Provider di servizi di configurazione dei criteri - LocalPoliciesSecurityOptions

Logo di Windows Insider.

Importante

Questo CSP contiene alcune impostazioni in fase di sviluppo e applicabili solo per le compilazioni Windows Insider Preview. Queste impostazioni sono soggette a modifiche e potrebbero avere dipendenze da altre funzionalità o servizi in anteprima.

Nota

Per trovare i formati di dati e altri dettagli correlati ai criteri, vedere File DDF dei criteri.

Accounts_BlockMicrosoftAccounts

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

Questa impostazione di criterio impedisce agli utenti di aggiungere nuovi account Microsoft nel computer. Se si seleziona l'opzione "Gli utenti non possono aggiungere account Microsoft", gli utenti non potranno creare nuovi account Microsoft in questo computer, passare un account locale a un account Microsoft o connettere un account di dominio a un account Microsoft. Questa è l'opzione preferita se è necessario limitare l'uso degli account Microsoft nell'organizzazione. Se si seleziona l'opzione "Gli utenti non possono aggiungere o accedere con account Microsoft", gli utenti dell'account Microsoft esistenti non potranno accedere a Windows. La selezione di questa opzione potrebbe rendere impossibile l'accesso e la gestione del sistema da parte di un amministratore esistente nel computer. Se disabiliti o non configuri questo criterio (scelta consigliata), gli utenti potranno usare gli account Microsoft con Windows.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Disabilitato (gli utenti potranno usare gli account Microsoft con Windows).
1 Abilitato (gli utenti non possono aggiungere account Microsoft).
3 Gli utenti non possono aggiungere o accedere con account Microsoft.

Mapping dei criteri di gruppo:

Nome Valore
Nome Account: blocca gli account Microsoft
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Accounts_EnableAdministratorAccountStatus

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

Questa impostazione di sicurezza determina se l'account amministratore locale è abilitato o disabilitato.

Nota

Se si tenta di riabilitare l'account Amministratore dopo che è stato disabilitato e se la password amministratore corrente non soddisfa i requisiti della password, non è possibile riabilitare l'account. In questo caso, un membro alternativo del gruppo Administrators deve reimpostare la password nell'account Amministratore. Per informazioni su come reimpostare una password, vedere Per reimpostare una password. La disabilitazione dell'account Amministratore può diventare un problema di manutenzione in determinate circostanze. In Modalità provvisoria l'account amministratore disabilitato verrà abilitato solo se il computer non è aggiunto a un dominio e non sono presenti altri account amministratore attivo locali. Se il computer è aggiunto a un dominio, l'amministratore disabilitato non verrà abilitato.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Account: stato account Administrator
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Accounts_EnableGuestAccountStatus

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus

Questa impostazione di sicurezza determina se l'account guest è abilitato o disabilitato. Nota: se l'account guest è disabilitato e l'opzione di sicurezza Accesso alla rete: Modello di condivisione e sicurezza per gli account locali è impostata su Solo guest, gli accessi di rete, ad esempio quelli eseguiti dal servizio SMB (Microsoft Network Server), avranno esito negativo.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Account: stato account Guest
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Account: limita l'uso di password vuote per l'accesso alla console. Questa impostazione di sicurezza determina se gli account locali non protetti da password possono essere usati per accedere da posizioni diverse dalla console del computer fisico. Se abilitato, gli account locali che non sono protetti da password potranno accedere solo alla tastiera del computer. Avviso: i computer che non si trovano in posizioni fisicamente sicure devono sempre applicare criteri password complesse per tutti gli account utente locali. In caso contrario, chiunque abbia accesso fisico al computer può accedere usando un account utente che non dispone di una password. Ciò è particolarmente importante per i computer portatili. Se si applicano questi criteri di sicurezza al gruppo Everyone, nessuno potrà accedere tramite Servizi Desktop remoto.

Nota

Questa impostazione non influisce sugli accessi che usano account di dominio. Per le applicazioni che usano accessi interattivi remoti è possibile ignorare questa impostazione.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato.
1 (impostazione predefinita) Abilitata.

Mapping dei criteri di gruppo:

Nome Valore
Nome Account: limita l'uso di account locali con password vuote solo per l'accesso alla console
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Accounts_RenameAdministratorAccount

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

Account: Rinomina account amministratore Questa impostazione di sicurezza determina se un nome di account diverso è associato all'identificatore di sicurezza (SID) per l'amministratore dell'account. La ridenominazione dell'account amministratore noto rende leggermente più difficile per le persone non autorizzate indovinare questa combinazione di nome utente e password con privilegi. Impostazione predefinita: Administrator.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito Amministratore

Mapping dei criteri di gruppo:

Nome Valore
Nome Account: rinomina account amministratore
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Accounts_RenameGuestAccount

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

Account: Rinomina account guest Questa impostazione di sicurezza determina se un nome di account diverso è associato all'identificatore di sicurezza (SID) per l'account "Guest". La ridenominazione del noto account Guest rende leggermente più difficile per le persone non autorizzate indovinare questa combinazione di nome utente e password. Impostazione predefinita: Guest.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito Guest

Mapping dei criteri di gruppo:

Nome Valore
Nome Account: rinomina account guest
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Audit_AuditTheUseOfBackupAndRestoreprivilege

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege

Audit: controlla l'uso dei privilegi di backup e ripristino Questa impostazione di sicurezza determina se controllare l'uso di tutti i privilegi utente, inclusi Backup e ripristino, quando sono attivi i criteri di utilizzo dei privilegi di controllo. L'abilitazione di questa opzione quando i criteri di utilizzo dei privilegi di controllo sono abilitati genera anche un evento di controllo per ogni file di cui è stato eseguito il backup o ripristinato. Se si disabilita questo criterio, l'uso del privilegio Backup o Ripristino non viene controllato anche quando è abilitato l'uso dei privilegi di controllo.

Nota

Nelle versioni di Windows precedenti a Windows Vista che configurano questa impostazione di sicurezza, le modifiche non saranno effettive fino al riavvio di Windows. L'abilitazione di questa impostazione può causare molti eventi, a volte centinaia al secondo, durante un'operazione di backup.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato b64
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito AA==

Valori consentiti:

Value Descrizione
AQ== Attiva.
AA== (impostazione predefinita) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo: controlla l'utilizzo dei privilegi di backup e di ripristino
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Controllo: forzare le impostazioni della sottocategoria dei criteri di controllo (Windows Vista o versioni successive) per ignorare le impostazioni delle categorie di criteri di controllo Windows Vista e le versioni successive di Windows consentono di gestire i criteri di controllo in modo più preciso usando le sottocategorie dei criteri di controllo. L'impostazione dei criteri di controllo a livello di categoria sostituirà la nuova funzionalità dei criteri di controllo della sottocategoria. Criteri di gruppo consente solo di impostare i criteri di controllo a livello di categoria e i criteri di gruppo esistenti possono sostituire le impostazioni delle sottocategorie dei nuovi computer quando vengono aggiunti al dominio o aggiornati a Windows Vista o versioni successive. Per consentire la gestione dei criteri di controllo tramite sottocategorie senza che sia necessario modificare Criteri di gruppo, è disponibile un nuovo valore del Registro di sistema in Windows Vista e versioni successive, SCENoApplyLegacyAuditPolicy, che impedisce l'applicazione di criteri di controllo a livello di categoria da Criteri di gruppo e dallo strumento di amministrazione dei criteri di sicurezza locali. Se i criteri di controllo a livello di categoria impostati qui non sono coerenti con gli eventi attualmente generati, la causa potrebbe essere l'impostazione di questa chiave del Registro di sistema. Impostazione predefinita: abilitata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 1

Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Controllo: arresta immediatamente il sistema se non è possibile registrare i controlli di sicurezza Questa impostazione di sicurezza determina se il sistema viene arrestato se non è in grado di registrare gli eventi di sicurezza. Se questa impostazione di sicurezza è abilitata, il sistema viene interrotto se non è possibile registrare un controllo di sicurezza per qualsiasi motivo. In genere, un evento non viene registrato quando il log di controllo della sicurezza è pieno e il metodo di conservazione specificato per il log di sicurezza è Do Not Overwrite Events o Overwrite Events by Days. Se il log di sicurezza è pieno e non è possibile sovrascrivere una voce esistente e questa opzione di sicurezza è abilitata, viene visualizzato l'errore Stop seguente: STOP: C0000244 {Audit Failed} Tentativo di generare un controllo di sicurezza non riuscito. Per eseguire il ripristino, un amministratore deve accedere, archiviare il log (facoltativo), cancellare il log e reimpostare questa opzione nel modo desiderato. Fino a quando questa impostazione di sicurezza non viene reimpostata, nessun utente, ad eccezione di un membro del gruppo Administrators, potrà accedere al sistema, anche se il log di sicurezza non è pieno.

Nota

Nelle versioni di Windows precedenti a Windows Vista che configurano questa impostazione di sicurezza, le modifiche non saranno effettive fino al riavvio di Windows.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 0

Devices_AllowedToFormatAndEjectRemovableMedia

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

Dispositivi: consentito formattare ed espellere supporti rimovibili Questa impostazione di sicurezza determina chi può formattare ed espellere supporti NTFS rimovibili. Questa funzionalità può essere assegnata a: Amministratori amministratori e Utenti interattivi Predefinito: questo criterio non è definito e solo gli amministratori hanno questa capacità.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Mapping dei criteri di gruppo:

Nome Valore
Nome Dispositivi: è consentita la formattazione e la rimozione dei supporti rimovibili
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Devices_AllowUndockWithoutHavingToLogon

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

Dispositivi: consenti di disinserirsi senza dover accedere Questa impostazione di sicurezza determina se un computer portatile può essere disassegnato senza dover accedere.

  • Se questo criterio è abilitato, l'accesso non è necessario e per disattivi il computer è possibile usare un pulsante di rimozione hardware esterno.

  • Se disabilitato, un utente deve accedere e disporre del privilegio Rimuovi computer dall'alloggiamento di ancoraggio per disacconnettere il computer.

Attenzione

La disabilitazione di questo criterio potrebbe indurre gli utenti a provare a rimuovere fisicamente il portatile dalla sua docking station usando metodi diversi dal pulsante di espulsione hardware esterno. Poiché ciò può causare danni all'hardware, questa impostazione, in generale, deve essere disabilitata solo nelle configurazioni dei portatili fisicamente a protezione diretta.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Consenti.
0 Blocca.

Mapping dei criteri di gruppo:

Nome Valore
Nome Dispositivi: consenti il disinserimento senza dover effettuare l'accesso
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Dispositivi: impedire agli utenti di installare i driver della stampante quando si connettono a stampanti condivise Affinché un computer possa stampare in una stampante condivisa, il driver per tale stampante condivisa deve essere installato nel computer locale. Questa impostazione di sicurezza determina chi può installare un driver della stampante come parte della connessione a una stampante condivisa.

  • Se questa impostazione è abilitata, solo gli amministratori possono installare un driver della stampante come parte della connessione a una stampante condivisa.

  • Se questa impostazione è disabilitata, qualsiasi utente può installare un driver della stampante come parte della connessione a una stampante condivisa. Impostazione predefinita nei server: abilitata. Impostazione predefinita nelle workstation: note disabilitate Questa impostazione non influisce sulla possibilità di aggiungere una stampante locale. Questa impostazione non influisce sugli amministratori.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Dispositivi: non consentire agli utenti di installare i driver della stampante
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Dispositivi: limita l'accesso al CD-ROM solo all'utente connesso localmente Questa impostazione di sicurezza determina se un CD-ROM è accessibile contemporaneamente agli utenti locali e remoti.

