.

KGRKJGETMRETU895U-589TY5MIGM5JGB5SDFESFREWTGR54TY

Server : Apache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.2.12
System : Windows NT SERVER-PC 10.0 build 26200 (Windows 11) AMD64
User : ServerPC ( 0)
PHP Version : 8.2.12
Disable Function : NONE
Directory : C:/Windows/System32/nb-NO/

Upload File :

Current File : C:/Windows/System32/nb-NO/wsecedit.dll.mui

MZ����@��� �!�L�!This program cannot be run in DOS mode.

$A[=�:S�:S�:S�|���:S�|�Q�:S�Rich:S�PELь5T�!&

@��@ �8.rdata�@@.rsrc� @@ь5T
lPPь5T$����8.rdata8.rdata$voltmdP�.rdata$zzzdbg �,.rsrc$01�L�.rsrc$02 x����fAT�z�N*1�v ��y[��?Aь5T��0�H�h�����Bj��k�� ��8��P��h����������������������(��@��X��p���������������������0��H��`��x������������������� ��8��P��h�������������������� ��( ��@ ��X ��p ��� ��� ��� ��� �� �
�
�0
�H
�`
�x
��
��
� �
�
�
���
����I �8�P�h��������� ��
���
(�@�X�p�����������
�
�0
�H
�`
�x
��
��
�#�
�,�
�-�
�/�0 �18�wP�xh�y��z��{��|��}��~����(��@��X��p��������������0�H�`� x�*��0��1��h��i��j�k �l8�mP�nh�o��p��q��r��s���� 0@P`p�������� 0@P`p�������� 0@P`p�������� 0@P`p�������� 0@P`p�������� 0@P`p�������� 0@P`p�������� 0@P`p�������� 0@P`p�������:���;��D>��$A��D �<H$�`Kx��N��P���Rv��T���W2�Z���[��\ ��`�d��h���l��`o��(s�,x���{���~��d�"��������؅��l�$���`��f�X�"�|�����������T�����������������T��\��l������H���ب������`�������������H�p�����x�X�оh�8����������X�����������`��������������r� �������������������������|����|���$��������\��� ������t��(<�d�����"����(�!���&*��,��Af�HGz��H��hI�hL�lMV��M"��P��Q �rH�X�Jj��[�I�|�\G���@w�dƓ���x��pj���p��JDr���y��6p����
���.�����d��������
�p����^�p�� �P�����������h�b��������j���������z��#���(���-b�1���6b�8��MUI���\[�?D�����Q�lK���`u�_;��`iW����MUInb-NO���Ȁ��Mal for sikkerhetspolicyinnstillingMS Shell DlgP����������P(�����Konfigurer liste over tildeling av rettigheter$P#�
0���&Definer disse policyinnstillingene i malen: �P2�g���P�d����&Legg til bruker eller gruppe...Po�2����&Fjern@ ��)YSysLink@�������PA���Ȁ��Konfigurer medlemskap for <gruppe>MS Shell DlgP��������Medlemmer av denne gruppen: �P�F"����@�F����PZN$���&Legg til medlemmer...P\ZA%���&FjernPp�����Denne gruppen er medlem av: �Pz�F ����@z�F����P�N����L&egg til grupper...P\�A����Fje&rn@0���@�������Ȁ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Gi nytt navn til administratorkonto$PF�
0���&Definer denne policyen i databasen:��PP�����Px�r���Denne innstillingen gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P$�}���Datamaskininnstilling:��P.��������Ȁ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Rediger numerisk attributt$PZ�
0���&Definer denne policyen i databasen:Pi�L���&L�s konto etter:� �Ps-����4P8s
�msctls_updown32Spin1PEv�����mislykkede fors�kP��r���Denne innstillingen gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P)�}���Datamaskininnstilling P8�K���L�s konto etter:��PB�����P������Static���Ȁ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Sikre systemobjekter PK�
0���D&efiner denne policyen i databasen: $PZ�
����&Aktivert $Pi�
����&DeaktivertP��r���Denne innstillingen gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P)�}���Datamaskininnstilling:��P3��������Ȁ ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Overv�k filtilgang$PK�
0���&Definer denne policyen i databasen:PZ�t���Overv�k disse fors�kene:$Pi�
����&Vellykkede$Px�
����&MislykkedeP��r���Disse innstillingene gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P)�}���Datamaskininnstilling:��P3�-������Ȑ�_MS Shell DlgP-J2���OKPcJ2���AvbrytP�J2���BrukP�>������� P
�
����Godta gjeldende sikkerhetsinnstillinger P
$�
����Endre til anbefalte innstillingerP�
2���&Vis...P�!2���Vis/&rediger...PA���Ȁ�Velg registern�kkelMS Shell DlgP`���&Register:�Px&SysTreeView32Tree1P�p���&Valgt n�kkel:��P�S���P��2���OKP��2���Avbryt���Ȁ��Mal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Overv�k filtilgang$P)�
0���&Definer disse policyinnstillingene i malenP8� t���Overv�k disse fors�kene:$PG�
���&Vellykkede$PV�
���&Mislykkede@#x�)YSysLink@
x������PA���Ȁ
��Mal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Rediger numerisk attributt$P$� 0���&Definer denne policyinnstillingen i malenP3�<���&L�s konto etter:� �P=-���4P7=�msctls_updown32Spin2PE@�����mislykkede fors�kPP�
����Static@ Z�(YSysLink@\������PA���Ȁ��Mal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Aktiver/deaktiver attributt$P#�
0���&Definer denne policyinnstillingen i malen $P2�
����&Aktivert $PA�
����D&eaktivert@ Q�)YSysLink@ Q������PA���Ȁ�jMal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Gi nytt navn til administratorkonto$P)�
0���&Definer denne policyinnstillingen i malen��P3�������Ȑ�Lagre sikkerhetsmalerMS Shell DlgP�a���&Velg lagring av: �P�x'���P��2���JaP��2���NeiPA���Ȁ ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Oppbevaringsmetode for sikkerhetslogg$PF�
0���D&efiner denne policyen i databasen: $PU�
.���Skriv over hendelser etter &dager $Pd�
4���Skriv over hendelser etter &behov $Ps�5���&Ikke skriv over hendelser (t�m logg manuelt)P��r���Denne innstillingen gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P$�}���Datamaskininnstilling:��P.�-������Ȁ��Mal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Oppbevaringsmetode for sikkerhetslogg$P)�
0���D&efiner denne policyinnstillingen i malen P8�
.���Skriv over hendelser etter &dager PG�
4���&Skriv over hendelser etter behov $PV�
5���&Ikke skriv over hendelser (t�m logg manuelt)@ d�(YSysLink@f������PA���Ȁ �Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Koble til denne datamaskinen fra nettverk$P)� 0���D&efiner denne policyen i databasen:P?Sc���Til&ordnet tilPx62d���Database-
innstillingP�?He���Datamaskininnstilling�PJ�Z1CHECKLIST_SCECheckListP��r���Disse innstillingene gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P�d����&Legg til bruker eller gruppe...���Ȁ
��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����MappereplikatorP �}���Datamaskininnstilling:P/�f���Oppstartsmodus for tjeneste:��P9�����P�MP4���&Vis sikkerhet...$Pe�
0���D&efiner denne policyen i databasen:Pt�/���Velg oppstartsmodus for tjeneste: $P��
����&Automatisk P��
����&Manuell P��
����&DeaktivertP�P3���&Rediger sikkerhet...P��r���Denne innstillingen gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.���Ȁ��Mal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Lokal diskbehandling$P)�
0���De&finer denne policyinnstillingen i malenP8�/���Velg oppstartsmodus for tjeneste: $PG�
����&Automatisk $PV�
����&Manuell $Pe�
����&DeaktivertPyP3���&Rediger sikkerhet...PA���Ȁ��Mal for sikkerhetspolicyinnstillingMS Shell DlgP�����������P'����� $P$�
~���&Konfigurer denne filen eller mappen, og deretter: $Pg����&Ikke tillat erstatning av tillatelser for denne filen eller mappen $P8�����&Overf�r arvbare tillatelser til alle undermapper og filer $PM�3���&Erstatt eksisterende tillatelser for alle undermapper og filer med arvbare tillatelserP�P7���&Rediger sikkerhet...$@0������Ȁ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����MappereplikatorPR��^���$P
R�
0���&Definer denne policyen i databasen: $Pa�
~���&Konfigurer denne filen eller mappen, og deretter: $P�����&Ikke tillat erstatning av tillatelser for denne filen eller mappen $P&p�����&Overf�r arvbare tillatelser til alle undermapper og filer $P&��3���&Erstatt eksisterende tillatelser for alle undermapper og filer med arvbare tillatelserP�P9���&Rediger sikkerhet...P$�}���Datamaskininnstilling:��P.�;���P�B<:���&Vis sikkerhet...PA������Analyserer systemsikkerhetMS Shell DlgP�T���Analyserer:@B�����g@LJ���Kontopolicyer@*C�����g@)KK���Lokale policyer@?D�����g@>KL���Begrensede grupper@TE�����g@SMM���Register@cF�����g@mdN���Filsystemer@c*G�����g@m)jO���Systemtjenester@c?H�����f@m>kP���Katalogtjenesteobjekter�Pj�Amsctls_progress32Progress1PA���Ȁ�zMS Shell DlgPe_���OKP,�0����Konfigurasjon og analyse av sikkerhet er et administrativt verkt�y for sikring av datamaskinen og analysering av sikkerhetsaspekter. Du kan opprette eller redigere en sikkerhetsmal, bruke malen, utf�re analyser basert p� en mal og vise analyseresultater.P�����Konfigurasjon og analyse av sikkerhet
v1.0
PA���Ȁ�NKonfigurer systemMS Shell Dlg��P�O���P�2P���Bl&a gjennom...P
'�R���P�2���&Bane til loggfil for feil:P�92���OKP�92���Avbryt��@P��MS Shell DlgPX<���&Medlemmer av gruppenPcDg���DatabaseinnstillingP�9e���Maskininnstilling�P�f"CHECKLIST_SCECheckList�@�f����P�2����&Legg til... P��q���&Definer denne gruppen i databasen:PA���Ȁ�NUtf�r analyseMS Shell DlgP�����&Bane til loggfil for feil:��P�O���P�2P���Bl&a gjennom...P)�R���P�92���OKP�92���Avbryt���Ȁ�OImporter malMS Shell Dlg��P�O���P�2P���Bl&a gjennom...P�1h���Bane til loggfil for feilP%�
N���&Skriv over eksisterende mal i databaseP�:2���OKP�:2���Avbryt��@D�MS Shell DlgP�N���T�m &databasen f�r importPA���Ȁ�aBeskrivelse av sikkerhetsmalMS Shell DlgP�i���B&eskrivelse:D�P�0����P�L2���OKP�L2���Avbryt���Ȁ��Ny sikkerhetsmalMS Shell DlgP��������&Malnavn:��P�U���P*��������&Beskrivelse:D�P4�0����P�p2���OKP�p2���Avbryt���Ȁ��Lokal sikkerhetsinnstillingMS Shell DlgP����������P'�����Overv�k filtilgang$@)�
0���&Definer disse policyinnstillingene i malenP8� t���Overv�k disse fors�kene:$PG�
���&Vellykkede$PV�
���&Mislykkede@#x�)YSysLink@
x������PA���Ȁ��Lokal sikkerhetsinnstillingMS Shell DlgP����������P&�����Aktiver/deaktiver attributt$@#�
0���Definer denne policyinnstillingen i &malen $P2�
����&Aktivert $PA�
����&Deaktivert@ Q�)YSysLink@ Q������PA���Ȁ�wLokal sikkerhetsinnstillingMS Shell DlgP����������P'�����Rediger numerisk attributt$@)� 0���&Definer denne policyinnstillingen i malenP8�<���&L�s konto etter:� �PB-���4P7B�msctls_updown32Spin2PEE�����mislykkede fors�kPU�����Static���Ȁ��Lokal sikkerhetsinnstillingMS Shell DlgP����������P'�����Oppbevaringsmetode for sikkerhetslogg$@)�
0���Definer denne policyinnstillingen i &malen P8�
.���Skriv over hendelser etter &dager PG�
4���Skriv over hendelser etter &behov $PV�
5���&Ikke skriv over hendelser (t�m logg manuelt)PA���Ȁ�jLokal sikkerhetsinnstillingMS Shell DlgP����������P'�����Gi nytt navn til administratorkonto$@)�
0���&Definer denne policyinnstillingen i malen��P3�������Ȁ��Lokal sikkerhetsinnstillingMS Shell DlgP����������P(�����Konfigurer liste over tildeling av rettigheter$@#�
0���&Definer disse policyinnstillingene i malen: �P8�g���P�d����&Legg til bruker eller gruppe...Po�2����&Fjern@ ��)YSysLink@�������PA�����gBekreft endring av innstillingMS Shell DlgPZR2���&JaP�R2���&NeiP"�EYSysLink
P�������Ȁ�rLokal sikkerhetsinnstillingMS Shell DlgP����������P&�����Navn p� dialogboks$@)�
0���&Definer denne policyinnstillingen i malen!P3�=W���@ G�(YSysLink@I������PA���Ȁ�rMal for sikkerhetspolicyinnstillingMS Shell DlgP����������P&�����Navn p� dialogboks$P)�
0���&Definer denne policyinnstillingen i malen!P3�=W���@ G�(YSysLink@I������PA���Ȁ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Dialogboks$PF�
0���&Definer denne policyen i databasen:!PP�PW���Pt�r���Denne innstillingen gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P$�}���Datamaskininnstilling:��P.��������ȀW�Foresl�tte verdiendringerMS Shell DlgP5Y���Fordi verdien av %s n� er %s, vil innstillingen for f�lgende elementer bli endret til de foresl�tte verdiene.�P$FPXSysListView32List1P�|2���OKP|2���&AvbrytPA���Ȁ��Innstilling for sikkerhetspolicyMS Shell DlgP����������P&�����Overv�k filtilgang$P)�
0���&Definer disse policyinnstillingeneP8� t���Overv�k disse fors�kene:$PG�
���&Vellykkede$PV�
���&MislykkedePA���Ȁ��Innstilling for sikkerhetspolicyMS Shell DlgP����������P'�����Aktiver/deaktiver attributt$P#�
0���D&efiner denne policyinnstillingen: $P2�
����&Aktivert $PA�
����&Deaktivert@ Q�)YSysLink@ Q������PA�������Konfigurer medlemskap for <gruppe>MS Shell DlgP��������&Medlemmer av denne gruppen: �P�H"����@�H����P�2$���&Legg til...P�#2%���&FjernPh�����&Denne gruppen er medlem av: �Pr�H ����@r�H����P�r2����L&egg til...P��2����Fjer&n@0���@�������Ȁ�jInnstilling for sikkerhetspolicyMS Shell DlgP����������P&�����Gi nytt navn til administratorkonto$P)�
0���&Definer denne policyinnstillingen��P3�������Ȁ
��Innstilling for sikkerhetspolicyMS Shell DlgP����������P'�����Rediger numerisk attributt$P$� 0���&Definer denne policyinnstillingenP3�<���&L�s konto etter:� �P=-���4P7=�msctls_updown32Spin2PE@�����mislykkede fors�kPP�
����Static@ Z�(YSysLink@ \������PA���Ȁ��Innstilling for sikkerhetspolicyMS Shell DlgP�����������P'����� $P$�
~���&Konfigurer denne filen eller mappen, og deretter: $Pg����&Ikke tillat erstatning av tillatelser for denne filen eller mappen $P8�����&Overf�r arvbare tillatelser til alle undermapper og filer $PM�3���&Erstatt eksisterende tillatelser for alle undermapper og filer med arvbare tillatelserP�P7���&Rediger sikkerhet...$@0������Ȁ��Innstilling for sikkerhetspolicyMS Shell DlgP����������P(�����Konfigurer liste over tildeling av rettigheter$P#�
0���&Definer disse policyinnstillingene: �P2�g���P�d����&Legg til bruker eller gruppe...Po�2����&Fjern@ ��)YSysLink@�������PA���Ȁ�rInnstilling for sikkerhetspolicyMS Shell DlgP����������P'�����Navn p� dialogboks$P)�
0���&Definer denne policyinnstillingen!P3�=W���@ G�(YSysLink@ I������PA���Ȁ��Innstilling for sikkerhetspolicyMS Shell DlgP����������P'�����Oppbevaringsmetode for sikkerhetslogg$P)�
0���D&efiner denne policyinnstillingen P8�
.���Skriv over hendelser etter &dager PG�
4���Skriv over hendelser etter &behov $PV�
5���&Ikke skriv over hendelser (t�m logg manuelt)@ d�(YSysLink@ f������PA���Ȁ��Innstilling for sikkerhetspolicyMS Shell DlgP����������P'�����Lokal diskbehandling$P)�
0���D&efiner denne policyinnstillingenP8�/���Velg oppstartsmodus for tjeneste: $PG�
����&Automatisk $PV�
����&Manuelt $Pe�
����&DeaktivertPyP3���&Rediger sikkerhet...PA���Ȁ��Mal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Multi SZ$P)�
0���&Definer denne policyinnstillingen i malen��P3�@������Ȁ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Multi SZ$PF�
0���&Definer denne policyen i databasen:��PP�9����P��r���Denne innstillingen gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P$�}���Datamaskininnstilling:��P.��������Ȁ��Lokal policyinnstillingMS Shell DlgP����������P'�����Multi SZ$@)�
0���&Definer denne policyinnstillingen i malen��P3�@������Ȁ��Innstilling for sikkerhetspolicyMS Shell DlgP����������P'�����Multi SZ$P)�
0���&Definer denne policyinnstillingen i malen��P3�@������Ȁ��Mal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Overv�k filtilgang$P)�
0���&Definer disse policyinnstillingene i malenP3�6�CHECKLIST_SCE���Ȁ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����Overv�k filtilgang$PK�
0���&Definer denne policyen i databasen:P��r���Disse innstillingene gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P)�}���Datamaskininnstilling:��P3�����PV�6�CHECKLIST_SCE���Ȁ��Lokal sikkerhetsinnstillingMS Shell DlgP����������P'�����Overv�k filtilgang$@)�
0���&Definer disse policyinnstillingene i malenP3�6�CHECKLIST_SCE���Ȁ��Innstilling for sikkerhetspolicyMS Shell DlgP����������P'�����Overv�k filtilgang$P)�
0���&Definer disse policyinnstillingeneP3�6�CHECKLIST_SCE���Ȁ
��Legg til objektMS Shell DlgP�����������P'����� $P$�
~���&Konfigurer denne filen eller mappen, og deretter: $Pg����&Ikke tillat erstatning av tillatelser for denne filen eller mappen $P8�����&Overf�r arvbare tillatelser til alle undermapper og filer $PM�3���&Erstatt eksisterende tillatelser for alle undermapper og filer med arvbare tillatelserP�P7���&Rediger sikkerhet...P��2���OKP��2���Avbryt$@0�����@�H��PrioritetMS Shell DlgP������P%�P�SysListView32Py������GPOer lenger oppe p� listen har h�yest prioritet.P�����P!��,����Pw�'�������Ȁ�wMal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����$P)�
0���&Definer denne policyinnstillingen i malenP8��������Policyinnstillingen vil ikke fremtvinges hvis sikkerhetsbeskrivelsen er tom etter policyinnstillingen har blitt definert i malen.PU��������&Sikkerhetsbeskrivelse:��P^�����P�]FW���&Rediger sikkerhet...PA���Ȁ�wMal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����$@)�
