objeto Política de Computador Local.
Um usuário deve possuir o direito Gerenciar a auditoria e log de segurança para acessar o log de segurança.
Padrão: nenhum.

Retain security log

This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval.

Notes
This setting does not appear in the Local Computer Policy object.
A user must possess the Manage auditing and security log user right to access the security log.
Default: None.

2037Reter log de sistema

Configuração de segurança que determina o número de dias que os eventos devem ser retidos no log de sistema se o método de retenção do log for Por Dias.

Defina esse valor somente se você costuma arquivar o log em intervalos agendados e se tiver certeza de que o tamanho máximo do log de sistema é grande o suficiente para acomodar o intervalo.

Observação: esta configuração não aparece no objeto Política de Computador Local.
Padrão: Nenhum.

Retain system log

This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2038Método de retenção do log de aplicativo

Configuração de segurança que determina o método de "encapsulamento" do log do aplicativo.

Se você não arquiva o log do aplicativo, na caixa de diálogo Propriedades da política, marque a caixa de seleção Definir esta configuração de política e clique em Substituir eventos quando necessário.

Se você arquiva o log em intervalos agendados, na caixa de diálogo Propriedades da política, marque a caixa de seleção Definir esta configuração de política, clique em Substituir eventos periodicamente e especifique o número apropriado de dias na configuração Reter log do aplicativo. Verifique se o tamanho máximo do log do aplicativo é grande o suficiente para acomodar o intervalo.

Se você tiver que reter todos os eventos no log, na caixa de diálogo Propriedades da política, marque a caixa de diálogo Definir esta configuração de política e clique em Não substituir eventos (limpar logs manualmente). Essa opção requer a limpeza manual do log. Nesse caso, quando o tamanho máximo do log for atingido, novos eventos serão descartados.

Observação: esta configuração não aparece no objeto Política de Computador Local.

Padrão: Nenhum.

Retention method for application log

This security setting determines the "wrapping" method for the application log.

If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Note: This setting does not appear in the Local Computer Policy object.

Default: None.

2039Método de retenção do log de segurança

Configuração de segurança que determina o método de "encapsulamento" do log de segurança.

Se você não arquivar o log de segurança, na caixa de diálogo Propriedades da política, marque a caixa de seleção Definir a configuração da política e clique em Substituir eventos quando necessário.

Se você arquivar o log em intervalos agendados, na caixa de diálogo Propriedades da política, marque a caixa de seleção Definir a configuração da política, clique em Substituir eventos por dias e especifique o número apropriado de dias na configuração Reter log de segurança. Verifique se o tamanho máximo do log de segurança é grande o suficiente para acomodar o intervalo.

Se você tiver que reter todos os eventos no log, na caixa de diálogo Propriedades da política, marque a caixa de diálogo Definir a configuração da política e clique em Não substituir eventos (limpar logs manualmente). Essa opção requer a limpeza manual do log. Nesse caso, quando o tamanho máximo do log for atingido, novos eventos serão descartados

Observações

Esta configuração não aparece no objeto Política de Computador Local.

O usuário deve possuir o direito Gerenciar log de auditoria e segurança para acessar o log de segurança.

Padrão: Nenhum.
Retention method for security log

This security setting determines the "wrapping" method for the security log.

If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Notes

This setting does not appear in the Local Computer Policy object.

A user must possess the Manage auditing and security log user right to access the security log.

Default: None.
2040Método de retenção do log de sistema

Configuração de segurança que determina o método de "encapsulamento" do log de sistema.

Se você não arquivar o log de sistema, na caixa de diálogo Propriedades da política, marque a caixa de seleção Definir esta configuração de política e clique em Substituir eventos quando necessário.

Se você arquivar o log em intervalos agendados, na caixa de diálogo Propriedades da política, marque a caixa de seleção Definir esta configuração de política, clique em Substituir eventos por dias e especifique o número apropriado de dias na configuração Reter log de sistema. Verifique se o tamanho máximo do log de sistema é grande o suficiente para acomodar o intervalo.

Se você tiver que reter todos os eventos no log, na caixa de diálogo Propriedades da política, marque a caixa de diálogo Definir esta configuração de política e clique em Não substituir eventos (limpar log manualmente). Essa opção requer a limpeza manual do log. Nesse caso, quando o tamanho máximo do log for atingido, novos eventos serão descartados.

Observação: esta configuração não aparece no objeto Política de Computador Local.

Padrão: Nenhum.
Retention method for system log

This security setting determines the "wrapping" method for the system log.

If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval

.If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded

Note: This setting does not appear in the Local Computer Policy object.

Default: None.
2041Grupos Restritos

Configuração de segurança que permite a um administrador definir duas propriedades para grupos sensíveis à segurança (grupos "restrito").

As duas propriedades são Membros e Membro de. A lista de membros define quem pertence ou não ao grupo restrito. A lista de membro de especifica a que outros grupos os grupos restritos pertencem.

Quando a Política de Grupos Restritos é aplicada, qualquer membro atual de um grupo restrito que não esteja na lista de membros é removido. Qualquer usuário da lista de membros que não seja um membro do grupo restrito no momento é adicionado.

Você pode usar a política de Grupos Restritos para controlar a associação de grupo. Usando a política, você pode especificar os membros que fazem parte de um grupo. Qualquer membro não especificado na política é removido durante a configuração ou atualização. Além disso, a opção de configuração de associação inversa garante que cada Grupo Restrito seja membro apenas daqueles grupos especificados na coluna Membro de.

Por exemplo, você pode criar uma política de Grupos Restritos para permitir que somente usuários especificados (por exemplo, Alice e João) sejam membros do grupo Administradores. Quando a política for atualizada, somente Alice e João permanecerão como membros do grupo Administradores.

Há duas maneiras de aplicar a política de Grupos Restritos:

Definir a política em um modelo de segurança, o qual será aplicado durante a configuração do computador local.
Definir a configuração diretamente em um objeto de Política de Grupo (GPO), o que significa que a política entrará em vigor a cada atualização. As configurações de segurança são atualizadas a cada 90 minutos em uma estação de trabalho ou em um servidor e a cada 5 minutos em um controlador de domínio. As configurações também são atualizadas a cada 16 horas, independentemente da existência de alterações.
Padrão: nenhum especificado.

Atenção

Se uma política de Grupos Restritos for definida e a Política de Grupo for atualizada, qualquer membro atual que não esteja na lista de membros da política de Grupos Restritos será removido. Isso inclui membros padrão, como administradores.

Observações

Grupos Restritos devem ser usados principalmente para configurar a associação dos grupos locais em estações de trabalho ou servidores membro.
Uma lista de membro vazia significa que o grupo restrito não tem membros; uma lista de membros de vazia significa que os grupos aos quais o grupo restrito pertence não estão especificados.

Restricted Groups

This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups).

The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to.

When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added.

You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column.

For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group.

There are two ways to apply Restricted Groups policy:

Define the policy in a security template, which will be applied during configuration on your local computer.
Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes.
Default: None specified.

Caution

If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators.

Notes

Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers.
An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified.

2042Configurações de segurança de Serviços do Sistema

Permitem a um administrador definir o modo de inicialização (manual, automático ou desabilitado), bem como as permissões de acesso (Iniciar, Parar ou Pausar) de todos os serviços do sistema.

Padrão: Indefinido.

Observações

Esta configuração não aparece no objeto Política de Computador Local.
Se você optar por definir a inicialização de serviço do sistema como Automática, execute os testes adequados para verificar se os serviços podem ser iniciados sem intervenção do usuário.
Para otimizar o desempenho, defina serviços desnecessários ou não utilizados como Manual.

System Services security settings

Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services.

Default: Undefined.

Notes

This setting does not appear in the Local Computer Policy object.
If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention.
For performance optimization, set unnecessary or unused services to Manual.

2043Configurações de segurança do Registro

Permitem a um administrador definir permissões de acesso (em listas de controle de acesso condicional (DACLs)) e configurações de auditoria (nas listas de controle de acesso do sistema (SACLs)) para chaves do Registro usando o Gerenciador de Configuração de Segurança.

Padrão: Indefinido.

Observação: esta configuração não aparece no objeto Política de Computador Local.

Registry security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.

2044Configurações de segurança do Sistema de Arquivos

Permitem a um administrador definir permissões de acesso (em listas de controle de acesso condicional (DACLs)) e configurações de auditoria (nas listas de controle de acesso do sistema (SACLs)) para objetos do sistema de arquivos usando o Gerenciador de Configuração de Segurança.

Padrão: Indefinido.

Observação: esta configuração não aparece no objeto Política de Computador Local.
File System security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.
2045Auditoria: Forçar configurações de subcategorias de políticas de auditoria (Windows Vista ou posterior) para substituir configurações de categorias de políticas de auditoria.

O Windows Vista e versões posteriores do Windows permitem que a política de auditoria seja gerenciada de forma mais precisa usando subcategorias de políticas de auditoria. A configuração de política de auditoria no nível de categoria substitui o novo recurso de política de auditoria de subcategoria. A Política de Grupo só permite que a política de auditoria seja configurada no nível de categoria e a política de grupo existente pode substituir as configurações de subcategoria de novas máquinas à medida que forem unidas ao domínio ou atualizadas para o Windows Vista ou versões posteriores. Para permitir que a política de auditoria seja gerenciada usando subcategorias sem a necessidade de alterar a Política de Grupo, há um novo valor de Registro no Windows Vista e em versões posteriores, SCENoApplyLegacyAuditPolicy, que impede a aplicação da política de auditoria no nível de categoria da Política de Grupo e da ferramenta administrativa da Política de Segurança Local.