  • Se questo criterio è abilitato, consente solo all'utente connesso in modo interattivo di accedere ai supporti CD-ROM rimovibili.

  • Se questo criterio è abilitato e nessuno è connesso in modo interattivo, è possibile accedere al CD-ROM tramite la rete. Impostazione predefinita: questo criterio non è definito e l'accesso a CD-ROM non è limitato all'utente connesso localmente.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Mapping dei criteri di gruppo:

Nome Valore
Nome Dispositivi: limita accesso al CD-ROM agli utenti che hanno effettuato l'accesso locale
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Dispositivi: limita l'accesso floppy solo all'utente connesso localmente Questa impostazione di sicurezza determina se i supporti floppy rimovibili sono accessibili contemporaneamente agli utenti locali e remoti.

  • Se questo criterio è abilitato, consente solo all'utente connesso in modo interattivo di accedere ai supporti floppy rimovibili.

  • Se questo criterio è abilitato e nessuno è connesso in modo interattivo, è possibile accedere al floppy tramite la rete. Impostazione predefinita: questo criterio non è definito e l'accesso all'unità disco floppy non è limitato all'utente connesso localmente.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Mapping dei criteri di gruppo:

Nome Valore
Nome Dispositivi: limita accesso al disco floppy agli utenti che hanno effettuato l'accesso locale
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Membro di dominio: crittografare o firmare digitalmente i dati del canale sicuro (sempre) Questa impostazione di sicurezza determina se tutto il traffico del canale sicuro avviato dal membro di dominio deve essere firmato o crittografato. Quando un computer entra a far parte di un dominio, viene creato un account computer. Successivamente, all'avvio del sistema, usa la password dell'account computer per creare un canale sicuro con un controller di dominio per il relativo dominio. Questo canale sicuro viene usato per eseguire operazioni come l'autenticazione pass-through NTLM, la ricerca nome/SID LSA e così via. Questa impostazione determina se tutto il traffico del canale sicuro avviato dal membro di dominio soddisfa i requisiti minimi di sicurezza. In particolare, determina se tutto il traffico del canale sicuro avviato dal membro di dominio deve essere firmato o crittografato.

  • Se questo criterio è abilitato, il canale sicuro non verrà stabilito a meno che non venga negoziata la firma o la crittografia di tutto il traffico del canale sicuro.

  • Se questo criterio è disabilitato, la crittografia e la firma di tutto il traffico del canale sicuro vengono negoziate con il controller di dominio, nel qual caso il livello di firma e crittografia dipende dalla versione del controller di dominio e dalle impostazioni dei due criteri seguenti: Membro di dominio: Crittografare digitalmente i dati del canale sicuro (quando possibile) Membro di dominio: Firma digitale dei dati del canale sicuro (quando possibile) Note: se questo criterio è abilitato, si presuppone che il criterio Membro del dominio: Firma digitale i dati del canale sicuro (quando possibile) sia abilitato indipendentemente dall'impostazione corrente. Ciò garantisce che il membro di dominio tenti di negoziare almeno la firma del traffico del canale sicuro. Le informazioni di accesso trasmesse tramite il canale sicuro vengono sempre crittografate indipendentemente dal fatto che la crittografia di TUTTI gli altri canali sicuri venga negoziata o meno.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 1

Mapping dei criteri di gruppo:

Nome Valore
Nome Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale sicuro (sempre)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Membro di dominio: crittografare digitalmente i dati del canale sicuro (quando possibile) Questa impostazione di sicurezza determina se un membro di dominio tenta di negoziare la crittografia per tutto il traffico del canale protetto avviato. Quando un computer entra a far parte di un dominio, viene creato un account computer. Successivamente, all'avvio del sistema, usa la password dell'account computer per creare un canale sicuro con un controller di dominio per il relativo dominio. Questo canale sicuro viene usato per eseguire operazioni come l'autenticazione pass-through NTLM, la ricerca di nomi/SID LSA e così via. Questa impostazione determina se il membro di dominio tenta o meno di negoziare la crittografia per tutto il traffico del canale sicuro avviato. Se abilitato, il membro di dominio richiederà la crittografia di tutto il traffico del canale sicuro. Se il controller di dominio supporta la crittografia di tutto il traffico del canale sicuro, tutto il traffico del canale sicuro verrà crittografato. In caso contrario, verranno crittografate solo le informazioni di accesso trasmesse tramite il canale sicuro. Se questa impostazione è disabilitata, il membro di dominio non tenterà di negoziare la crittografia del canale sicuro. Importante Non esiste alcun motivo noto per disabilitare questa impostazione. Oltre a ridurre inutilmente il potenziale livello di riservatezza del canale sicuro, la disabilitazione di questa impostazione può ridurre inutilmente la velocità effettiva del canale sicuro, perché le chiamate API simultanee che usano il canale sicuro sono possibili solo quando il canale sicuro è firmato o crittografato.

Nota

I controller di dominio sono anche membri del dominio e stabiliscono canali sicuri con altri controller di dominio nello stesso dominio e controller di dominio in domini attendibili.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 1

Mapping dei criteri di gruppo:

Nome Valore
Nome Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale sicuro (quando possibile)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

DomainMember_DigitallySignSecureChannelDataWhenPossible

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible

Membro di dominio: firma digitale dei dati del canale sicuro (quando possibile) Questa impostazione di sicurezza determina se un membro di dominio tenta di negoziare la firma per tutto il traffico del canale sicuro avviato. Quando un computer entra a far parte di un dominio, viene creato un account computer. Successivamente, all'avvio del sistema, usa la password dell'account computer per creare un canale sicuro con un controller di dominio per il relativo dominio. Questo canale sicuro viene usato per eseguire operazioni come l'autenticazione pass-through NTLM, la ricerca nome/SID LSA e così via. Questa impostazione determina se il membro di dominio tenta o meno di negoziare la firma per tutto il traffico del canale sicuro avviato. Se abilitato, il membro di dominio richiederà la firma di tutto il traffico del canale sicuro. Se il controller di dominio supporta la firma di tutto il traffico del canale sicuro, verrà firmato tutto il traffico del canale sicuro che garantisce che non possa essere manomesso in transito.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 1

Mapping dei criteri di gruppo:

Nome Valore
Nome Membro di dominio: aggiunta firma digitale ai dati del canale sicuro (quando possibile)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

DomainMember_DisableMachineAccountPasswordChanges

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges

Membro di dominio: disabilita modifiche della password dell'account computer Determina se un membro di dominio modifica periodicamente la password dell'account computer.

  • Se questa impostazione è abilitata, il membro di dominio non tenta di modificare la password dell'account computer.

  • Se questa impostazione è disabilitata, il membro di dominio tenta di modificare la password dell'account computer come specificato dall'impostazione per Membro di dominio: Età massima per la password dell'account computer, che per impostazione predefinita è ogni 30 giorni. Note Questa impostazione di sicurezza non deve essere abilitata. Le password dell'account computer vengono usate per stabilire comunicazioni di canale sicure tra membri e controller di dominio e, all'interno del dominio, tra i controller di dominio stessi. Una volta stabilito, il canale sicuro viene usato per trasmettere informazioni riservate necessarie per prendere decisioni di autenticazione e autorizzazione. Questa impostazione non deve essere usata nel tentativo di supportare scenari di avvio doppio che usano lo stesso account computer. Se si desidera eseguire il doppio avvio di due installazioni aggiunte allo stesso dominio, assegnare alle due installazioni nomi di computer diversi.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 0

Mapping dei criteri di gruppo:

Nome Valore
Nome Controller di dominio: disabilita cambi password account computer
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

DomainMember_MaximumMachineAccountPasswordAge

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge

Membro di dominio: età massima della password dell'account computer Questa impostazione di sicurezza determina la frequenza con cui un membro di dominio tenterà di modificare la password dell'account computer. Impostazione predefinita: 30 giorni.

Importante

Questa impostazione si applica ai computer Windows 2000, ma non è disponibile tramite gli strumenti security Configuration Manager in questi computer.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-999]
Valore predefinito 30

Mapping dei criteri di gruppo:

Nome Valore
Nome Controller di dominio: validità massima password account computer
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

DomainMember_RequireStrongSessionKey

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey

Membro di dominio: richiede una chiave di sessione avanzata (Windows 2000 o versione successiva) Questa impostazione di sicurezza determina se è necessaria la forza della chiave a 128 bit per i dati crittografati del canale sicuro. Quando un computer entra a far parte di un dominio, viene creato un account computer. Successivamente, all'avvio del sistema, usa la password dell'account computer per creare un canale sicuro con un controller di dominio all'interno del dominio. Questo canale sicuro viene usato per eseguire operazioni come l'autenticazione pass-through NTLM, la ricerca di nomi/SID LSA e così via. A seconda della versione di Windows in esecuzione nel controller di dominio con cui comunica il membro di dominio e delle impostazioni dei parametri: Membro di dominio: Crittografare digitalmente o firmare i dati del canale sicuro (sempre) Membro di dominio: crittografare digitalmente i dati del canale sicuro (quando possibile) Alcune o tutte le informazioni trasmesse tramite il canale sicuro verranno crittografate. Questa impostazione di criterio determina se la forza della chiave a 128 bit è necessaria o meno per le informazioni del canale sicuro crittografate.

  • Se questa impostazione è abilitata, il canale sicuro non verrà stabilito a meno che non sia possibile eseguire la crittografia a 128 bit.

  • Se questa impostazione è disabilitata, la forza della chiave viene negoziata con il controller di dominio. Importante Per sfruttare questo criterio nelle workstation e nei server membri, tutti i controller di dominio che costituiscono il dominio del membro devono eseguire Windows 2000 o versione successiva. Per sfruttare questo criterio nei controller di dominio, tutti i controller di dominio nello stesso dominio e tutti i domini attendibili devono eseguire Windows 2000 o versione successiva.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 1

Mapping dei criteri di gruppo:

Nome Valore
Nome Membro di dominio: richiedi chiave di sessione avanzata (Windows 2000 o versioni successive)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Accesso interattivo: visualizzare le informazioni utente quando la sessione è bloccata Nome visualizzato utente, dominio e nomi utente (1) Solo nome visualizzato utente (2) Non visualizzare le informazioni utente (3) Solo nomi di dominio e utente (4)

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Nome visualizzato utente, nomi di dominio e utente.
2 Solo nome visualizzato dell'utente.
3 Non visualizzare le informazioni utente.
4 Solo nomi di dominio e utente.

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso interattivo: visualizza informazioni utente quando la sessione è bloccata
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

InteractiveLogon_DoNotDisplayLastSignedIn

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

Accesso interattivo: non visualizzare l'ultimo accesso Questa impostazione di sicurezza determina se nella schermata di accesso di Windows verrà visualizzato il nome utente dell'ultima persona che ha eseguito l'accesso a questo PC.

  • Se questo criterio è abilitato, il nome utente non verrà visualizzato.

  • Se questo criterio è disabilitato, verrà visualizzato il nome utente.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Disabilitato (verrà visualizzato il nome utente).
1 Abilitato (il nome utente non verrà visualizzato).