0���&Definer denne policyinnstillingen i malenP8��������Policyinnstillingen vil ikke fremtvinges hvis sikkerhetsbeskrivelsen er tom etter policyinnstillingen har blitt definert i malen.PU��������&Sikkerhetsbeskrivelse:��P^�����P�]FW���&Rediger sikkerhet...PA���Ȁ�wMal for sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����$P)�
0���&Definer denne policyinnstillingenP8��������Policyinnstillingen vil ikke fremtvinges hvis sikkerhetsbeskrivelsen er tom etter policyinnstillingen har blitt definert i malen.PU��������&Sikkerhetsbeskrivelse:��P^�����P�]FW���&Rediger sikkerhet...PA���Ȁ��Analysert sikkerhetspolicyinnstillingMS Shell DlgP����������P'�����$PF�
0���&Definer denne policyen i databasen:��PR�����P�QFW���&Rediger sikkerhet...Px�r���Denne innstillingen gjelder bare for databasen. Gjeldende datamaskininnstillinger vil ikke bli endret.P$�}���Datamaskininnstilling:��P.��������Ȁ�ForklaringMS Shell Dlg�P�������P�����SysLinkSe <A>Microsofts webomr�de</A> for mer informasjon om sikkerhetspolicyer og relaterte Windows-funksjoner.PA���Ȑ
|�Konfigurasjon av policyer for sentral tilgangMS Shell DlgC �P�������P�H2�����Legg t&il >S �P��������P�\2�����< &FjernD�P�n�����P��������Tilgjengelige policyer for sentral tilgang:P���������Gjeldende policyer for sentral tilgang:P�d�������Beskrivelse:P�2���OKPC�2���AvbrytKlasse for WSecEdit-utvidelseNavnBeskrivelsePolicyDatabaseinnstillingDatamaskininnstilling
SikkerhetsmalMalerForrige konfigurasjon/analyseISikkerhetsmaler definert for � konfigurere eller analysere en datamaskin.Forrige konfigurasjon/analyseSikkerhetspolicyTilordning av brukerrettigheterBegrensede grupperSystemtjenesterPARegister FilsystemTilordning av brukerrettigheterBegrensede grupper Innstillinger for systemtjeneste#Innstillinger for registersikkerhet$Innstillinger for filsystemsikkerhetSikkerhetsmaler
(ikke lagret)Sikkerhetsinnstillinger+Klasse for WSecEdit-sikkerhetskonfigurasjon(Klasse for WSecEdit-sikkerhetsbehandling$Er du sikker p� at du vil slette %s?$Vil du slette alle valgte elementer?r&Analyser datamaskin n�...
Sammenligner gjeldende datamaskininnstillinger mot sikkerhetsinnstillingene i databasenPAAEksporter &mal...
Eksporterer hovedmalen for gjeldende datamaskin9&Legg til filer...
Legger til nye filer til i denne malenmNy s�ke&bane for mal...
Legger til en plassering for mals�kebanen for Sikkerhetsmaler (INI- eller INF-format)Ny &mal...
Oppretter en ny mal2&Fjern bane
Fjerner den valgte banen fra s�kebanenK&Oppdater
Oppdaterer denne plasseringen for visning av nylig tillagte malerUKonfig&urer datamaskin n�...
Konfigurerer datamaskinen i samsvar med den valgte malenKan ikke importere mal fra %s+Lagr&e som...
Lagrer malen med et nytt navn?&Kopier
Kopierer den valgte malinformasjonen til utklippstavlen3&Lim inn
Limer inn utklippstavleinformasjon i malen Kilde-GPO&Oppdater
Oppdaterer dataPA3Det kreves sikkerhet for � legge til dette objektet"Kan ikke importere sikkerhetsmalen
PassordpolicyMaksimal passordalder
dagerMinimal passordalder
dagerMinimal passordlengde
tegn%Fremtving passordlogg
lagrede passordPassord m� oppfylle kravene(Bruker m� logge p� for � endre passordetPolicy for l�sing av konto:Terskelverdi for l�sing av konto
ugyldige p�loggingsfors�k6Tilbakestill teller for l�sing av konto etter
minutter%Varighet for l�sing av konto
minutterVil du slette denne malen?Databasen er ikke lastet inn.CNettverkssikkerhet: Fremtving avlogging n�r p�loggingstiden utl�per,Kontoer: Gi nytt navn til administratorkonto%Kontoer: Gi nytt navn til gjestekontoVLast inn p� nytt
Laster inn de lokale og gjeldende policytabellene fra policydatabasen
Gruppenavn
Hendelseslogg(Maksimal loggst�rrelse for systemlogg
kB!Oppbevaringsmetode for systemloggOppbevar systemlogg i
dager,Maksimal loggst�rrelse for sikkerhetslogg
kB%Oppbevaringsmetode for sikkerhetsloggOppbevar sikkerhetslogg i
dager)Maksimal loggst�rrelse for programlogg
kB"Oppbevaringsmetode for programloggOppbevar programlogg i
dagerPA;Sl� av datamaskinen n�r sikkerhetsoverv�kingsloggen er fullOverv�kingspolicyHendelsesoverv�kingsmodusOverv�k systemhendelserOverv�k p�loggingshendelserOverv�k objekttilgangOverv�k bruk av privilegierOverv�k policyendringerOverv�k kontobehandlingOverv�k prosessporingSikkerhetsalternativer
Ikke definertKan ikke legge til medlemmerPAKan ikke vise sikkerhetKan ikke legge til brukereKan ikke legge til mappeobjektKan ikke legge til mappe -- MedlemmerlDette filnavnet inneholder noen tegn som ikke kjennes igjen av gjeldende systemspr�k. Gi filen et nytt navn.
Tillatelse
Overv�kingKan ikke legge til fil.Ugyldig malnavn.$Feil ved eksportering av lagret mal.!Kan ikke legge til registern�kkelAlle tillatelserEndre
Lese og kj�reVise mappeinnholdLeseSkriveTraversere mappe / kj�re filSletteIngenAlle tillatelserLeseSkriveSp�rre etter verdi
Angi verdiOpprette undern�kkelListe opp undern�klerVarsleOpprette koblingKj�reKan ikke opprette tr�d(F�lgende kontoer kan ikke valideres: %1
LoggfilnavnUtf�r sikkerhetsanalysePA"Innstillinger for sikkerhetspolicy*Konfigurasjon og analyse av sikkerhet
v1.0Konfigurasjon og analyse av sikkerhet er et administrativt verkt�y som brukes til � sikre en datamaskin og analysere sikkerhetsaspekter. Du kan opprette eller redigere en sikkerhetsmal, bruke sikkerhetsmalen, utf�re malbaserte analyser og vise analyseresultater.Forrige analyse ble utf�rt p�
-Beskrivelse av hovedsikkerhetskonfigurasjon:
ODatamaskinen ble konfigurert med f�lgende mal.
Ingen analyser har blitt utf�rt._Databasen har ikke blitt konfigurert eller analysert med Konfigurasjon og analyse av sikkerhet.(Om Konfigurasjon og analyse av sikkerhetOm forrige analyse.Legg til plassering av mal til SikkerhetsmalerPA
ObjektnavnInkonsekvente verdier�pne malSikkerhetsmal (.inf)|*.inf||infFeil ved �pning av loggfillogLoggfiler (.log)|*.log||PAGSoftware\Microsoft\Windows NT\CurrentVersion\SecEdit\Template LocationsKan ikke �pne malfil.Kan ikke lese malinformasjon.�Det finnes ingen analyseinformasjon i databasen som kan vises. Velg menyalternativet Analyser for � begynne � bruke dette verkt�yet.0 Ved behovEtter dagerManueltAktivert
DeaktivertP�Av
Ikke definert Medlemmer Medlem avCLASSES_ROOTMACHINEUSERSFullf�rtUkjent feil\Security\Templates+Koble til denne datamaskinen fra nettverketTillat � logge p� lokaltKan ikke lagre &Lagre
Lagrer malen4Software\Microsoft\Windows NT\CurrentVersion\SecEditLegg til mappe;Legg til &mappe...
Legger til en ny mappe til i denne malen=Legg til &n�kkel...
Legger til en ny n�kkel til i denne malen=Legg til gr&uppe...
Legger til en ny gruppe til i denne malenTjenestenavnOppstart AnalysertKonfigurert
AutomatiskManueltOKUnders�kPADatabasesikkerhet for !Forrige analyserte sikkerhet for Sikkerhet for Alle tillatelserLeseSkriveGruppemedlemskapMedlemmer av denne gruppen Medlem av Medlemmer
Kontopolicyer'Policyer for passord og l�sing av kontoLokale policyerDPolicyer for overv�king, brukerrettigheter og sikkerhetsalternativer
Hendelseslogg,Hendelseslogginnstillinger og HendelseslistePA#Overv�k tilgang til katalogtjeneste$Overv�k hendelser for kontop�logging=Hindre lokale gjestegrupper fra � f� tilgang til systemloggenAHindre lokale gjestegrupper fra � f� tilgang til sikkerhetsloggen>Hindre lokale gjestegrupper fra � f� tilgang til programloggenAlltidIgnorerErstattLogg p� som en satsvis jobbLogg p� som en tjenestePAActive Directory-objekter1Sikkerhetsbehandling av Active Directory-objekterRLegg til &Directory-objekt
Legger til et Active Directory-objekt til i denne malenLeseSkriveVise mappe / lese dataLese attributterLese utvidede attributterOpprette filer / skrive dataOpprette mapper / tilf�ye dataSkrive attributterSkrive utvidede attributterSlette undermapper og filerSletteLese tillatelserEndre tillatelserBli eierSynkronisereLese, skrive og kj�reSkrive og kj�reTraversere / Kj�reBare denne mappen"Denne mappen, undermapper og filerDenne mappen og undermapperDenne mappen og filerBare undermapper og filerBare undermapper
Bare filerBare denne n�kkelenDenne n�kkelen og undern�klerBare undern�klerDenne n�kkelen og undern�klerPABare undern�kler!Start, stopp og stans midlertidigSp�rringsmalEndringsmalSp�rringsstatusList opp avhengigheterStartStoppStans midlertidig og fortsettUnders�kBrukerdefinert kontrollAlle tillatelserLeseSkriveOpprette underordnet objektSlette underordnet objektVise innholdLegge til / fjerne seg selvLese egenskaperSkrive egenskaperBare denne beholderen"Denne beholderen og underbeholdereBare underbeholdere-[[Policykonfigurasjon for lokal datamaskin ]]Kontoen vil ikke bli l�st.Passord kan endres umiddelbart.Passord ikke n�dvendig.Ikke behold passordlogg.Passord utl�per om:Passord kan endres etter:Passord m� v�re minst:PABehold passordlogg i:Konto vil bli l�st etter:Konto er l�st i:Skriv over hendelser eldre enn:Passord vil ikke utl�pe..Konto er l�st til Administrator l�ser den opp.(Lagre passord med reverserbar krypteringKerberos-policy+Fremtving begrensninger for brukerp�loggingCMaksimal toleranse for synkronisering av datamaskinklokker
minutter-Maksimal levetid for tjenestebillett
minutter(Maksimal levetid for brukerbillett
timer3Maksimal levetid en brukerbillett kan fornyes
dagerLegg til medlemPA%Ikke nok minne til � vise denne delen1Ingen informasjon tilgjengelig om forrige analyseKan ikke lagre endrede maler.$Er du sikker p� at du vil slette %s?%Konfigurasjon og analyse av sikkerhetUnders�k6&Importer mal...
Importerer en mal til denne databasenKan ikke opprette eller �pne %sFinn loggfil for feilsdb<Sikkerhetsdatabasefiler (*.sdb)|*.sdb|Alle filer (*.*)|*.*||Bruk mal p� datamaskinMBane til loggfil for feil for logging av fremdrift av datamaskinkonfigurasjon
Si&kkerhet...'Redigerer sikkerhet for dette elementetBSoftware\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration5Si&kkerhet...
Redigerer sikkerhet for dette elementetEnvironmentVariablesa%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|9�pne data&base...
�pner en eksisterende eller ny database1&Ny database...
Oppretter og �pner en ny databaseG&Angi beskrivelse...
Oppretter en beskrivelse for malene i denne mappen
\help\sce.chmAlle filer (*.*)|*.*||Database: %s5Det oppstod en ukjent feil under �pning av databasen.lDu m� analysere databasen f�r du kan bruke den. Velg alternativet for � kj�re en analyse p� Database-menyen.ODatabasen du pr�ver � �pne finnes ikke. Klikk Importer mal fra Database-menyen.]Databasen er skadet. Se elektronisk Hjelp for informasjon om hvordan databasen kan repareres.OIkke nok minne til � laste inn databasen. Lukk noen programmer og pr�v p� nytt.�Ingen tilgang til databasen. Du m� v�re en administrator for � arbeide med databasen hvis ikke tillatelsene p� databasen har blitt endret.\Security\DatabaseVil du lagre endringer i %s?�Det finnes en importert mal som venter. For � lagre, klikk Avbryt og kj�r en analyse eller konfigurasjon f�r du importerer en annen mal. Velg OK hvis du vil ignorere den tidligere importerte malen.
Alle valgte filerNekt lokal p�logging2Nekt tilgang til denne datamaskinen fra nettverketNekt p�logging som en tjeneste"Nekt p�logging som en satsvis jobbLegg til gruppe&Gruppe:Ikke analysertFeil under analyse
Ikke definertPAForesl�tt innstillingCLokal policy...
Oppretter malfil fra de lokale policyinnstillingeneFGjeldende policy...
Oppretter malfil fra gjeldende policyinnstillinger"<H2>Konfigurasjon og analyse av sikkerhet</H2> <H4>Slik �pner du en eksisterende database</H4> <OL><LI ALIGN="LEFT" ID="OPEN_DATABASE_1">H�yreklikk omr�deelementet <I>Konfigurasjon og analyse av sikkerhet</I> <LI ALIGN="LEFT" ID="OPEN_DATABASE_2">Klikk <B>�pne database</B> <LI ALIGN="LEFT" ID="OPEN_DATABASE_3"> Merk en database, og klikk deretter <b>�pne</b></OL> <H4>Slik oppretter du en ny database</H4><OL> <LI ALIGN="LEFT" ID="OPEN_DATABASE_4">H�yreklikk omr�deelementet <I>Konfigurasjon og analyse av sikkerhet</I> <LI ALIGN="LEFT" ID="OPEN_DATABASE_5"> Klikk <B>�pne database</B> <LI ALIGN="LEFT" ID="OPEN_DATABASE_6"> Skriv inn et nytt databasenavn, og klikk deretter <b>�pne</b> <LI ALIGN="LEFT" ID="OPEN_DATABASE_7">Merk en sikkerhetsmal du vil importere, og klikk deretter <b>�pne</b></OL>A<HTML DIR="ltr" ID="MAIN_HEADER"><BODY><FONT face="arial" size=2></FONT></BODY></HTML>)Databasen du fors�ker � �pne finnes ikke.�Du kan opprette en ny lokal policydatabase ved � velge <B>Importer policy</B> fra menykommandoene under <I>Sikkerhetsinnstillinger</I>.Ingen tilgang til databasen.sVi&s loggfil
Bytter mellom visning av loggfil og mappetre n�r noden Konfigurasjon og analyse av sikkerhet er merketm<BR>Du kan n� konfigurere eller analysere datamaskinen ved hjelp av sikkerhetsinnstillingene i denne databasen.<BR> <H4>Slik konfigurerer du datamaskinen</H4><OL><LI ALIGN="LEFT" ID="NO_ANALYSIS_1">H�yreklikk omr�deelementet <I>Konfigurasjon og analyse av sikkerhet</I><LI ALIGN="LEFT" ID="NO_ANALYSIS_2">Velg <B>Konfigurer datamaskinen n�</B><LI ALIGN="LEFT" ID="NO_ANALYSIS_3">I dialogboksen skriver du inn navnet p� loggfilen du vil vise, og deretter klikker du <B>OK</B></OL><B>Obs!</B> N�r konfigurasjon er fullf�rt, m� du utf�re en analyse for � vise informasjonen i databasen<BR><BR><H4>Slik analyserer du datamaskinens sikkerhetsinnstillinger</H4> <OL><LI ALIGN="LEFT" ID="NO_ANALYSIS_4">H�yreklikk omr�deelementet <I>Konfigurasjon og analyse av sikkerhet</I><LI ALIGN="LEFT" ID="NO_ANALYSIS_5">Velg <B>Analyser datamaskinen n�</B><LI ALIGN="LEFT" ID="NO_ANALYSIS_6">I dialogboksen skriver du banen til loggfilen. Klikk deretter <B>OK</B></OL><BR><B>Obs!</B> For � vise loggfilen som ble opprettet under konfigurasjonen eller analysen velger du <B>Vis loggfil</B> p� hurtigmenyen <I>Konfigurasjon og analyse av sikkerhet</I>.)<h3> Feil under lesing av plassering</h3>DatamaskininnstillingPolicyinnstilling6Sikkerhets&veiviser...
Veiviser for sikker serverrolle)Windows kan ikke importere ugyldig mal %s"Kontoer: Administrator-kontostatusKontoer: Gjestekontostatus EgenskaperOBrukernavnet er ugyldig. Det er tomt eller kan ikke inneholde f�lgende tegn:
%1
Intet minimum:Bruker- og gruppenavn kan ikke inneholde f�lgende tegn:
%1*Systemet finner ikke den angitte banen:
%1,Filnavn kan ikke inneholde f�lgende tegn:
%1Du m� velge oppstartsmodus.~Kan ikke slette objektet %1 fordi et �pent vindu viser egenskapene.
Lukk vinduet og klikk Slett p� nytt for � slette objektet.$Konfigurerer medlemskap for %.17s...-Tilbakestill teller for l�sing av konto etter7Angi &beskrivelse...
Oppretter en beskrivelse for malen0Beskrivelsen kan ikke inneholde f�lgene tegn:
%1MalinnstillingPolicyinnstillingPA<Kontroller at du har riktige tillatelser for dette objektet.Kontroller at objektet finnes..Kan ikke bruke mappen %1. Velg en annen mappe.Min datamaskinFilnavnet er for langt.PAAspolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htmPA,Filnavn kan ikke inneholde f�lgende tegn:
%1<%1
Filnavnet er et reservert enhetsnavn.
Angi et annet navn.
Feil filtype.RDu m� v�re medlem av administratorgruppen for � utf�re den forespurte operasjonen.iFilnavnet %1 er ugyldig.
Skriv inn filnavnet p� nytt i riktig format, for eksempel: C:\plassering\fil.%2.@Ingen tilordninger ble gjort mellom kontonavn og sikkerhets-IDer[Denne innstillingen m� v�re definert i standard domenepolicyen for � p�virke domenekontoer.Lokal sikkerhetspolicyPA%1%2%1%2
%3%1%2%1%2SpesiellPA3Sikkerhetsinnstillinger for ekstern tilgang til SAMEkstern tilgang*Gj�r om grensene for minimum passordlengde#Overv�king av minimum passordlengde8Logg overv�kingsendelser n�r nye passord er kortere enn:2Sikkerhetsinnstillinger for sikre NETLOGON-kanalerOpprette s�rbare tilkoblingerPolicy for sentral tilgang:Policyer for sentral tilgang som er aktivert i filsystemet!!Ukjent policy!!:%1 %2PA#Tillat l�sing av administratorkonto9Sikkerhetsinnstillinger for klarerte datamaskinkontoeiereKlarerte datamaskinkontoeierePAFremtving passordlogg

Denne sikkerhetsinnstillingen angir antall entydige, nye passord som m� v�re knyttet til en brukerkonto f�r et gammelt passord kan brukes p� nytt. Verdien m� v�re mellom 0 og 24 passord.