Se a política de auditoria de nível de categoria definida aqui não estiver consistente com os eventos que estiverem sendo gerados no momento, talvez essa chave de Registro esteja definida.

Padrão: habilitada
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool.

If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set.

Default: Enabled
2046Controle de Conta de Usuário: usar Modo de Aprovação de Administrador para a
conta de Administrador Interno

Essa configuração de política determina controla o comportamento do Modo de
Aprovação de Administrador para a conta de Administrador Interno.

As opções são:

o Habilitado: a conta interna de Administrador usa o Modo de Aprovação de
Administrador. Por padrão, qualquer operação que exija a elevação de
privilégios solicitará ao usuário a aprovação da operação.

o Desabilitado: (padrão) A conta interna de Administrador executa todos os
aplicativos com privilégios administrativos totais.
User Account Control: Use Admin Approval Mode for the built-in Administrator account

This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account.

The options are:

• Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation.

• Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege.
2047DCOM: Restrições de Acesso ao Computador na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança)

Essa configuração de política determina que usuários ou grupos podem acessar o aplicativo DCOM remota ou localmente. É usada para controlar a superfície de ataque do computador para aplicativos DCOM.

É possível usá-la para especificar permissões de acesso a todos os computadores, para usuários específicos dos aplicativos DCOM da empresa. Quando você especifica os usuários ou grupos que devem receber permissão, o campo do descritor de segurança é preenchido com a representação da Linguagem de Definição de Descritor de Segurança desses grupos e privilégios. Se o descritor de segurança ficar em branco, a configuração de política será definida no modelo, mas não será imposta. Usuários e grupos podem receber privilégios explícits Permitir ou Negar, tanto no acesso local quanto no remoto.

As configurações do Registro, que são criadas como resultado da habilitação da configuração da política DCOM: Restrições de Acesso ao Computador na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança), prevalecem (têm maior prioridade) sobre as configurações do Registro anteriores, nessa área. O RpcSc (Serviços de Chamadas de Procedimentos Remotos) verifica se há restrições ao computador nas novas chaves do Registro na seção Políticas. Essas entradas no Registro prevalecem sobre as chaves do Registro anteriores em OLE. Isso significa que as configurações anteriormente existentes do Registro não são mais válidas. Se você fizer alterações nas configurações existentes, as permissões de acesso dos usuários ao computador não serão alteradas. Seja cuidadoso ao configurar a lista de usuários e grupos.

Os possíveis valores para essa configuração de política são:

Espaço: representa como a política de segurança local exclui a chave de imposição de política. Esse valor exclui a política e a define com o estado Não definido. Para definir o valor Espaço, use o editor ACL, esvazie a lista e pressione OK.

SDDL: essa é a representação da Linguagem de Definição de Descritor de Segurança dos grupos e privilégios especificados quando você habilita esta política.

Não Definido: esse é o valor padrão.

Observação
Se um administrador não receber permissão para acessar os aplicativos DCOM devido a alterações feitas no DCOM do Windows, ele poderá usar a configuração de política DCOM: Restrições de Acesso ao Computador na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança) para gerenciar o acesso DCOM ao computador. O administrador pode especificar que usuários e grupos podem acessar o aplicativo DCOM no computador, tanto local quanto remotamente, usando essa configuração. Isso restaura o controle do aplicativo DCOM para o administrador e os usuários. Para fazer isso, abra a configuração de política DCOM: Restrições de Acesso ao Computador na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança) e clique em Editar Segurança. Especifique os grupos que deseja incluir e as permissões de acesso ao computador para esses grupos. Isso define a configuração e define o valor SDDL apropriado.



DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access.

The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups.

The possible values for this policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value.



2048DCOM: Restrições de Acesso ao Computador na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança)

Essa configuração de política determina que usuários ou grupos podem acessar o aplicativo DCOM remota ou localmente. É usada para controlar a superfície de ataque do computador para aplicativos DCOM.

É possível usá-la para especificar permissões de acesso a todos os computadores, para determinados usuários dos aplicativos DCOM na empresa. Quando você especifica os usuários ou grupos que devem receber permissão, o campo do descritor de segurança é preenchido com a representação da Linguagem de Definição de Descritor de Segurança desses grupos e privilégios. Se o descritor de segurança ficar em branco, a configuração da política será definida no modelo, mas não será imposta. Usuários e grupos podem receber privilégios explícitos Permitir ou Negar, tanto no acesso local quanto no remoto.

As configurações do Registro, que são criadas como resultado da habilitação da configuração de política DCOM: Restrições de Acesso ao Computador na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança), prevalecem (têm maior prioridade) sobre as configurações anteriores do Registro nessa área. O RpcSc (Serviços de Chamadas de Procedimentos Remotos) verifica se há restrições ao computador nas novas chaves do Registro, na seção Políticas. Essas entradas no Registro prevalecem sobre as chaves do Registro anteriores em OLE. Isso significa que as configurações anteriormente existentes do Registro não são mais válidas. Se você fizer alterações nas configurações existentes, as permissões dos usuários para acesso ao computador não serão alteradas. Seja cuidadoso ao configurar a lista de usuários e grupos.

Os possíveis valores dessa configuração de política são:

Espaço: representa como a política de segurança local exclui a chave de imposição de política. Esse valor exclui a política e a define com o estado Não definido. Para definir o valor Espaço, use o editor ACL, esvazie a lista e pressione OK.

SDDL:. essa é a representação da Linguagem de Definição de Descritor de Segurança dos grupos e privilégios especificados quando você habilita a política.

Não Definido: esse é o valor padrão.

Observação
Se um administrador não receber permissão para acessar os aplicativos DCOM devido a alterações feitas no DCOM do Windows, ele poderá usar a configuração de política DCOM: Restrições de Acesso ao Computador na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança) para gerenciar o acesso DCOM ao computador. O administrador pode especificar que usuários e grupos podem acessar o aplicativo DCOM no computador, tanto local quanto remotamente, usando essa configuração. Isso restaura o controle do aplicativo DCOM para o administrador e os usuários. Para fazer isso, abra a configuração da política DCOM: Restrições de Acesso ao Computador na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança) e clique em Editar Segurança. Especifique os grupos que deseja incluir e as permissões de acesso ao computador para esses grupos. Isso define a configuração e especifica o valor SDDL apropriado.


DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation.

The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE.

The possible values for this Group Policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value.


2049Controle de Conta de Usuário: Comportamento da solicitação de elevação para
administradores no Modo de Aprovação de Administrador

Essa configuração de política controla o comportamento da solicitação de elevação
para administradores.

As opções são:

o Elevar sem perguntar: essa opção permite que o Administrador de
Consentimento execute uma operação que requeira elevação sem consentimento ou
credenciais. Observação: esse cenário só deve ser usado nos ambientes mais
restritos.

o Solicitar credenciais na área de trabalho protegida: quando uma operação
requer elevação de privilégio, o usuário é solicitado a inserir um nome de
usuário e senha na área de trabalho protegida. Se o usuário inserir
credenciais válidas, a operação prosseguirá com o privilégio mais alto
disponível para o usuário.

o Solicitar consentimento na área de trabalho protegida: quando uma operação
requer a elevação de privilégio, o usuário é solicitado a selecionar Permitir
ou Negar na área de trabalho protegida. Se ele selecionar Permitir, a operação
prosseguirá com o privilégio mais alto disponível para o usuário.

o Solicitar credenciais: quando uma operação requer a elevação de privilégio,
o usuário é solicitado a inserir um nome de usuário administrativo e senha. Se
o usuário inserir credenciais válidas, a operação prosseguirá com o privilégio
aplicado.

o Solicitar consentimento: quando uma operação requer a elevação de privilégio
, o usuário é solicitado a selecionar Permitir ou Negar. Se ele selecionar
Permitir, a operação prosseguirá com o privilégio mais alto disponível para o
usuário.

o Solicitar consentimento para binários que não são do Windows: (padrão)
quando uma operação para um aplicativo não-Microsoft exige elevação de
privilégios, o usuário é solicitado a selecionar Permitir ou Negar na área de
trabalho protegida. Se ele selecionar Permitir, a operação continuará com o
privilégio disponível mais elevado.

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

This policy setting controls the behavior of the elevation prompt for administrators.

The options are:

• Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege.

• Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

2050Controle de Conta de Usuário: Comportamento da solicitação de elevação para
usuários padrão
Essa configuração de política controla o comportamento da solicitação elevação
para usuários padrão.

As opções são:

o Pedir credenciais: uma operação que requeira elevação de privilégio pedirá
que o usuário insira um nome de usuário administrativo e uma senha. Se o
usuário inserir credenciais válidas, a operação continuará com o privilégio
aplicável.

o Negar automaticamente solicitações de elevação: quando uma operação requer
elevação de privilégio, uma mensagem de erro de acesso configurável é
mostrada. negado ao usuário padrão ao tentar executar uma operação que
requeira elevação de privilégio. Uma empresas que executa áreas de trabalho
como usuário padrão configura essa política para reduzir chamadas para o
suporte técnico.

o Solicitar credenciais na área de trabalho protegida: (padrão) quando uma
operação requer elevação de privilégio, o usuário é solicitado a inserir um
nome de usuário diferente e senha na área de trabalho protegida. Se o usuário
inserir credenciais válidas, a operação prosseguirá com o privilégio aplicado.

User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users.

The options are:

• Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

2051Controle de Conta de Usuário: Detectar instalações de aplicativos e prompt de
elevação

Essa configuração de política controla o comportamento da detecção de
instalação de aplicativos do computador.