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso interattivo: non visualizza l'ultimo accesso
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

InteractiveLogon_DoNotDisplayUsernameAtSignIn

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

Accesso interattivo: non visualizzare il nome utente all'accesso Questa impostazione di sicurezza determina se il nome utente della persona che accede a questo PC viene visualizzato all'accesso a Windows, dopo l'immissione delle credenziali e prima che venga visualizzato il desktop del PC.

  • Se questo criterio è abilitato, il nome utente non verrà visualizzato.

  • Se questo criterio è disabilitato, verrà visualizzato il nome utente.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato (verrà visualizzato il nome utente).
1 (impostazione predefinita) Abilitato (il nome utente non verrà visualizzato).

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso interattivo: non visualizza il nome utente al momento dell'accesso
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

InteractiveLogon_DoNotRequireCTRLALTDEL

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

Accesso interattivo: non è necessario CTRL+ALT+CANC Questa impostazione di sicurezza determina se premere CTRL+ALT+CANC prima che un utente possa accedere.

  • Se questo criterio è abilitato in un computer, non è necessario premere CTRL+ALT+CANC per accedere. La mancata pressione di CTRL+ALT+CANC lascia gli utenti soggetti ad attacchi che tentano di intercettare le password degli utenti. La richiesta di CTRL+ALT+CANC prima dell'accesso degli utenti garantisce che gli utenti comunichino tramite un percorso attendibile quando immettono le password.

  • Se questo criterio è disabilitato, qualsiasi utente deve premere CTRL+ALT+CANC prima di accedere a Windows. Impostazione predefinita nei computer di dominio: abilitata: almeno Windows 8/Disabilitato: Windows 7 o versioni precedenti. Impostazione predefinita nei computer autonomi: abilitata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato.
1 (impostazione predefinita) Abilitato (non è necessario premere CTRL+ALT+CANC per accedere).

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso interattivo: non richiedere CTRL+ALT+CANC
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

InteractiveLogon_MachineAccountLockoutThreshold

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold

Accesso interattivo: soglia dell'account computer. I criteri di blocco del computer vengono applicati solo ai computer in cui BitLocker è abilitato per la protezione dei volumi del sistema operativo. Assicurarsi che siano abilitati i criteri di backup delle password di ripristino appropriati. Questa impostazione di sicurezza determina il numero di tentativi di accesso non riusciti che causano il blocco del computer. Un computer bloccato può essere ripristinato solo fornendo la chiave di ripristino nella console. È possibile impostare il valore compreso tra 1 e 999 tentativi di accesso non riusciti. Se si imposta il valore su 0, il computer non verrà mai bloccato. I valori compresi tra 1 e 3 verranno interpretati come 4. Tentativi di password non riusciti per workstation o server membri bloccati tramite CTRL+ALT+CANC o i salvaschermi protetti da password vengono conteggiati come tentativi di accesso non riusciti. I criteri di blocco del computer vengono applicati solo ai computer in cui BitLocker è abilitato per la protezione dei volumi del sistema operativo. Assicurarsi che i criteri di backup delle password di ripristino appropriati siano abilitati. Valore predefinito: 0.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-999]
Valore predefinito 0

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso interattivo: soglia di blocco dell'account computer
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

InteractiveLogon_MachineInactivityLimit

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

Accesso interattivo: limite di inattività del computer. Windows nota l'inattività di una sessione di accesso e, se la quantità di tempo inattivo supera il limite di inattività, verrà eseguito lo screen saver, bloccando la sessione. Impostazione predefinita: non applicata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-599940]
Valore predefinito 0

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso interattivo: limite di inattività del computer
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Convalida:

Valori validi: da 0 a 599940, dove il valore è la quantità di tempo di inattività (in secondi) dopo la quale la sessione verrà bloccata. Se è impostato su zero (0), l'impostazione è disabilitata.

InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Accesso interattivo: testo del messaggio per gli utenti che tentano di accedere Questa impostazione di sicurezza specifica un sms visualizzato agli utenti quando accedono. Questo testo viene spesso usato per motivi legali, ad esempio per avvisare gli utenti delle conseguenze dell'uso improprio delle informazioni aziendali o per avvisarli che le loro azioni possono essere controllate. Impostazione predefinita: nessun messaggio.

Importante

Il preprovisioning di Windows Autopilot non funziona quando questa impostazione di criterio è abilitata. Per altre informazioni, vedere Domande frequenti sulla risoluzione dei problemi di Windows Autopilot.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Elenco (delimitatore: 0xF000)

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso interattivo: testo del messaggio per gli utenti che tentano l'accesso
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Accesso interattivo: titolo del messaggio per gli utenti che tentano di accedere Questa impostazione di sicurezza consente di visualizzare la specifica di un titolo nella barra del titolo della finestra che contiene il testo Accesso interattivo: Messaggio per gli utenti che tentano di accedere. Impostazione predefinita: nessun messaggio.

Importante

Il preprovisioning di Windows Autopilot non funziona quando questa impostazione di criterio è abilitata. Per altre informazioni, vedere Domande frequenti sulla risoluzione dei problemi di Windows Autopilot.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso interattivo: titolo del messaggio per gli utenti che tentano l'accesso
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

InteractiveLogon_NumberOfPreviousLogonsToCache

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache

Accesso interattivo: numero di accessi precedenti nella cache (nel caso in cui il controller di dominio non sia disponibile) Le informazioni di accesso di ogni utente univoco vengono memorizzate nella cache in locale in modo che, nel caso in cui un controller di dominio non sia disponibile durante i successivi tentativi di accesso, è possibile accedere. Le informazioni di accesso memorizzate nella cache vengono archiviate dalla sessione di accesso precedente. Se un controller di dominio non è disponibile e le informazioni di accesso di un utente non sono memorizzate nella cache, all'utente viene richiesto questo messaggio: Attualmente non sono disponibili server di accesso per gestire la richiesta di accesso. In questa impostazione di criterio il valore 0 disabilita la memorizzazione nella cache di accesso. Qualsiasi valore superiore a 50 memorizza nella cache solo 50 tentativi di accesso. Windows supporta un massimo di 50 voci della cache e il numero di voci utilizzate per utente dipende dalle credenziali. Ad esempio, un massimo di 50 account utente con password univoca può essere memorizzato nella cache in un sistema Windows, ma solo 25 account utente smart card possono essere memorizzati nella cache perché vengono archiviate sia le informazioni sulla password che le informazioni della smart card. Quando un utente con informazioni di accesso memorizzate nella cache accede nuovamente, le singole informazioni memorizzate nella cache dell'utente vengono sostituite. Impostazione predefinita: Windows Server 2008: 25 Tutte le altre versioni: 10.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 10

InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Accesso interattivo: richiedere all'utente di modificare la password prima della scadenza Determina con quale anticipo (in giorni) gli utenti vengono avvisati che la password sta per scadere. Con questo avviso anticipato, l'utente ha il tempo di costruire una password sufficientemente complessa. Impostazione predefinita: 5 giorni.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-999]
Valore predefinito 5

InteractiveLogon_SmartCardRemovalBehavior

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

Accesso interattivo: comportamento di rimozione delle smart card Questa impostazione di sicurezza determina cosa accade quando la smart card per un utente connesso viene rimossa dal lettore di smart card. Le opzioni sono: No Action Lock Workstation Force Logoff Disconnect se una sessione di Servizi Desktop remoto Se si fa clic su Blocca workstation nella finestra di dialogo Proprietà per questo criterio, la workstation viene bloccata quando la smart card viene rimossa, consentendo agli utenti di uscire dall'area, portare con sé la smart card e mantenere comunque una sessione protetta. Se si fa clic su Forza disconnessione nella finestra di dialogo Proprietà per questo criterio, l'utente viene automaticamente disconnesso quando la smart card viene rimossa. Se si fa clic su Disconnetti se una sessione di Servizi Desktop remoto, la rimozione della smart card disconnette la sessione senza disconnettere l'utente. In questo modo l'utente può inserire la smart card e riprendere la sessione in un secondo momento o in un altro computer dotato di lettore di smart card, senza dover accedere di nuovo. Se la sessione è locale, questo criterio funziona in modo identico a Blocco workstation.

Nota

Servizi Desktop remoto è stato chiamato Servizi terminal nelle versioni precedenti di Windows Server. Impostazione predefinita: questo criterio non è definito, il che significa che il sistema lo considera come Nessuna azione. In Windows Vista e versioni successive: per il corretto funzionamento di questa impostazione, è necessario avviare il servizio Criteri di rimozione smart card.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Nessuna azione.
1 Blocca workstation.
2 Forza disconnessione.
3 Disconnettersi se una sessione di Servizi Desktop remoto.

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso interattivo: funzionamento rimozione smart card
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1809 [10.0.17763] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Client di rete Microsoft: firma digitalmente le comunicazioni (sempre) Questa impostazione di sicurezza determina se la firma dei pacchetti è richiesta dal componente client SMB. Il protocollo SMB (Server Message Block) fornisce la base per la condivisione di file e stampa Microsoft e molte altre operazioni di rete, ad esempio l'amministrazione remota di Windows. Per evitare attacchi man-in-the-middle che modificano i pacchetti SMB in transito, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione di criterio determina se la firma dei pacchetti SMB deve essere negoziata prima che sia consentita un'ulteriore comunicazione con un server SMB.

  • Se questa impostazione è abilitata, il client di rete Microsoft non comunicherà con un server di rete Microsoft a meno che tale server non accetti di eseguire la firma dei pacchetti SMB.

  • Se questo criterio è disabilitato, la firma dei pacchetti SMB viene negoziata tra il client e il server. Importante Per rendere effettivi questi criteri nei computer che eseguono Windows 2000, è necessario abilitare anche la firma dei pacchetti sul lato client. Per abilitare la firma dei pacchetti SMB sul lato client, impostare Client di rete Microsoft: Firmare digitalmente le comunicazioni (se il server è d'accordo).

Nota

Tutti i sistemi operativi Windows supportano sia un componente SMB lato client che un componente SMB sul lato server. Nei sistemi operativi Windows 2000 e versioni successive, l'abilitazione o la richiesta della firma dei pacchetti per i componenti SMB lato client e server è controllata dalle quattro impostazioni dei criteri seguenti: Client di rete Microsoft: Firma digitale delle comunicazioni (sempre) - Controlla se il componente SMB sul lato client richiede o meno la firma dei pacchetti. Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo) - Controlla se il componente SMB sul lato client ha o meno abilitato la firma dei pacchetti. Server di rete Microsoft: firma digitalmente le comunicazioni (sempre) - Controlla se il componente SMB sul lato server richiede o meno la firma dei pacchetti. Server di rete Microsoft: firma digitalmente le comunicazioni (se il client è d'accordo) - Controlla se il componente SMB sul lato server ha la firma dei pacchetti abilitata. La firma dei pacchetti SMB può ridurre significativamente le prestazioni SMB, a seconda della versione del dialetto, della versione del sistema operativo, delle dimensioni dei file, delle funzionalità di offload del processore e dei comportamenti di I/O dell'applicazione. Per altre informazioni, vedere riferimento:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Client di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo) Questa impostazione di sicurezza determina se il client SMB tenta di negoziare la firma dei pacchetti SMB. Il protocollo SMB (Server Message Block) fornisce la base per la condivisione di file e stampa Microsoft e molte altre operazioni di rete, ad esempio l'amministrazione remota di Windows. Per evitare attacchi man-in-the-middle che modificano i pacchetti SMB in transito, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione di criterio determina se il componente client SMB tenta di negoziare la firma del pacchetto SMB quando si connette a un server SMB.