Med denne policyen kan administratorer �ke sikkerheten ved � s�rge for at gamle passord ikke brukes om igjen hele tiden.

Standard:

24 p� domenekontrollere,

0 p� frittst�ende servere

Obs! Som standard f�lger medlemsdatamaskiner konfigurasjonen til sine domenekontrollere.

For � opprettholde effektiviteten til passordloggen b�r du ikke tillate at passord endres like etter at de nettopp er endret. Dette gj�res ved � aktivere policyinnstillingen Minimal passordalder. Du finner flere opplysninger om policyinnstillingen for minimal passordalder i Minimal passordalder.�Maksimal passordalder

Denne sikkerhetsinnstillingen angir tidsperioden (i dager) et passord kan brukes f�r systemet krever at brukeren endrer det. Du kan angi at passord skal utl�pe etter et antall dager mellom 1 og 999, eller du kan angi at passord aldri skal utl�pe, ved � angi antall dager til 0. Hvis lengste passordalder er mellom 1 og 999 dager, m� minimal passordalder v�re mindre enn maksimal passordalder. Hvis maksimal passordalder er satt til 0, kan minimal passordalder, i dager, settes til en verdi mellom 0 og 998.

Obs! Det er god sikkerhetspraksis � la passord utl�pe hver 30. til 90. dag, avhengig av milj�et. Da vil en angriper ha begrenset tid til � knekke et passord og f� tilgang til nettverksressursene.

Standard: 42�Minimal passordalder

Denne sikkerhetsinnstillingen angir tidsperioden (i dager) et passord m� brukes f�r brukeren kan endre det. Du kan angi en verdi mellom 1 og 998 dager eller tillate endringer umiddelbart ved � sette antall dager til 0.

Minimal passordalder m� v�re mindre enn maksimal passordalder hvis ikke maksimal passordalder er satt til 0, noe som betyr at passord aldri utl�per. Hvis maksimal passordalder er satt til 0, kan minimal passordalder, i dager, settes til en verdi mellom 0 og 998.

Sett minimal passordalder til mer enn 0 hvis du vil tvinge passordloggen til � bli mer effektiv. Uten minimal passordalder kan brukere gjenta gamle passord til de finner en gammel favoritt. Standardinnstillingen f�lger ikke denne anbefalingen, slik at en administrator kan angi et passord for en bruker og kreve at brukeren endrer det administratordefinerte passordet ved p�logging. Hvis passordloggen settes til 0, trenger ikke brukeren � velge et nytt passord. Derfor er Fremtving passordlogg satt til 1 som standard.

Standard:

1 p� domenekontrollere.

0 p� frittst�ende servere.

Obs! Som standard f�lger medlemsdatamaskiner konfigurasjonen til sine domenekontrollere.LMinimum passordlengde

Denne sikkerhetsinnstillingen angir minste antall tegn et passord for en brukerkonto kan inneholde.

Maksimumsverdien for denne innstillingen er avhengig av verdien for innstillingen Gj�r om grensene for minimum passordlengde.

Hvis innstillingen Gj�r om grensene for minimum passordlengde ikke er definert, kan denne innstillingen konfigureres fra 0 til 14.

Hvis innstillingen Gj�r om grensene for minimum passordlengde er definert og deaktivert, kan denne innstillingen konfigureres fra 0 til 14.

Hvis innstillingen Gj�r om grensene for minimum passordlengde er definert og aktivert, kan denne innstillingen konfigureres fra 0 til 128.

Hvis du angir antall tegn til 0, betyr det at ingen passord kreves.

Obs! �Som standard f�lger medlemsdatamaskiner konfigurasjonen til domenekontrollerne sine.

Standard:

7 p� domenekontrollere.

0 p� frittst�ende servere.

Hvis du konfigurerer denne innstillingen til mer enn 14, kan det p�virke kompatibilitet med klienter, tjenester og programmer. Microsoft anbefaler at du bare konfigurerer denne innstillingen til mer enn 14 etter bruk av innstillingen Overv�king av minimum passordlengde for � teste for potensielle kompatibilitetsproblemer ved den nye innstillingen.

Hvis du vil ha mer informasjon, kan du se https://go.microsoft.com/fwlink/?LinkId=2097191.

PAPassord m� oppfylle kravene

Denne sikkerhetsinnstillingen angir om passord m� oppfylle kravene til kompleksitet.

Hvis denne policyen aktiveres, m� passord oppfylle f�lgende minstekrav:

Ikke inneholde brukerens kontonavn eller mer enn to sammenhengende bokstaver som er lik noen sammenhengende i brukerens fulle navn

Best� av minst seks tegn

Inneholde tegn fra tre av de f�lgende kategoriene:

Store bokstaver (A til Z)

Sm� bokstaver (a til z)

Tallene 0 til 9

Ikke-alfabetiske tegn (for eksempel !, $, #, %)

Kravene til kompleksitet h�ndheves n�r passord endres eller opprettes.

Standard:

Aktivert p� domenekontrollere.

Deaktivert p� frittst�ende servere.

Obs! Som standard f�lger medlemsdatamaskiner konfigurasjonen til sine domenekontrollere.*Lagre passord med reverserbar kryptering

Denne sikkerhetsinnstillingen angir om operativsystemet skal lagre passord ved bruk av reverserbar kryptering.

Denne policyen gir st�tte til programmer som bruker protokoller som krever kjennskap til brukerens passord for godkjenningsform�l. Lagring av passord ved bruk av reverserbar kryptering, er i grunnen det samme som � lagre passord som rene tekststrenger. Derfor b�r denne policyen aldri aktiveres hvis ikke programkrav veier tyngre enn passordbeskyttelse.

Denne policyen er n�dvendig ved bruk av godkjenning som CHAP (Challenge-Handshake Authentication Protocol) via ekstern p�logging eller IAS (Internet Authentication Services). Den er ogs� n�dvendig ved bruk av sammendragsgodkjenning i IIS (Internet Information Services).

Standard: Deaktivert.>Varighet for l�sing av konto

Denne sikkerhetsinnstillingen angir antall minutter en l�st konto forblir l�st, f�r den automatisk blir l�st opp. Mulig verdiomr�de er fra 0 minutter til 99 999 minutter. Hvis du setter kontoens varighet for l�sing til 0, blir den l�st til en administrator eksplisitt l�ser den opp.

Hvis en terskel er definert for l�sing av konto, m� varigheten for l�sing av kontoen v�re st�rre enn eller lik tilbakestillingstiden.

Standard: Ingen, fordi denne policyinnstillingen bare f�r betydning hvis en terskel for l�sing av konto er spesifisert.QTerskelverdi for l�sing av konto

Denne sikkerhetsinnstillingen angir antall mislykkede p�loggingsfors�k som for�rsaker at en brukerkonto l�ses. En l�st konto kan ikke brukes f�r den blir tilbakestilt av en administrator eller f�r varigheten for l�sing er utl�pt. Du kan angi en verdi p� mellom 0 og 999 mislykte p�loggingsfors�k. Hvis du setter verdien til 0, blir kontoen aldri l�st.

Mislykte passordfors�k p� arbeidsstasjoner eller medlemsservere som er l�st ved bruk av enten CTRL+ALT+DELETE eller passordbeskyttede skjermsparere, teller som mislykte p�loggingsfors�k.

Standard: 0./Tilbakestill teller for l�sing av konto etter

Denne sikkerhetsinnstillingen angir antall minutter som m� g� etter et mislykket p�loggingsfors�k, f�r telleren for mislykte p�loggingsfors�k tilbakestilles til 0 mislykte p�loggingsfors�k. Mulig verdiomr�de er fra 1 minutt til 99 999 minutter.

Hvis en terskel er definert for l�sing av konto, m� denne tilbakestillingstiden v�re mindre enn eller lik varigheten for l�sing av kontoen.

Standard: Ingen, fordi denne policyinnstillingen bare f�r betydning hvis en terskel for l�sing av konto er spesifisert.�Fremtving begrensninger for brukerp�logging

Denne sikkerhetsinnstillingen angir om n�kkeldistribusjonssenteret Kerberos V5 Key Distribution Center (KDC) skal kontrollere alle foresp�rsler om �ktbillett mot brukerrettighetspolicyen til brukerkontoen. Validering av hver foresp�rsel om �ktbillett er valgfri fordi det tar ekstra tid og kan redusere hastigheten p� nettverkstilgang til tjenester.

Standard: Aktivert.MMaksimal levetid for tjenestebillett

Denne sikkerhetsinnstillingen angir maksimaltid (i minutter) for bruk av en tildelt �ktbillett til � f� tilgang til en bestemt tjeneste. Innstillingen m� v�re st�rre enn 10 minutter og mindre enn eller lik innstillingen for maksimal levetid for brukerbillett.

Hvis en klient bruker en utl�pt �ktbillett ved foresp�rsel om tilkobling til en server, returnerer serveren en feilmelding. Klienten m� be om en ny �ktbillett fra n�kkeldistribusjonssenteret Kerberos V5 Key Distribution Center (KDC). Straks en tilkobling er godkjent, spiller det ingen rolle om �ktbilletten forblir gyldig. �ktbilletter brukes bare til � godkjenne nye tilkoblinger til servere. P�g�ende operasjoner p�virkes ikke, selv om �ktbilletten som ble brukt til � godkjenne tilkoblingen, utl�per.

Standard: 600 minutter (10 timer).�Maksimal levetid for brukerbillett

Denne sikkerhetsinnstillingen angir maksimaltid (i timer) som en brukers tilgangsbillett (TGT) kan brukes.

Standard: 10 timer.�Maksimal levetid en brukerbillett kan fornyes

Denne sikkerhetsinnstillingen angir tidsperioden (i dager) for n�r en brukers tilgangsbillett (TGT) kan fornyes.

Standard: 7 dager.�Maksimal toleranse for synkronisering av datamaskinklokker

Denne sikkerhetsinnstillingen angir maksimal tidsforskjell (i minutter) som Kerberos V5 tolererer mellom tiden p� klientklokken og tiden p� domenekontrolleren som kj�rer Windows Server 2003 med Kerberos-godkjenning.

For � hindre "avspillingsangrep", bruker Kerberos V5 tidsangivelser som en del av sin protokolldefinisjon. For at tidsangivelser skal fungere riktig m� klokkene p� klienten og domenekontrolleren v�re s� godt synkronisert som mulig. Med andre ord: begge datamaskinene m� ha samme klokkeslett og dato. Fordi klokkene til to datamaskiner ofte blir usynkrone, kan administratorer bruke denne policyen til � angi maksimal akseptabel forskjell mellom en klientklokke og domenekontrollerklokken for Kerberos V5. Hvis forskjellen mellom en klientklokke og domenekontrollerklokken er mindre enn maksimal tidsforskjell som er angitt i denne policyen, anses alle tidsangivelser som blir brukt i en �kt mellom de to datamaskinene, som godkjente.

Viktig!

Denne innstillingen er ikke fast p� plattformer f�r Vista. Hvis du konfigurerer denne innstillingen og deretter starer datamaskinen p� nytt, tilbakestilles den til standardverdien.

Standard: 5 minutter.�Overv�k hendelser for kontop�logging

Denne sikkerhetsinnstillingen bestemmer om operativsystemet overv�ker hver gang denne datamaskinen validerer legitimasjonen for en konto.

P�loggingshendelser for konto genereres n�r en autoritativ datamaskin validerer legitimasjonen for en konto. Domenemedlemmer og ikke-domenetilkoblede maskiner er autoritative for sine lokale kontoer; domenekontrollere er alle autoritative for kontoer i domenet. Legitimasjonsvalidering kan v�re til st�tte for en lokal p�logging, eller dersom det gjelder en Active Directory-domenekonto p� en domenekontroller, kan st�tte en p�logging p� en annen datamaskin. Legitimasjonsvalidering er tilstandsl�s, s� det finnes ingen tilsvarende avloggingshendelse for kontop�loggingshendelser.

Hvis denne policyinnstillingen er definert, kan administratoren angi om du kun vil overv�ke vellykkede fors�k, kun mislykkede fors�k, b�de vellykkede og mislykkede fors�k, eller ikke overv�ke disse hendelsene i det hele tatt (dvs. verken vellykkede eller mislykkede fors�k).

Standardverdier for klientutgaver:

Legitimasjonsvalidering: Ingen overv�king

Kerberos-billetthendelser: Ingen overv�king

Andre p�loggingshendelser for konto: Ingen overv�king

Kerberos Authentication Service: Ingen overv�king

Standardverdier for klientutgaver:

Legitimasjonsvalidering: Vellykket

Kerberos-billetthendelser: Vellykket

Andre p�loggingshendelser for konto: Ingen overv�king

Kerberos Authentication Service: Vellykket

Viktig! Hvis du �nsker mer kontroll over overv�kingspolicyer, kan du bruke innstillingene i noden Konfigurasjon av avansert overv�kingspolicy. For mer informasjon om Konfigurasjon av avansert overv�kingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.eOverv�k kontobehandling

Denne sikkerhetsinnstillingen angir om overv�king skal skje for hver kontobehandlingshendelse p� en datamaskin. Eksempler p� kontobehandlingshendelser:

En brukerkonto eller -gruppe opprettes, endres eller slettes.

En brukerkonto endrer navn, deaktiveres eller aktiveres.

Et passord angis eller endres.

Hvis du definerer denne policyinnstillingen, kan du angi om vellykkede hendelser skal overv�kes, feil skal overv�kes eller at ingen overv�king av hendelsestypen skal skje. Overv�king av vellykkede genererer en overv�kingsoppf�ring n�r en hvilken som helst kontobehandlingshendelse lykkes. Overv�king av feil genererer en overv�kingsoppf�ring n�r en hvilken som helst kontobehandlingshendelse mislykkes. Du kan sette denne verdien til Ingen overv�king ved � merke av i avmerkingsboksen Definer disse policyinnstillingene i dialogboksen Egenskaper for denne policyinnstillingen og fjerne merket i boksene Vellykket og Mislykket.

Standardverdier p� Client-utgaver:

Behandling av brukerkonto: Vellykket

Behandling av datamaskinkonto: Ingen overv�king

Behandling av sikkerhetsgruppe: Vellykket

Behandling av distribusjonsgruppe: Ingen overv�king

Behandling av programgruppe: Ingen overv�king

Andre kontobehandlingshendelser: Ingen overv�king

Standardverdier p� Server-utgaver:

Behandling av brukerkonto: Vellykket

Behandling av datamaskinkonto: Vellykket

Behandling av sikkerhetsgruppe: Vellykket

Behandling av distribusjonsgruppe: Ingen overv�king

Behandling av programgruppe: Ingen overv�king

Andre kontobehandlingshendelser: Ingen overv�king

Viktig! Hvis du vil ha mer kontroll over overv�kingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overv�kingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overv�kingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.�Overv�k tilgang til katalogtjeneste

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overv�ker brukerfors�k p� � f� tilgang til Active Directory-objekter. Overv�king genereres bare for objekter som har kontrollister for systemtilgang (SACL) angitt, og bare hvis den forespurte tilgangstypen (for eksempel Skriv, Les eller Endre) og kontoen foresp�rselen kommer fra, samsvarer med innstillingene i SACL.

Administratoren kan angi om overv�kingen skal gjelde bare vellykkede fors�k, bare mislykkede fors�k eller begge deler, eller om disse hendelsene ikke skal overv�kes i det hele tatt (det vil si verken vellykkede eller mislykkede fors�k).

Hvis Vellykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring hver gang en konto f�r tilgang til et katalogobjekt som har en samsvarende SACL angitt.

Hvis Mislykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring hver gang en bruker mislykkes med � f� tilgang til et katalogobjekt som har en samsvarende SACL angitt.

Standardverdier p� Client-utgaver:

Katalogtjenestetilgang: Ingen overv�king

Katalogtjenesteendringer: Ingen overv�king

Katalogtjenestereplikering: Ingen overv�king

Detaljert katalogtjenestereplikering: Ingen overv�king

Standardverdier p� Server-utgaver:

Katalogtjenestetilgang: Vellykket

Katalogtjenesteendringer: Ingen overv�king

Katalogtjenestereplikering: Ingen overv�king

Detaljert katalogtjenestereplikering: Ingen overv�king

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overv�ker hver enkelt forekomst n�r en bruker pr�ver � logge p� eller av denne datamaskinen.

Avloggingshendelser genereres hver gang p�loggings�kten til en p�logget brukerkonto avsluttes. Hvis denne policyinnstillingen er definert, kan administratoren angi om overv�kingen skal gjelde bare vellykkede fors�k, bare mislykkede fors�k eller begge deler, eller om disse hendelsene ikke skal overv�kes i det hele tatt (det vil si verken vellykkede eller mislykkede fors�k).

Standardverdier p� Client-utgaver:

P�logging: Vellykket

Avlogging: Vellykket

L�sing av konto: Vellykket

Hovedmodus for IPsec: Ingen overv�king

Hurtigmodus for IPsec: Ingen overv�king

Utvidet modus for IPsec: Ingen overv�king

Spesialp�logging: Vellykket

Andre p�loggings-/avloggingshendelser: Ingen overv�king

Nettverkspolicyserver: Vellykket, Mislykket

Standardverdier p� Server-utgaver:

P�logging: Vellykket, Mislykket

Avlogging: Vellykket

L�sing av konto: Vellykket

Hovedmodus for IPsec: Ingen overv�king

Hurtigmodus for IPsec: Ingen overv�king

Utvidet modus for IPsec: Ingen overv�king

Spesialp�logging: Vellykket

Andre p�loggings-/avloggingshendelser: Ingen overv�king

Nettverkspolicyserver: Vellykket, Mislykket

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overv�ker brukerfors�k p� � f� tilgang til objekter utenfor Active Directory. Overv�king genereres bare for objekter som har kontrollister for systemtilgang (SACL) angitt, og bare hvis den forespurte tilgangstypen (for eksempel Skriv, Les eller Endre) og kontoen foresp�rselen kommer fra, samsvarer med innstillingene i SACL.

Hvis Vellykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring hver gang en konto f�r tilgang til et objekt utenfor Active Directory som har en samsvarende SACL angitt.

Hvis Mislykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring hver gang en bruker mislykkes med � f� tilgang til et objekt utenfor Active Directory som har en samsvarende SACL angitt.

V�r oppmerksom p� at du kan angi en SACL for et filsystemobjekt ved hjelp av kategorien Sikkerhet i dialogboksen Egenskaper for det aktuelle objektet.

Standard: Ingen overv�king.