As opções são:

o Habilitada: (padrão). Quando um pacote de instalação de
aplicativo detectado requer elevação de privilégio, o usuário é solicitado a
inserir um nome de usuário administrativo e uma senha. Se o usuário inserir
credenciais válidas, a operação continuará com o privilégio aplicável.

o Desabilitada: os pacotes de instalação de aplicativo
não são detectados e não há solicitação de elevação. As empresas que executam
áreas de trabalho como usuário padrão e usam tecnologias de instalação
delegadas tais como Instalação de Software baseada em Políticas de Grupo ou
Systems Management Server (SMS) devem desabilitar essa configuração de
política. Nesse caso, a detecção do instalador é desnecessária.

User Account Control: Detect application installations and prompt for elevation

This policy setting controls the behavior of application installation detection for the computer.

The options are:

• Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary.

2052Controle de Conta de Usuário: elevar somente executáveis assinados e validados

Essa configuração de política impõe verificações de assinatura de
infraestrutura de chave pública (PKI) para aplicativos interativos que
solicitem elevação de privilégio. Os administradores de empresa podem
controlar os aplicativos com permissão de execução adicionando certificados
ao armazenamento de certificados de Editores Confiáveis de computadores
locais.

As opções são:

o Habilitada: impõe a validação do caminho de certificação PKI de determinado
executável antes que ele possa ser executado.

o Desabilitada: (padrão) não impõe a validação do caminho de certificação PKI
de determinado executável antes que ele possa ser executado.

User Account Control: Only elevate executable files that are signed and validated

This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers.

The options are:

• Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run.

• Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run.

2053Controle de Conta de Usuário: Elevar somente aplicativos UIAccess instalados
em locais seguros

Essa configuração de política controla se os aplicativos que solicitam
execução com um nível de integridade UIAccess estejam em local seguro no
sistema de arquivos. Os locais seguros estão limitados aos seguintes
diretórios:

- …\Arquivos de Programas\, incluindo subdiretórios
- …\Windows\system32\
- …\Arquivos de Programas (x86)\, incluindo subdiretórios para versões de 64
bits do Windows

Observação: o Windows impõe uma verificação de assinatura PKI em todos os
aplicativos interativos que solicitem execução com nível de integridade
UIAccess, independentemente do estado dessa configuração de segurança.

As opções são:

Habilitada: (padrão) um aplicativo só será iniciado com integridade UIAccess
se estiver em local seguro no sistema de arquivos.

o Desabilitada: um aplicativo será iniciado com integridade UIAccess mesmo se
não estiver em local seguro no sistema de arquivos.

User Account Control: Only elevate UIAccess applications that are installed in secure locations

This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following:

- …\Program Files\, including subfolders
- …\Windows\system32\
- …\Program Files (x86)\, including subfolders for 64-bit versions of Windows

Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting.

The options are:

• Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity.

• Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system.

2054Controle de Conta de Usuário: Ativar o Modo de Aprovação de Administrador

Essa configuração de política controla o comportamento de todas as
configurações de política do UAC (Controle de Conta de Usuário) do
computador. Se você alterar essa configuração de política, você deve
reiniciar o computador.

As opções são:

o Habilitada: (padrão) o Modo de Aprovação de Administrador é habilitado.
Essa política deve ser habilitada e as configurações de política do UAC
também devem ser definidas de adequadamente, para permitir que a conta de
Administrador Interno e que todos os outros usuários membros do grupo
Administradores executem no Modo de Aprovação de Administrador.

o Desabilitada: o Modo de Aprovação de Administrador e todas as configurações
do UAC associadas são desabilitadas. Observação: Se esta configuração estiver
desabilitada, a Central de Segurança avisará que a segurança global do sistema
operacional foi reduzida.

User Account Control: Turn on Admin Approval Mode

This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer.

The options are:

• Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode.

• Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced.

2055Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir
elevação

Essa configuração de política controla se a solicitação de elevação
será mostrada ou na área de trabalho interativa do usuário ou na área de
trabalho protegida.

As opções são:

o Habilitada: (padrão) todas as solicitações de elevação serão direcionadas
para a área de trabalho protegida, independentemente das configurações de
política do comportamento da solicitação para administradores e usuários padrão.

o Desabilitada: todas as solicitações de elevação serão direcionadas para a
área de trabalho de usuários interativos. São usadas configurações de política
do comportamento da solicitação para administradores e usuários padrão.

User Account Control: Switch to the secure desktop when prompting for elevation

This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop.

The options are:

• Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users.

• Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used.

2056Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e
Registros para locais por usuário

Essa configuração de política controla se as falhas de gravação de
aplicativos são redirecionadas para o Registro definido e os locais do
sistema de arquivos. Essa configuração de política minimiza os aplicativos
que são executados como administrador e gravam os dados do tempo de execução
do aplicativo em%Arquivos de Programas%, %Windir%, %Windir%\system32, ou
HKLM\Software.

As opções são:

o Habilitada: (padrão) as falhas de gravação de aplicativos são redirecionadas
no tempo de execução para locais do usuário definidos para o sistema de
arquivos e para o Registro.

o Desabilitada: falha dos aplicativos que gravam dados nos locais protegidos.

User Account Control: Virtualize file and registry write failures to per-user locations

This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software.

The options are:

• Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry.

• Disabled: Applications that write data to protected locations fail.

2057Criar Links Simbólicos

Esse privilégio determina se o usuário pode criar um link simbólico do computador em que fez logon.

Padrão: Administrador

AVISO: esse privilégio só deve ser concedido a usuários confiáveis. Os links simbólicos podem expor vulnerabilidades de segurança em aplicativos que não são projetados para lidar com eles.

Observação
Essa configuração pode ser usada com uma configuração de sistema de arquivos de links simbólicos que pode ser manipulada com o utilitário de linha de comando para controlar os tipos de links simbólicos permitidos no computador. Digite "fsutil behavior set symlinkevaluation /?" na linha de comando para obter mais informações sobre fsutil e links simbólicos.
Create Symbolic Links

This privilege determines if the user can create a symbolic link from the computer he is logged on to.

Default: Administrator

WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them.

Note
This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links.
2058Modificar rótulo de objeto

Esse privilégio determina que contas de usuário podem modificar o rótulo de integridade de objetos, como arquivos, chaves de Registro ou processos de propriedade de outros usuários. Os processos em execução em uma conta de usuário podem modificar o rótulo de um objeto de propriedade desse usuário para um nível inferior sem esse privilégio.

Padrão: Nenhum
Modify an object label

This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege.

Default: None
2059Controle de Conta de Usuário: permitir que aplicativos UIAccess solicitem
elevação sem usar a área de trabalho protegida.

Esta configuração de política controla se programas de Acessibilidade à
Interface de Usuário (UIAccess ou UIA) podem automaticamente desabilitar a
área de trabalho protegida para prompts de elevação usados por um usuário
padrão.

o Habilitada: os programas UIA, incluindo a Assistência Remota do Windows,
automaticamente desabilitarão a área de trabalho protegida para prompts de
elevação. A menos que você também tenha desabilitado a configuração de
política Controle de Conta de Usuário: alternar para a área de trabalho segura
ao pedir elevação, os prompts serão mostrados na área de trabalho do usuário
interativo em vez de na área de
trabalho protegida.

o Desabilitada: (padrão) a área de trabalho protegida só poderá ser
desabilitada pelo usuário da área de trabalho interativa ou desabilitando-se a
configuração de política "Controle de Conta de Usuário: alternar para a área
de trabalho protegida ao pedir elevação".

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.

This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user.

• Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop.

• Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting.

2060Esta configuração é usada pelo Gerenciador de Credenciais durante o Backup/Restauração. Nenhuma conta deve ter este privilégio, já que ele só é atribuído ao Winlogon. Se este privilégio for concedido a outras entidades, as credenciais salvas pelos usuários podem ser comprometidas. This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities.
2061Altere o Fuso Horário

Este direito de usuário determina os usuários e grupos que podem alterar o
fuso horário usado pelo computador para exibir a hora local, que é a hora do
sistema do computador mais o deslocamento de fuso horário. A hora do sistema é absoluta e não é afetada por uma alteração no fuso
horário.

Esse direito de usuário é definido no objeto de Política de Grupo
Controlador de Domínio Padrão e na política de segurança local das estações
de trabalho e servidores.

Padrão: Administradores, Usuários
Change the Time Zone

This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers.

Default: Administrators, Users
2062Aumentar conjunto de trabalho de processo

Esse privilégio determina quais contas de usuário podem aumentar ou diminuir o tamanho de um conjunto de trabalho de processo.

Padrão: Usuários

O conjunto de trabalho de um processo é o conjunto de páginas de memória atualmente visíveis no processo na memória RAM física. Essas páginas residem e estão disponíveis em um aplicativo para serem usadas sem disparar uma falha de página. Os tamanhos mínimo e máximo do conjunto de trabalho afetam o comportamento de paginação da memória virtual de um processo.

Aviso: Aumentar o tamanho do conjunto de trabalho de um processo diminui a quantidade de memória física disponível para o restante do sistema.
Increase a process working set

This privilege determines which user accounts can increase or decrease the size of a process’s working set.

Default: Users

The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process.

Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system.
2063Segurança de rede: Restringir NTLM: Tráfego de NTLM de saída para servidores
remotos

Esta configuração de política permite negar ou fazer auditoria do tráfego NTLM
de saída desse computador do Windows 7 ou Windows Server 2008 R2 para qualquer
servidor remoto do Windows.

Se você selecionar "Permitir todos" ou não definir essa configuração de
política, o computador cliente poderá autenticar identidades para um servidor
remoto usando a autenticação NTLM.

