• Данный параметр не влияет на интерактивный вход, выполняемый непосредственно на консоли.
• Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена.
• Приложения, использующие процедуры удаленного интерактивного входа, могут обходить ограничение, устанавливаемое этим параметром.
Переименование учетной записи администратора
Определяет, следует ли сопоставить идентификатору безопасности учетной записи «Администратор» другое имя учетной записи. Всем известно, что на любом компьютере Windows 2000 Server, Windows 2000 Professional или Windows XP Professional существует учетная запись «Администратор», поэтому если ее переименовать, посторонним людям будет немного труднее угадать новую комбинацию имени и пароля такого привилегированного пользователя. По умолчанию: «Администратор».
Переименование учетной записи гостя
Определяет, следует ли сопоставить идентификатору безопасности учетной записи «Гость» другое имя учетной записи. Всем известно, что на любом компьютере Windows 2000 Server, Windows 2000 Professional или Windows XP Professional существует учетная запись «Гость», поэтому если ее переименовать, посторонним людям будет немного труднее угадать новую комбинацию имени и пароля такого пользователя. По умолчанию: «Гость».
Аудит как средство безопасности
Аудит доступа глобальных системных объектов
Определяет, следует ли проводить аудит доступа к глобальным системным объектам. Если эта политика включена, то при создании системных объектов, таких как события, семафоры и устройства DOS, для каждого из них будет создаваться стандартная системная таблица управления доступом (SACL). Если при этом также включена политика Аудит доступа к объектам, доступ к таким системным объектам подлежит аудиту. По умолчанию: отключен.
Аудит прав на архивацию и восстановление
Определяет, следует ли проводить аудит применения всех пользовательских привилегий, в том числе права «Архивация и восстановление», если включена политика «Аудит использования привилегий». Если включить этот параметр при действующей политике
«Аудит использования привилегий», для каждого архивируемого или восстанавливаемого файла будет регистрироваться событие аудита. Если включить эту политику при действующей политике «Аудит использования привилегий», каждый факт применения прав пользователя будет заноситься в журнал безопасности. Если отключить эту политику, то использование прав «Архивация и восстановление» не будет контролироваться средствами аудита, даже при включенной политике «Аудит использования привилегий». По умолчанию: отключен.
Немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности
Определяет, должна ли система завершать работу, если она не может вести журнал событий безопасности. Если эта политика включена и в журнал безопасности по какой-либо причине не удается внести запись о событии аудита, система прекращает работу. Обычно это происходит, если журнал аудита безопасности заполнен и для него задан один из двух методов сохранения записей: «Не затирать события» или «Затирать старые события по дням». Если журнал безопасности заполнен и существующую запись нельзя затереть, а данный параметр безопасности при этом включен, появится сообщение о неустранимой ошибке:
STOP: C0000244 {Неудачная попытка аудита}
Неудачная попытка выполнения аудита безопасности.
Для восстановления нормального режима работы необходимо, чтобы администратор вошел в систему, создал архивную копию журнала (необязательное действие) и установил данный параметр требуемым образом. По умолчанию: отключен.
Устройства как средства безопасности
Разрешено форматировать и извлекать съемные носители
Определяет, каким пользователям разрешается форматировать съемные носители NTFS и извлекать их из устройств. Это право может быть предоставлено группам «Администраторы», «Администраторы и опытные пользователи» и «Администраторы и интерактивные пользователи». По умолчанию: «Администраторы».
Отладка программ
Определяет, какие пользователи могут запускать программу отладки для любого процесса.
Эта привилегия обеспечивает широкие возможности доступа к особо важным компонентам операционной системы. По умолчанию:
• администраторы;
• локальная система.
Запретить пользователям установку драйверов принтера
Чтобы локальный компьютер мог выполнять печать на сетевом принтере, необходимо установить на компьютере драйвер этого принтера. Данный параметр безопасности определяет, кому при добавлении сетевого принтера разрешается устанавливать драйвер принтера. Если параметр включен, то устанавливать драйвер при добавлении сетевого принтера разрешается только группе «Администраторы и опытные пользователи». Если параметр отключен, то устанавливать драйвер при добавлении сетевого принтера может любой пользователь. Этот параметр позволяет запретить пользователям, не имеющим достаточных полномочий, загружать и устанавливать драйвер принтера, взятый из ненадежного источника. По умолчанию: включен на серверах; отключен на рабочих станциях.