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overv�ker hver enkelt forekomst av fors�k p� � endre policyen for tilordning av brukerrettigheter, overv�kingspolicyen, kontopolicyen eller klareringspolicyen.

Hvis Vellykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring n�r et fors�k p� � endre policyen for tilordning av brukerrettigheter, overv�kingspolicyen, kontopolicyen eller klareringspolicyen er vellykket.

Hvis Mislykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring hver gang en konto som ikke er autorisert for den forespurte policyendringen, fors�ker � endre policyen for tilordning av brukerrettigheter, overv�kingspolicyen, kontopolicyen eller klareringspolicyen.

Standard:

Overv�kingspolicyendring: Vellykket

Godkjenningspolicyendring: Vellykket

Autorisasjonspolicyendring: Ingen overv�king

Policyendring av regelniv� for MPSSVC: Ingen overv�king

Policyendring for filtreringsplattform: Ingen overv�king

Andre policyendringshendelser: Ingen overv�king

Denne sikkerhetsinnstillingen angir om overv�king skal skje for hver forekomst av en brukers bruk av brukerrettigheter.

Du kan sette denne verdien til Ingen overv�king ved � merke av i avmerkingsboksen Definer disse policyinnstillingene i dialogboksen Egenskaper for denne policyinnstillingen og fjerne merket i boksene Vellykket og Mislykket.

Standard: Ingen overv�king.

Overv�kingsoppf�ringer genereres ikke ved bruk av f�lgende brukerrettigheter, selv om vellykkede overv�kinger eller mislykkede overv�kinger er angitt for overv�king av bruk av privilegier. Aktivering av overv�king av disse brukerrettighetene genererer lett mange hendelser i sikkerhetsloggen, som kan redusere datamaskinens ytelse. For � aktivere f�lgende brukerrettigheter aktiverer du registern�kkelen FullPrivilegeAuditing.

Hopp over kontroll av traversering

Feils�ke programmer

Opprette tokenobjekt

Erstatte prosessniv�token

Generere sikkerhetskontroller

Sikkerhetskopiere filer og kataloger

Gjenopprette filer og kataloger

Forsiktig!

Feil ved redigering av registret kan skade systemet alvorlig. F�r du foretar endringer i registret, b�r du sikkerhetskopiere alle verdifulle data p� datamaskinen.

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overv�ker prosessrelaterte hendelser som prosessoppretting, prosessavslutning, referansekopiering og indirekte objekttilgang.

Hvis denne policyinnstillingen er definert, kan administratoren angi om overv�kingen skal gjelde bare vellykkede fors�k, bare mislykkede fors�k eller begge deler, eller om disse hendelsene ikke skal overv�kes i det hele tatt (det vil si verken vellykkede eller mislykkede fors�k).

Hvis Vellykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring hver gang operativsystemet utf�rer en av disse prosessrelaterte aktivitetene.

Hvis Mislykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring hver gang operativsystemet mislykkes med � utf�re en av disse aktivitetene

Standard: Ingen overv�king

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overv�ker noen av f�lgende hendelser:

" Fors�k p� endring av systemtid

" Fors�k p� oppstart eller avslutning av sikkerhetssystem

" Fors�k p� � laste inn utvidbare godkjenningskomponenter

" Tap av overv�kede hendelser p� grunn av feil i overv�kingssystemet

" St�rrelse p� sikkerhetslogg overskrider et konfigurerbart terskelniv� for advarsel.

Hvis Vellykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring hver gang operativsystemet utf�rer en av disse aktivitetene.

Hvis Mislykket-overv�king er aktivert, genereres det en overv�kingsoppf�ring hver gang operativsystemet mislykkes med � utf�re en av disse aktivitetene.

Standard:

Endring i sikkerhetsinnstillinger: Vellykket

Utvidelse av sikkerhetssystem: Ingen overv�king

Systemintegritet: Vellykket, Mislykket

IPsec-driver: Ingen overv�king

Andre systemhendelser: Vellykket, Mislykket

Denne brukerrettigheten angir hvilke brukere og grupper som skal f� tillatelse til � koble til datamaskinen via nettverket. Eksterne skrivebordstjenester p�virkes ikke av denne brukerrettigheten.

Obs! Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.

Standard p� arbeidsstasjoner og servere:

Administratorer

Sikkerhetskopioperat�rer

Brukere

Alle

Standard p� domenekontrollere:

Administratorer

Godkjente brukere

Domenekontrollere i organisasjonen

Alle

Pre-Windows 2000-kompatibel tilgang�Opptre som en del av operativsystemet

Med denne brukerrettigheten kan prosesser representere hvilken som helst bruker, uten brukergodkjenning. Prosessen kan derfor f� tilgang til de samme lokale ressursene som brukeren.

Prosesser som krever denne tilgangen, b�r bruke den lokale systemkontoen som allerede har denne tilgangen, i stedet for � bruke en separat brukerkonto som har f�tt tildelt tilgangen spesielt. Hvis organisasjonen din bare bruker servere som er medlemmer av Windows Server 2003-serien, trenger du ikke � tildele denne tilgangen til brukerne. Men hvis organisasjonen bruker servere som kj�rer Windows 2000 eller Windows NT 4.0, m� du kanskje tildele denne tilgangen for � kunne bruke programmer som utveksler passord i rent tekstformat.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgj�re en sikkerhetsrisiko. Tilordne den bare til klarerte brukere.

Standard: Ingen|Legg til arbeidsstasjoner i domene

Denne sikkerhetsinnstillingen angir hvilke grupper eller brukere som kan legge til arbeidsstasjoner til et domene.

Denne sikkerhetsinnstillingen gjelder bare for domenekontrollere. Som standard har alle godkjente brukere denne rettigheten og kan opprette opptil 10 datamaskinkontoer i domenet.

Ved � legge til en datamaskinkonto til domenet, f�r datamaskinen delta i Active Directory-baserte nettverk. Legges for eksempel en arbeidsstasjon til et domene, kan arbeidsstasjonen gjenkjenne kontoer og grupper som finnes i Active Directory.

Standard: Godkjente brukere p� domenekontrollere.

Obs! Brukere som har tillatelse til � opprette datamaskinobjekter i Active Directory-datamaskiners beholder, kan ogs� opprette datamaskinkontoer i domenet. Forskjellen er at brukere med tillatelse for beholderen ikke er begrenset til opprettelse av bare ti datamaskinkontoer. I tillegg har datamaskinkontoer som er opprettet med Legge til arbeidsstasjoner i domenet, domeneadministratorer som eier av datamaskinkontoen, mens datamaskinkontoer som er opprettet med tillatelser p� datamaskinens beholder ogs� har oppretter som eier av datamaskinkontoen. Hvis en bruker har tillatelse for beholderen og ogs� har brukerrettigheten Legge til arbeidsstasjoner i domene, legges datamaskinen til basert p� datamaskinbeholderens tillatelser i stedet for brukerrettigheten.

�Juster minnekvoter for en prosess

Denne tilgangen bestemmer hvem som kan endre maksimalt minne som kan brukes av en prosess.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Obs! Denne tilgangen er nyttig ved systeminnstilling, men den kan bli misbrukt ved for eksempel et tjenestenektangrep.

Standard: Administratorer

Lokal tjeneste

Nettverkstjeneste

fLokal p�logging

Fastsetter hvilke brukere som kan logge p� datamaskinen.

Viktig!

Hvis du endrer denne innstillingen, kan det ha innvirkning p� kompatibilitet med klienter, tjenester og programmer. Hvis du vil ha kompatibilitetsinformasjon om denne innstillingen, se Tillat lokal p�logging (https://go.microsoft.com/fwlink/?LinkId=24268 ) p� Microsofts webomr�de.

Standard:

" P� arbeidsstasjoner og servere: Administratorer, Sikkerhetskopioperat�rer, Privilegerte brukere, Brukere og Gjest.

" P� domenekontrollere: Kontooperat�rer, Administratorer, Sikkerhetskopioperatorer og Skriveroperat�rer. �Tillat p�logging gjennom Eksterne skrivebordstjenester

Denne sikkerhetsinnstillingen angir hvilke brukere eller grupper som har tillatelse til � logge p� som Eksterne skrivebordstjenester-klient.

Standard:

P� arbeidsstasjon og servere: Administratorer, brukere av eksternt skrivebord.

P� domenekontrollere: Administratorer.

Viktig!

Denne innstillingen har ingen effekt p� Windows 2000-maskiner som ikke er oppdatert med Service Pack 2.

�Sikkerhetskopier filer og kataloger

Denne brukerrettigheten angir hvilke brukere som kan forbig� rettigheter for filer og kataloger, registret og andre faste objekttillatelser, i den hensikt � sikkerhetskopiere systemet.

Spesifikt er denne brukerrettigheten det samme som � gi f�lgende tillatelser til den aktuelle brukeren eller gruppen for alle filer og mapper i systemet:

Traverser mappe / kj�r fil

Vis mappe / les data

Les attributter

Les utvidede attributter

Les tillatelser

Forsiktig!

Tilordning av denne brukerrettigheten kan utgj�re en sikkerhetsrisiko. Fordi det ikke er mulig � avgj�re om en bruker sikkerhetskopierer data, stjeler data eller kopierer data for distribusjon, b�r den bare tildeles klarerte brukere.

Standard p� arbeidsstasjoner og servere: Administratorer

Sikkerhetskopioperat�rer.

Standard p� domenekontrollere: Administratorer

Sikkerhetskopioperat�rer

Serveroperat�rer

�Hopp over kontroll av traversering

Denne brukerrettigheten angir hvilke brukere som kan traversere katalogtr�r selv om brukeren ikke har tillatelser for den traverserte katalogen. Tillatelsen gir ikke brukeren tillatelse til � vise innholdet i en katalog, bare til � traversere kataloger.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Standard p� arbeidsstasjoner og servere:

Administratorer

Sikkerhetskopioperat�rer

Brukere

Alle

Lokal tjeneste

Nettverkstjeneste

Standard p� domenekontrollere:

Administratorer

Godkjente brukere

Alle

Lokal tjeneste

Nettverkstjeneste

Pre-Windows 2000-kompatibel tilgang

�Still systemklokken

Denne brukerrettigheten angir hvilke brukere og grupper som kan stille klokkeslett og dato p� den interne klokken i datamaskinen. Brukere som har f�tt tildelt rettigheten, kan p�virke utseendet p� hendelseslogger. Hvis systemklokken endres, viser loggede hendelser denne nye tidsinnstillingen og ikke den faktiske tiden da hendelsen skjedde.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Standard p� arbeidsstasjoner og servere:

Administratorer

Lokal tjeneste

Standard p� domenekontrollere:

Administratorer

Serveroperat�rer

Lokal tjeneste

Opprett en sidevekslingsfil

Denne brukerrettigheten angir hvilke brukere og grupper som kan kalle et internt Application Programming Interface (API) for � opprette og endre st�rrelsen p� en sidevekslingsfil. Denne brukerrettigheten brukes internt av operativsystemet og trenger vanligvis ikke � tildeles noen bruker.

Du finner opplysninger om � endre st�rrelse p� sidevekslingsfilen for en gitt stasjon under Endre st�rrelse p� den virtuelle sidevekslingsfilen for minnet.

Standard: Administratorer.

�Opprett tokenobjekt

Denne sikkerhetsinnstillingen angir hvilke kontoer som kan brukes til � opprette et token som kan brukes til � f� tilgang til alle lokale ressurser n�r prosessen bruker et internt grensesnitt for programmering (API) til � opprette et tilgangstoken.

Denne brukerrettigheten brukes internt av operativsystemet. Ikke tildel rettigheten til en bruker, en gruppe eller en prosess som ikke er lokalt system, hvis det ikke er n�dvendig.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgj�re en sikkerhetsrisiko. Ikke tilordne den til en bruker, gruppe eller prosess som du ikke vil skal ta over systemet.

Standard: Ingen

Opprett globale objekter

Denne sikkerhetsinnstillingen fastsetter om brukere kan opprette globale objekter som er tilgjengelige i alle �kter. Brukere som ikke har denne brukerrettigheten, kan fortsatt opprette objekter som er spesifikke for egen �kt. Brukere som kan opprette globale objekter, kan ha innvirkning p� prosesser som kj�rer i andre brukeres �kter, noe som kan f�re til programfeil eller �delagte data.

Forsiktig!

Tilordning av denne brukerrettigheten kan v�re en sikkerhetsrisiko. Tilordne denne brukerrettigheten bare til klarerte brukere.

Standard:

Administratorer

Lokal tjeneste

Nettverkstjeneste

Tjeneste�Opprett permanente, delte objekter

Denne brukerrettigheten angir hvilke kontoer som kan brukes av prosesser til � opprette et katalogobjekt med objektbehandling.

Denne brukerrettigheten brukes internt av operativsystemet og er nyttig for kjernemoduskomponenter som utvider objektnavneomr�det. Fordi komponenter som kj�rer i kjernemodus, allerede har f�tt tildelt denne rettigheten, er det ikke n�dvendig � tildele den spesielt.

Standard: IngenPAFeils�k programmer

Denne brukerrettigheten angir hvilke brukere som kan knytte et feils�kingsprogram til en prosess eller til kjernen. Utviklere som feils�ker sine egne programmer, trenger ikke � f� tilordnet rettigheten. Utviklere som feils�ker nye systemkomponenter, trenger den. Brukerrettigheten gir full tilgang til sensitive og kritiske operativsystemkomponenter.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgj�re en sikkerhetsrisiko. Tilordne den bare til klarerte brukere.

Standard: AdministratorerFNekt tilgang til denne datamaskinen fra nettverket

Denne sikkerhetsinnstillingen angir hvilke brukere som nektes tilgang til en datamaskin via nettverket. Denne policyinnstillingen overstyrer policyinnstillingen Koble til denne datamaskinen fra nettverket hvis begge policyene gjelder for en brukerkonto.

Standard: Gjest%Nekt p�logging som en satsvis jobb

Denne sikkerhetsinnstillingen angir hvilke kontoer som skal nektes p�logging som en satsvis jobb. Denne policyinnstillingen overstyrer policyinnstillingen Logg p� som en satsvis jobb hvis begge policyene gjelder for en brukerkonto.

Standard: Ingen.

�Nekt p�logging som en tjeneste

Denne sikkerhetsinnstillingen angir hvilke tjenestekontoer som skal nektes � registrere en prosess som en tjeneste. Policyinnstillingen overstyrer policyinnstillingen for Logg p� som en tjeneste hvis begge policyene gjelder for en brukerkonto.

Obs! Denne sikkerhetsinnstillingen gjelder ikke for systemkontoer, lokale tjenestekontoer eller nettverkstjenestekontoer.

Standard: Ingen.aNekt lokal p�logging

Denne sikkerhetsinnstillingen angir hvilke brukere som nektes � logge p� datamaskinen. Policyinnstillingen overstyrer policyinnstillingen Tillat � logge p� lokalt hvis begge policyene gjelder for en konto.

Viktig!

Hvis du bruker denne sikkerhetspolicyen p� Alle-gruppen, vil ingen kunne logge p� lokalt.

Standard: Ingen.BNekt p�logging gjennom Eksterne skrivebordstjenester

Denne sikkerhetsinnstillingen angir hvilke brukere og grupper som nektes � logge p� som en Eksterne skrivebordstjenester-klient.

Standard: Ingen.

Viktig!

Denne innstillingen har ingen effekt p� Windows 2000-maskiner som ikke er oppdatert med Service Pack 2.�Gj�r det mulig for datamaskin og brukerkontoer � bli klarert for delegering

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan angi innstillingen Klarert for delegering for en bruker eller et datamaskinobjekt.

Brukeren eller objektet som tildeles denne tilgangen, m� ha skrivetilgang til kontokontrollflagget for brukeren eller datamaskinobjektet. En serverprosess som kj�rer p� en datamaskin (eller under en brukerkontekst) som er klarert for delegering, f�r tilgang til ressurser p� en annen datamaskin som bruker delegerte legitimasjoner for en klient s� lenge klientkontoen ikke har kontokontrollflagget Kontoen kan ikke delegeres angitt.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Forsiktig!

Feil bruk av denne brukerrettigheten eller av innstillingen Klarert for delegering kan gj�re nettverket s�rbart for avanserte angrep med programmer med trojanske hester som representerer innkommende klienter og bruker deres legitimasjoner til � f� tilgang til nettverksressurser.

Standard: Administratorer p� domenekontrollere.Fremtving avslutning fra et eksternt system

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som skal ha tillatelse til � sl� av en datamaskin fra et eksternt sted p� nettverket. Feil bruk av denne brukerrettigheten kan f�re til en tjenestenekt.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Standard:

P� arbeidsstasjoner og servere: Administratorer.

P� domenekontrollere: Administratorer, Serveroperat�rer.�Generer sikkerhetskontroller

Denne sikkerhetsinnstillingen bestemmer hvilke kontoer som kan brukes av en prosess til � legge til oppf�ringer i sikkerhetsloggen. Sikkerhetsloggen brukes til � spore uautorisert systemtilgang. Feil bruk av denne brukerrettigheten kan f�re til generering av mange overv�kingshendelser og eventuelt skjule bevis p� et angrep eller for�rsake tjenestenekt hvis sikkerhetspolicyinnstillingen Overv�k: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overv�kes aktiveres. Se Overv�k: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overv�kes, for mer informasjon.

Standard: Lokal tjeneste

NettverkstjenesteRRepresenter klient etter godkjenning

Hvis denne tilgangen tilordnes en bruker, kan programmer kj�re p� vegne av denne brukeren for � representere en klient. Ved � kreve denne brukerrettigheten for denne type representasjon, hindres en uautorisert bruker i � f� en klient til � koble til (for eksempel med et eksternt prosedyrekall (RPC) eller navngitte datakanaler) en tjeneste de har opprettet, og deretter representere denne klienten, noe som kan utvide den uautoriserte brukerens tillatelser til administrative niv�er eller systemniv�er.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgj�re en sikkerhetsrisiko. Tilordne denne brukerrettigheten bare til klarerte brukere.

Standard:

Administratorer

Lokal tjeneste

Nettverkstjeneste

Tjeneste

Obs! Som standard vil tjenester som startes av tjenestekontrollbehandlingen, f� lagt til den innebygde tjenestegruppen i sine tilgangstokener. COM-servere (Component Object Model-servere) som startes av COM-infrastrukturen og som er konfigurert til � kj�re under en bestemt konto, f�r ogs� lagt til tjenestegruppen i sine tilgangstokener. Resultatet er at disse tjenestene f�r denne brukerrettigheten n�r de startes.

I tillegg kan en bruker representere et tilgangstoken hvis noen av betingelsene nedenfor finnes.

Tilgangstokenet som presenteres, er for denne brukeren.

Brukeren i denne p�loggings�kten opprettet tilgangstokenet ved � logge p� nettverket med eksplisitte legitimasjoner.

Niv�et det bes om, er lavere enn Representere, for eksempel Anonym eller Identifisere.

P� grunn av disse faktorene trenger brukere vanligvis ikke denne brukerrettigheten.

Se SeImpersonatePrivilege i Microsoft Platform SDK for mer informasjon.

Advarsel!