Se você selecionar "Fazer auditoria de todos", o computador cliente registra
um evento para cada solicitação de autenticação NTLM em um servidor remoto.

Isso permite que você identifique os servidores que recebem solicitações de
autenticação NTLM do computador cliente.

Se você selecionar "Negar todos", o computador cliente não poderá autenticar
identidades para um servidor remoto usando a autenticação NTLM. Você pode usar
a configuração de política "Segurança de Rede: Restringir NTLM: Adicionar
exceções de servidor remoto para autenticação NTLM" para definir uma lista de
servidores remotos nos quais os clientes podem usar a autenticação NTLM..

Essa política é aceita, pelo menos no Windows 7 ou Windows Server 2008 R2.

Observação: os eventos de auditoria e bloqueio são registrados no Log
"Operacional" desse computador, localizado em Log dos Aplicativos e Serviços/
Microsoft/Windows/NTLM.

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server.

If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication.

If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer.

If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2064Segurança de rede: Restringir NTLM: Tráfego de NTLM de entrada

Essa configuração de política permite negar ou permitir o tráfego de NTLM de
entrada.

Se você selecionar "Permitir tudo" ou não definir essa configuração de
política, o servidor permitirá todas as solicitações de autenticação de NTLM.

Se você selecionar "Negar todas as contas do domínio," o servidor negará as
solicitações de autenticação de NTLM para logon no domínio e mostrará um erro
de bloqueio de NTLM, mas o logon em conta local será permitido.

Se você selecionar " Negar todas as contas," o servidor negará as solicitações
de autenticação de NTLM do tráfego de entrada e mostrará um erro de bloqueio
de NTLM.

Essa política tem suporte pelo menos no Windows 7 ou Windows Server 2008 R2.

Observação: os eventos de bloqueio são gravados no computador, no Log
"Operacional" localizado em Log dos Aplicativos e Serviços /Microsoft/Windows/
NTLM.

Network security: Restrict NTLM: Incoming NTLM traffic

This policy setting allows you to deny or allow incoming NTLM traffic.

If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests.

If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon.

If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2065Segurança de rede: Restringir NTLM: autenticação de NTLM nesse domínio

Essa configuração de política possibilita negar ou permitir a autenticação de
NTLM em um domínio a partir do controlador de domínio. Essa política não afeta
o logon interativo nesse controlador de domínio.

se você selecionar "Desabilitada" ou não definir essa configuração de
política, o controlador de domínio permitirá todas as solicitações de
autenticação de passagem NTLM no domínio.

Se você selecionar "Negar contas do domínio para os servidores do domínio" o
controlador do domínio negará todas as tentativas de logon de autenticação de
NTLM para todos os servidores no domínio que usam contas do domínio e
retornará um erro de bloqueio de NTLM, a não ser que o nome do servidor esteja
na lista de exceções na configuração de política "Segurança de Rede:
Restringir NTLM: Adicionar exceções de servidor remoto para autenticação NTLM
nesse domínio".

Se você selecionar " Negar para conta de domínio", o controlador de domínio
negará todas as tentativas de logon de autenticação NTLM das contas de
domínio e retornará um erro de bloqueio de NTLM, a não ser que o nome do
servidor esteja na lista de exceções da configuração de política "Segurança
de Rede: Restringir NTLM: Adicionar exceções de servidor para autenticação de
NTLM nesse domínio.

Se você selecionar " Negar para servidores do domínio", o controlador de
domínio negará todas as solicitações de autenticação de NTLM a todos os
servidores no domínio e retornará um erro de bloqueio de NTLM, a não ser que
o nome do servidor esteja na lista de exceções da configuração de política
"Segurança de Rede: Restringir NTLM: Adicionar exceções de autenticação de
NTLM nesse domínio".

Se você selecionar " Negar todos", o controlador de domínio negará as
solicitações de autenticação de passagem NTLM de seus servidores e para suas
contas e retornará um erro de bloqueio de NTLM, a não ser que o nome do
servidor esteja na lista de exceções da configuração de política "Segurança
de Rede: Restringir NTLM: Adicionar exceções de autenticação de NTLM nesse
domínio".

Essa política tem suporte pelo menos no Windows Server 2008 R2.

Observação: os eventos de bloqueio são gravados no computador, no Log
"Operacional" localizado em Log dos Aplicativos e Serviços /Microsoft/Windows/
NTLM.

Network security: Restrict NTLM: NTLM authentication in this domain

This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller.

If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain.

If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2066Segurança de rede: Restringir NTLM: Adicionar exceções de servidor remoto para autenticação NTLM

Esta configuração de política permite criar uma lista de exceções de servidores remotos nos quais os clientes podem usar a autenticação NTLM se a configuração de política "Segurança de Rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos" estiver definida.

Se você definir esta configuração de política, poderá definir uma lista de servidores remotos nos quais os clientes podem usar a autenticação NTLM.

Se você não definir esta configuração de política, nenhuma exceção sera aplicada.

O formato de nomeação para os servidores nesta lista de exceções é o nome de domínio totalmente qualificado (FQDN) ou o nome do servidor NetBIOS usado pelo aplicativo listados um em cada linha. Para confirmar as exceções, o nome usado por todos os aplicativos precisa estar na lista e para ter certeza da exatidão de uma exceção, o nome do servidor deverá estar listado em dois formatos de nomeação. Um asterisco (*) pode ser usado no início ou no fim da cadeia de caracteres como um caractere curinga.

Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication

This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured.

If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character.

2067Segurança de Rede: Restringir NTLM: Adicionar exceções de servidor neste
domínio

Esta configuração de política permite criar uma lista de exceção de servidores
neste domínio, nos quais os clientes podem usar a autenticação de passagem
NTLM se a configuração "Segurança de Rede: Restringir NTLM: Negar autenticação
NTLM neste domínio" estiver definida.

Se você definir esta configuração de política, poderá definir uma lista de
servidores neste domínio nos quais os clientes podem usar a autenticação NTLM.

Se você não definir esta configuração de política, nenhuma exceção será
aplicada.

O formato de nomeação para os servidores nesta lista de exceção é o nome de
domínio totalmente qualificado (FQDN) ou o nome do servidor NetBIOS usado pelo
aplicativo de chamada listados um em cada linha. Um asterisco (*) pode ser
usado no início ou no fim da cadeia de
caracteres como um caractere curinga.

Network security: Restrict NTLM: Add server exceptions in this domain

This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set.

If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character.

2068Segurança de Rede: Permitir fallback de sessão NULA do LocalSystem

Permita que a NTLM retorne à sessão NULA quando for usada com o LocalSystem.

O padrão é TRUE até o Windows Vista e FALSE no Windows 7.

Network security: Allow LocalSystem NULL session fallback

Allow NTLM to fall back to NULL session when used with LocalSystem.

The default is TRUE up to Windows Vista and FALSE in Windows 7.

2069Segurança de rede: Configurar tipos de criptografia permitidos pelo Kerberos

Esta configuração de política permite definir os tipos de criptografia que
podem ser usados pelo Kerberos.

Se não for selecionado, o tipo de criptografia não será permitido. Essa
configuração pode afetar a compatibilidade com os computadores cliente ou com
serviços e aplicativos. Várias seleções são permitidas.

Essa política tem suporte pelo menos no Windows 7 ou Windows Server 2008 R2.

Network security: Configure encryption types allowed for Kerberos

This policy setting allows you to set the encryption types that Kerberos is allowed to use.

If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

2071Segurança de rede: permitir que solicitações de autenticação PKU2U feitas a este computador usem identidades online.

Esta política será desligada por padrão em computadores que ingressaram em um domínio. Isso impediria que as identidades online fossem autenticadas no computador que ingressou em um domínio.

Network security: Allow PKU2U authentication requests to this computer to use online identities.

This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine.

2072Segurança de rede: Restringir NTLM: fazer auditoria do tráfego de NTLM de
entrada

Essa configuração de política permite fazer auditoria do tráfego de NTLM de
entrada.

Se você selecionar "Desabilitar", ou não definir essa configuração de
política, o servidor não registrará eventos para o tráfego NTLM de entrada.

Se você selecionar Habilitar auditoria de contas do domínio", o servidor
registrará eventos para solicitações de autenticação de passagem NTLM que
seriam bloqueadas quando a configuração de política "Segurança de rede:
Restringir NTLM: Tráfego de NTLM de entrada" fosse definida como "Negar
todas as contas do domínio".

Se você selecionar " Habilitar auditoria para todas as contas", o servidor
registrará os eventos de todas as solicitações de autenticação de NTLMque
seriam bloqueadas quando a configuração de política "Segurança de rede:
Restringir NTLM: Tráfego de NTLM de entrada" fosse definida como "Negar todas
as contas".

Essa política tem suporte pelo menos no Windows 7 ou Windows Server 2008 R2.

Observação: os eventos de auditoria são registrados no Log "Operacional" desse
computador, localizado em Log dos Aplicativos e Serviços /Microsoft/Windows/
NTLM.

Network security: Restrict NTLM: Audit Incoming NTLM Traffic

This policy setting allows you to audit incoming NTLM traffic.

If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic.

If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option.

If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2073Segurança de rede: Restringir NTLM: fazer auditoria da autenticação de NTLM
nesse domínio

Essa configuração de política permite fazer auditoria da autenticação de NTLM
em um domínio desse controlador de domínio.

Se você selecionar "Desabilitar", ou não definir essa configuração de
política, o controlador de domínio não registrará eventos para a autenticação
de NTLM nesse domínio.