  • Se questa impostazione è abilitata, il client di rete Microsoft chiederà al server di eseguire la firma del pacchetto SMB al momento dell'installazione della sessione. Se la firma dei pacchetti è stata abilitata nel server, la firma dei pacchetti verrà negoziata.

  • Se questo criterio è disabilitato, il client SMB non negozierà mai la firma del pacchetto SMB. Note Tutti i sistemi operativi Windows supportano sia un componente SMB lato client che un componente SMB sul lato server. In Windows 2000 e versioni successive, l'abilitazione o la richiesta della firma dei pacchetti per i componenti SMB lato client e server è controllata dalle quattro impostazioni dei criteri seguenti: Client di rete Microsoft: Firma digitale delle comunicazioni (sempre) - Controlla se il componente SMB sul lato client richiede o meno la firma dei pacchetti. Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo) - Controlla se il componente SMB sul lato client ha o meno abilitato la firma dei pacchetti. Server di rete Microsoft: firma digitalmente le comunicazioni (sempre) - Controlla se il componente SMB sul lato server richiede o meno la firma dei pacchetti. Server di rete Microsoft: firma digitalmente le comunicazioni (se il client è d'accordo) - Controlla se il componente SMB sul lato server ha la firma dei pacchetti abilitata. Se la firma SMB sul lato client e sul lato server è abilitata e il client stabilisce una connessione SMB 1.0 al server, verrà tentata la firma SMB. La firma dei pacchetti SMB può ridurre significativamente le prestazioni SMB, a seconda della versione del dialetto, della versione del sistema operativo, delle dimensioni dei file, delle funzionalità di offload del processore e dei comportamenti di I/O dell'applicazione. Questa impostazione si applica solo alle connessioni SMB 1.0. Per altre informazioni, vedere riferimento:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Attiva.
0 Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Client di rete Microsoft: inviare password non crittografate per connettersi a server SMB di terze parti Se questa impostazione di sicurezza è abilitata, il reindirizzatore SMB (Server Message Block) può inviare password non crittografate a server SMB non Microsoft che non supportano la crittografia delle password durante l'autenticazione. L'invio di password non crittografate è un rischio per la sicurezza.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Client di rete Microsoft: invia password non crittografata per la connessione ai server SMB di terzi
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Server di rete Microsoft: quantità di tempo di inattività necessaria prima di sospendere una sessione Questa impostazione di sicurezza determina la quantità di tempo di inattività continuo che deve passare in una sessione SMB (Server Message Block) prima che la sessione venga sospesa a causa dell'inattività. Gli amministratori possono usare questo criterio per controllare quando un computer sospende una sessione SMB inattiva. Se l'attività client riprende, la sessione viene ristabilita automaticamente. Per questa impostazione di criterio, il valore 0 significa disconnettere una sessione inattiva il più rapidamente possibile. Il valore massimo è 999999, ovvero 208 giorni; in effetti, questo valore disabilita i criteri. Impostazione predefinita: questo criterio non è definito, il che significa che il sistema lo considera come 15 minuti per i server e non definito per le workstation.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-99999]
Valore predefinito 99999

Mapping dei criteri di gruppo:

Nome Valore
Nome Server di rete Microsoft: periodo di inattività necessario prima di sospendere la sessione
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Server di rete Microsoft: firma digitalmente le comunicazioni (sempre) Questa impostazione di sicurezza determina se la firma dei pacchetti è richiesta dal componente server SMB. Il protocollo SMB (Server Message Block) fornisce la base per la condivisione di file e stampa Microsoft e molte altre operazioni di rete, ad esempio l'amministrazione remota di Windows. Per evitare attacchi man-in-the-middle che modificano i pacchetti SMB in transito, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione di criterio determina se la firma dei pacchetti SMB deve essere negoziata prima che sia consentita un'ulteriore comunicazione con un client SMB.

  • Se questa impostazione è abilitata, il server di rete Microsoft non comunicherà con un client di rete Microsoft a meno che tale client non accetti di eseguire la firma dei pacchetti SMB.

  • Se questa impostazione è disabilitata, la firma dei pacchetti SMB viene negoziata tra il client e il server. Impostazione predefinita: disabilitata per i server membri. Abilitato per i controller di dominio.

Nota

Tutti i sistemi operativi Windows supportano sia un componente SMB lato client che un componente SMB sul lato server. In Windows 2000 e versioni successive, l'abilitazione o la richiesta della firma dei pacchetti per i componenti SMB lato client e server è controllata dalle quattro impostazioni dei criteri seguenti: Client di rete Microsoft: Firma digitale delle comunicazioni (sempre) - Controlla se il componente SMB sul lato client richiede o meno la firma dei pacchetti. Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo) - Controlla se il componente SMB sul lato client ha o meno abilitato la firma dei pacchetti. Server di rete Microsoft: firma digitalmente le comunicazioni (sempre) - Controlla se il componente SMB sul lato server richiede o meno la firma dei pacchetti. Server di rete Microsoft: firma digitalmente le comunicazioni (se il client è d'accordo) - Controlla se il componente SMB sul lato server ha la firma dei pacchetti abilitata. Analogamente, se è necessaria la firma SMB sul lato client, tale client non sarà in grado di stabilire una sessione con i server in cui non è abilitata la firma dei pacchetti. Per impostazione predefinita, la firma SMB lato server è abilitata solo nei controller di dominio. Se la firma SMB sul lato server è abilitata, la firma del pacchetto SMB verrà negoziata con i client con la firma SMB lato client abilitata. La firma dei pacchetti SMB può ridurre significativamente le prestazioni SMB, a seconda della versione del dialetto, della versione del sistema operativo, delle dimensioni dei file, delle funzionalità di offload del processore e dei comportamenti di I/O dell'applicazione.

Importante

Per rendere effettivi questi criteri nei computer che eseguono Windows 2000, è necessario abilitare anche la firma dei pacchetti sul lato server. Per abilitare la firma dei pacchetti SMB sul lato server, impostare i criteri seguenti: Server di rete Microsoft: Firma digitale delle comunicazioni (se il server accetta) Affinché i server Windows 2000 negozino la firma con i client Windows NT 4.0, il valore del Registro di sistema seguente deve essere impostato su 1 nel server Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Per altre informazioni, riferimento: <https://go.microsoft.com/fwlink/?LinkID=787136>.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Server di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Server di rete Microsoft: firma digitalmente le comunicazioni (se il client è d'accordo) Questa impostazione di sicurezza determina se il server SMB negozierà la firma dei pacchetti SMB con i client che lo richiedono. Il protocollo SMB (Server Message Block) fornisce la base per la condivisione di file e stampa Microsoft e molte altre operazioni di rete, ad esempio l'amministrazione remota di Windows. Per evitare attacchi man-in-the-middle che modificano i pacchetti SMB in transito, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione di criterio determina se il server SMB negozierà la firma del pacchetto SMB quando un client SMB lo richiede.

  • Se questa impostazione è abilitata, il server di rete Microsoft negozierà la firma dei pacchetti SMB come richiesto dal client. Ovvero, se la firma dei pacchetti è stata abilitata nel client, la firma dei pacchetti verrà negoziata.

  • Se questo criterio è disabilitato, il client SMB non negozierà mai la firma del pacchetto SMB. solo nei controller di dominio.

Importante

Affinché i server Windows 2000 negozino la firma con i client Windows NT 4.0, il valore del Registro di sistema seguente deve essere impostato su 1 nel server che esegue Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Note Tutti i sistemi operativi Windows supportano sia un componente SMB lato client che un componente SMB lato server. Per Windows 2000 e versioni successive, l'abilitazione o la richiesta di firma dei pacchetti per i componenti SMB lato client e server è controllata dalle quattro impostazioni dei criteri seguenti: Client di rete Microsoft: Firma digitale delle comunicazioni (sempre) - Controlla se il componente SMB sul lato client richiede o meno la firma dei pacchetti. Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo) - Controlla se il componente SMB sul lato client ha o meno abilitato la firma dei pacchetti. Server di rete Microsoft: firma digitalmente le comunicazioni (sempre) - Controlla se il componente SMB sul lato server richiede o meno la firma dei pacchetti. Server di rete Microsoft: firma digitalmente le comunicazioni (se il client è d'accordo) - Controlla se il componente SMB sul lato server ha la firma dei pacchetti abilitata. Se la firma SMB sul lato client e sul lato server è abilitata e il client stabilisce una connessione SMB 1.0 al server, verrà tentata la firma SMB. La firma dei pacchetti SMB può ridurre significativamente le prestazioni SMB, a seconda della versione del dialetto, della versione del sistema operativo, delle dimensioni dei file, delle funzionalità di offload del processore e dei comportamenti di I/O dell'applicazione. Questa impostazione si applica solo alle connessioni SMB 1.0. Per altre informazioni, vedere riferimento:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Server di rete Microsoft: disconnettere i client quando scadono le ore di accesso Questa impostazione di sicurezza determina se disconnettere gli utenti connessi al computer locale al di fuori delle ore di accesso valide dell'account utente. Questa impostazione influisce sul componente SMB (Server Message Block). Quando questo criterio è abilitato, le sessioni client con il servizio SMB vengono disconnesse forzatamente quando scadono le ore di accesso del client.

  • Se questo criterio è disabilitato, una sessione client stabilita può essere mantenuta dopo la scadenza delle ore di accesso del client. Impostazione predefinita in Windows Vista e versioni successive: Abilitata. Impostazione predefinita in Windows XP: disabilitata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 1

MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Server di rete Microsoft: livello di convalida del nome di destinazione SPN del server Questa impostazione dei criteri controlla il livello di convalida eseguito da un computer con cartelle o stampanti condivise (il server) sul nome dell'entità servizio (SPN) fornito dal computer client quando stabilisce una sessione usando il protocollo SMB (Server Message Block). Il protocollo SMB (Server Message Block) fornisce la base per la condivisione di file e stampa e altre operazioni di rete, ad esempio l'amministrazione remota di Windows. Il protocollo SMB supporta la convalida del nome dell'entità servizio del server SMB (SPN) all'interno del BLOB di autenticazione fornito da un client SMB per impedire una classe di attacchi ai server SMB definiti attacchi di inoltro SMB. Questa impostazione influirà sia su SMB1 che su SMB2. Questa impostazione di sicurezza determina il livello di convalida eseguito da un server SMB sul nome dell'entità servizio (SPN) fornito dal client SMB quando si tenta di stabilire una sessione in un server SMB. Le opzioni sono: Disattivato: il nome SPN non è obbligatorio o convalidato dal server SMB da un client SMB. Accetta se fornito dal client: il server SMB accetterà e convaliderà il nome SPN fornito dal client SMB e consentirà di stabilire una sessione se corrisponde all'elenco di SPN del server SMB. Se l'SPN NON corrisponde, la richiesta di sessione per tale client SMB verrà negata. Richiesto dal client: il client SMB DEVE inviare un nome SPN nella configurazione della sessione e il nome SPN fornito DEVE corrispondere al server SMB richiesto per stabilire una connessione. Se il client non fornisce alcun nome SPN o il nome SPN fornito non corrisponde, la sessione viene negata. Impostazione predefinita: tutti i sistemi operativi Windows supportano sia un componente SMB lato client che un componente SMB sul lato server. Questa impostazione influisce sul comportamento SMB del server e la relativa implementazione deve essere valutata e testata con attenzione per evitare interruzioni delle funzionalità di gestione di file e stampa. Altre informazioni sull'implementazione e sull'uso di questi server per proteggere i server SMB sono disponibili nel sito Web Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505).