Hvis du aktiverer denne innstillingen, kan programmer som tidligere hadde tillatelsen Representere, miste denne, og de vil kanskje ikke kj�re.y�k planleggingsprioritet

Denne sikkerhetsinnstillingen bestemmer hvilke konti som kan bruke en prosess med tilgangen Skrive egenskap til en annen prosess for � �ke kj�reprioriteten som er tilordnet den andre prosessen. En bruker med denne tilgangen kan endre planleggingsprioriteten for en prosess gjennom brukergrensesnittet Oppgavebehandling.

Standard: Administratorer.Last inn og ut enhetsdrivere

Denne brukerettigheten bestemmer hvilke brukere som dynamisk kan laste inn eller ut enhetsdrivere eller annen kode til/fra kjernemodus. Denne brukerrettigheten gjelder ikke for Plug and Play-enhetsdrivere. Det anbefales at du ikke tilordner denne tilgangen til andre brukere.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgj�re en sikkerhetsrisiko. Ikke tilordne denne brukerrettigheten til en bruker, gruppe eller prosess som du ikke vil skal ta over systemet.

Standard p� arbeidsstasjoner og servere: Administratorer

Standard p� domenekontrollere:

Administratorer

Skriveroperat�rerpL�s sider i minnet

Denne sikkerhetsinnstillingen bestemmer hvilke kontoer som kan bruke en prosess til � beholde data i det fysiske minnet, noe som hindrer systemet i � lagre sidevekslingsdata til det virtuelle minnet p� disken. Bruk av denne tilgangen p�virker systemytelsen betydelig ved � redusere st�rrelsen p� det tilgjengelige RAM-minnet.

Standard: Ingen.�Logg p� som en satsvis jobb

Denne sikkerhetsinnstillingen tillater at en bruker logges p� med k�funksjonen for satsvis jobb og er tatt med for � gi kompatibilitet med eldre versjoner av Windows.

Hvis en bruker for eksempel sender en jobb ved hjelp av Oppgaveplanlegging, vil denne brukeren bli logget som en satsvis jobb i stedet for som en interaktiv bruker.

Standard: Administratorer

Sikkerhetskopioperat�rer�Logg p� som en tjeneste

Denne sikkerhetsinnstillingen tillater at en sikkerhetskontohaver logger p� som en tjeneste. Tjenester kan konfigureres til � kj�re under kontoer av typen Lokalt system, Lokal tjeneste eller Nettverkstjeneste, som har en innebygd rettighet til � logge p� som en tjeneste. Tjenester som kj�res under en separat brukerkonto, m� tilordnes rettigheten.

Standardinnstilling: Ingen.�Behandle overv�king og sikkerhetslogg

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan angi alternativer for overv�king av objekttilgang for individuelle ressurser, for eksempel filer, Active Directory-objekter og registern�kler.

Denne sikkerhetsinnstillingen tillater ikke at en bruker aktiverer overv�king av fil- og objekttilgang generelt. Hvis slik overv�king skal aktiveres, m� innstillingen Overv�k objekttilgang i Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Lokale policyer\Overv�kingspolicyer konfigureres.

Du kan vise overv�kte hendelser i sikkerhetsloggen i Hendelsesliste. En bruker med denne tilgangen kan ogs� vise og t�mme sikkerhetsloggen.

Standard: Administratorer.PA�Endre milj�verdier for fastvare

Denne sikkerhetsinnstillingen bestemmer hvem som kan endre milj�verdier for fastvare. Milj�verdier for fastvare er innstillinger som er lagret i det permanente RAM-minnet p� ikke-x86-baserte datamaskiner. Effekten av innstillingen avhenger av prosessoren.

P� x86-baserte datamaskiner er innstillingen Siste fungerende konfigurasjon den eneste milj�verdien for fastvare som kan endres ved tilordning av denne brukerrettigheten, som bare b�r endres av systemet.

P� Itanium-baserte datamaskiner lagres oppstartsinformasjonen i det permanente RAM-minnet. Brukere m� v�re tilordnet denne brukerrettigheten for � kj�re Bootcfg.exe og for � endre innstillingen Standard operativsystem i Oppstart og Gjenoppretting i Systemegenskaper.

P� alle datamaskiner kreves denne brukerrettigheten for � installere eller oppgradere Windows.

Obs! Denne sikkerhetsinnstillingen p�virker ikke hvem som kan endre systemmilj�variablene og brukermilj�variablene som vises i kategorien Avansert i Systemegenskaper. Informasjon om hvordan du endrer disse variablene finner du under Slik legger du til eller endrer verdiene for milj�variabler.

Standard: Administratorer�Utf�r vedlikeholdsoppgaver p� volum

Denne sikkerhetsinnstillingen bestemmer hvilke brukere og grupper som kan kj�re vedlikeholdsoppgaver p� et volum, for eksempel ekstern defragmentering.

V�r oppmerksom n�r du tilordner denne brukerrettigheten. Brukere med denne brukerrettigheten kan utforske disker og utvide filer i minne som inneholder andre data. N�r de utvidede filene �pnes, kan det hende brukeren kan lese og endre dataene som er hentet.

Standard: Administratorer�Profiler enkel prosess

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan bruke verkt�y for ytelsesoverv�king til � overv�ke ytelsen til prosesser som ikke er systemprosesser.

Standard: Administratorer, Privilegerte brukere.�Profiler systemytelse

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan bruke verkt�y for ytelsesoverv�king til � overv�ke ytelsen til systemprosesser.

Standard: Administratorer

�Fjern datamaskin fra dokkingstasjon

Denne sikkerhetsinnstillingen bestemmer om en bruker kan koble fra en b�rbar datamaskin fra dokkingstasjonen uten � logge p�.

Hvis denne policyen aktiveres, m� brukeren logge seg p� f�r den b�rbare datamaskinen fjernes fra dokkingstasjonen. Hvis policyen deaktiveres, kan brukeren fjerne den b�rbare datamaskinen fra dokkingstasjonen uten � logge p�.

Standard: Administratorer, Privilegerte brukere, Brukere�Erstatt prosessniv�token

Denne sikkerhetsinnstillingen bestemmer hvilke brukerkontoer som kan kalle opp programgrensesnittet (API) CreateProcessAsUser(), slik at �n tjeneste kan starte en annen. Oppgaveplanlegging er et eksempel p� en prosess som bruker denne brukerrettigheten. Se Oversikt over Oppgaveplanlegging for mer informasjon om oppgaveplanlegging.

Standard: Nettverkstjeneste, Lokal tjeneste�Gjenopprett filer og kataloger

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan forbig� tillatelser for filer, kataloger, register og andre faste objekter ved gjenoppretting av sikkerhetskopierte filer og kataloger, og bestemmer hvilke brukere som kan angi en gyldig sikkerhetskontohaver som eier av et objekt.

Spesifikt er denne brukerrettigheten det samme som � gi f�lgende tillatelser til den aktuelle brukeren eller gruppen for alle filer og mapper i systemet:

Traverser mappe / kj�r fil

Skrive

Forsiktig!

Tilordning av denne brukerrettigheten kan utgj�re en sikkerhetsrisiko. I og med at brukere med denne brukerrettigheten kan overskrive registerinnstillinger, skjule data og ta eierskap over systemobjekter, m� brukerrettigheten tilordnes bare klarerte brukere.

Standard:

Arbeidsstasjoner og servere: Administratorer, Sikkerhetskopioperat�rer

Domenekontrollere: Administratorer, Sikkerhetskopioperat�rer, Serveroperat�rer�Sl� av systemet

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som er logget p� lokalt p� datamaskinen, som kan sl� av operativsystemet med kommandoen Sl� av. Feil bruk av denne brukerrettigheten kan f�re til tjenestenekt.

Standard p� arbeidsstasjoner: Administratorer, Sikkerhetskopioperat�rer, Brukere

Standard p� servere: Administratorer, Sikkerhetskopioperat�rer

Standard p� domenekontrollere: Administratorer, Sikkerhetskopioperat�rer, Serveroperat�rer, Skriveroperat�rer�Synkroniser data fra katalogtjenesten

Denne sikkerhetsinnstillingen bestemmer hvilke brukere og grupper som har myndighet til � synkronisere alle katalogtjenestedata. Dette kalles ogs� Active Directory-synkronisering.

Standard: Ingen.�Ta eierskap over filer eller andre objekter

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan ta eierskap over objekter som kan sikres i systemet, inkludert Active Directory-objekter, filer og mapper, skrivere, registern�kler, prosesser og tr�der.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgj�re en sikkerhetsrisiko. I og med at eiere av objekter har full kontroll over dem, b�r du tilordene denne brukerrettigheten bare til klarerte brukere.

Standard: Administratorer�Kontoer: Administrator-kontostatus

Denne sikkerhetsinnstillingen bestemmer om den lokale administratorkontoen skal aktiveres eller deaktiveres.

Obs!

Hvis du pr�ver � aktivere administratorkontoen igjen etter at den er deaktivert, og hvis det gjeldende administratorpassordet ikke tilfredsstiller kravene til passord, kan du ikke aktivere kontoen igjen. I dette tilfellet m� et annet medlem i administratorgruppen tilbakestille passordet for administratorkontoen. Se under Slik tilbakestiller du passord hvis du vil ha informasjon om hvordan du tilbakestiller et passord.

Deaktivering av administratorkontoen kan bli en vedlikeholdsoppgave under bestemte forhold.

Under oppstart i sikkermodus vil den deaktiverte administratorkontoen bare bli aktivert hvis maskinen ikke er sl�tt sammen med domenet, og hvis det ikke finnes andre aktive lokale administratorkontoer. Hvis datamaskinen er sl�tt sammen med domenet, aktiveres ikke den deaktiverte administratoren.

Standard: Deaktivert.�Kontoer: Gjestekontostatus

Denne sikkerhetsinnstillingen bestemmer om den gjestekontoen skal aktiveres eller deaktiveres.

Standard: Deaktivert.

Obs! Hvis gjestekontoen deaktiveres og sikkerhetsalternativet Nettverkstilgang: Delings- og sikkerhetsmodell for lokale kontoer angis til Bare gjest, vil nettverksp�logginger, for eksempel de som utf�res av Microsoft Network Server (SMB Service), mislykkes.]Kontoer: Begrens bruk av tomme passord for lokal konto til konsollp�logging

Denne sikkerhetsinnstillingen bestemmer om lokale kontoer som ikke er passordbeskyttede, kan brukes til p�logging fra andre steder enn den fysiske datamaskinkonsollen. Hvis innstillingen aktiveres, vil lokale kontoer som ikke er passordbeskyttede, bare v�re i stand til � logge p� fra datamaskinenes tastatur.

Standard: Aktivert

Advarsel!

Datamaskiner som ikke er p� fysisk sikre steder, b�r alltid bruke policyer for sterke passord for alle lokale brukerkontoer. Hvis ikke kan noen med fysisk tilgang til datamaskinen logge p� med en brukerkonto som ikke har passord. Dette er spesielt viktig for b�rbare datamaskiner.

Hvis du bruker denne policyen p� Alle-gruppen, vil ingen v�re i stand til � logge p� via Eksterne skrivebordstjenester.

Obs!

Denne innstillingen har ingen innvirkning p� p�logginger som bruker domenekontoer.

Programmer som bruker eksterne, interaktive p�logginger, kan forbig� denne innstillingen.

Obs! Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.�Kontoer: Gi nytt navn til administratorkonto

Denne sikkerhetsinnstillingen bestemmer om et annet kontonavn tilordnes sikkerhetsidentifikatoren (SID) for Administrator-kontoen. Det vil v�re litt vanskeligere for uautoriserte personer � gjette denne kombinasjonen av privilegert brukernavn og passord n�r den godt kjente Administrator-kontoen gis nytt navn.

Standard: AdministratorZKontoer: Gi nytt navn til gjestekonto

Denne sikkerhetsinnstillingen bestemmer om et annet kontonavn tilordnes sikkerhetsidentifikatoren (SID) for gjestekontoen. Det vil v�re litt vanskeligere for uautoriserte personer � gjette denne kombinasjonen av brukernavn og passord n�r den godt kjente gjestekontoen gis nytt navn.

Standard: Gjest

�Overv�k: Overv�k tilgangen til globale systemobjekter

Denne sikkerhetsinnstillingen bestemmer om tilgangen til globale systemobjekter skal overv�kes.

Hvis denne policyen aktiveres, vil det f�re til at systemobjekter, for eksempel mutexer, hendelser, semaforer og DOS-enheter, opprettes med en standard kontrolliste for systemtilgang (SACL). Bare navngitte objekter f�r tildelt en SACL. SACL tildeles ikke objekter uten navn. Hvis overv�kingspolicyen Overv�k objekttilgang ogs� aktiveres, overv�kes tilgang til disse systemobjektene.

Obs! Hvis du konfigurerer denne sikkerhetsinnstillingen, vil endringer ikke tre i kraft f�r Windows startes p� nytt.

Standard: Deaktivert�Overv�k: Overv�k bruk av sikkerhetskopierings- og gjenopprettingstillatelser

Denne sikkerhetsinnstillingen bestemmer om overv�king skal brukes av alle brukertilganger, inkludert sikkerhetskopiering og gjenoppretting, n�r policyen Overv�k bruk av privilegier er aktivert. Hvis alternativet aktiveres n�r policyen Overv�k bruk av privilegier ogs� er aktivert, genereres det en hendelse for hver fil som sikkerhetskopieres eller gjenopprettes.

Hvis du deaktiverer denne policyen, overv�kes ikke bruk av sikkerhetskopierings- eller gjenopprettingstilgang selv om Overv�k bruk av privilegier er aktivert.

Obs! Hvis du konfigurerer denne sikkerhetsinnstillingen i tidligere Windows-versjoner enn Windows Vista, trer ikke endringene i kraft f�r Windows startes p� nytt. Aktivering av denne innstillingen kan f�re til MANGE hendelser, noen ganger hundrevis per sekund, under en sikkerhetskopiering.

Standard: Deaktivert

Overv�k: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overv�kes

Denne sikkerhetsinnstillingen bestemmer om systemet skal sl�s av hvis sikkerhetshendelser ikke kan logges.

Hvis denne sikkerhetsinnstillingen aktiveres, f�r den systemet til � stoppe hvis en sikkerhetsoverv�king av en eller annen grunn ikke kan logges. En typisk situasjon er at en hendelse ikke blir logget n�r sikkerhetsoverv�kingsloggen er full og oppbevaringsmetoden som er angitt for sikkerhetsloggen er Ikke skriv over hendelser eller Skriv over hendelser etter dager.

Hvis sikkerhetsloggen er full, en eksisterende oppf�ring ikke kan skrives over og dette sikkerhetsalternativet aktiveres, vises f�lgende stoppfeil:

STOPP: C0000244 {Overv�king mislyktes}

Kan ikke utf�re en sikkerhetskontroll.

For � gjenopprette m� en administrator logge p�, arkivere loggen (valgfritt), t�mme loggen og tilbakestille dette alternativet som �nsket. Frem til denne sikkerhetsinnstillingen tilbakestilles kan ingen andre brukere enn medlemmer av administratorgruppen logge p� systemet, selv om sikkerhetsloggen ikke er full.

Obs! Hvis du konfigurerer denne sikkerhetsinnstillingen i tidligere Windows-versjoner enn Windows Vista, vil endringer ikke tre i kraft f�r Windows startes p� nytt.

Standard: Deaktivert.

:Enheter: Tillat frakobling uten � m�tte logge p�

Denne sikkerhetsinnstillingen bestemmer om en b�rbar datamaskin kan kobles fra uten � m�tte logge p�. Hvis denne policyen aktiveres, kreves ikke p�logging, og en utl�sningsknapp p� en ekstern maskinvare kan brukes til � koble fra datamaskinen. Hvis den deaktiveres, m� en bruker logge p� og ha tilgangen Fjern datamaskinen fra dokkingstasjon for � kunne koble fra datamaskinen.

Standard: Aktivert.

Forsiktig!

Deaktivering av denne policyen kan friste brukere til � pr�ve � fjerne den b�rbare datamaskinen fysisk fra sin dokking|stasjon med andre metoder enn utl�sningsknappen p� den eksterne maskinvaren. I og med at dette kan skade maskinvaren, b�r denne innstillingen generelt bare deaktiveres p� konfigurasjoner for b�rbare datamaskiner som er fysisk sikre.

jEnheter: Tillatt � formatere og l�se ut flyttbare medier

Denne sikkerhetsinnstillingen bestemmer hvem som skal ha tillatelse til � formatere og l�se ut flyttbare NTFS-medier. Denne egenskapen kan gis til:

Administratorer

Administratorer og Interaktive brukere

Standard: Denne policyen er ikke definert, og bare administratorer har denne muligheten.

�Enheter: Forhindre at brukere installerer skriverdrivere ved tilkobling til delte skrivere

Hvis det skal skrives ut fra en datamaskin til en delt skriver, m� driveren for den delte skriveren v�re installert p� den lokale datamaskinen. Denne sikkerhetsinnstillingen bestemmer hvem som skal ha tillatelse til � installere en skriverdriver som en del av tilkoblingen til en delt skriver. Hvis denne innstillingen er aktivert, kan bare administratorer installere en skriverdriver som en del av tilkoblingen til en delt skriver. Hvis denne innstillingen er deaktivert, kan alle brukere installere en skriverdriver som en del av tilkoblingen til en delt skriver.

Standard p� servere: Aktivert

Standard p� arbeidsstasjoner: Deaktivert

Obs!

Denne innstillingen har ingen innvirkning p� muligheten til � legge til en lokal skriver.

Denne innstillingen har ingen innvirkning for administratorer.

&Enheter: Begrens CD-ROM-tilgang til brukeren som er logget p� lokalt

Denne sikkerhetsinnstillingen bestemmer om en CD-ROM skal v�re tilgjengelig for b�de lokale og eksterne brukere samtidig.

Hvis denne policyen aktiveres, tillater den bare at interaktivt p�loggede brukere f�r tilgang til flyttbare CD-ROM-medier. Hvis denne policyen aktiveres og ingen er logget p� interaktivt, er det tilgang til CD-ROMen over nettverket.

Standard: Denne policyen er ikke definert, og CD-ROM-tilgang er ikke begrenset til den lokalt p�loggede brukeren.

6Enheter: Begrens diskettilgang til brukeren som er logget p� lokalt

Denne sikkerhetsinnstillingen bestemmer om en flyttbar diskett skal v�re tilgjengelig for b�de lokale og eksterne brukere samtidig.

Hvis denne policyen aktiveres, tillater den bare at interaktivt p�loggede brukere f�r tilgang til flyttbare diskettmedier. Hvis policyen aktiveres og ingen er logget p� interaktivt, er det tilgang til disketten over nettverket.

Standard: Denne policyen er ikke definert, og tilgang til diskettstasjon er ikke begrenset til den lokalt p�loggede brukeren.

�Enheter: Oppf�rsel ved installasjon av usignert driver

Denne sikkerhetsinnstillingen bestemmer hva som skal skje n�r det blir fors�kt � installere en enhetsdriver (ved hjelp av Installasjons-API) som ikke har blitt testet av Windows Hardware Quality Lab (WHQL).

F�lgende alternativer finnes:

Stille vellykket

Varsle, men tillat installasjon

Ikke tillat installasjon

Standard: Varsle, men tillat installasjon.