Se você selecionar " Habilitar as contas de domínio para servidores do
domínio", o controlador de domínio registrará eventos para as tentativas de
logon de autenticação NTLM das contas do domínio para os servidores do domínio
quando a autenticação NTLM for negada porque a opção "Negar contas do domínio
para os servidores do domínio" foi selecionada na configuração de política
"Segurança de Rede: Restringir NTLM: autenticação NTLM neste domínio".

Se você selecionar "Habilitar para as contas de domínio," o controlador de
domínio registrará eventos para as tentativas de logon de autenticação NTLM
que usam as contas do domínio quando a autenticação NTLM for negada porque a
opção "Negar para as contas do domínio" foi selecionada na configuração de
política " Segurança de rede: Restringir NTLM: autenticação NTLM neste
domínio".

Se você selecionar "Habilitar para servidores do domínio", o controlador de
domínio registrará eventos para as solicitações de autenticação NTLM para
todos os servidores no domínio quando a autenticação NTLM seria negada porque
a opção "negar para os servidores do domínio " foi selecionada na
configuração de política " Segurança de rede: Restringir NTLM: Autenticação
NTLM neste domínio".

Se você selecionar "Habilitar todos", o servidor registrará eventos para
solicitações de autenticação de passagem NTLM de seus servidores e para suas
contas que seriam negadas porque a opção "Negar todos " foi selecionada na
configuração de política " Segurança de Rede: Restringir NTLM: autenticação
NTLM neste domínio ".

Essa política tem suporte pelo menos no Windows Server 2008 R2.

Observação: os eventos de auditoria são registrados no Log "Operacional" desse
computador, localizado em Log dos Aplicativos e Serviços /Microsoft/Windows/
NTLM.

Network security: Restrict NTLM: Audit NTLM authentication in this domain

This policy setting allows you to audit NTLM authentication in a domain from this domain controller.

If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain.

If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2074Segurança de Rede: permitir que o LocalSystem use a identidade do computador para NTLM

Essa configuração de política permite que serviços do LocalSystem utilizem Negotiate para usar a identidade do computador ao reverter para a autenticação NTLM.

Se você habilitar essa configuração de política, os serviços executados como LocalSystem que usarem Negotiate utilizarão a identidade do computador. Isso pode gerar falhas em algumas solicitações de autenticação entre os sistemas operacionais Windows e o registro de um erro.

Se você desativar essa configuração de política, os serviços executados como LocalSystem que usam Negotiate ao reverter para a autenticação NTLM farão a autenticação anônima.

Por padrão, essa política está ativada no Windows 7 e superior.

Por padrão, essa política está desativada no Windows Vista.

Essa política tem suporte pelo menos no Windows Vista ou no Windows Server 2008.

Observação: o Windows Vista ou o Windows Server 2008 não expõem essa configuração na Política de Grupo.

Network security: Allow Local System to use computer identity for NTLM

This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication.

If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error.

If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously.

By default, this policy is enabled on Windows 7 and above.

By default, this policy is disabled on Windows Vista.

This policy is supported on at least Windows Vista or Windows Server 2008.

Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy.

2075Servidor de rede Microsoft: nível de validação do nome de destino do Server SPNl

Essa configuração de política controla o nível de validação que um computador com pastas ou impressoras compartilhadas (o servidor) executa no Nome principal de serviço (SPN) fornecido pelo computador cliente quando ele estabelece uma sessão usando o protocolo SMB.

O protocolo SMB fornece a base para o compartilhamento de arquivos e de impressoras e outras operações de rede, tais como administração remota do Windows. O protocolo SMB oferece suporte à validação do nome principal de serviço (SPN) do servidor SMB dentro do blob de autenticação fornecido por um cliente SMB para impedir uma classe de ataques contra os servidores SMB conhecida como ataques de retransmissão SMB. Essa configuração afetará SMB1 e SMB2.

Essa configuração de segurança determina o nível de validação que um servidor SMB executa no SPN fornecido pelo cliente SMB ao tentar estabelecer uma sessão com um servidor SMB.

As opções são:

Desativado(a) - o SPN não é solicitado nem validado pelo servidor SMB a partir de um cliente SMB.

Aceitar se fornecido pelo cliente - o servidor SMB aceitará e validará o SPN fornecido pelo cliente SMB e permitirá o estabelecimento de uma sessão se corresponder à lista do servidor SMB de SPNs para si mesmo. Se o SPN NÃO corresponder, a solicitação de sessão para esse cliente SMB será negada.

Exigido do cliente - o cliente SMB DEVERÁ enviar um nome SPN na configuração da sessão, e o nome SPN fornecido DEVERÁ corresponder ao servidor SMB que está sendo solicitado para estabelecer uma conexão. Se o cliente não fornecer nenhum SPN, ou se o SPN fornecido não corresponder, a sessão será negada.

Padrão: Desativado(a)

Todos os sistemas operacionais Windows oferecem suporte a um componente SMB do cliente e um componente SMB do servidor. Essa configuração afeta o comportamento do SMB do servidor, e sua implementação deve ser cuidadosamente avaliada e testada para impedir interrupções nos recursos de serviços de arquivos e impressoras. Informações adicionais sobre a implementação e o uso disso para proteger os servidores SMB podem ser encontradas no site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505).
Microsoft network server: Server SPN target name validation level

This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol.

The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2.

This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server.

The options are:

Off – the SPN is not required or validated by the SMB server from a SMB client.

Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied.

Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied.

Default: Off

All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505).
2076Servidor de rede Microsoft: tentativa do S4U2Self em obter informações de declaração

Essa configuração de segurança dá suporte aos clientes que executam uma versão do Windows anterior à versão Windows 8 que está tentando acessar um compartilhamento de arquivos que requer declarações de usuário. Essa configuração determina se o servidor de arquivos local vai tentar usar a funcionalidade do Kerberos Service-For-User-To-Self (S4U2Self) para obter as declarações da entidade de segurança do cliente de rede do domínio da conta do cliente. Essa configuração só deverá ser definida como habilitada se o servidor de arquivos utilizar declarações de usuário para controlar o acesso aos arquivos, e se o servidor de arquivos der suporte à entidade de segurança do cliente cujas contas possam estar em um domínio com computadores clientes e controladores de domínio que executem uma versão do Windows anterior ao Windows 8.

Essa configuração deve ser definida como automática (padrão), assim o servidor de arquivos avaliará automaticamente se as declarações são necessárias ao usuário. Um administrador poderá definir essa configuração explicitamente como "Habilitada" apenas se houver políticas de acesso local aos arquivos que incluam declarações de usuário.
Quando habilitada, essa configuração faz com que o servidor de arquivos do Windows examine o token de acesso de uma entidade de segurança autenticada do cliente de rede e determine se há informações de declaração. Caso não haja, o servidor de arquivos usará o recurso do Kerberos S4U2Self para tentar contatar um controlador de domínio do Windows Server 2012 no domínio da conta do cliente e obter o token de acesso habilitado por declarações referente à entidade de segurança do cliente. O token de acesso habilitado por declarações pode ser necessário para acessar arquivos e pastas que tenham política de controle de acesso baseada em declarações aplicada.

Se essa configuração estiver desabilitada, o servidor de arquivos do Windows não tentará obter o token de acesso habilitado por declarações referente à entidade de segurança do cliente.

Padrão: Automático.
Microsoft network server: Attempt S4U2Self to obtain claim information

This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8.

This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims.

When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied.

If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal.

Default: Automatic.
2077Contas: bloquear contas da Microsoft

Esta configuração de política impede que os usuários adicionem novas contas da Microsoft neste computador.

Se você selecionar a opção "Os usuários não podem adicionar contas da Microsoft", eles não poderão criar novas contas da Microsoft no computador, alternar uma conta local para uma conta da Microsoft ou conectar uma conta de domínio a uma conta da Microsoft. Essa será a opção preferencial se você precisar limitar o uso de contas da Microsoft em sua empresa.

Se você selecionar a opção "Os usuários não podem adicionar ou fazer logon com contas da Microsoft", os usuários existentes da conta da Microsoft não poderão fazer logon no Windows. Se essa opção for selecionada, poderá impossibilitar que um administrador existente neste computador faça logon e gerencie o sistema.

Se você desabilitar ou não configurar essa política (recomendado), os usuários poderão usar contas da Microsoft com o Windows.
Accounts: Block Microsoft accounts

This policy setting prevents users from adding new Microsoft accounts on this computer.

If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise.

If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system.

If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows.
2078Logon interativo: limite de conta de computador.

A política de bloqueio de computador é aplicada só em computadores com BitLocker habilitado para proteger volumes de sistema operacional. Verifique se as políticas de backup de senha de recuperação apropriadas estão habilitadas.

Esta configuração de segurança determina o número de tentativas de logon com falha que causa o bloqueio do computador. Um computador bloqueado só pode ser recuperado com uma senha de recuperação no console. Você pode definir o valor entre 1 e 999 tentativas de logon com falha. Se definir o valor como 0, o computador nunca será bloqueado. Valores entre 1 e 3 serão interpretados como 4.

Tentativas de senha com falha em relação a estações de trabalho ou servidores membro bloqueados usando CTRL+ALT+DELETE ou proteções de tela com senha são consideradas tentativas de logon com falha.

A política de bloqueio de computador é aplicada só em computadores com Bitlocker habilitado para proteger volumes de sistema operacional. Verifique se as políticas de backup de senha de recuperação apropriadas estão habilitadas.

Padrão: 0.
Interactive logon: Machine account threshold.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled.

This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled.

Default: 0.
2079Logon interativo: limite de inatividade do computador.

O Windows percebe a inatividade de uma sessão de logon e, se o tempo de inatividade exceder o limite de inatividade, o protetor de tela será executado, bloqueando a sessão.