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-2]
Valore predefinito 0

NetworkAccess_AllowAnonymousSIDOrNameTranslation

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation

Accesso alla rete: consente la conversione anonima di SID/nome Questa impostazione dei criteri determina se un utente anonimo può richiedere attributi di identificatore di sicurezza (SID) per un altro utente.

  • Se questo criterio è abilitato, un utente anonimo può richiedere l'attributo SID per un altro utente. Un utente anonimo con conoscenza del SID di un amministratore potrebbe contattare un computer in cui è abilitato questo criterio e usare il SID per ottenere il nome dell'amministratore. Questa impostazione influisce sia sulla traduzione da SID a nome che sulla traduzione da nome a SID.

  • Se questa impostazione di criterio è disabilitata, un utente anonimo non può richiedere l'attributo SID per un altro utente. Impostazione predefinita nelle workstation e nei server membri: disabilitata. Impostazione predefinita nei controller di dominio che eseguono Windows Server 2008 o versione successiva: Disabilitato. Impostazione predefinita nei controller di dominio che eseguono Windows Server 2003 R2 o versioni precedenti: Abilitata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso alla rete: consentire la conversione anonima di SID/nome
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Accesso alla rete: non consentire l'enumerazione anonima degli account SAM Questa impostazione di sicurezza determina quali autorizzazioni aggiuntive verranno concesse per le connessioni anonime al computer. Windows consente agli utenti anonimi di eseguire determinate attività, ad esempio l'enumerazione dei nomi degli account di dominio e delle condivisioni di rete. Questo è utile, ad esempio, quando un amministratore vuole concedere l'accesso agli utenti in un dominio attendibile che non mantiene un trust reciproco. Questa opzione di sicurezza consente di applicare restrizioni aggiuntive alle connessioni anonime come indicato di seguito: Abilitato: Non consentire l'enumerazione degli account SAM. Questa opzione sostituisce Tutti con Utenti autenticati nelle autorizzazioni di sicurezza per le risorse. Disabilitato: nessuna restrizione aggiuntiva. Si basano sulle autorizzazioni predefinite. Impostazione predefinita per le workstation: abilitata. Impostazione predefinita in server:Enabled.

Importante

Questo criterio non ha alcun impatto sui controller di dominio.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Abilitata.
0 Disabilitato.

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso alla rete: non consentire l'enumerazione anonima degli account SAM
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Accesso alla rete: non consentire l'enumerazione anonima di account SAM e condivisioni Questa impostazione di sicurezza determina se è consentita l'enumerazione anonima di account e condivisioni SAM. Windows consente agli utenti anonimi di eseguire determinate attività, ad esempio l'enumerazione dei nomi degli account di dominio e delle condivisioni di rete. Questo è utile, ad esempio, quando un amministratore vuole concedere l'accesso agli utenti in un dominio attendibile che non mantiene un trust reciproco. Se non si vuole consentire l'enumerazione anonima di account e condivisioni SAM, abilitare questo criterio.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Abilitato.
0 (Predefinito) Disabilitato.

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso alla rete: non consentire l'enumerazione anonima di condivisioni e account SAM
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Accesso alla rete: non consente l'archiviazione di password e credenziali per l'autenticazione di rete Questa impostazione di sicurezza determina se Gestione credenziali salva le password e le credenziali per un uso successivo quando ottiene l'autenticazione del dominio.

  • Se si abilita questa impostazione, Gestione credenziali non archivia le password e le credenziali nel computer.

  • Se si disabilita o non si configura questa impostazione di criterio, Gestione credenziali archivierà le password e le credenziali nel computer per l'uso successivo per l'autenticazione del dominio.

Nota

Quando si configura questa impostazione di sicurezza, le modifiche non saranno effettive fino al riavvio di Windows.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 0

NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Accesso alla rete: consenti l'applicazione delle autorizzazioni Everyone agli utenti anonimi Questa impostazione di sicurezza determina quali autorizzazioni aggiuntive vengono concesse per le connessioni anonime al computer. Windows consente agli utenti anonimi di eseguire determinate attività, ad esempio l'enumerazione dei nomi degli account di dominio e delle condivisioni di rete. Questo è utile, ad esempio, quando un amministratore vuole concedere l'accesso agli utenti in un dominio attendibile che non mantiene un trust reciproco. Per impostazione predefinita, l'identificatore di sicurezza Everyone (SID) viene rimosso dal token creato per le connessioni anonime. Pertanto, le autorizzazioni concesse al gruppo Everyone non si applicano agli utenti anonimi. Se questa opzione è impostata, gli utenti anonimi possono accedere solo alle risorse per le quali all'utente anonimo è stata concessa esplicitamente l'autorizzazione.

  • Se questo criterio è abilitato, il SID Everyone viene aggiunto al token creato per le connessioni anonime. In questo caso, gli utenti anonimi possono accedere a qualsiasi risorsa per cui al gruppo Everyone sono state concesse le autorizzazioni.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 0

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso di rete: applica autorizzazioni account Everyone agli utenti anonimi
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Accesso alla rete: named pipe accessibili in modo anonimo Questa impostazione di sicurezza determina quali sessioni di comunicazione (pipe) avranno attributi e autorizzazioni che consentono l'accesso anonimo. Impostazione predefinita: Nessuna.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Elenco (delimitatore: ,)

NetworkAccess_RemotelyAccessibleRegistryPaths

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths

Accesso alla rete: percorsi del Registro di sistema accessibili in remoto Questa impostazione di sicurezza determina quali chiavi del Registro di sistema è possibile accedere tramite la rete, indipendentemente dagli utenti o dai gruppi elencati nell'elenco di controllo di accesso (ACL) della chiave del Registro di sistema winreg. Impostazione predefinita: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Attenzione La modifica errata del Registro di sistema potrebbe danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è necessario eseguire il backup di tutti i dati di valore nel computer.

Nota

Questa impostazione di sicurezza non è disponibile nelle versioni precedenti di Windows. L'impostazione di sicurezza visualizzata nei computer che eseguono Windows XP, "Accesso alla rete: percorsi del Registro di sistema accessibili in remoto" corrisponde all'opzione di sicurezza "Accesso alla rete: percorsi del Registro di sistema accessibili in remoto e percorsi secondari" nei membri della famiglia Windows Server 2003. Per altre informazioni, vedere Accesso alla rete: percorsi e sottopercorso del Registro di sistema accessibili in remoto.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Elenco (delimitatore: ,)

NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Accesso alla rete: percorsi e sottopercorso del Registro di sistema accessibili in remoto Questa impostazione di sicurezza determina i percorsi e i sottopercorso del Registro di sistema a cui è possibile accedere tramite la rete, indipendentemente dagli utenti o dai gruppi elencati nell'elenco di controllo di accesso (ACL) della chiave del Registro di sistema winreg. Impostazione predefinita: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Attenzione La modifica errata del Registro di sistema potrebbe danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è necessario eseguire il backup di tutti i dati di valore nel computer.

Nota

In Windows XP questa impostazione di sicurezza è stata denominata "Accesso alla rete: percorsi del Registro di sistema accessibili in remoto". Se si configura questa impostazione in un membro della famiglia Windows Server 2003 appartenente a un dominio, questa impostazione viene ereditata dai computer che eseguono Windows XP, ma verrà visualizzata come opzione di sicurezza "Accesso alla rete: percorsi del Registro di sistema accessibili in remoto". Per altre informazioni, vedere Accesso alla rete: percorsi e sottopercorso del Registro di sistema accessibili in remoto.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Elenco (delimitatore: ,)

NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Accesso alla rete: Limitare l'accesso anonimo a named pipe e condivisioni Se abilitata, questa impostazione di sicurezza limita l'accesso anonimo alle condivisioni e alle pipe alle impostazioni per: Accesso alla rete: named pipe accessibili in modo anonimo Accesso alla rete: condivisioni accessibili in modo anonimo

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Attiva.
0 Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso di rete: Limitare l'accesso anonimo a named pipe e condivisioni
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Accesso alla rete: limita i client autorizzati a effettuare chiamate remote a SAM Questa impostazione di criterio consente di limitare le connessioni RPC remote a SAM. Se non è selezionato, verrà usato il descrittore di sicurezza predefinito. Questo criterio è supportato almeno in Windows Server 2016.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Mapping dei criteri di gruppo:

Nome Valore
Nome Accesso di rete: Impostare restrizioni per i client autorizzati a effettuare chiamate remote a SAM
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkAccess_SharesThatCanBeAccessedAnonymously

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously

Accesso alla rete: condivisioni accessibili in modo anonimo Questa impostazione di sicurezza determina quali condivisioni di rete possono accedere da utenti anonimi. Impostazione predefinita: nessuna specificata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Elenco (delimitatore: ,)

NetworkAccess_SharingAndSecurityModelForLocalAccounts

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts

Accesso alla rete: modello di condivisione e sicurezza per gli account locali Questa impostazione di sicurezza determina la modalità di autenticazione degli accessi di rete che usano account locali. Se questa impostazione è impostata su Classico, gli accessi di rete che usano le credenziali dell'account locale vengono autenticati usando tali credenziali. Il modello classico consente un controllo fine sull'accesso alle risorse. Usando il modello classico, è possibile concedere tipi diversi di accesso a utenti diversi per la stessa risorsa. Se questa impostazione è impostata solo su Guest, gli accessi di rete che usano account locali vengono mappati automaticamente all'account Guest. Usando il modello Guest, è possibile fare in modo che tutti gli utenti siano trattati allo stesso modo. Tutti gli utenti eseguono l'autenticazione come guest e ricevono tutti lo stesso livello di accesso a una determinata risorsa, che può essere di sola lettura o modifica. Impostazione predefinita nei computer di dominio: classica. Impostazione predefinita nei computer autonomi: solo guest importante Con il modello Solo guest, qualsiasi utente che può accedere al computer tramite la rete (inclusi gli utenti Internet anonimi) può accedere alle risorse condivise. È necessario usare Windows Firewall o un altro dispositivo simile per proteggere il computer da accessi non autorizzati. Analogamente, con il modello classico, gli account locali devono essere protetti da password; in caso contrario, gli account utente possono essere usati da chiunque per accedere alle risorse di sistema condivise.

Nota

Questa impostazione non influisce sugli accessi interattivi eseguiti in remoto usando servizi come Telnet o Servizi Desktop remoto. Servizi Desktop remoto è stato chiamato Servizi terminal nelle versioni precedenti di Windows Server. Questo criterio non avrà alcun impatto sui computer che eseguono Windows 2000. Quando il computer non è aggiunto a un dominio, questa impostazione modifica anche le schede Condivisione e sicurezza in Esplora file in modo che corrispondano al modello di condivisione e sicurezza in uso.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 0

NetworkSecurity_AllowLocalSystemNULLSessionFallback

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback

Sicurezza di rete: consenti il fallback della sessione LOCALSystem NULL Consente a NTLM di eseguire il fallback alla sessione NULL quando viene usato con LocalSystem. Il valore predefinito è TRUE fino a Windows Vista e FALSE in Windows 7.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 1

NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1809 [10.0.17763] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Sicurezza di rete: consenti al sistema locale di usare l'identità del computer per NTLM Questa impostazione dei criteri consente ai servizi del sistema locale che usano Negotiate di usare l'identità del computer quando si ripristina l'autenticazione NTLM.