�Domenekontroller: La serveroperat�rer planlegge oppgaver

Denne sikkerhetsinnstillingen bestemmer om serveroperat�rer skal ha tillatelse til � sende jobber med funksjonen AT-planlegging.

Obs! Denne sikkerhetsinnstillingen p�virker bare funksjonen AT-planlegging. Den har ingen innvirkning p� funksjonen Oppgaveplanlegging.

Standard: Denne policyen er ikke definert, noe som betyr at systemet behandler den som deaktivert.

�Domenekontroller: Krav for signering p� LDAP-server

Denne sikkerhetsinnstillingen bestemmer om LDAP-serveren skal kreve at signering skal forhandles frem med LDAP-klienter, p� f�lgende m�te:

Ingen: Datasignering kreves ikke for � kunne binde til serveren. Hvis klienten ber om datasignering, st�tter serveren dette.

Krev signatur: Med mindre TLS\SSL blir brukt, m� alternativet for LDAP-datasignering forhandles frem.

Standard: Denne policyen er ikke definert, noe som har samme effekt som Ingen.

Forsiktig!

Hvis du angir serveren til Krev signatur, m� du ogs� angi klienten. Hvis du ikke angir klienten, vil tilkoblingen til serveren brytes.

Notater

Denne innstillingen har ikke noen innvirkning p� enkel LDAP-binding eller enkel LDAP-binding via SSL. Ingen Microsoft LDAP-klienter som leveres med Windows XP Professional bruker enkel LDAP-binding eller enkel LDAP-binding via SSL til � snakke med en domenekontroller.

Hvis signering kreves, avvises foresp�rsler om enkel LDAP-binding med mindre den er tilkoblet via en SSL- eller TLS LDAP-tilkobling. Ingen Microsoft LDAP-klienter som kj�rer serien Windows XP Professional eller Windows Server 2003, bruker enkel LDAP-binding eller enkel LDAP-binding via SSL til � binde til katalogtjeneste.

�Domenekontroller: Avsl� endringer i passord for maskinkonto

Denne sikkerhetsinnstillingen bestemmer om domenekontrollere skal avsl� foresp�rsler fra medlemsdatamaskiner om � endre passord for datamaskinkontoer. Som standard endres passordene for medlemsdatamaskinenes datamaskinkonto hver 30. dag. Hvis innstillingen aktiveres, vil domenekontrolleren avsl� foresp�rsler om endring av passord for datamaskinkontoer.

N�r innstillingen aktiveres, tillater den ikke at en domenekontroller godtar eventuelle endringer i passordet for en datamaskinkonto.

Standard: Denne policyen er ikke definert, noe som betyr at systemet behandler den som deaktivert.

Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid)

Denne sikkerhetsinnstillingen bestemmer om all sikker kanaltrafikk startet av domenekontrolleren m� signeres eller krypteres.

N�r en datamaskin f�yes til et domene, opprettes det en datamaskinkonto. Deretter brukes passordet for datamaskinkontoen til � opprette en sikker kanal med en domenekontroller for domenet etter at systemet har startet. Denne sikre kanalen brukes til � utf�re operasjoner som for eksempel godkjenning av NTLM-viderekobling, SID/navneoppslag fra LSA og s� videre.

Denne innstillingen bestemmer om all sikker kanaltrafikk som er startet av domenemedlemmet, tilfredsstiller minimumskravene for sikkerhet. Spesielt bestemmer den om all sikker kanaltrafikk startet av domenekontrolleren m� signeres eller krypteres. Hvis policyen aktiveres, vil ikke den sikre kanalen bli opprettet med mindre signering eller kryptering av all sikker kanaltrafikk forhandles frem. Hvis denne deaktiveres, vil kryptering og signering for all sikker kanaltrafikk bli forhandlet frem med domenekontrolleren, og da avhenger signerings- og krypteringsniv�et av domenekontrollerversjonen og innstillingene av f�lgende to policyer:

Domenemedlem: Krypter sikre kanaldata digitalt (n�r mulig)

Domenemedlem: Signer sikre kanaldata digitalt (n�r mulig)

Standard: Aktivert

Obs!

Hvis denne policyen aktiveres, antas det at policyen Domenemedlem: Signer sikre kanaldata digitalt (n�r mulig) aktiveres uavhengig av gjeldende innstilling. Det sikrer at domenemedlemmet fors�ker � forhandle frem minst signering av den sikre kanaltrafikken.

P�loggingsinformasjon som overf�res over den sikre kanalen, krypteres alltid uavhengig av om kryptering av ALL annen sikker kanaltrafikk er forhandlet frem eller ikke.

qDomenemedlem: Krypter sikre kanaldata digitalt (n�r mulig)

Denne sikkerhetsinnstillingen bestemmer om et domenemedlem skal fors�ke � forhandle frem kryptering av all sikker kanaltrafikk som det starter.

Denne innstillingen bestemmer om et domenemedlem skal fors�ke � forhandle frem kryptering av all sikker kanaltrafikk som det starter. Hvis den aktiveres, vil domenemedlemmet be om kryptering av all sikker kanaltrafikk. Hvis domenekontrolleren st�tter kryptering av all sikker kanaltrafikk, vil all sikker kanaltrafikk bli kryptert. Hvis ikke krypteres bare p�loggingsinformasjon som overf�res over den sikre kanalen. Hvis innstillingen deaktiveres, vil ikke domenekontrolleren fors�ke � forhandle frem kryptering av sikre kanaler.

Standard: Aktivert

Viktig!

Det er ingen �penbar grunn til � deaktivere denne innstillingen. I tillegg til un�dvendig reduksjon av det potensielle konfidensialitetsniv�et for den sikre kanalen kan denne innstillingen un�dig redusere gjennomstr�mmingen i den sikre kanalen fordi samtidige API-kall som bruker den sikre kanalen, bare er mulig n�r den sikre kanalen signeres eller krypteres.

Obs! Domenekontrollere er ogs� domenemedlemmer og oppretter sikre kanaler med andre domenekontrollere i samme domene og i klarerte domener.

Domenemedlem: Signer sikre kanaldata digitalt (n�r mulig)

Denne sikkerhetsinnstillingen bestemmer om et domenemedlem skal fors�ke � forhandle frem signering av all sikker kanaltrafikk som det starter.

Denne innstillingen bestemmer om et domenemedlem skal fors�ke � forhandle frem signering av all sikker kanaltrafikk som den starter. Hvis den aktiveres, vil domenemedlemmet be om signering av all sikker kanaltrafikk. Hvis domenekontrolleren st�tter signering av all sikker kanaltrafikk, vil all sikker kanaltrafikk bli signert, noe som f�rer til at den ikke kan tukles med ved overf�ring.

Standard: Aktivert

Obs!

Hvis policyen Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid) aktiveres, antas denne policyen � v�re aktivert uavhengig av gjeldende innstilling.

Domenekontrollere er ogs� domenemedlemmer og oppretter sikre kanaler med andre domenekontrollere i samme domene og i klarerte domener.

aDomenemedlem: Maksimal passordalder for maskinkonto

Denne sikkerhetsinnstillingen bestemmer hvor ofte et domenemedlem skal fors�ke � endre passordet for datamaskinkontoen.

Standard: 30 dager.

Viktig!

Denne innstillingen gjelder for Windows 2000-datamaskiner, men er ikke tilgjengelig via verkt�yene i sikkerhetskonfigurasjonsbehandling.

�Domenemedlem: Krev sterk �ktn�kkel (Windows 2000 eller senere)

Denne sikkerhetsinnstillingen bestemmer om 128-biters n�kkelstyrke skal kreves for krypterte data over sikre kanaler.

N�r en datamaskin f�yes til et domene, opprettes det en datamaskinkonto. Deretter brukes passordet for datamaskinkontoen til � opprette en sikker kanal med en domenekontroller innen domenet etter at systemet har startet. Denne sikre kanalen brukes til � utf�re operasjoner som for eksempel godkjenning av NTLM-viderekobling, SID/navneoppslag fra LSA og s� videre.

Innstillingen er avhengig av hvilken versjon av Windows som kj�rer p� domenekontrolleren som domenemedlemmet kommuniserer med, og innstillingene for disse parameterne:

Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid)

Domenemedlem: Krypter sikre kanaldata digitalt (n�r mulig)

En del av eller all informasjon som overf�res over den sikre kanalen, vil bli kryptert. Denne policyinnstillingen bestemmer om 128-biters n�kkelstyrke skal kreves for kryptert informasjon over sikre kanaler.

Hvis denne innstillingen aktiveres, vil ikke den sikre kanalen bli opprettet med mindre 128-biters kryptering kan utf�res. Hvis innstillingen deaktiveres, blir n�kkelstyrken forhandlet frem med domenekontrolleren.

Standard: Aktivert

Viktig!

For � kunne dra nytte av denne policyen p� arbeidsstasjoner og servere som er medlemmer, m� alle domenekontrollere som utgj�r medlemmenes domene, kj�re Windows 2000 eller senere.

For � kunne dra nytte av denne policyen p� domenekontrollere, m� alle domenekontrollere i samme domene, og i tillegg alle klarerte domener, kj�re Windows 2000 eller senere.

�Domenemedlem: Deaktiver endring av passord for datamaskinkonto

Bestemmer om det regelmessig skal endres passord for datamaskinkontoen til et domenemedlem. Hvis denne innstillingen aktiveres, fors�ker ikke domenemedlemmet � endre passordet for datamaskinkontoen. Hvis denne innstillingen deaktiveres, fors�ker domenemedlemmet � endre passordet for datamaskinkontoen, slik det er angitt i innstillingen for Domenemedlem: Maksimal passordalder for maskinkonto, som er 30 dager som standard.

Standard: Deaktivert.

Obs!

Denne sikkerhetsinnstillingen b�r ikke v�re aktivert. Passord for datamaskinkontoer brukes til � opprette kommunikasjon over sikre kanaler mellom medlemmer og domenekontrollere og, innen domenet, mellom domenekontrollerne selv. N�r den sikre kanalen er opprettet, brukes den til � overf�re sensitive opplysninger som er n�dvendig for � ta avgj�relser i forbindelse med godkjenning og autorisasjon.

Denne innstillingen b�r ikke brukes i et fors�k p� � st�tte dobbeltoppstart som bruker samme datamaskinkonto. Hvis du vil bruke dobbeltoppstart for to installasjoner som er f�yd sammen til samme domene, gir du de to installasjonene forskjellige datamaskinnavn.JInteraktiv p�logging: Ikke vis sist p�logget

Denne sikkerhetsinnstillingen bestemmer om Windows-p�loggingsskjermbildet viser brukernavnet til den siste personen som logget p� PC-en.

Hvis denne policyen er aktivert, vises ikke brukernavnet.

Hvis denne policyen er deaktivert, vises brukernavnet.

Standard: Deaktivert.

Interaktiv p�logging: Ikke krev Ctrl+Alt+DEL

Denne sikkerhetsinnstillingen angir om brukere m� trykke Ctrl+Alt+DEL f�r de kan logge p�.

Hvis denne policyen er aktivert p� en datamaskin, trenger ikke brukere � trykke Ctrl+Alt+DEL for � logge p�. Hvis det ikke er n�dvendig � trykke Ctrl+Alt+DEL, vil brukere v�re mottakelige for angrep som fors�ker � snappe opp passord. Krav om at brukere skal trykke Ctrl+Alt+DEL f�r de logger p�, sikrer at de kommuniserer ved hjelp av klarerte baner n�r de skriver inn passord.

Hvis denne policyen deaktiveres, m� alle brukere trykke Ctrl+Alt+DEL f�r de logger p� Windows.

Standard p� domenedatamaskiner: Aktivert: Minst Windows 8. Deaktivert: Windows 7 eller tidligere.

Standard p� frittst�ende datamaskiner: Aktivert.

�Interaktiv p�logging: Meldingstekst for brukere som fors�ker � logge p�

Denne sikkerhetsinnstillingen angir en tekstmelding som vises til brukere n�r de logger p�.

Teksten brukes ofte av rettslige grunner, for eksempel for � varsle en bruker om betydningen av � misbruke opplysninger om selskapet eller advare om at handlinger som utf�res, blir overv�ket.

Standard: Ingen melding

,Interaktiv p�logging: Meldingstittel for brukere som fors�ker � logge p�

Denne sikkerhetsinnstillingen gj�r det mulig � angi en tittel som skal vises i tittellinjen til vinduet som inneholder Interaktiv p�logging: Meldingstittel for brukere som fors�ker � logge p�.

Standard: Ingen melding.

�Interaktiv p�logging: Antall tidligere p�logginger som skal bufres (i tilfelle domenekontroller ikke er tilgjengelig)

Alle unike brukeres p�loggingsinformasjon bufres lokalt slik at brukerne kan logge p� selv om en domenekontroller ikke er tilgjengelig ved senere p�loggingsfors�k. Den bufrede p�loggingsinformasjonen blir lagret fra foreg�ende p�loggings�kt. Hvis en domenekontroller er utilgjengelig og en brukers p�loggingsinformasjon ikke hurtigbufres, blir brukeren bedt om denne meldingen:

Det finnes ingen tilgjengelige p�loggingsservere for � behandle p�loggingsforesp�rselen.

I denne policyinnstillingen, blir p�loggingsbufring deaktivert n�r verdien er 0. Alle verdier over 50 bufrer bare 50 p�loggingsfors�k. Windows st�tter opptil 50 bufferoppf�ringer, og antall oppf�ringer per bruker avhenger av legitimasjonen. P� et Windows-system kan det for eksempel bufres maksimalt 50 unike brukerkontoer med passord, men bare 25 brukerkontoer med smartkort ettersom b�de passord- og smartkortinformasjonen lagres. N�r en bruker med bufret p�loggingsinformasjon logger p� igjen, erstattes brukerens individuelt bufrede informasjon.

Standard:

Windows Server 2008: 25

Se andre versjoner: 10

Interaktiv p�logging: Be bruker om � endre passord f�r det utl�per

Bestemmer hvor lang tid i forveien (i dager) brukere blir varslet om at passordet snart utl�per. Med dette forh�ndsvarselet har brukeren tid til � lage et nytt passord som er sterkt nok.

Standard: 14 dager.

�Interaktiv p�logging: Krev godkjenning av domenekontroller for � l�se opp arbeidsstasjonen

P�loggingsinformasjon m� gis for � l�se opp en l�st datamaskin. For domenekontoer bestemmer denne sikkerhetsinnstillingen om en domenekontroller m� kontaktes for � l�se opp en datamaskin. Hvis denne innstillingen deaktiveres, kan brukere l�se opp datamaskinen med bufret legitimasjon. Hvis innstillingen aktiveres, m� en domenekontroller godkjenne domenekontoen som brukes til � l�se opp datamaskinen.

Standard: Aktivert.

Viktig!

Denne innstillingen gjelder Windows 2000-datamaskiner, men er ikke tilgjengelig via verkt�yene i sikkerhetskonfigurasjonsbehandling.

�Interaktiv p�logging: Krev Windows Hello for bedrifter eller smartkort

Denne sikkerhetsinnstillingen krever at brukere logger p� en enhet med Windows Hello for bedrifter eller et smartkort.

Alternativene er:

Aktivert: Brukere kan bare logge p� enheten med Windows Hello for bedrifter eller et smartkort.

Deaktivert eller ikke konfigurert: Brukere kan logge p� enheten med en annen metode.

Viktig!

Denne innstillingen gjelder for Windows 2000-datamaskiner, men er ikke tilgjengelig via verkt�yene i sikkerhetskonfigurasjonsbehandling.

Krav til � bruke p�logging med Windows Hello for bedrifter st�ttes ikke p� Windows 10 v1607 eller tidligere.

�Interaktiv p�logging: Virkem�te ved fjerning av smartkort

Denne sikkerhetsinnstillingen bestemmer hva som skjer n�r smartkortet til en p�logget bruker fjernes fra smartkortleseren.

F�lgende alternativer finnes:

Ingen handling

L�s arbeidsstasjon

Fremtving avlogging

Koble fra hvis det er en �kt for Eksterne skrivebordstjenester

Hvis du klikker L�s arbeidsstasjon i dialogboksen Egenskaper for denne policyen, l�ses arbeidsstasjonen n�r smartkortet tas ut, slik at brukeren kan forlate omr�det, ta med seg smartkortet og fremdeles beholde en beskyttet �kt.

Hvis du klikker Fremtving avlogging i dialogboksen Egenskaper for denne policyen, logges brukeren automatisk av n�r smartkortet tas ut.

Hvis du klikker Koble fra hvis det er en �kt for Eksterne skrivebordstjenester, kobles �kten fra uten � logge av brukeren hvis smartkortet tas ut. Det gir brukeren mulighet til � sette inn smartkortet og fortsette �kten senere eller p� en annen datamaskin som er utstyrt med smartkortleser, uten � logge p� igjen. Hvis �kten er lokal, fungerer denne policyen p� samme m�te som L�s arbeidsstasjon.

Obs! Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.

Standard: Denne policyen er ikke definert, noe som betyr at systemet behandler den som Ingen handling.

P� Windows Vista og senere: Hvis denne innstillingen skal fungere, m� tjenesten Smart Card Removal Policy v�re startet.

q Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid)

Denne sikkerhetsinnstillingen bestemmer om pakkesignering kreves av SMB-klientkomponenten.

SMB-protokollen (Server Message Block) gir grunnlag for Microsoft fil- og skriverdeling og mange andre nettverksoperasjoner, for eksempel fjernadministrasjon av Windows. For � hindre angrep fra personer som endrer SMB-pakker mens de er under transport, st�tter SMB-protokollen digital signering av SMB-pakker. Denne policyinnstillingen bestemmer om signering av SMB-pakker m� forhandles frem f�r det tillates ytterligere kommunikasjon med en SMB-server.

Hvis denne innstillingen aktiveres, vil ikke Microsoft-nettverksklienten kommunisere med en Microsoft-nettverksserver hvis serveren ikke godtar � utf�re SMB-pakkesignering. Hvis denne policyen deaktiveres, forhandles det frem SMB-pakkesignering mellom klienten og serveren.

Standard: Deaktivert.

Viktig

For at denne policyen skal tre i kraft p� datamaskiner som kj�rer Windows 2000, m� ogs� pakkesignering p� klientsiden aktiveres. Hvis du vil aktivere SMB-pakkesignering p� klientsiden m� du angi Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det).

Merknader

Alle Windows-operativsystemer st�tter b�de en SMB-komponent p� klientsiden og en SMB-komponent p� serversiden. I Windows 2000 og senere operativsystemer kan du aktivere eller kreve at pakken for komponentene for SMB-signering p� klient- og serversiden skal styres av f�lgende fire policyinnstillinger:

Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid) Kontrollerer om SMB-komponenten p� klientsiden krever pakkesignering.

Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det) Kontrollerer om SMB-komponenten p� klientsiden har aktivert pakkesignering.

Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid) Kontrollerer om SMB-komponenten p� serversiden krever pakkesignering.

Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det) Kontrollerer om SMB-komponenten p� serversiden har aktivert pakkesignering.

SMB-pakkesignering kan redusere ytelsen for SMB betydelig, avhengig av dialektversjon, operativsystemversjon, filst�rrelser, funksjoner for prosessoravlasting og I/U-virkem�ter for programmet.