Padrão: não imposto.
Interactive logon: Machine inactivity limit.

Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session.

Default: not enforced.
2080Obter um token de representação para outro usuário na mesma sessão.

Atribuir este privilégio a um usuário permite que os programas em execução em nome desse usuário para obter um token de representação de outros usuários que se conectaram interativamente dentro da mesma sessão desde que o chamador tenha um token de representação do usuário da sessão. Não aplicável no cliente/servidor do Windows na área de trabalho onde cada usuário obtém uma sessão separada.
Obtain an impersonation token for another user in the same session.

Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session.
2081Acesso à rede: restringir clientes autorizados a fazer chamadas remotas para SAM

Essa configuração de política permite que você restrinja conexões rpc remota a SAM.

Se não selecionada, o descritor de segurança padrão será usado.

Essa política tem suporte em pelo menos no Windows Server 2016.

Network access: Restrict clients allowed to make remote calls to SAM

This policy setting allows you to restrict remote rpc connections to SAM.

If not selected, the default security descriptor will be used.

This policy is supported on at least Windows Server 2016.

2082Logon interativo: não exibir o nome de usuário na entrada
Essa configuração de segurança determina se o nome de usuário da pessoa que está entrando no computador é exibido ao entrar no Windows, após as credenciais serem inseridas e antes de a área de trabalho do computador ser mostrada.
Se essa política estiver habilitada, o nome de usuário não será mostrado.

Se essa política estiver desabilitada, o nome de usuário será mostrado.

Padrão: Desabilitada.


Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


57343Você está prestes a alterar as configurações de segurança para este serviço. A alteração da segurança padrão para o serviço pode causar problemas devido à configuração inconsistente entre este serviço e outros que dependem dele.

Deseja continuar?
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it.

Do you want to continue?
57345Você está prestes a importar novas informações de modelo para a política de computador local deste computador. Isso alterará as configurações de segurança do computador. Deseja continuar? You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue?
57346Configurando a segurança do computador Configuring Computer Security
57350Banco de dados de configuração de segurança atual: banco de dados da política local %s Current Security Configuration Database: Local Policy Database %s
57351Banco de dados de configuração de segurança atual: banco de dados particular %s Current Security Configuration Database: Private Database %s
57352Gerando informações de análise Generating analysis information
57353Falha na importação Import Failed
57354Subitens definidos Subitems defined
57355Não disponível Not Available
57356Novo serviço New Service
57357Configurando: Configuring:
57358A&dicionar arquivo...
Adiciona um novo arquivo ou pasta a este modelo
Add &File...
Adds a new file or folder to this template
57359Adicione este arquivo ou pasta para o modelo: Add this file or folder to the template:
57360Adicionar um arquivo ou pasta Add a file or folder
57361Microsoft Corporation Microsoft Corporation
5736210.0 10.0
57363'Modelos de segurança' é um snap-in do MMC que fornece recursos de edição para arquivos de modelo de segurança. Security Templates is an MMC snap-in that provides editing capabilities for security template files.
57364'Configuração e análise de segurança' é um snap-in do MMC que fornece recursos de configuração e análise de segurança para computadores com o Windows que usam arquivos de modelos de segurança. Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files.
57365O snap-in de extensão de configurações de segurança amplia o snap-in de política de grupo e ajuda a definir políticas de segurança para os computadores no domínio. The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain.
57366&Importar política...
Importa um arquivo de modelo para este objeto de política.
&Import Policy...
Import a template file into this policy object.
57367Expor&tar política...
Exporta um modelo desta política para um arquivo.
E&xport policy...
Export template from this policy to a file.
57368O arquivo %s já existe.
Deseja substituí-lo?
File %s already exists.
Do you want to overwrite it?
57369Êxito Success
57370Falha Failure
57371Sem auditoria No auditing
57372O Windows não pode atualizar as políticas. Windows cannot update the policies.
57373O Windows não pode copiar a seção Windows cannot copy the section
57374Selecionar arquivo a importar Select File to Add
57375Abrir banco de dados Open database
57376Criar banco de dados Create Database
57377Exportar política para Export Policy To
57378Importar política de Import Policy From
57380Importar modelo Import Template
57381Exportar modelo para Export Template To
57382Configuração de segurança Security Setting
57384O Windows não pode abrir o banco de dados de política local. Windows cannot open the local policy database.
57385Banco de dados de política local Local Policy Database
57386O banco de dados de configurações de segurança local não pode ser editado pelo snap-in de configuração e análise de segurança. Use o snap-in de política de grupo para editar as configurações de segurança local. The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings.
57387\help\75393cf0-f17a-453d-98a9-592b009289c2.chm \help\75393cf0-f17a-453d-98a9-592b009289c2.chm
57388\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm
57389\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm
57390\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm
57391\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm
57392\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm
57394Há novas configurações de política no computador. Deseja atualizar a exibição da política em vigor? There are new policy settings on your computer. Do you want to update your view of the effective policy?
57395Configuração do computador em %s Computer setting on %s
57396Não foi possível criar esse banco de dados porque nenhum arquivo de modelo foi selecionado.
Para abrir um Banco de Dados ExistenteClique com o botão direito do mouse no item de escopo Configuração e Análise de Segurança. Escolha Abrir Banco de Dados Escolha um banco de dados e pressione ABRIR Para Criar um Novo Banco de Dados Clique com o botão direito do mouse no item de escopo Configuração e Análise de Segurança. Escolha Abrir Banco de Dados. Digite um novo nome de banco de dados e pressione ABRIR. Escolha um arquivo de configuração de segurança para importar e pressione ABRIR.
This database couldn't be created because no template file was selected.
To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN.
57397&Substituir permissões existentes em todas as subchaves por permissões herdáveis &Replace existing permissions on all subkeys with inheritable permissions
57398&Propagar permissões herdáveis para todas as subchaves &Propagate inheritable permissions to all subkeys
57399&Não aceitar que as permissões nesta chave sejam substituídas &Do not allow permissions on this key to be replaced
57400Configurar Participação para %s Configure Membership for %s
57401Permissão expira em: Ticket expires in:
57402Permissão não expira. Ticket doesn't expire.
57403Renovação da permissão expira em: Ticket renewal expires in:
57404Renovação de permissão desabilitada. Ticket renewal is disabled.
57405Tolerância máxima: Maximum tolerance:
57407Não aplicável Not Applicable
57410Nomes de usuário e grupo User and group names
57411Adicionar o usuário ou grupo Add User or Group
57412Não desconectar clientes: Do not disconnect clients:
57413Desconectar quando tempo ocioso ultrapassar: Disconnect when idle time exceeds:
57414Não armazenar em cache logons: Do not cache logons:
57415Cache: Cache:
57416Comece solicitando este número de dias antes da senha expirar: Begin prompting this many days before password expires:
57418&Configurar esta chave e então &Configure this key then
57419Não foi possível salvar descrições de local globais Could not save global location description
57420Não foi possível salvar descrição do local Could not save location description
57421Recarregar
Recarregar a política de segurança
Reload
Reload the security policy
57422Salvar alterações para %1 antes de recarregar? Save changes to %1 before reloading it?
57423Configurações de Segurança Local Local Security Settings
57424Classe de configurações de segurança WSecEdit WSecEdit Security Settings Class
57425Classe de configurações de segurança local WSecEdit WSecEdit Local Security Settings Class
57428O snap-in 'Configurações locais de segurança' ajuda a definir a segurança no sistema local. The Local Security Settings snap-in helps you define security on the local system.
57430Classe de configurações de segurança WSecEdit RSOP WSecEdit RSOP Security Settings Class
57431O snap-in de extensão de configurações de segurança RSOP amplia o snap-in RSOP e ajuda a exibir políticas de segurança resultantes para computadores no seu domínio. The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain.
57435&Aplicar &Apply
57436Não foi possível determinar as configurações de segurança de política de grupo aplicáveis a essa máquina.
O erro retornado ao tentar recuperar essas configurações no banco de dados de política de segurança local (%%windir%%\security\database\secedit.sdb) foi: %s
Todas as configurações de segurança locais serão exibidas, mas não será fornecida nenhuma indicação sobre a definição ou não de determinada configuração de segurança pela política de grupo.
Qualquer configuração de segurança local modificada por meio dessa interface de usuário poderá ser substituída subsequentemente por políticas do nível de domínio.
The Group Policy security settings that apply to this machine could not be determined.
The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies.
57437Não foi possível determinar as configurações de segurança de política de grupo aplicáveis a essa máquina.
O erro recebido ao tentar recuperar essas configurações no banco de dados de política local (%%windir%%\security\database\secedit.sdb) foi: %s
Todas as configurações de segurança locais serão exibidas, mas não será fornecida nenhuma indicação sobre a definição ou não de determinada configuração de segurança pela política de grupo.
The Group Policy security settings that apply to this machine could not be determined.
The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
57438Arquivo de log: Log file:
57439Nome da política Policy Name
57440Configuração Setting
57441Política %1 aplicada corretamente. The policy %1 was correctly applied.
57442Erro ao configurar um filho desse objeto (ou o mecanismo de política tentou configurar o filho de uma configuração de política específica e falhou). Para obter mais informações, consulte %windir%\security\logs\winlogon.log There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log
57443A política %1 resultou no erro %2. Para obter mais informações, consulte %windir%\security\logs\winlogon.log no computador de destino. The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57444A política %1 resultou em um status inválido e foi registrada. Consulte %%windir%%\security\logs\winlogon.log na máquina de destino para obter mais informações. The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information.
57445O mecanismo de política não tentou definir a configuração. Para obter mais informações, consulte %windir%\security\logs\winlogon.log na máquina de destino. The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57446E&xibir segurança... &View Security...
57447Não foi possível exportar o modelo para %1.
O erro retornado foi: %2
Couldn't export template to %1.
The error returned was: %2
57448Deseja salvar alterações no banco de dados de segurança? Save changes to Security Database?
57449Negar logon pelos Serviços de Área de Trabalho Remota Deny log on through Remote Desktop Services
57450Permitir logon pelos Serviços de Área de Trabalho Remota Allow log on through Remote Desktop Services
57451Não foi possível adicionar o caminho de pesquisa do modelo Couldn't add template search path
57453\Security\Logs \Security\Logs
57454A parte de segurança desta política de grupo só pode ser editada no emulador PDC. The security portion of this group policy may only be edited on the PDC Emulator.
57455Esta configuração não é compatível com computadores que estão executando o Service Pack 1 do Windows 2000 ou anterior. Aplique objetos de política de grupo que contenham esta configuração somente em computadores que estiverem executando uma versão posterior do sistema operacional. This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system.
57456Fechar todas as páginas de propriedades antes de excluir %1 Close all property pages before deleting %1
57457O valor deve estar entre %d e %d Value must be between %d and %d
57458Acesso à rede: permitir SID anônimo/Conversão de nomes Network access: Allow anonymous SID/Name translation
57459Os administradores precisam receber o direito local de logon. Administrators must be granted the logon local right.
57460Você não pode proibir todos os usuários ou administrador(es) de fazer logon localmente. You cannot deny all users or administrator(s) from logging on locally.
57461Algumas contas não podem ser convertidas. Some accounts cannot be translated.
57462Para aplicar suas alterações ou fechar esta folha de propriedades, feche todas as janelas secundárias. To apply your changes or close this property sheet, close all secondary windows.
57463A janela não pode ser aberta. O Windows não pode criar um thread de UI para a folha de propriedades. The window cannot be opened. Windows cannot create a UI thread for the property sheet.
57464\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm
57465O que é isto? What's this?
57466sct sct
57467\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm
57468O valor deve estar entre %d e %d or 0 Value must be between %d and %d or 0
57469Esta configuração afeta apenas sistemas operacionais anteriores ao Windows Server 2003. This setting affects only operating systems earlier than Windows Server 2003.
57470Modificar esta configuração poderá afetar a compatibilidade com clientes, serviços e aplicativos.
%1
Modifying this setting may affect compatibility with clients, services, and applications.
%1
57471Para obter mais informações, consulte %1. (Q%2!lu!) For more information, see %1. (Q%2!lu!)
57472Você está prestes a alterar esta configuração para um valor que pode afetar a compatibilidade com clientes, serviços e aplicativos.

