Configure security policy settings
Applies to
Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.
You must have Administrators rights on the local device, or you must have the appropriate permissions to update a Group Policy Object (GPO) on the domain controller to perform these procedures.
When a local setting is inaccessible, it indicates that a GPO currently controls that setting.
To configure a setting using the Local Security Policy console
To open Local Security Policy, on the Start screen, type secpol.msc, and then press ENTER.
Under Security Settings of the console tree, do one of the following:
- Click Account Policies to edit the Password Policy or Account Lockout Policy.
- Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.
When you find the policy setting in the details pane, double-click the security policy that you want to modify.
Modify the security policy setting, and then click OK.
- Some security policy settings require that the device be restarted before the setting takes effect.
- Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
To configure a security policy setting using the Local Group Policy Editor console
You must have the appropriate permissions to install and use the Microsoft Management Console (MMC), and to update a Group Policy Object (GPO) on the domain controller to perform these procedures.
Open the Local Group Policy Editor (gpedit.msc).
In the console tree, click Computer Configuration, click Windows Settings, and then click Security Settings.
Do one of the following:
- Click Account Policies to edit the Password Policy or Account Lockout Policy.
- Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.
In the details pane, double-click the security policy setting that you want to modify.
В If this security policy has not yet been defined, select the Define these policy settings check box.
Modify the security policy setting, and then click OK.
If you want to configure security settings for many devices on your network, you can use the Group Policy Management Console.
To configure a setting for a domain controller
The following procedure describes how to configure a security policy setting for only a domain controller (from the domain controller).
To open the domain controller security policy, in the console tree, locate GroupPolicyObject [ComputerName] Policy, click Computer Configuration, click Windows Settings, and then click Security Settings.
Do one of the following:
- Double-click Account Policies to edit the Password Policy, Account Lockout Policy, or Kerberos Policy.
- Click Local Policies to edit the Audit Policy, a User Rights Assignment, or Security Options.
In the details pane, double-click the security policy that you want to modify.
В If this security policy has not yet been defined, select the Define these policy settings check box.
Modify the security policy setting, and then click OK.
- Always test a newly created policy in a test organizational unit before you apply it to your network.
- When you change a security setting through a GPO and click OK, that setting will take effect the next time you refresh the settings.
Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав User Account Control: Switch to the secure desktop when prompting for elevation
Область применения Applies to
В этой статье описаны рекомендации, расположение, значения, правила управления политиками и безопасности для контроля учетных записей. Переключение на безопасный рабочий стол при запросе параметра политики безопасности повышенных прав . Describes the best practices, location, values, policy management and security considerations for the User Account Control: Switch to the secure desktop when prompting for elevation security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, запрашивается ли запрос на повышение прав на рабочем столе пользователя или на безопасном рабочем столе. This policy setting determines whether the elevation request prompts on the interactive user desktop or on the secure desktop.
Безопасный Настольный компьютер представляет пользовательский интерфейс входа в систему и ограничивает функциональность и доступ к системе до тех пор, пока не будут удовлетворены требования к входу. The secure desktop presents the logon UI and restricts functionality and access to the system until the logon requirements are satisfied.
Основное отличие в классическом рабочем столе пользователей состоит в том, что только доверенные процессы, запущенные в качестве системы, разрешено использовать здесь (то есть, не выполняется ни один из них на уровне прав пользователя). The secure desktop’s primary difference from the user desktop is that only trusted processes running as SYSTEM are allowed to run here (that is, nothing is running at the user’s privilege level). Путь к безопасному рабочему столу на рабочем столе пользователя также должен быть надежным по всей цепи. The path to get to the secure desktop from the user desktop must also be trusted through the entire chain.
Возможные значения Possible values
Enabled Enabled
Все запросы на повышение прав по умолчанию переходят на безопасный рабочий стол. All elevation requests by default go to the secure desktop.
Отключено Disabled
Все запросы на повышение прав выводятся на интерактивный рабочий стол пользователя. All elevation requests go to the interactive user desktop.
Рекомендации Best practices
- Включите контроль учетных записей пользователей: переключение на безопасный рабочий стол при запросе параметра повышения прав. Enable the User Account Control: Switch to the secure desktop when prompting for elevation setting. Безопасный рабочий стол помогает защититься от подмены ввода и вывода путем отображения диалогового окна учетных данных в защищенном разделе памяти, доступного только в доверенных системных процессах. The secure desktop helps protect against input and output spoofing by presenting the credentials dialog box in a protected section of memory that is accessible only by trusted system processes.
Location Location
Параметры компьютера Configuration\Windows Settings\Security Settings\Local Policies\Security Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Значения по умолчанию Default values
В приведенной ниже таблице перечислены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Не определено Not defined |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Enabled Enabled |
| Параметры по умолчанию, действующие на контроллере домена DC Effective Default Settings | Enabled Enabled |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Enabled Enabled |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Enabled Enabled |
Управление политикой Policy management
В этом разделе описаны возможности и инструменты, которые можно использовать для управления политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики вступают в силу без перезапуска устройства, когда они хранятся на локальном компьютере или распределены с помощью групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.
