windows组策略配置文件含义

Kn1f4

2020-12-09

审核口令设置安全策略

密码必须符合复杂性要求 PasswordComplexity = 1

密码长度最小值 MinimumPasswordLength = 8

密码最长使用期限 MaximumPasswordAge = 42

密码最短使用期限 MinimumPasswordAge = 1

强制密码历史 PasswordHistorySize = 5

用可还原的加密来储存密码 ClearTextPassword = 0

复位帐户锁定计时器 ResetLockoutCount = 15

帐户锁定时间 LockoutDuration = 15

帐户锁定阈值 LockoutBadCount = 15

审核策略

0 - 不审核 1 - 审核成功 2 - 审核失败

审核策略更改：AuditPolicyChange = 3

审核登录事件：AuditLogonEvents = 3

审核对象访问：AuditObjectAccess = 3

审计过程跟踪：AuditPrivilegeUse = 0

审计目录服务访问：AuditProcessTracking = 0

审核特权使用：AuditDSAccess = 0

审核系统事件：AuditSystemEvents = 3

审核帐户登录事件：AuditAccountLogon = 3

审核帐户管理：AuditAccountManage = 3

Microsoft网络服务器

设置在挂起会话之前的所需的空闲时间 15分钟；
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect=4,15

数字签名的通信（若客户端同意）已启用；
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,1

当登录时间用完时自动注销用户已启用。
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1

Microsoft网络客户端

建议设置数字签名的通信（总是）已启用；
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,1

数字签名的通信（若服务器同意）已启用；
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1

发送未加密的密码到第三方SMB服务器已禁用；
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,0

交互式登录设置

建议设置不显示上次登录的用户名已启用；
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1

不需要按Ctrl+Alt+Del 已禁用；
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,0

在密码到期前提示用户更改密码建议最小设置 14天
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,14

智能卡移除操作锁定工作站
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScRemoveOption=1,”1″

网络访问

允许匿名SID/名称转换已禁用； LSAAnonymousNameLookup = 1
不允许SAM帐户的匿名枚举已启用； RestrictAnonymousSAM=4,1
不允许SAM帐户和共享的匿名枚举已启用； RestrictAnonymous=4,1
不允许为网络身份验证储存凭证或.net passports 已启用； MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,1
让每个人（Everyone）权限应用于匿名用户已禁用； MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0
限制匿名访问命名管道和共享已启用； MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess=4,1
本地帐户的共享和安全模式经典； MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0
可匿名访问的命名管道无； MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes=7,
可远程访问的注册表路径 MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine=7,System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion

网络安全

不要在下次更改密码时存储LAN manager的哈希值已启用；
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1

LAN manager身份验证级别仅发送 NTLMv2响应\拒绝 LM；
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4

LDAP客户端签名要求协商签名；
MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity=4,1

基于NTLM SSP（包括安全RPC）服务器的最小会话安全 Require Message Integrity, Message Confidentiality,NTLMv2 Session Security, 128-bit Encryption ；
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,537395248

基于NTLM SSP（包括安全RPC）客户端的最小会话安全为Require Message Integrity, Message Confidentiality,NTLMv2 Session Security, 128-bit Encryption
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,537395248

故障恢复控制台

允许系统自动管理级登录已禁用。
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel=4,0

关机

清除虚拟内存页面文件已启用；
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,1

允许系统在未登录前关机已禁用。
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,0

系统加密

存储在计算机上的用户密钥强制使用强密钥保护用户每次使用密钥时必须键入密码。
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon=4,1
MACHINE\Software\Policies\Microsoft\Cryptography\ForceKeyProtection=4,2

系统对象

由管理员（administrators）组成员所创建的对象的默认所有者对象创建者；
MACHINE\System\CurrentControlSet\Control\Lsa\NoDefaultAdminOwner=4,1

增强内部系统对象的默认权限已启用。
MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1

帐户

来宾帐户状态已禁用； EnableGuestAccount = 0

使用空白密码的本地帐户只允许进行控制台登录已启用；
MACHINE\System\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse=4,1

重命名系统管理员帐户不要使用administrator；
NewAdministratorName = “Administrator”

设备设置

允许格式化与弹出可移动媒体 administrators；
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD=1,”0″

防止用户安装打印机驱动程序已启用
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1

未签名驱动程序的安装操作允许安装但发出警告。
MACHINE\Software\Microsoft\Driver Signing\Policy=3,1

域成员

对安全通道数据进行数字加密或签名（总是）已启用；
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1

对安全通道数据进行数字签名（如果可能）已启用；
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1

禁用更改机器帐户密码已禁用；
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,0

最长机器帐户密码寿命 30天；
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge=4,30

需要强会话密钥已启用。
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,1

参考链接