%1

Deseja continuar a alteração?
You are about to change this setting to a value that may affect compatibility with clients, services, and applications.

%1

Do you want to continue with the change?
57473Administradores e SERVIÇO devem receber o privilégio de representar cliente após autenticação Administrators and SERVICE must be granted the impersonate client after authentication privilege
57474Essa configuração talvez não seja imposta caso outra política esteja configurada para substituir a política de auditoria no nível de categoria.
%1
This setting might not be enforced if other policy is configured to override category level audit policy.
%1
57475Para obter mais informações, consulte %1 Referência Técnica da Política de Segurança. For more information, see %1 in the Security Policy Technical Reference.
58000Nenhum texto explicativo para esta ação No explain text for this action
58003O computador será bloqueado após Machine will be locked after
58100Gerenciar Políticas de Acesso Central...
Adicionar/Remover Políticas de Acesso Central a este modelo
Manage Central Access Policies...
Add/Remove Central Access Policies to this template
58107Esta Política de Acesso inclui as seguintes regras de Política: This Access Policy includes the following Policy rules:
58108Status Status
58109Baixando políticas de acesso central do active directory... Downloading central access policies from active directory...
58110Erro: não foi possível baixar as políticas de acesso central Error: Central access policies could not be downloaded
58111Pronto... Ready...
58112!!Política Desconhecida!!: !!Unknown Policy!!:
58113Não foi possível encontrar esta política de acesso central. Talvez ela tenha sido excluída do Active Directory ou tenha configurações inválidas. Restaure essa política no Centro Administrativo do Active Directory (AD AC) ou remova-a da configuração. This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration.
59001Contas: limite o uso em contas locais de senhas em branco somente ao logon no console Accounts: Limit local account use of blank passwords to console logon only
59002Auditoria: fazer auditoria do acesso a objetos do sistema global Audit: Audit the access of global system objects
59003Auditoria: fazer auditoria do uso dos privilégios Backup e Restauração Audit: Audit the use of Backup and Restore privilege
59004Auditoria: desligar o sistema imediatamente se não for possível o log de auditorias de segurança Audit: Shut down system immediately if unable to log security audits
59005Dispositivos: evita que usuários instalem drivers de impressora Devices: Prevent users from installing printer drivers
59010Dispositivos: permitir desencaixe sem fazer logon Devices: Allow undock without having to log on
59011Controlador do domínio: permitir que operadores do servidor agendem tarefas Domain controller: Allow server operators to schedule tasks
59012Controlador do domínio: recusar alterações de senha de conta de computador Domain controller: Refuse machine account password changes
59013Controlador de domínio: requisitos de assinatura de servidor LDAP Domain controller: LDAP server signing requirements
59015Requer assinatura Require signing
59016Membro do domínio: desativar alterações de senha de conta da máquina Domain member: Disable machine account password changes
59017Membro do domínio: duração máxima de senha de conta de computador Domain member: Maximum machine account password age
59018Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sempre) Domain member: Digitally encrypt or sign secure channel data (always)
59019Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível) Domain member: Digitally encrypt secure channel data (when possible)
59020Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível) Domain member: Digitally sign secure channel data (when possible)
59021Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior) Domain member: Require strong (Windows 2000 or later) session key
59022Logon interativo: não exigir Ctrl+Alt+Del Interactive logon: Do not require CTRL+ALT+DEL
59023Logon interativo: não exibir quem entrou pela última vez Interactive logon: Don't display last signed-in
59024Logon interativo: exibir informações do usuário quando a sessão estiver bloqueada Interactive logon: Display user information when the session is locked
59025Nome de exibição do usuário, nomes do domínio e do usuário User display name, domain and user names
59026Somente nome de exibição do usuário User display name only
59027Não exibir informações do usuário Do not display user information
59028Logon interativo: texto de mensagem para usuários tentando fazer logon Interactive logon: Message text for users attempting to log on
59029Logon interativo: título da mensagem para usuários tentando fazer logon Interactive logon: Message title for users attempting to log on
59030Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível) Interactive logon: Number of previous logons to cache (in case domain controller is not available)
59031Logon interativo: pedir que o usuário altere a senha antes que ela expire Interactive logon: Prompt user to change password before expiration
59032Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho Interactive logon: Require Domain Controller authentication to unlock workstation
59033Logon interativo: exigir o Windows Hello para Empresas ou cartão inteligente Interactive logon: Require Windows Hello for Business or smart card
59034Logon interativo: comportamento de remoção de cartão inteligente Interactive logon: Smart card removal behavior
59035Nenhuma ação No Action
59036Bloquear estação de trabalho Lock Workstation
59037Forçar logoff Force Logoff
59038Desconectar se uma sessão de Serviços de Área de Trabalho Remota Disconnect if a remote Remote Desktop Services session
59039Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) Microsoft network client: Digitally sign communications (always)
59040Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) Microsoft network client: Digitally sign communications (if server agrees)
59041Cliente de rede Microsoft: enviar senha não criptografada para conectar-se a servidores SMB de outro fabricante Microsoft network client: Send unencrypted password to third-party SMB servers
59042Servidor da rede Microsoft: período de tempo ocioso necessário antes de desconectar a sessão Microsoft network server: Amount of idle time required before suspending session
59043Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) Microsoft network server: Digitally sign communications (always)
59044Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) Microsoft network server: Digitally sign communications (if client agrees)
59045Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon Microsoft network server: Disconnect clients when logon hours expire
59046Acesso à rede: não permitir o armazenamento de senhas e credenciais para autenticação de rede Network access: Do not allow storage of passwords and credentials for network authentication
59047Acesso à rede: não permitir enumeração anônima de contas SAM Network access: Do not allow anonymous enumeration of SAM accounts
59048Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM Network access: Do not allow anonymous enumeration of SAM accounts and shares
59049Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos Network access: Let Everyone permissions apply to anonymous users
59050Acesso de rede: acesso anônimo restrito a pipes nomeados e compartilhamentos Network access: Restrict anonymous access to Named Pipes and Shares
59051Acesso à rede: pipes nomeados acessíveis anonimamente Network access: Named Pipes that can be accessed anonymously
59052Acesso à rede: compartilhamentos acessíveis anonimamente Network access: Shares that can be accessed anonymously
59053Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente Network access: Remotely accessible registry paths and sub-paths
59054Acesso à rede: caminhos do Registro acessíveis remotamente Network access: Remotely accessible registry paths
59055Acesso à rede: modelo de compartilhamento e segurança para contas locais Network access: Sharing and security model for local accounts
59056Clássico - os usuários locais são autenticados como eles próprios Classic - local users authenticate as themselves
59057Somente convidados - usuários locais autenticados como 'Convidados' Guest only - local users authenticate as Guest
59058Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha Network security: Do not store LAN Manager hash value on next password change
59059Segurança de rede: nível de autenticação LAN Manager Network security: LAN Manager authentication level
59060Enviar respostas LM e NTLM Send LM & NTLM responses
59061Enviar LM e NTLM - usar segurança da sessão NTLMv2, se negociada Send LM & NTLM - use NTLMv2 session security if negotiated
59062Enviar somente resposta NTLM Send NTLM response only
59063Enviar somente resposta NTLMv2 Send NTLMv2 response only
59064Enviar somente resposta NTLMv2. Recusar LM Send NTLMv2 response only. Refuse LM
59065Enviar somente resposta NTLMv2. Recusar LM e NTLM Send NTLMv2 response only. Refuse LM & NTLM
59066Segurança de rede: segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro) Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
59067Segurança de rede: segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro) Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
59070Exigir segurança de sessão NTLMv2 Require NTLMv2 session security
59071Exigir criptografia de 128 bits Require 128-bit encryption
59072Segurança de rede: requisitos de assinatura de cliente LDAP Network security: LDAP client signing requirements
59074Negociar assinatura Negotiate signing
59076Console de recuperação: permitir logon administrativo automático Recovery console: Allow automatic administrative logon
59077Console de recuperação: permite cópia em disquete e acesso a todas as unidades e pastas Recovery console: Allow floppy copy and access to all drives and all folders
59078Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon Shutdown: Allow system to be shut down without having to log on
59079Desligamento: limpar arquivo de paginação de memória virtual Shutdown: Clear virtual memory pagefile
59080Objetos do sistema: restringir permissões padrão de objetos do sistema interno (por exemplo: Links Simbólicos) System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
59081Objetos do sistema: o proprietário padrão de objetos criados por membros do grupo 'Administradores' System objects: Default owner for objects created by members of the Administrators group
59082Grupo 'Administradores' Administrators group
59083Criador de objetos Object creator
59084Objetos do sistema: exigir distinção entre maiúsculas e minúsculas para subsistemas não-Windows System objects: Require case insensitivity for non-Windows subsystems
59085Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
59086Criptografia do sistema: forçar proteção de chave forte para chaves do usuário armazenadas no computador System cryptography: Force strong key protection for user keys stored on the computer
59087A entrada do usuário não é necessária quando novas chaves são armazenadas e usadas User input is not required when new keys are stored and used
59088O usuário é consultado quando a chave é usada pela primeira vez User is prompted when the key is first used
59089O usuário deve digitar uma senha sempre que usar uma chave User must enter a password each time they use a key
59090Configurações do sistema: usar regras de certificado em arquivos executáveis do Windows para políticas de restrição de software System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
59091Configurações do sistema: subsistemas opcionais System settings: Optional subsystems
59092logons logons
59093Dias days
59094minutos minutes
59095segundos seconds
59096DCOM: Restrições de Inicialização de Computador na sintaxe da Linguagem de Definição do Descritor de Segurança (SDDL) DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
59097DCOM: Restrições de Acesso ao Computador na sintaxe da Linguagem de Definição do Descritor de Segurança (SDDL) DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
59098Dispositivos: restringir acesso ao CD-ROM apenas aos usuários com logon local Devices: Restrict CD-ROM access to locally logged-on user only
59099Dispositivos: permite formatar e ejetar a mídia removível Devices: Allowed to format and eject removable media
59100Administradores Administrators
59101Administradores e usuários avançados Administrators and Power Users
59102Administradores e usuários interativos Administrators and Interactive Users
59103Dispositivos: restringir acesso ao disquete apenas aos usuários com logon local Devices: Restrict floppy access to locally logged-on user only
59104Auditoria: forçar configurações de subcategorias de políticas de auditoria (Windows Vista ou superior) para substituir configurações de categorias de políticas de auditoria Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
59105Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
59106Permitir tudo Allow all
59107Negar todos Deny all
59108Segurança de rede: Restringir NTLM: Tráfego NTLM de entrada Network security: Restrict NTLM: Incoming NTLM traffic
59110Negar todas as contas de domínio Deny all domain accounts
59111Negar todas as contas Deny all accounts
59112Segurança de Rede: Restringir NTLM: Autenticação NTLM neste domínio Network security: Restrict NTLM: NTLM authentication in this domain
59113Desabilitar Disable
59114Negar todas as contas de domínio para servidores do domínio Deny for domain accounts to domain servers
59115Negar para todas as contas de domínio Deny for domain accounts
59116Negar para servidores do domínio Deny for domain servers
59118Segurança de rede: Restringir NTLM: Adicionar exceções de servidor remoto para autenticação NTLM Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
59119Segurança de Rede: Restringir NTLM: Adicionar exceções de servidor neste domínio Network security: Restrict NTLM: Add server exceptions in this domain
59120Segurança de Rede: permitir fallback de sessão NULA do LocalSystem Network security: Allow LocalSystem NULL session fallback
59121Segurança de rede: Configurar tipos de criptografia permitidos para Kerberos Network security: Configure encryption types allowed for Kerberos
59122DES_CBC_CRC DES_CBC_CRC
59123DES_CBC_MD5 DES_CBC_MD5
59124RC4_HMAC_MD5 RC4_HMAC_MD5
59125AES128_HMAC_SHA1 AES128_HMAC_SHA1
59126AES256_HMAC_SHA1 AES256_HMAC_SHA1
59127Futuros tipos de criptografia Future encryption types
59129Segurança de rede: permitir que solicitações de autenticação PKU2U feitas a este computador usem identidades online.