Hvis du vil ha mer informasjon, se: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det)

Denne sikkerhetsinnstillingen bestemmer om SMB-klienten pr�ver � forhandle om signering av SMB-pakke.

SMB-protokollen (Server Message Block) gir grunnlag for Microsoft fil- og skriverdeling og mange andre nettverksoperasjoner, for eksempel fjernadministrasjon av Windows. Hvis du vil hindre mellommannbaserte angrep som endrer SMB-pakker i transitt, st�tter SMB-protokollen digital signering av SMB-pakker. Denne policyinnstillingen bestemmer om SMB-klientkomponenten pr�ver � forhandle om SMB-pakkesignering n�r den kobler til en SMB-server.

Hvis denne innstillingen aktiveres, ber Microsoft-nettverksklienten serveren om � utf�re SMB-pakkesignering ved konfigurasjon av �kt. Hvis pakkesignering er aktivert p� serveren, forhandles pakkesignering. Hvis denne policyen deaktiveres, vil MB-klienten aldri forhandle om signering av SMB-pakke.

Standard: Aktivert.

Merknader

Alle Windows-operativsystemer st�tter b�de en SMB-komponent p� klientsiden og en SMB-komponent p� serversiden. Hvis du aktiverer eller krever at pakken for SMB-komponentene p� klient-og serversiden i Windows 2000 og senere styres av f�lgende fire policyinnstillinger:

Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid) Kontrollerer om SMB-komponenten p� klientsiden krever pakkesignering.

Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det) Kontrollerer om SMB-komponenten p� klientsiden har aktivert pakkesignering.

Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid) Kontrollerer om SMB-komponenten p� serversiden krever pakkesignering.

Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det) Kontrollerer om SMB-komponenten p� serversiden har aktivert pakkesignering.

Hvis SMB-signering b�de p� klient- og serversiden er aktivert, og klienten oppretter en SMB 1.0-tilkobling til serveren, SMB-signering blir fors�kt.

SMB-pakkesignering kan redusere ytelsen for SMB betydelig, avhengig av dialektversjon, operativsystemversjon, filst�rrelser, funksjoner for prosessoravlasting og I/U-virkem�ter for programmet. Denne innstillingen gjelder bare for SMB 1.0-tilkoblinger.

Hvis du vil mer informasjon, se: https://go.microsoft.com/fwlink/?LinkID=787136.

�Microsoft nettverksklient: Send ukryptert passord til tredjeparts SMB-servere

Hvis denne sikkerhetsinnstillingen aktiveres, f�r SMB-omadressereren (SMB = servermeldingsblokk) tillatelse til � sende passord i ren tekst til ikke-Microsoft SMB-servere som ikke st�tter passordkryptering under godkjenning.

Sending av ukrypterte passord er en sikkerhetsrisiko.

Standard: Deaktivert.Microsoft nettverksserver: Inaktiv tid n�dvendig f�r �kten frakobles

Denne sikkerhetsinnstillingen bestemmer hvor lang sammenhengende tid uten aktivitet som m� g� i en SMB-�kt (SMB = servermeldingsblokk) f�r �kten avbrytes p� grunn av inaktivitet.

Administratorer kan bruke denne policyen til � bestemme n�r en datamaskin skal avbryte en inaktiv SMB-�kt. Hvis klientaktiviteten gjenopptas, opprettes �kten automatisk p� nytt.

For denne policyen betyr verdien 0 at en �kt uten aktivitet skal kobles fra s� raskt som mulig. Maksimumsverdien er 99999, som er 208 dager, en verdi som i praksis er en deaktivering av policyen.

Standard: Denne policyen er ikke definert, noe som betyr at systemet behandler den som 15 minutter for servere og udefinert for arbeidsstasjoner.

�Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid)

Denne sikkerhetsinnstillingen bestemmer om pakkesignering kreves av SMB-serverkomponent.

SMB-protokollen (Server Message Block) gir grunnlag for Microsoft fil- og skriverdeling og mange andre nettverksoperasjoner, for eksempel fjernadministrasjon av Windows. Hvis du vil forhindre mellommannbaserte angrep som endrer SMB-pakker i transitt, st�tter SMB-protokollen digital signering av SMB-pakker. Denne policyinnstillingen bestemmer om SMB-pakkesignering m� forhandles f�r videre kommunikasjon med en SMB-klient er tillatt.

Hvis denne innstillingen aktiveres, vil ikke Microsoft-nettverksserver kommunisere med en Microsoft-nettverksklient med mindre denne klienten godtar det for � utf�re SMB-pakkesignering. Hvis denne innstillingen deaktiveres, forhandles SMB-pakkesignering mellom klienten og serveren.

Standard:

Deaktivert for medlemsservere.

Aktivert for domenekontrollere.

Merknader

Alle Windows-operativsystemer st�tter b�de en SMB-komponent p� klientsiden og en SMB-komponent p� serversiden. Hvis du aktiverer eller krever at pakken for komponentene for SMB-signering p� klient- og serversiden i Windows 2000 and senere styres av f�lgende fire policyinnstillinger:

Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid) kontrollerer om SMB-komponenten p� klientsiden krever pakkesignering.

Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det) Kontrollerer om SMB-komponenten p� klientsiden har aktivert pakkesignering.

Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid) Kontrollerer om SMB-komponenten p� serversiden krever pakkesignering.

Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det) Kontrollerer om SMB-komponenten p� serversiden har aktivert pakkesignering.

Hvis SMB-signering p� klientsiden p� samme m�te kreves, vil ikke denne klienten kunne ikke opprette en �kt med servere som ikke har aktivert pakkesignering. Som standard er SMB-signering p� serversiden aktivert bare p� domenekontrollere.

Hvis SMB-signering p� serversiden er aktivert, forhandles SMB-pakkesignering med klienter som har aktivert SMB-signering p� klientsiden.

SMB-pakkesignering kan redusere ytelsen for SMB betydelig, avhengig av dialektversjon, operativsystemversjon, filst�rrelser, funksjoner for prosessoravlasting og I/U-virkem�ter for programmet.

Viktig

For at denne policyen skal tre i kraft p� datamaskiner som kj�rer Windows 2000, m� ogs� pakkesignering p� serversiden aktiveres. Angi f�lgende policy for � aktivere SMB pakkesignering p� serversiden:

Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis serveren godtar det)

For at Windows 2000-servere skal forhandle frem signering med Windows NT 4.0-klienter, m� f�lgende registerverdi settes til 1 p� Windows 2000-serveren:

HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Hvis du vil mer informasjon, se: https://go.microsoft.com/fwlink/?LinkID=787136.

Y
Microsoft nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det)

Denne sikkerhetsinnstillingen bestemmer om SMB-serveren vil forhandle om SMB-pakkesignering med klienter som krever det.

SMB-protokollen (Server Message Block) gir grunnlag for Microsoft fil- og skriverdeling og mange andre nettverksoperasjoner, for eksempel fjernadministrasjon av Windows. Hvis du vil hindre mellommannbaserte angrep som endrer SMB-pakker i transitt, st�tter SMB-protokollen digital signering av SMB-pakker. Denne policyinnstillingen bestemmer om SMB-serveren vil forhandle om SMB-pakkesignering n�r en SMB-klient ber om det.

Hvis denne innstillingen aktiveres, vil Microsoft-nettverksserver forhandle om SMB-pakkesignering som forespurt av klienten. Det vil si at hvis pakkesignering er aktivert p� klienten, forhandles pakkesignering. Hvis denne policyen deaktiveres, vil SMB-klienten aldri forhandle om signering av SMB-pakke.

Standard: aktivert p� domenekontrollere bare.

Viktig

For at Windows 2000-servere skal forhandle frem signering med Windows NT 4.0-klienter, m� du sette f�lgende registerverdi til 1 p� serveren som kj�rer Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Merknader

Alle Windows-operativsystemer st�tter b�de en SMB-komponent p� klientsiden og en SMB-komponent p� serversiden. Hvis du aktiverer eller krever at pakken for komponentene for SMB-signering p� klient- og serversiden for Windows 2000 og senere styres av f�lgende fire policyinnstillinger:

Microsoft nettverksklient: Signer kommunikasjon digitalt (alltid) kontrollerer om SMB-komponenten p� klientsiden krever pakkesignering.

Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis server godtar) kontrollerer om SMB-komponenten p� klientsiden har aktivert pakkesignering.

Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid) kontrollerer om SMB-komponenten p� serversiden krever pakkesignering.

Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det) kontrollerer om SMB-komponenten p� serversiden har aktivert pakkesignering.

Hvis SMB-signering b�de p� klient- og serversiden er aktivert, og klienten oppretter en SMB 1.0-tilkobling til serveren, SMB-signering blir fors�kt.

Hvis du vil ha mer informasjon, se: https://go.microsoft.com/fwlink/?LinkID=787136.

PA�Microsoft nettverksserver: Logg av brukere n�r p�loggingstiden utl�per

Denne sikkerhetsinnstillingen bestemmer om brukere som er koblet til den lokale datamaskinen til andre tider enn brukerkontoens gyldige p�loggingstider, skal kobles fra. Denne innstillingen har innvirkning p� SMB-komponenten (SMB = servermeldingsblokk).

Hvis denne policyen aktiveres, vil klient�kter med SMB-tjenesten bli tvunget til � koble fra n�r klientens p�loggingstid utl�per.

Hvis denne policyen deaktiveres, kan en opprettet klient�kt opprettholdes etter at klientens p�loggingstid har utl�pt.

Standard p� Windows Vista og senere: Aktivert

Standard p� Windows XP: Deaktivert

�Nettverkstilgang: Tillat anonym SID/navneoversetting

Denne policyinnstillingen bestemmer om en anonym bruker kan be om sikkerhetsidentifikatorattributter (SID-attributter) for en annen bruker.

Hvis policyen aktiveres, kan en anonym bruker be om SID-attributtet for en annen bruker. En anonym bruker med kjennskap til en administrators SID kan kontakte en datamaskin der denne policyen er aktivert, og bruke SIDen til � hente administratorens navn. Denne innstillingen p�virker b�de oversettingen fra SID til navn og fra navn til SID.

Hvis denne policyinnstillingen deaktiveres, kan ikke en anonym bruker be om SID-attributtet for en annen bruker.

Standard p� arbeidsstasjoner og medlemsservere: Deaktivert.

Standard p� domenekontrollere som kj�rer Windows Server 2008 eller senere: Deaktivert.

Standard p� domenekontrollere som kj�rer Windows Server 2003 R2 eller tidligere: Aktivert.�Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer

Denne sikkerhetsinnstillingen bestemmer hvilke andre tillatelser som skal gis til anonyme tilkoblinger til datamaskinen.

I Windows kan anonyme brukere utf�re noen handlinger, for eksempel � liste opp navnene p� domenekontoer og delte nettverksressurser. Dette kan for eksempel v�re nyttig n�r en administrator vil gi tilgang til brukere i et klarert domene som ikke har en gjensidig klarering.

Med dette sikkerhetsalternativet kan du angi ytterligere begrensninger for anonyme tilkoblinger p� f�lgende m�te:

Aktivert: Ikke tillat opplisting av SAM-kontoer. Dette alternativet erstatter Alle med Godkjente brukere i sikkerhetstillatelsene for ressurser.

Deaktivert: Ingen andre begrensninger. Bruk standardtillatelser.

Standard p� arbeidsstasjoner: Aktivert

Standard p� server: Aktivert

Viktig!

Denne policyen har ingen innvirkning p� domenekontrollere.

WNettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser

Denne sikkerhetsinnstillingen bestemmer om anonym opplisting av SAM-kontoer og -ressurser skal v�re tillatt.

I Windows kan anonyme brukere utf�re bestemte handlinger, for eksempel � nummerere navnene p� domenekontoer og delte nettverksressurser. Dette kan for eksempel v�re nyttig n�r en administrator vil gi tilgang til brukere i et klarert domene som ikke har en gjensidig klarering. Hvis du ikke vil tillate anonym opplisting av SAM-kontoer og -ressurser, aktiverer du denne policyen.

Standard: Deaktivert.

�Nettverkstilgang: Ikke tillat lagring av passord og legitimasjon for nettverksgodkjenning

Denne sikkerhetsinnstillingen bestemmer om legitimasjonsbehandlingen lagrer passord og legitimasjon for senere bruk n�r domenegodkjenning oppn�s.

Hvis du aktiverer denne innstillingen, lagres ikke passord og legitimasjon i legitimasjonsbehandlingen p� datamaskinen.

Hvis du deaktiverer eller ikke konfigurerer denne policyinnstillingen, lagres passord og legitimasjon i legitimasjonsbehandlingen p� denne datamaskinen for senere bruk i domenegodkjenning.

Obs! N�r du konfigurerer denne sikkerhetsinnstillingen, vil ikke endringene tre i kraft f�r du har startet Windows p� nytt.

Standard: Deaktivert.

!Nettverkstilgang: La Alle-tillatelser gjelde for anonyme brukere

Denne sikkerhetsinnstillingen bestemmer hvilke tilleggstillatelser som er gitt for anonyme tilkoblinger til datamaskinen.

Windows tillater anonyme brukere � utf�re visse aktiviteter, som � liste opp navnene p� domenekontoer og delte nettverksressurser. Dette er praktisk, for eksempel n�r en administrator vil gi tilgang til brukere i et klarert domene som ikke opprettholder et gjensidig klareringsforhold. Som standard fjernes sikkerhetsidentifikatoren (SID) Alle fra tokenet som er opprettet for anonyme tilkoblinger. Tillatelser som er gitt til gruppen Alle, gjelder derfor ikke anonyme brukere. Hvis dette alternativet er angitt, har en anonym bruker bare tilgang til de ressursene som anonyme brukere eksplisitt er gitt tillatelser for.

Hvis denne policyen er aktivert, legges SIDen Alle til i tokenet som opprettes for anonyme tilkoblinger. I dette tilfellet har anonyme brukere tilgang til alle ressurser som Alle-gruppen er gitt tillatelser for.

Standard: Deaktivert.

�Nettverkstilgang: Navngitte datakanaler som kan �pnes anonymt

Denne sikkerhetsinnstillingen bestemmer hvilke kommunikasjons�kter (datakanaler) som skal ha attributter og tillatelser som tillater anonym tilgang.

Standard: Ingen.

�Nettverkstilgang: Registerbaner som kan �pnes eksternt

Denne sikkerhetsinnstillingen bestemmer hvilke registern�kler det er tilgang til over nettverket, uansett hvilke brukere eller grupper som er angitt i tilgangskontrollisten (ACL) i registern�kkelen winreg.

Standard:

System\CurrentControlSet\Control\ProductOptions

System\CurrentControlSet\Control\Server Applications

Software\Microsoft\Windows NT\CurrentVersion

Forsiktig!

Hvis du gj�r feil under redigering av registret, kan dette f�re til alvorlige feil p� maskinen. F�r du gj�r endringer i registret, b�r du ta sikkerhetskopi av viktige data p� maskinen.

Obs! Denne sikkerhetsinnstillingen er ikke tilgjengelig i tidligere versjoner av Windows. Sikkerhetsinnstillingen som vises p� datamaskiner som kj�rer Windows XP, Nettverkstilgang: Registerbaner som kan �pnes eksternt, tilsvarer sikkerhetsalternativet Nettverkstilgang: Registerbaner og underbaner som kan �pnes eksternt, i medlemmer av Windows Server 2003-serien. Se Nettverkstilgang: Registerbaner og underbaner som kan �pnes eksternt for mer informasjon.

Standard:

System\CurrentControlSet\Control\ProductOptions

System\CurrentControlSet\Control\Server Applications

Software\Microsoft\Windows NT\CurrentVersionSNettverkstilgang: Registerbaner og underbaner som kan �pnes eksternt

Denne sikkerhetsinnstillingen bestemmer hvilke registerbaner og underbaner det er tilgang til over nettverket, uansett hvilke brukere eller grupper som er angitt i tilgangskontrollisten (ACL) i registern�kkelen winreg.

Standard:

System\CurrentControlSet\Control\Print\Printers

System\CurrentControlSet\Services\Eventlog

Software\Microsoft\OLAP Server

Software\Microsoft\Windows NT\CurrentVersion\Print

Software\Microsoft\Windows NT\CurrentVersion\Windows

System\CurrentControlSet\Control\ContentIndex

System\CurrentControlSet\Control\Terminal Server

System\CurrentControlSet\Control\Terminal Server\UserConfig

System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration

Software\Microsoft\Windows NT\CurrentVersion\Perflib

System\CurrentControlSet\Services\SysmonLog

System\CurrentControlSet\Services\CertSvc

System\CurrentControlSet\Services\Wins

Forsiktig!

Hvis du gj�r feil under redigering av registret, kan dette f�re til alvorlige feil p� maskinen. F�r du gj�r endringer i registret, b�r du ta sikkerhetskopi av viktige data p� maskinen.

Obs! I Windows XP het denne sikkerhetsinnstillingen Nettverkstilgang: Registerbaner som kan �pnes eksternt. Hvis du konfigurerer innstillingen p� et medlem av Windows Server 2003-serien som er med i et domene, blir innstillingen arvet av datamaskiner som kj�rer Windows XP, men vises som sikkerhetsalternativet Nettverkstilgang: Registerbaner som kan �pnes eksternt. Se Nettverkstilgang: Registerbaner og underbaner som kan �pnes eksternt for mer informasjon.

dNettverkstilgang: Begrens anonym tilgang til navngitte datakanaler og ressurser

N�r den er aktivert, begrenser denne sikkerhetsinnstillingen anonym tilgang til ressurser og datakanaler til innstillingene for:

Nettverkstilgang: Navngitte datakanaler som kan �pnes anonymt

Nettverkstilgang: Delte omr�der som kan �pnes anonymt

Standard: Aktivert.

�Nettverkstilgang: Delte omr�der som kan �pnes anonymt

Denne sikkerhetsinnstillingen bestemmer hvilke nettverksressurser anonyme brukere har tilgang til.

Standard: Ingen angitt.

�Nettverkstilgang: Delings- og sikkerhetsmodell for lokale kontoer

Denne sikkerhetsinnstillingen bestemmer hvordan nettverksp�logginger med lokale kontoer godkjennes. Hvis innstillingen settes til Klassisk, blir nettverksp�logginger som bruker den lokale kontoens legitimasjon, godkjent med denne legitimasjonen. Klassisk-modellen gir detaljert kontroll over ressurstilgang. Ved hjelp av Klassisk-modellen kan du gi forskjellige brukere forskjellig tilgang til samme ressurs.

Hvis denne innstillingen settes til Bare gjest, blir nettverksp�logginger som bruker lokale kontoer, automatisk tilordnet gjestekontoen. Med gjestemodellen kan du s�rge for at alle brukere behandles likt. Alle brukere godkjennes som gjest, og alle f�r samme tilgangsniv� til en gitt ressurs, som kan v�re enten Skrivebeskyttet eller Endre.

Standard p� domenedatamaskiner: Klassisk

Standard p� frittst�ende datamaskiner: Bare gjest

Viktig!

Med Bare gjest-modellen kan enhver bruker som har tilgang til datamaskinen din over nettverket (inkludert anonyme Internett-brukere), �pne dine delte ressurser. Du m� bruke Brannmur for Internett-tilkobling eller annen lignende funksjonalitet for � beskytte datamaskinen mot uautorisert tilgang. P� samme m�te m� lokale kontoer passordbeskyttes hvis du bruker Klassisk-modellen, ellers kan enhver bruke disse brukerkontoene for � f� tilgang til delte systemressurser.