Групповая политика Group Policy
Все возможности аудита интегрированы в групповую политику. All auditing capabilities are integrated in Group Policy. Вы можете настраивать, развертывать эти параметры и управлять ими с помощью консоли управления групповыми политиками (GPMC) или локальной политики безопасности для домена, сайта или подразделения (OU). You can configure, deploy, and manage these settings in the Group Policy Management Console (GPMC) or Local Security Policy snap-in for a domain, site, or organizational unit (OU).
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Диалоговые окна с запросом на повышение прав могут быть подменены, что приводит к тому, что пользователи смогут раскрывать свои пароли с вредоносными программами. Elevation prompt dialog boxes can be spoofed, causing users to disclose their passwords to malicious software. Курсоры мыши можно подменить, скрывая реальный курсор и заменяя его смещением, чтобы курсор на самом деле указывал на кнопку » Разрешить «. Mouse cursors can be spoofed by hiding the real cursor and replacing it with an offset so the cursor is actually pointing to the Allow button.
Противодействие Countermeasure
Включите контроль учетных записей пользователей: переключение на безопасный рабочий стол при запросе параметра повышения прав. Enable the User Account Control: Switch to the secure desktop when prompting for elevation setting. Безопасный рабочий стол помогает защититься от подмены ввода и вывода путем отображения диалогового окна учетных данных в защищенном разделе памяти, доступного только в доверенных системных процессах. The secure desktop helps protect against input and output spoofing by presenting the credentials dialog box in a protected section of memory that is accessible only by trusted system processes.
Возможное влияние Potential impact
Нет. None. Это конфигурация по умолчанию. This is the default configuration.
How to Configure Security Policy Settings
Applies To: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
This procedural topic for the IT professional describes steps to configure a security policy setting on the local computer, on a domain-joined computer, and on a domain controller.
This topic pertains to the versions of Windows designated in the Applies To list above. Some of the user interface elements that are described in this topic might differ from version to version.
You must have Administrators rights on the local computer, or you must have the appropriate permissions to update a Group Policy Object (GPO) on the domain controller to perform these procedures.
When a local setting is inaccessible, it indicates that a GPO currently controls that setting.
In this topic
To configure a setting for your local computer
To open Local Security Policy, on the Start screen, type, secpol.msc.
Navigate the console tree to Local Computer Policy\Windows Settings\Security Settings
Under Security Settings of the console tree, do one of the following:
Click Account Policies to edit the Password Policy or Account Lockout Policy.
Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.
When you find the policy setting in the details pane, double-click the security policy that you want to modify.
Modify the security policy setting, and then click OK.
Some security policy settings require that the computer be restarted before the setting takes effect. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
To configure a setting for computer that is joined to a domain
The following procedure describes how to configure a security policy setting for a Group Policy Object when you are on a workstation or server that is joined to a domain.
You must have the appropriate permissions to install and use the Microsoft Management Console (MMC), and to update a Group Policy Object (GPO) on the domain controller to perform these procedures.
To open the MMC and add the Group Policy Object Editor, on the Start screen, typeВ mmc.msc.
On the File menu of the MMC, click Add/Remove snap-in, and then click Add.
In Add Standalone Snap-in, double-click Group Policy Object Editor.
In Select Group Policy Object, click Browse, browse to the GPO you would like to modify, and then click Finish.
Click Close, and then click OK.
This procedure added the snap-in to the MMC.
In the console tree, locate GroupPolicyObject [ComputerName] Policy, click Computer Configuration, click Windows Settings, and then click Security Settings.
Do one of the following:
Click Account Policies to edit the Password Policy or Account Lockout Policy.
Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.
Click Event Log to edit event log settings.
In the details pane, double-click the security policy setting that you want to modify.
If this security policy has not yet been defined, select the Define these policy settings check box.
Modify the security policy setting and then click OK.
To configure a setting for a domain controller
The following procedure describes how to configure a security policy setting for only a domain controller (from the domain controller).
To open the domain controller security policy, in the console tree, locate GroupPolicyObject [ComputerName] Policy, click Computer Configuration, click Windows Settings, and then click Security Settings.
Do one of the following:
Double-click Account Policies to edit the Password Policy, Account Lockout Policy, or Kerberos Policy.
Click Local Policies to edit the Audit Policy, a User Rights Assignment, or Security Options.
Click Event Log to edit event log settings.
In the details pane, double-click the security policy that you want to modify.
If this security policy has not yet been defined, select the Define these policy settings check box.
Modify the security policy setting, and then click OK.
Always test a newly created policy in a test organizational unit before you apply it to your network. When you change a security setting through a GPO and click OK , that setting will take effect the next time you refresh the settings.