Network security: Allow PKU2U authentication requests to this computer to use online identities.

59130Fazer auditoria de todos Audit all
59131Segurança de Rede: Restringir NTLM: fazer auditoria do tráfego NTLM de entrada Network security: Restrict NTLM: Audit Incoming NTLM Traffic
59132Segurança de Rede: Restringir NTLM: fazer auditoria da autenticação NTLM neste domínio Network security: Restrict NTLM: Audit NTLM authentication in this domain
59133Segurança de Rede: permitir que o LocalSystem use a identidade do computador para NTLM Network security: Allow Local System to use computer identity for NTLM
59135Habilitar a auditoria para contas do domínio Enable auditing for domain accounts
59136Habilitar a auditoria para todas as contas Enable auditing for all accounts
59138Habilitar todas as contas de domínio para servidores do domínio Enable for domain accounts to domain servers
59139Habilitar para contas do domínio Enable for domain accounts
59140Habilitar para servidores do domínio Enable for domain servers
59141Habilitar tudo Enable all
59142Servidor de rede Microsoft: nível de validação do nome do destino do Server SPN Microsoft network server: Server SPN target name validation level
59143Desativado(a) Off
59144Aceitar se fornecido pelo cliente Accept if provided by client
59145Exigido do cliente Required from client
59146Servidor de rede Microsoft: tentar S4U2Self para obter informações de declaração Microsoft network server: Attempt S4U2Self to obtain claim information
59147Padrão Default
59148Habilitado Enabled
59149Desabilitado Disabled
59150Contas: bloquear contas da Microsoft Accounts: Block Microsoft accounts
59151Esta política está desabilitada This policy is disabled
59152Os usuários não podem adicionar contas da Microsoft Users can't add Microsoft accounts
59153Os usuários não podem adicionar ou fazer logon com contas da Microsoft Users can't add or log on with Microsoft accounts
59154Logon interativo: limite de bloqueio de conta de computador Interactive logon: Machine account lockout threshold
59155Logon interativo: limite de inatividade de computador Interactive logon: Machine inactivity limit
59156tentativas de logon inválidas invalid logon attempts
59157Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM Network access: Restrict clients allowed to make remote calls to SAM
59158Logon interativo: não exibir o nome de usuário na entrada Interactive logon: Don't display username at sign-in

EXIF

File Name:wsecedit.dll.mui
Directory:%WINDIR%\WinSxS\amd64_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_pt-br_37d504006693eb08\
File Size:461 kB
File Permissions:rw-rw-rw-
File Type:Win32 DLL
File Type Extension:dll
MIME Type:application/octet-stream
Machine Type:Intel 386 or later, and compatibles
Time Stamp:0000:00:00 00:00:00
PE Type:PE32
Linker Version:14.10
Code Size:0
Initialized Data Size:471552
Uninitialized Data Size:0
Entry Point:0x0000
OS Version:10.0
Image Version:10.0
Subsystem Version:6.0
Subsystem:Windows GUI
File Version Number:10.0.15063.0
Product Version Number:10.0.15063.0
File Flags Mask:0x003f
File Flags:(none)
File OS:Windows NT 32-bit
Object File Type:Dynamic link library
File Subtype:0
Language Code:Portuguese (Brazilian)
Character Set:Unicode
Company Name:Microsoft Corporation
File Description:Módulo de interface com o usuário do editor de configuração de segurança
File Version:10.0.15063.0 (WinBuild.160101.0800)
Internal Name:WSECEDIT
Legal Copyright:© Microsoft Corporation. Todos os direitos reservados.
Original File Name:WSecEdit.dll.mui
Product Name:Sistema Operacional Microsoft® Windows®
Product Version:10.0.15063.0
Directory:%WINDIR%\WinSxS\x86_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_pt-br_dbb6687cae3679d2\

What is wsecedit.dll.mui?

wsecedit.dll.mui is Multilingual User Interface resource file that contain Portuguese (Brazilian) language for file wsecedit.dll (Módulo de interface com o usuário do editor de configuração de segurança).

File version info

File Description:Módulo de interface com o usuário do editor de configuração de segurança
File Version:10.0.15063.0 (WinBuild.160101.0800)
Company Name:Microsoft Corporation
Internal Name:WSECEDIT
Legal Copyright:© Microsoft Corporation. Todos os direitos reservados.
Original Filename:WSecEdit.dll.mui
Product Name:Sistema Operacional Microsoft® Windows®
Product Version:10.0.15063.0
Translation:0x416, 1200