  • Se si abilita questa impostazione di criterio, i servizi in esecuzione come sistema locale che usano Negotiate useranno l'identità del computer. Ciò potrebbe causare l'esito negativo di alcune richieste di autenticazione tra sistemi operativi Windows e la registrazione di un errore.

  • Se si disabilita questa impostazione di criterio, i servizi in esecuzione come sistema locale che usano Negotiate quando si ripristina l'autenticazione NTLM verranno autenticati in modo anonimo. Per impostazione predefinita, questo criterio è abilitato in Windows 7 e versioni successive. Per impostazione predefinita, questo criterio è disabilitato in Windows Vista. Questo criterio è supportato almeno in Windows Vista o Windows Server 2008.

Nota

Windows Vista o Windows Server 2008 non espongono questa impostazione in Criteri di gruppo.

  • Quando un servizio si connette con l'identità del dispositivo, la firma e la crittografia sono supportate per fornire la protezione dei dati.
  • Quando un servizio si connette in modo anonimo, viene creata una chiave di sessione generata dal sistema, che non fornisce alcuna protezione, ma consente alle applicazioni di firmare e crittografare i dati senza errori. L'autenticazione anonima usa una sessione NULL, ovvero una sessione con un server in cui non viene eseguita alcuna autenticazione utente; e pertanto è consentito l'accesso anonimo.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Consenti.
0 Blocca.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: consenti a Sistema locale di utilizzare l'identità del computer per NTLM
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_AllowPKU2UAuthenticationRequests

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

Sicurezza di rete: consente alle richieste di autenticazione PKU2U al computer di usare le identità online. Questo criterio verrà disattivato per impostazione predefinita nei computer aggiunti a un dominio. Ciò impedirebbe l'autenticazione delle identità online nel computer aggiunto al dominio.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Blocca.
1 (impostazione predefinita) Consenti.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: consente alle richieste di autenticazione PKU2U al computer di usare le identità online.
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Nota

Questo criterio è deprecato e può essere rimosso in una versione futura.

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Sicurezza di rete: non archiviare il valore hash di LAN Manager alla successiva modifica della password Questa impostazione di sicurezza determina se, alla successiva modifica della password, viene archiviato il valore hash di LAN Manager (LM) per la nuova password. L'hash LM è relativamente debole e soggetto ad attacchi, rispetto all'hash di Windows NT più potente dal punto di vista crittografico. Poiché l'hash LM è archiviato nel computer locale nel database di sicurezza, le password possono essere compromesse se il database di sicurezza viene attaccato. Impostazione predefinita in Windows Vista e versioni successive: Impostazione predefinita abilitata in Windows XP: Disabilitata.

Importante

Windows 2000 Service Pack 2 (SP2) e versioni successive offrono compatibilità con l'autenticazione con le versioni precedenti di Windows, ad esempio Microsoft Windows NT 4.0. Questa impostazione può influire sulla capacità dei computer che eseguono Windows 2000 Server, Windows 2000 Professional, Windows XP e la famiglia Windows Server 2003 di comunicare con computer che eseguono Windows 95 e Windows 98.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Attiva.
0 Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: non archiviare il valore hash di LAN Manager alla successiva modifica della password
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Sicurezza di rete: forza la disconnessione quando scadono le ore di accesso Questa impostazione di sicurezza determina se disconnettere gli utenti connessi al computer locale all'esterno delle ore di accesso valide dell'account utente. Questa impostazione influisce sul componente SMB (Server Message Block). Quando questo criterio è abilitato, le sessioni client con il server SMB vengono disconnesse forzatamente quando scadono le ore di accesso del client.

  • Se questo criterio è disabilitato, una sessione client stabilita può essere mantenuta dopo la scadenza delle ore di accesso del client. Nota: questa impostazione di sicurezza si comporta come criterio dell'account. Per gli account di dominio, possono essere presenti solo un criterio account. I criteri dell'account devono essere definiti nei criteri di dominio predefiniti e vengono applicati dai controller di dominio che costituiscono il dominio. Un controller di dominio esegue sempre il pull dei criteri dell'account dall'oggetto Criteri di dominio predefiniti Criteri di gruppo oggetto , anche se all'unità organizzativa che contiene il controller di dominio sono applicati criteri di account diversi. Per impostazione predefinita, anche le workstation e i server aggiunti a un dominio , ad esempio i computer membri, ricevono gli stessi criteri di account per gli account locali. Tuttavia, i criteri dell'account locale per i computer membri possono essere diversi dai criteri dell'account di dominio definendo un criterio account per l'unità organizzativa che contiene i computer membri. Le impostazioni Kerberos non vengono applicate ai computer membri.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Attiva.
0 Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: imponi disconnessione al termine dell'orario di accesso
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_LANManagerAuthenticationLevel

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

Livello di autenticazione LAN Manager di sicurezza di rete Questa impostazione di sicurezza determina quale protocollo di autenticazione di richiesta/risposta viene usato per gli accessi di rete. Questa scelta influisce sul livello di protocollo di autenticazione usato dai client, sul livello di sicurezza della sessione negoziato e sul livello di autenticazione accettato dai server come segue: Inviare risposte LM e NTLM: i client usano l'autenticazione LM e NTLM e non usano mai la sicurezza della sessione NTLMv2; i controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. Invia LM e NTLM: usare la sicurezza della sessione NTLMv2 se negoziata: i client usano l'autenticazione LM e NTLM e usano la sicurezza della sessione NTLMv2 se il server lo supporta; i controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. Invia solo risposta NTLM: i client usano solo l'autenticazione NTLM e usano la sicurezza della sessione NTLMv2 se il server lo supporta; i controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. Invia solo risposta NTLMv2: i client usano solo l'autenticazione NTLMv2 e usano la sicurezza della sessione NTLMv2 se il server la supporta; i controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2. Invia solo risposta NTLMv2\rifiuta LM: i client usano solo l'autenticazione NTLMv2 e usano la sicurezza della sessione NTLMv2 se il server lo supporta; i controller di dominio rifiutano LM (accettano solo l'autenticazione NTLM e NTLMv2). Invia solo risposta NTLMv2\rifiuta LM e NTLM: i client usano solo l'autenticazione NTLMv2 e usano la sicurezza della sessione NTLMv2 se il server lo supporta; i controller di dominio rifiutano LM e NTLM (accettano solo l'autenticazione NTLMv2).

Importante

Questa impostazione può influire sulla capacità dei computer che eseguono Windows 2000 Server, Windows 2000 Professional, Windows XP Professional e la famiglia Windows Server 2003 di comunicare con computer che eseguono Windows NT 4.0 e versioni precedenti in rete. Ad esempio, al momento della scrittura, i computer che eseguono Windows NT 4.0 SP4 e versioni precedenti non supportano NTLMv2. I computer che eseguono Windows 95 e Windows 98 non supportano NTLM. Impostazione predefinita: Windows 2000 e Windows XP: invia risposte LM e NTLM Windows Server 2003: Invia solo la risposta NTLM a Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2: Invia solo risposta NTLMv2.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 3

Valori consentiti:

Value Descrizione
0 Inviare risposte LM e NTLM.
1 Se negoziata, inviare la sicurezza della sessione NTLMv2 con utilizzo LM e NTLM.
2 Inviare solo risposte LM e NTLM.
3 (impostazione predefinita) Inviare solo risposte LM e NTLMv2.
4 Inviare solo risposte LM e NTLMv2. Rifiutare LM.
5 Inviare solo risposte LM e NTLMv2. Rifiutare LM e NTLM.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: livello di autenticazione di LAN Manager
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_LDAPClientSigningRequirements

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements

Sicurezza di rete: requisiti di firma client LDAP Questa impostazione di sicurezza determina il livello di firma dei dati richiesto per conto dei client che eseguono richieste LDAP BIND, come indicato di seguito: Nessuna: La richiesta LDAP BIND viene emessa con le opzioni specificate dal chiamante. Firma negozia: se TLS\SSL (Transport Layer Security/Secure Sockets Layer) non è stato avviato, la richiesta LDAP BIND viene avviata con l'opzione di firma dei dati LDAP impostata oltre alle opzioni specificate dal chiamante. Se TLS\SSL è stato avviato, la richiesta LDAP BIND viene avviata con le opzioni specificate dal chiamante. Richiedi firma: equivale a Negoziare la firma. Tuttavia, se la risposta saslBindInProgress intermedia del server LDAP non indica che la firma del traffico LDAP è necessaria, al chiamante viene detto che la richiesta di comando LDAP BIND non è riuscita.

Attenzione

Se si imposta il server su Richiedi firma, è necessario impostare anche il client. Se non si imposta il client, si verifica una perdita di connessione con il server.

Nota

Questa impostazione non ha alcun impatto su ldap_simple_bind o ldap_simple_bind_s. Nessun client LDAP Microsoft fornito con Windows XP Professional usa ldap_simple_bind o ldap_simple_bind_s per comunicare con un controller di dominio. Impostazione predefinita: Negoziare la firma.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-2]
Valore predefinito 1

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1809 [10.0.17763] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Sicurezza di rete: sicurezza minima della sessione per i client basati su provider di servizi condivisi NTLM (incluso RPC sicuro) Questa impostazione di sicurezza consente a un client di richiedere la negoziazione della crittografia a 128 bit e/o della sicurezza della sessione NTLMv2. Questi valori dipendono dal valore dell'impostazione di sicurezza livello di autenticazione LAN Manager. Le opzioni sono: Richiedi sicurezza sessione NTLMv2: la connessione avrà esito negativo se il protocollo NTLMv2 non viene negoziato. Richiedi crittografia a 128 bit: la connessione avrà esito negativo se la crittografia avanzata (128 bit) non viene negoziata. Impostazione predefinita: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: nessun requisito. Windows 7 e Windows Server 2008 R2: richiedere la crittografia a 128 bit.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 536870912

Valori consentiti:

Value Descrizione
0 Nessuna.
524288 Richiedere la sicurezza della sessione NTLMv2.
536870912 (impostazione predefinita) Richiedere la crittografia a 128 bit.
537395200 Richiedere la crittografia NTLM e a 128 bit.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: sicurezza sessione minima per client basati su NTLM SSP (incluso l'RPC sicuro)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Sicurezza di rete: sicurezza minima della sessione per i server basati su provider di servizi condivisi NTLM (incluso RPC sicuro) Questa impostazione di sicurezza consente a un server di richiedere la negoziazione della crittografia a 128 bit e/o della sicurezza della sessione NTLMv2. Questi valori dipendono dal valore dell'impostazione di sicurezza livello di autenticazione LAN Manager. Le opzioni sono: Richiedi sicurezza sessione NTLMv2: la connessione avrà esito negativo se l'integrità del messaggio non viene negoziata. Richiedere la crittografia a 128 bit. La connessione avrà esito negativo se la crittografia avanzata (a 128 bit) non viene negoziata. Impostazione predefinita: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: nessun requisito. Windows 7 e Windows Server 2008 R2: richiedere la crittografia a 128 bit.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 536870912

Valori consentiti:

Value Descrizione
0 Nessuna.
524288 Richiedere la sicurezza della sessione NTLMv2.
536870912 (impostazione predefinita) Richiedere la crittografia a 128 bit.
537395200 Richiedere la crittografia NTLM e a 128 bit.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: sicurezza sessione minima per server basati su NTLM SSP (incluso l'RPC sicuro)
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Sicurezza di rete: Limita NTLM: aggiungere eccezioni al server remoto per l'autenticazione NTLM Questa impostazione dei criteri consente di creare un elenco di eccezioni dei server remoti ai quali i client possono usare l'autenticazione NTLM se è configurata l'impostazione dei criteri "Sicurezza di rete: Limita NTLM: Traffico NTLM in uscita ai server remoti".