• Если администратор установил путь доверительных отношений для загрузки драйверов, данный параметр утрачивает силу. Если используются доверенные пути, подсистема печати будет пытаться загрузить драйвер именно по такому пути. В случае успешной загрузки драйвер устанавливается от имени любого пользователя. Если загрузка по доверенному пути завершается неудачно, драйвер не устанавливается и сетевой принтер не добавляется.
• Если данный параметр включен, но на локальном компьютере уже имеется драйвер для сетевого принтера, пользователи все равно могут добавлять сетевой принтер.
• Этот параметр не влияет на возможность добавления сетевого принтера.
Разрешить доступ к дисководам компакт-дисков только локальным пользователям
Определяет, доступен ли компакт-диск одновременно локальным и удаленным пользователям. Если эта политика включена, она разрешает доступ к компакт-дискам только пользователям, вошедшим в систему в интерактивном режиме. Если эта политика включена и в системе нет ни одного пользователя, вошедшего в интерактивном режиме, компакт-диск будет доступен по сети. По умолчанию: отключен.
Разрешить доступ к дисководам гибких дисков только локальным пользователям Определяет, доступны ли съемные носители на гибких дисках одновременно локальным и удаленным пользователям. Если эта политика включена, она разрешает доступ к гибким дискам только пользователям, вошедшим в систему в интерактивном режиме. Если эта политика включена и в системе нет ни одного пользователя, вошедшего в интерактивном режиме, гибкий диск будет доступен по сети. По умолчанию: отключен.
Поведение при установке неподписанного драйвера
Определяет, что происходит при попытке установить драйвер устройства (с помощью API-функции Setup), не имеющий сертификата WHQL (Windows Hardware Quality Lab). Возможны следующие варианты:
• успешная установка без предупреждения;
• предупреждать, но разрешать установку;
• не разрешать установку.
По умолчанию: Предупреждать, но разрешать установку.
Контроллер домена как средство безопасности
Разрешить операторам сервера задавать выполнение заданий по расписанию
Определяет, разрешено ли группе «Операторы сервера» планировать задания с помощью команды AT. По умолчанию: не определен (система считает, что параметр отключен).
Данный параметр безопасности действует только в отношении средства планирования по команде AT, но не планировщика заданий.
Запретить изменение пароля учетных записей компьютера
Определяет, принимает ли контроллер домена запросы на изменение пароля для учетной записи компьютера. Если этот параметр включен на всех контроллерах домена, то члены этого домена не смогут менять пароли учетных записей своих компьютеров, что делает их уязвимыми для внешних атак. По умолчанию: отключен.
Член домена как средство безопасности
Всегда требуется цифровая подпись или шифрование потока данных безопасного канала Определяет, можно ли установить безопасный канал связи с контроллером домена, который не способен подписывать или шифровать весь трафик этого канала. Если этот параметр включен, то безопасный канал нельзя будет устанавливать ни с одним контроллером домена, не обеспечивающим подписывание или шифрование всех данных канала. Если параметр отключен, безопасный канал установить можно, но уровень шифрования и подписывания придется согласовывать. По умолчанию: отключен.
Следует обратить особое внимание на следующие особенности: прежде чем включать этот параметр на рядовом сервере или рабочей станции домена, необходимо убедиться, что все контроллеры этого домена могут шифровать или подписывать все данные безопасного канала. Это означает, что все такие контроллеры домена должны работать под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии. Прежде чем включать этот параметр на контроллере домена, необходимо убедиться, что все контроллеры всех доверенных доменов и доменов-доверителей могут шифровать или подписывать все данные безопасного канала. Это означает, что все такие контроллеры доменов должны работать под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии. Если эта политика включена, автоматически включается политика «Член домена: цифровая подпись данных безопасного канала, когда это возможно».