  • Se si configura questa impostazione di criterio, è possibile definire un elenco di server remoti in cui i client possono usare l'autenticazione NTLM.

  • Se non si configura questa impostazione di criterio, non verranno applicate eccezioni. Il formato di denominazione per i server in questo elenco di eccezioni è il nome di dominio completo (FQDN) o il nome del server NetBIOS usato dall'applicazione, elencato uno per riga. Per garantire che le eccezioni il nome usato da tutte le applicazioni sia incluso nell'elenco e per garantire che un'eccezione sia accurata, il nome del server deve essere elencato in entrambi i formati di denominazione. Un singolo asterisco (*) può essere usato in qualsiasi punto della stringa come carattere jolly.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Elenco (delimitatore: 0xF000)

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: limitazione di NTLM: aggiungi eccezioni dei server remoti per autenticazione NTLM
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Sicurezza di rete: Limita NTLM: Controlla traffico NTLM in ingresso Questa impostazione dei criteri consente di controllare il traffico NTLM in ingresso. Se si seleziona "Disabilita" o non si configura questa impostazione di criterio, il server non registrerà gli eventi per il traffico NTLM in ingresso. Se si seleziona "Abilita il controllo per gli account di dominio", il server registrerà gli eventi per le richieste di autenticazione pass-through NTLM che verranno bloccate quando l'impostazione del criterio "Sicurezza di rete: Limita NTLM: traffico NTLM in ingresso" è impostata sull'opzione "Nega tutti gli account di dominio". Se si seleziona "Abilita il controllo per tutti gli account", il server registrerà gli eventi per tutte le richieste di autenticazione NTLM che verranno bloccate quando l'impostazione del criterio "Sicurezza di rete: Limita ntlm: traffico NTLM in ingresso" è impostata sull'opzione "Nega tutti gli account". Questo criterio è supportato almeno in Windows 7 o Windows Server 2008 R2.

Nota

Gli eventi di controllo vengono registrati in questo computer nel log "Operativo" che si trova nel log delle applicazioni e dei servizi/Microsoft/Windows/NTLM.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Disabilita.
1 Abilitare il controllo per gli account di dominio.
2 Abilitare il controllo per tutti gli account.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: Limita NTLM: Controllare il traffico NTLM in ingresso
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Sicurezza di rete: limita NTLM: traffico NTLM in ingresso Questa impostazione dei criteri consente di negare o consentire il traffico NTLM in ingresso. Se si seleziona "Consenti tutto" o non si configura questa impostazione di criterio, il server consentirà tutte le richieste di autenticazione NTLM. Se si seleziona "Nega tutti gli account di dominio", il server negherà le richieste di autenticazione NTLM per l'accesso al dominio e visualizzerà un errore di blocco NTLM, ma consentirà l'accesso all'account locale. Se si seleziona "Nega tutti gli account", il server negherà le richieste di autenticazione NTLM dal traffico in ingresso e visualizzerà un errore ntlm bloccato. Questo criterio è supportato almeno in Windows 7 o Windows Server 2008 R2.

Nota

Gli eventi di blocco vengono registrati in questo computer nel log "operativo" che si trova nel registro applicazioni e servizi/Microsoft/Windows/NTLM.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Consenti tutto.
1 Nega tutti gli account di dominio.
2 Nega tutti gli account.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: limitazione di NTLM: traffico NTLM in ingresso
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Sicurezza di rete: limita NTLM: traffico NTLM in uscita ai server remoti Questa impostazione dei criteri consente di negare o controllare il traffico NTLM in uscita da questo computer Windows 7 o da questo computer Windows Server 2008 R2 a qualsiasi server remoto Windows. Se si seleziona "Consenti tutto" o non si configura questa impostazione di criterio, il computer client può autenticare le identità in un server remoto usando l'autenticazione NTLM. Se si seleziona "Controlla tutto", il computer client registra un evento per ogni richiesta di autenticazione NTLM in un server remoto. In questo modo è possibile identificare i server che ricevono richieste di autenticazione NTLM dal computer client. Se si seleziona "Nega tutto", il computer client non può autenticare le identità in un server remoto usando l'autenticazione NTLM. È possibile usare l'impostazione dei criteri "Sicurezza di rete: Limita NTLM: Aggiungere eccezioni al server remoto per l'autenticazione NTLM" per definire un elenco di server remoti ai quali i client possono usare l'autenticazione NTLM. Questo criterio è supportato almeno in Windows 7 o Windows Server 2008 R2.

Nota

Gli eventi di controllo e blocco vengono registrati in questo computer nel log "Operativo" che si trova nel log delle applicazioni e dei servizi/Microsoft/Windows/NTLM.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Consenti tutto.
1 Nega tutti gli account di dominio.
2 Nega tutti gli account.

Mapping dei criteri di gruppo:

Nome Valore
Nome Sicurezza di rete: limitazione di NTLM: traffico NTLM in uscita verso server remoti
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

RecoveryConsole_AllowAutomaticAdministrativeLogon

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon

Console di ripristino: consente l'accesso amministrativo automatico Questa impostazione di sicurezza determina se la password per l'account amministratore deve essere assegnata prima che venga concesso l'accesso al sistema. Se questa opzione è abilitata, la Console di ripristino non richiede di fornire una password e accede automaticamente al sistema. Impostazione predefinita: questo criterio non è definito e l'accesso amministrativo automatico non è consentito.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 0

Mapping dei criteri di gruppo:

Nome Valore
Nome Console di ripristino di emergenza: consenti accesso di amministrazione automatico
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Console di ripristino: consente la copia floppy e l'accesso a tutte le unità e a tutte le cartelle L'abilitazione di questa opzione di sicurezza rende disponibile il comando SET della console di ripristino, che consente di impostare le variabili di ambiente della Console di ripristino seguenti: AllowWildCards: Abilita il supporto dei caratteri jolly per alcuni comandi, ad esempio il comando DEL. AllowAllPaths: consente l'accesso a tutti i file e le cartelle nel computer. AllowRemovableMedia: consente di copiare i file in supporti rimovibili, ad esempio un disco floppy. NoCopyPrompt: non richiedere la sovrascrittura di un file esistente. Impostazione predefinita: questo criterio non è definito e il comando SET della console di ripristino non è disponibile.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 0

Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Arresto: consente l'arresto del sistema senza dover accedere Questa impostazione di sicurezza determina se un computer può essere arrestato senza dover accedere a Windows. Quando questo criterio è abilitato, il comando Arresta è disponibile nella schermata di accesso a Windows. Quando questo criterio è disabilitato, l'opzione per arrestare il computer non viene visualizzata nella schermata di accesso a Windows. In questo caso, gli utenti devono essere in grado di accedere correttamente al computer e avere il diritto Arresta l'utente di sistema prima di poter eseguire un arresto del sistema. Impostazione predefinita per le workstation: abilitata. Impostazione predefinita nei server: disabilitata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato.
1 (impostazione predefinita) Abilitato (consenti l'arresto del sistema senza dover accedere).

Mapping dei criteri di gruppo:

Nome Valore
Nome Arresto del sistema: consenti di arrestare il sistema senza effettuare l'accesso
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Shutdown_ClearVirtualMemoryPageFile

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

Arresto: cancella file di pagina della memoria virtuale Questa impostazione di sicurezza determina se il file di pagina della memoria virtuale viene cancellato quando il sistema viene arrestato. Il supporto della memoria virtuale usa un file di pagina di sistema per scambiare le pagine di memoria su disco quando non vengono usate. In un sistema in esecuzione, questo file di pagina viene aperto esclusivamente dal sistema operativo ed è ben protetto. Tuttavia, i sistemi configurati per consentire l'avvio ad altri sistemi operativi potrebbero dover assicurarsi che il file di pagina del sistema venga cancellato quando il sistema viene arrestato. In questo modo si garantisce che le informazioni sensibili provenienti dalla memoria del processo che potrebbero entrare nel file di pagina non siano disponibili per un utente non autorizzato che riesce ad accedere direttamente al file di pagina. Quando questo criterio è abilitato, il file di pagina di sistema viene cancellato al momento dell'arresto pulito. Se si abilita questa opzione di sicurezza, anche il file di ibernazione (hiberfil.sys) viene azzerato quando l'ibernazione è disabilitata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Arresto del sistema: cancella file di paging della memoria virtuale
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

SystemCryptography_ForceStrongKeyProtection

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection

Crittografia di sistema: forza la protezione delle chiavi complesse per le chiavi utente archiviate nel computer Questa impostazione di sicurezza determina se le chiavi private degli utenti richiedono l'uso di una password. Le opzioni sono: L'input dell'utente non è necessario quando vengono archiviate nuove chiavi e viene richiesto all'utente quando la chiave viene usata per la prima volta L'utente deve immettere una password ogni volta che usa una chiave Per altre informazioni, vedere Infrastruttura a chiave pubblica. Impostazione predefinita: questo criterio non è definito.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-2]
Valore predefinito 0

SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Oggetti di sistema: richiede la distinzione tra maiuscole e minuscole per i sottosistemi non Windows Questa impostazione di sicurezza determina se la distinzione tra maiuscole e minuscole viene applicata per tutti i sottosistemi. Il sottosistema Win32 non fa distinzione tra maiuscole e minuscole. Tuttavia, il kernel supporta la distinzione tra maiuscole e minuscole per altri sottosistemi, ad esempio POSIX. Se questa impostazione è abilitata, la distinzione tra maiuscole e minuscole viene applicata per tutti gli oggetti directory, i collegamenti simbolici e gli oggetti I/O, inclusi gli oggetti file. La disabilitazione di questa impostazione non consente al sottosistema Win32 di fare distinzione tra maiuscole e minuscole.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 1

Mapping dei criteri di gruppo:

Nome Valore
Nome Oggetti di sistema: non richiedere distinzione tra maiuscole e minuscole per sottosistemi non Windows
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Oggetti di sistema: rafforzare le autorizzazioni predefinite degli oggetti di sistema interni (ad esempio, collegamenti simbolici) Questa impostazione di sicurezza determina la forza dell'elenco di controllo di accesso discrezionale predefinito per gli oggetti. Active Directory gestisce un elenco globale di risorse di sistema condivise, ad esempio nomi di dispositivi DOS, mutex e semafori. In questo modo, gli oggetti possono essere posizionati e condivisi tra i processi. Ogni tipo di oggetto viene creato con un DACL predefinito che specifica chi può accedere agli oggetti e quali autorizzazioni vengono concesse.

  • Se questo criterio è abilitato, l'elenco DACL predefinito è più forte, consentendo agli utenti che non sono amministratori di leggere gli oggetti condivisi, ma che non consentono a questi utenti di modificare gli oggetti condivisi che non hanno creato.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Gamma: [0-1]
Valore predefinito 1

UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Controllo account utente: consente alle applicazioni UIAccess di richiedere l'elevazione senza usare il desktop protetto. Questa impostazione di criterio controlla se i programmi UIAccess o UIA (User Interface Accessibility) possono disabilitare automaticamente il desktop sicuro per le richieste di elevazione dei privilegi usate da un utente standard.

  • Abilitato: i programmi uia, tra cui Assistenza remota Windows, disabilitano automaticamente il desktop sicuro per le richieste di elevazione dei privilegi. Se non disabiliti l'impostazione del criterio "Controllo dell'account utente: passa al desktop sicuro quando richiedi elevazione", i prompt vengono visualizzati sul desktop dell'utente interattivo anziché sul desktop protetto.

  • Disabilitato: (impostazione predefinita) Il desktop protetto può essere disabilitato solo dall'utente del desktop interattivo o disabilitando l'impostazione dei criteri "Controllo account utente: Passare al desktop sicuro quando viene richiesta l'elevazione".

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Disabilitato.
1 Abilitato (consenti alle applicazioni UIAccess di richiedere l'elevazione senza usare il desktop protetto).

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: consenti alle applicazioni con accesso all'interfaccia utente di richiedere l'elevazione senza utilizzare il desktop sicuro
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in esecuzione con protezione amministratore. Questa impostazione di criterio controlla il comportamento della richiesta di elevazione dei privilegi per gli amministratori. Le opzioni sono:

  • Richiedi credenziali sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di immettere credenziali con privilegi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio più alto disponibile dell'utente.

  • Richiedi il consenso sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di selezionare Consenti modifiche o Non consentire. Se l'utente seleziona Consenti modifiche, l'operazione continua con il privilegio più alto disponibile dell'utente.

Nota

Quando la protezione dell'amministratore è abilitata, questo criterio sostituisce UserAccountControl_BehaviorOfTheElevationPromptForAdministrators criterio.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Richiedere le credenziali sul desktop protetto.
2 Richiedere il consenso sul desktop protetto.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in esecuzione con protezione amministratore
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità di approvazione Amministrazione Questa impostazione dei criteri controlla il comportamento della richiesta di elevazione dei privilegi per gli amministratori. Le opzioni sono:

  • Elevazione senza richiesta: consente agli account con privilegi di eseguire un'operazione che richiede l'elevazione senza richiedere il consenso o le credenziali.

    Nota

    Usare questa opzione solo negli ambienti più vincolati.

  • Richiedi credenziali sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di immettere un nome utente e una password con privilegi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio più alto disponibile dell'utente.

  • Richiedi consenso sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con il privilegio più alto disponibile dell'utente.

  • Richiedi credenziali: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto di immettere un nome utente e una password amministrativi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.

  • Richiedi consenso: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con il privilegio più alto disponibile dell'utente.

  • Richiedi il consenso per i file binari non Windows: (Impostazione predefinita) Quando un'operazione per un'applicazione non Microsoft richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop sicuro di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con il privilegio più alto disponibile dell'utente.

Nota

Quando la protezione dell'amministratore è abilitata, questo comportamento dei criteri viene sostituito dai criteri UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection .

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 5

Valori consentiti:

Value Descrizione
0 Elevare senza chiedere conferma.
1 Richiedere le credenziali sul desktop protetto.
2 Richiedere il consenso sul desktop protetto.
3 Richiedi credenziali.
4 Richiedere il consenso.
5 (impostazione predefinita) Richiedi il consenso per i file binari non Windows.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard Questa impostazione dei criteri controlla il comportamento della richiesta di elevazione dei privilegi per gli utenti standard. Le opzioni sono:

  • Richiedi credenziali: (impostazione predefinita) Quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto di immettere un nome utente e una password amministrativi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.

  • Nega automaticamente le richieste di elevazione dei privilegi: quando un'operazione richiede l'elevazione dei privilegi, viene visualizzato un messaggio di errore di accesso negato configurabile. Un'azienda che esegue desktop come utente standard può scegliere questa impostazione per ridurre le chiamate al supporto tecnico.

  • Richiedi credenziali sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di immettere un nome utente e una password diversi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 3

Valori consentiti:

Value Descrizione
0 Nega automaticamente le richieste di elevazione dei privilegi.
1 Richiedere le credenziali sul desktop protetto.
3 (impostazione predefinita) Richiedi credenziali.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Controllo dell'account utente: rilevare le installazioni delle applicazioni e richiedere l'elevazione Questa impostazione dei criteri controlla il comportamento del rilevamento dell'installazione dell'applicazione per il computer. Le opzioni sono: Abilitato: (impostazione predefinita) Quando viene rilevato un pacchetto di installazione dell'applicazione che richiede l'elevazione dei privilegi, all'utente viene richiesto di immettere un nome utente e una password amministrativi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile. Disabilitato: i pacchetti di installazione dell'applicazione non vengono rilevati e viene richiesta l'elevazione. Le aziende che eseguono desktop utente standard e usano tecnologie di installazione delegate come Criteri di gruppo Installazione software o Sms (Systems Management Server) devono disabilitare questa impostazione di criterio. In questo caso, il rilevamento del programma di installazione non è necessario.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Attiva.
0 Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: rileva installazione applicazioni e richiedi elevazione
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Controllo dell'account utente: eleva solo i file eseguibili firmati e convalidati Questa impostazione dei criteri applica i controlli delle firme dell'infrastruttura a chiave pubblica (PKI) per tutte le applicazioni interattive che richiedono l'elevazione dei privilegi. Gli amministratori aziendali possono controllare quali applicazioni possono essere eseguite aggiungendo certificati all'archivio certificati autori attendibili nei computer locali. Le opzioni sono:

  • Abilitato: applica la convalida del percorso di certificazione PKI per un determinato file eseguibile prima che sia consentito l'esecuzione.

  • Disabilitato: (impostazione predefinita) Non applica la convalida del percorso di certificazione PKI prima che sia consentito l'esecuzione di un determinato file eseguibile.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Disabilitato: non applica la convalida.
1 Abilitato: applica la convalida.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: eleva solo file eseguibili firmati e convalidati
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Controllo account utente: eleva solo le applicazioni UIAccess installate in posizioni sicure Questa impostazione dei criteri controlla se le applicazioni che richiedono l'esecuzione con un livello di integrità UiAccess (User Interface Accessibility) devono risiedere in un percorso sicuro nel file system. Le posizioni sicure sono limitate alle seguenti: - .. \Programmi, incluse le sottocartelle - .. \Windows\system32\ - .. \Programmi (x86), incluse le sottocartelle per le versioni a 64 bit di Windows Nota: Windows applica un controllo della firma PKI (Public Key Infrastructure) a qualsiasi applicazione interattiva che richiede l'esecuzione con un livello di integrità UIAccess indipendentemente dallo stato di questa impostazione di sicurezza. Le opzioni sono:

  • Abilitato: (impostazione predefinita) Se un'applicazione si trova in un percorso sicuro nel file system, viene eseguita solo con integrità UIAccess.

  • Disabilitata: un'applicazione viene eseguita con integrità UIAccess anche se non si trova in un percorso sicuro nel file system.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato: l'applicazione viene eseguita con integrità UIAccess anche se non si trova in una posizione sicura.
1 (impostazione predefinita) Abilitato: l'applicazione viene eseguita con integrità UIAccess solo se si trova in una posizione sicura.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: solo applicazioni con accesso all'interfaccia utente e con privilegi elevati installate in percorsi sicuri
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Controllo dell'account utente: attiva Amministrazione modalità di approvazione Questa impostazione dei criteri controlla il comportamento di tutte le impostazioni dei criteri controllo dell'account utente per il computer. Se si modifica questa impostazione di criterio, è necessario riavviare il computer. Le opzioni sono:

  • Abilitato: (impostazione predefinita) Amministrazione modalità di approvazione è abilitata. Questo criterio deve essere abilitato e le impostazioni dei criteri di Controllo dell'account utente correlate devono essere impostate in modo appropriato per consentire l'esecuzione dell'account amministratore predefinito e di tutti gli altri utenti membri del gruppo Administrators in modalità di approvazione Amministrazione.

  • Disabilitato: Amministrazione modalità approvazione e tutte le impostazioni dei criteri di Controllo dell'account utente correlate sono disabilitate.

Nota

Se questa impostazione di criterio è disabilitata, il Centro sicurezza notifica che la sicurezza complessiva del sistema operativo è stata ridotta.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato.
1 (impostazione predefinita) Abilitata.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Controllo dell'account utente: passare al desktop sicuro quando viene richiesta l'elevazione Di questo criterio consente di controllare se il prompt delle richieste di elevazione dei privilegi viene visualizzato sul desktop dell'utente interattivo o sul desktop protetto. Le opzioni sono:

  • Abilitato: (impostazione predefinita) Tutte le richieste di elevazione dei privilegi vengono inviate al desktop sicuro indipendentemente dalle impostazioni dei criteri di comportamento delle richieste per amministratori e utenti standard.

  • Disabilitato: tutte le richieste di elevazione dei privilegi vengono inviate al desktop dell'utente interattivo. Vengono usate le impostazioni dei criteri di comportamento della richiesta per gli amministratori e gli utenti standard.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato.
1 (impostazione predefinita) Abilitata.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_TypeOfAdminApprovalMode

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode

Controllo account utente: configurare il tipo di modalità di approvazione Amministrazione. Questa impostazione di criterio controlla se la protezione dell'amministratore viene applicata alle elevazioni della modalità di approvazione dell'amministratore. Se si modifica questa impostazione di criterio, è necessario riavviare il computer. Questo criterio è supportato solo in Windows Desktop, non in Server. Le opzioni sono: - la modalità di approvazione Amministrazione è in esecuzione in modalità legacy (impostazione predefinita). - Amministrazione modalità di approvazione è in esecuzione con protezione amministratore.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
1 (impostazione predefinita) Modalità di approvazione Amministrazione legacy.
2 Amministrazione modalità di approvazione con protezione amministratore.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: configurare il tipo di modalità di approvazione Amministrazione
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_UseAdminApprovalMode

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

Controllo account utente: usa Amministrazione modalità di approvazione per l'account amministratore predefinito Questa impostazione dei criteri controlla il comportamento della modalità di approvazione Amministrazione per l'account amministratore predefinito. Le opzioni sono:

  • Abilitato: l'account amministratore predefinito usa la modalità di approvazione Amministrazione. Per impostazione predefinita, qualsiasi operazione che richiede l'elevazione dei privilegi richiederà all'utente di approvare l'operazione.

  • Disabilitato: (impostazione predefinita) L'account amministratore predefinito esegue tutte le applicazioni con privilegi amministrativi completi.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
1 Attiva.
0 (Predefinito) Disabilita.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: modalità Approvazione amministratore per l'account amministratore predefinito
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Controllo account utente: virtualizzare errori di scrittura di file e registro nei percorsi per utente Questa impostazione dei criteri controlla se gli errori di scrittura dell'applicazione vengono reindirizzati ai percorsi definiti del Registro di sistema e del file system. Questa impostazione di criterio riduce le applicazioni eseguite come amministratore e scrive i dati dell'applicazione in fase di esecuzione in %ProgramFiles%, %Windir%, %Windir%\system32 o HKLM\Software. Le opzioni sono:

  • Abilitato: (impostazione predefinita) Gli errori di scrittura dell'applicazione vengono reindirizzati in fase di esecuzione ai percorsi utente definiti sia per il file system che per il Registro di sistema.

  • Disabilitato: le applicazioni che scrivono dati in percorsi protetti hanno esito negativo.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato.
1 (impostazione predefinita) Abilitata.

Mapping dei criteri di gruppo:

Nome Valore
Nome Controllo dell'account utente: virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente
Percorso Impostazioni di > sicurezza di Windows Impostazioni > di sicurezza Opzioni di sicurezza dei criteri > locali

Provider del servizio di configurazione dei criteri