Obs!

Denne innstillingen p�virker ikke interaktive p�logginger som utf�res eksternt ved hjelp av tjenester som Telnet eller Eksterne skrivebordstjenester

Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.

Denne policyen vil ikke ha noen innvirkning p� datamaskiner som kj�rer Windows 2000.

N�r datamaskinen ikke er med i et domene, endrer denne innstillingen ogs� kategorien Deling og sikkerhet i Filutforsker slik at den samsvarer med modellen for deling og sikkerhet som er i bruk.

eNettverkssikkerhet: Fremtving avlogging n�r p�loggingstiden utl�per

Denne sikkerhetsinnstillingen bestemmer om brukere skal kobles fra hvis de er tilkoblet den lokale datamaskinen utenfor gyldig p�loggingstid for brukerkontoen. Denne innstillingen p�virker SMB-komponenten (Server Message Block).

N�r denne policyen er aktivert, fremtvinger den frakobling av klient�kter mot SMB-serveren n�r klientens p�loggingstid utl�per.

Hvis denne policyen er deaktivert, tillates en klient�kt opprettholdt etter at klientens p�loggingstid er utl�pt.

Standard: Aktivert.

Obs! Denne sikkerhetsinnstillingen fungerer som en kontopolicy. En domenekonto kan bare ha �n kontopolicy. Kontopolicyen m� defineres som standard domenepolicy og blir h�ndhevet av domenekontrollene som utgj�r domenet. En domenekontroller henter alltid kontopolicyen fra gruppepolicyobjektet (GPO) for standard domenepolicy selv om det brukes en annen kontopolicy p� organisasjonsenheten som inneholder domenekontrolleren. Som standard mottar arbeidsstasjoner og servere som er med i et domene, ogs� samme kontopolicy for sine lokale kontoer. Lokale kontopolicyer for medlemsdatamaskiner i domenet kan imidlertid skille seg fra domenekontopolicyen ved at de definerer en kontopolicy for organisasjonsenheten som inneholder medlemsdatamaskinene. Kerberos-innstillinger brukes ikke p� medlemsdatamaskiner.

�Nettverkssikkerhet: LAN Manager-godkjenningsniv�

Denne sikkerhetsinnstillingen bestemmer hvilken godkjenningsprotokoll med foresp�rsel/svar som skal brukes for nettverksp�logging. Dette valget p�virker niv�et p� godkjenningsprotokollen som brukes av klienter, niv�et p� �ktsikkerheten som fremforhandles og godkjenningsniv�et som godtas av serverne, p� denne m�ten:

Send LM- og NTLM-svar: Klienter bruker LM- og NTLM-godkjenning og bruker aldri NTLMv2-�ktsikkerhet; domenekontrollere godtar LM- og NTLM- og NTLMv2-godkjenning.

Send LM og NTLM - bruk NTLMv2-�ktsikkerhet hvis forhandlet: Klienter bruker LM- og NTLM-godkjenning og bruker NTLMv2-�ktsikkerhet hvis serveren st�tter det; domenekontrollere godtar LM- og NTLM- og NTLMv2-godkjenning.

Bare send NTLM-svar: Klienter bruker bare NTLM-godkjenning og bruker NTLMv2-�ktsikkerhet hvis serveren st�tter det; domenekontrollere godtar LM- og NTLM- og NTLMv2-godkjenning.

Bare send NTLMv2-svar: Klienter bruker bare NTLMv2-godkjenning og bruker NTLMv2-�ktsikkerhet hvis serveren st�tter det; domenekontrollere godtar LM- og NTLM- og NTLMv2-godkjenning.

Bare send NTLMv2-svar / nekt LM: Klienter bruker bare NTLMv2-godkjenning og bruker NTLMv2-�ktsikkerhet hvis serveren st�tter det; domenekontrollere nekter LM-godkjenning (godtar bare NTLM- og NTLMv2-godkjenning).

Bare send NTLMv2-svar / nekt LM og NTLM: Klienter bruker bare NTLMv2-godkjenning og bruker NTLMv2-�ktsikkerhet hvis serveren st�tter det; domenekontrollere nekter LM- og NTLM-godkjenning (godtar bare NTLMv2-godkjenning).

Viktig!

Denne innstillingen kan ha innvirkning p� om datamaskiner som kj�rer Windows 2000 Server, Windows 2000 Professional, Windows XP Professional og Windows Server 2003-familien kan kommunisere over nettverket med datamaskiner som kj�rer Windows NT 4.0 og tidligere. Da dette ble skrevet var det for eksempel ikke st�tte for NTLMv2 p� datamaskiner som kj�rte Windows NT 4.0 SP4 og tidligere. Det var ikke st�tte for NTLM p� datamaskiner som kj�rte Windows 95 og Windows 98.

Standard:

Windows 2000 og Windows XP: Send LM- og NTLM-svar p� server

Windows Server 2003: Bare send NTLM-respons

Windows Vista og Longhorn-servere: Bare send NTLMv2-respons

YNettverkssikkerhet: Krav til signering for LDAP-klient

Denne sikkerhetsinnstillingen bestemmer hvilket niv� av datasignering som blir forespurt p� vegne av klienter som sender LDAP BIND-foresp�rsler, p� denne m�ten:

Ingen: LDAP BIND-foresp�rselen sendes med alternativer som angis av avsenderen.

Forhandle om signering: Hvis TLS/SSL (Transport Layer Security/Secure Sockets Layer) ikke er startet, initieres LDAP BIND-foresp�rselen med LDAP-alternativet for datasignering i tillegg til alternativene som angis av avsenderen. Hvis TLS/SSL er startet, initieres LDAP BIND-foresp�rselen med alternativene som angis av avsenderen.

Krever signatur: Dette er det samme som Forhandle om signering. Hvis imidlertid LDAP-serverens mellomliggende saslBindInProgress-svar ikke angir at LDAP-trafikksignering er p�krevd, blir avsenderen fortalt at foresp�rselen om LDAP BIND-kommandoen mislyktes.

Forsiktig!

Hvis du angir at serveren skal kreve signatur, m� du ogs� konfigurere klienten. Hvis du ikke konfigurerer klienten, f�rer det til at koblingen til serveren brytes.

Obs! Denne innstillingen har ingen innvirkning p� ldap_simple_bind or ldap_simple_bind_s. Ingen av Microsoft LDAP-klientene som fulgte med Windows XP Professional bruker ldap_simple_bind or ldap_simple_bind_s til � kommunisere med en domenekontroller.

Standard: Forhandle om signering.

PA�Nettverkssikkerhet: Minimum �ktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) klienter

Denne sikkerhetsinnstillingen lar klienter kreve forhandling av 128-biters kryptering eller NTLMv2-�ktsikkerhet. Disse verdiene avhenger av sikkerhetsinnstillingen for LAN Manager-godkjenningsniv�. F�lgende alternativer finnes:

Krev NTLMv2-�ktsikkerhet: Tilkoblingen blir brutt hvis det ikke blir forhandlet om NTLMv2-protokoll.

Krev 128-biters kryptering: Tilkoblingen blir brutt hvis det ikke blir forhandlet om sterk (128-biters) kryptering.

Standard:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 og Windows Server 2008: Ingen krav.

Windows 7 og Windows Server 2008 R2: Krev 128-biters kryptering

�Nettverkssikkerhet: Minimum �ktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) servere

Denne sikkerhetsinnstillingen lar servere kreve forhandling av 128-biters kryptering eller NTLMv2-�ktsikkerhet. Disse verdiene avhenger av sikkerhetsinnstillingen for LAN Manager-godkjenningsniv�. F�lgende alternativer finnes:

Krev NTLMv2-�ktsikkerhet: Tilkoblingen blir brutt hvis det ikke blir forhandlet om meldingsintegritet.

Krev 128-biters kryptering: Tilkoblingen blir brutt hvis det ikke blir forhandlet om sterk (128-biters) kryptering.

Standard:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 og Windows Server 2008: Ingen krav.

Windows 7 og Windows Server 2008 R2: Krev 128-biters kryptering

�Gjenopprettingskonsoll: Tillat automatisk administrativ p�logging

Denne sikkerhetsinnstillingen bestemmer om passordet for administratorkontoen m� oppgis f�r det blir gitt tilgang til systemet. Hvis alternativet er aktivert, krever ikke gjenopprettingskonsollen at du oppgir et passord, og logger automatisk p� systemet.

Standard: Denne policyen er ikke definert, og automatisk administrativ p�logging er ikke tillatt.

�Gjenopprettingskonsoll: Tillat kopiering til diskett og tilgang til alle stasjoner og mapper

Aktivering av dette sikkerhetsalternativet gj�r SET-kommandoen tilgjengelig i gjenopprettingskonsollen, slik at du kan angi f�lgende milj�variabler for denne:

AllowWildCards: Aktiver st�tte for jokertegn for noen kommandoer (for eksempel DEL-kommandoen).

AllowAllPaths: Tillat tilgang til alle filer og mapper p� datamaskinen.

AllowRemovableMedia: Tillat at filer kopieres til flyttbare medier, for eksempel disketter.

NoCopyPrompt: Ikke vis melding n�r en eksisterende fil blir overskrevet.

Standard: Denne policyen er ikke definert, og SET-kommandoen i gjenopprettingskonsollen er ikke tilgjengelig.

{Avslutt: Tillat at systemet avsluttes uten p�logging

Denne sikkerhetsinnstillingen bestemmer om en datamaskin kan sl�s av uten at det kreves en Windows-p�logging.

N�r denne policyen er aktivert, er Avslutt-kommandoen tilgjengelig i p�loggingsskjermbildet for Windows.

N�r policyen er deaktivert, vises det ikke noe alternativ for � sl� av datamaskinen i p�loggingsskjermbildet for Windows. Hvis dette er tilfelle, m� brukere v�re i stand til � logge p� datamaskinen og m� ha brukerrettigheten Sl� av systemet f�r de kan utf�re en systemavslutning.

Standard p� arbeidsstasjoner: Aktivert

Standard p� servere: Deaktivert

\Avslutt: T�m sidevekslingsfilen for virtuelt minne

Denne sikkerhetsinnstillingen bestemmer om sidevekslingsfilen for virtuelt minne skal t�mmes n�r datamaskinen sl�s av.

Ved st�tte for virtuelt minne brukes en sidevekslingsfil for systemet til � skrive minnesider til disk n�r de ikke er i bruk. P� et system som kj�rer, er denne sidevekslingsfilen �pnet eksklusivt av operativsystemet, og den er godt beskyttet. P� systemer som er konfigurert til � tillate oppstart til andre operativsystemer, kan det imidlertid v�re n�dvendig � sikre at sidevekslingsfilen for systemet t�mmes helt n�r gjeldende system avsluttes. Dette sikrer at sensitive opplysninger fra prosessminnet, som kunne v�re lagret i sidevekslingsfilen, ikke er tilgjengelig for en uautorisert bruker som klarer � f� tilgang til sidevekslingsfilen direkte.

N�r denne policyen er aktivert, f�rer den til at sidevekslingsfilen for systemet t�mmes n�r det foretas en korrekt systemavslutning. Hvis du aktiverer dette sikkerhetsalternativet, blir ogs� dvalemodusfilen (Hiberfil.sys) nullet ut n�r dvalemodus avsluttes.

Standard: Deaktivert.

�Systemkryptografi: Fremtving sterk n�kkelbeskyttelse for brukern�kler lagret p� datamaskinen

Denne sikkerhetsinnstillingen bestemmer om det kreves bruk av passord for brukernes privatn�kler.

F�lgende alternativer finnes:

Brukerinndata kreves ikke n�r nye n�kler lagres og brukes

Brukeren blir spurt n�r n�kkelen brukes f�rste gang

Brukeren m� oppgi et passord hver gang en n�kkel brukes

Se Infrastruktur for fellesn�kkel (PKI) for mer informasjon.

Standard: Denne policyen er ikke definert.

�Systemkryptografi: Bruk FIPS 140-kompatible kryptografiske algoritmer, inkludert algoritmer for kryptering, hash-koding og signering.

For SSPen (Security Service Provider) SChannel deaktiverer denne sikkerhetsinnstillingen de svakeste SSL-protokollene (Secure Sockets Layer) og st�tter bare TLS-protokollene (Transport Layer Security) som en klient og som en server (hvis relevant). Hvis denne innstillingen er aktivert, bruker sikkerhetsleverand�ren TLS/SSL (Transport Layer Security / Secure Sockets Layer) bare de FIPS 140-godkjente kryptografiske algoritmene: 3DES og AES for kryptering, RSA eller ECC fellesn�kkelkryptografi for TLS-n�kkelutveksling og -godkjenning og bare SHA1, SHA256, SHA384 og SHA512 (Secure Hashing Algorithm) for TLS-kravene til hash-koding.

For EFS-tjenesten (Encrypting File System) st�tter den bare krypteringsalgoritmene Trippel DES og AES (Advanced Encryption Standard) for kryptering av fildata som st�ttes av NTFS-filsystemet. Til kryptering av fildata bruker EFS som standard AES-algoritmen (Advanced Encryption Standard) med en 256-biters n�kkel i Windows Server 2003- og Windows Vista-serien og DESX-algoritmen i Windows XP. Se Encrypting File System for � f� mer informasjon om EFS.

For Eksterne skrivebordstjenester st�tter den bare krypteringsalgoritmen Trippel DES for kryptering av nettverkskommunikasjon for Eksterne skrivebordstjenester.

Obs! Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.

For BitLocker m� denne policyen aktiveres f�r en krypteringsn�kkel genereres. Gjenopprettingspassord som opprettes n�r denne policyen er aktivert, er ikke kompatible med BitLocker i Windows 8, Windows Server 2012 og tidligere operativsystemer. Hvis denne policyen brukes p� datamaskiner som kj�rer eldre operativsystemer enn Windows 8.1 og Windows Server 2012 R2, hindrer BitLocker oppretting eller bruk av gjenopprettingspassord. Bruk gjenopprettingsn�kler for disse datamaskinene i stedet.

Standard: Deaktivert.

Obs! FIPS 140 (Federal Information Processing Standard) er en sikkerhetsstandard som er utviklet for sertifisering av kryptografisk programvare. FIPS 140-validert programvare kreves av de amerikanske myndighetene og blir bedt om av andre fremtredende institusjoner.

mSystemobjekter: Standardeier for objekter opprettet av medlemmer av gruppen Administratorer

Beskrivelse

Denne sikkerhetsinnstillingen fastsetter hvilken sikkerhetskontoinnehaver (SID) som vil f� tilordnet eierskap for objekter n�r objektet opprettes av et medlem av gruppen Administratorer.

Standard:

Windows XP: Bruker-SID

Windows 2003: Administratorer-gruppe�Systemobjekter: Krev at det ikke skilles mellom store og sm� bokstaver for delsystemer som ikke er Windows

Denne sikkerhetsinnstillingen bestemmer om det ikke skal skilles mellom store og sm� bokstaver p� noen delsystemer. Det skilles ikke mellom store og sm� bokstaver i Win32-delsystemet. Kjernen st�tter imidlertid at det skilles mellom store og sm� bokstaver i andre delsystemer, for eksempel POSIX.

Hvis denne innstillingen er aktivert, skilles det ikke mellom store og sm� bokstaver i katalogobjekter, symbolske koblinger og I/U-objekter, inkludert filobjekter. Selv om denne innstillingen deaktiveres, skilles det ikke mellom store og sm� bokstaver i Win32-delsystemet.

Standard: Aktivert.

.Systemobjekter: Stram inn standardtillatelser til interne systemobjekter (for eksempel symbolske koblinger)

Denne sikkerhetsinnstillingen bestemmer styrken p� standardlisten over detaljert tilgangskontroll (DACL - Discretionary Access Control List) for objekter.

Active Directory f�rer en global liste over delte systemressurser, for eksempel DOS-enhetsnavn, mutexer og semaforer. P� denne m�ten kan objekter finnes og deles mellom prosesser. Hver objekttype opprettes med en standard DACL som angir hvem som har tilgang til objektene og hvilke tillatelser som er gitt.

Hvis denne policyen er aktivert, er standard DACL sterkere, og tillater at brukere som ikke er administratorer kan lese delte objekter, men tillater dem ikke � endre delte objekter de ikke selv har opprettet.

Standard: Aktivert.

/Systeminnstillinger: Valgfrie delsystemer

Denne sikkerhetsinnstillingen bestemmer hvilke delsystemer som valgfritt kan startes opp som st�tte for programmene. Med denne sikkerhetsinnstillingen kan du definere s� mange delsystemer som st�tte for programmene som milj�et krever.

Standard: POSIX.

�Systeminnstillinger: Bruk sertifikatregler p� filer som kan kj�res i Windows for programvarebegrensningspolicyer

Denne sikkerhetsinnstillingen bestemmer om digitale sertifikater behandles n�r en bruker eller prosess fors�ker � kj�re programvare med filtypen EXE. Denne sikkerhetsinnstillingen brukes til � aktivere eller deaktivere sertifikatregler, en regeltype for programvarebegrensningspolicyer. Med programvarebegrensningspolicyer kan du opprette en sertifikatregel som tillater eller ikke tillater kj�ring av Authenticode-klarert programvare, basert p� det digitale sertifikatet som er tilknyttet programvaren. Du m� aktivere denne sikkerhetsinnstillingen for at sertifikatregler skal tre i kraft.

N�r sertifikatregler er aktivert, vil programvarebegrensningspolicyer kontrollere en sertifikatopphevelsesliste for � sikre at programvaresertifikatet og -signaturen er gyldig. Dette kan g� ut over ytelsen ved start av signerte programmer. Du kan deaktivere denne funksjonen. Fjern merket for Utgiver og Tidsstempel i egenskapsarket for Klarerte utgivere for mer informasjon. Se Angi policyalternativer (authenticode) for klarerte utgivere for mer informasjon.

Standard: Deaktivert.

�Maksimal st�rrelse p� programlogg

Denne sikkerhetsinnstillingen angir den maksimale st�rrelsen p� programhendelsesloggen, som har en teoretisk maksimal st�rrelse p� 4 GB. Rent praktisk er grensen lavere (~300MB).

Obs!

Loggfilst�rrelsen m� v�re et intervall i trinn p� 64 kB. Hvis du skriver inn en verdi som ikke er delelig med 64 kB, runder hendelseslisten loggfilst�rrelsen opp til n�rmeste 64 kB-intervall.

Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.

St�rrelsen p� hendelsesloggen og overskriving av hendelser b�r defineres slik at de tilsvarer forretnings- og sikkerhetskravene du valgte da du utformet sikkerhetsplanen for organisasjonen. Du b�r vurdere � implementere disse hendelseslogginnstillingene p� omr�de-, domene- eller organisasjonsenhetsniv�et, slik at du drar nytte av gruppepolicyinnstillinger.

Standard: For Windows Server 2003-familien, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 kB.

�Maksimal st�rrelse p� sikkerhetslogg

Denne sikkerhetsinnstillingen angir den maksimale st�rrelsen p� sikkerhetshendelsesloggen, som har en teoretisk maksimal st�rrelse p� 4 GB. Rent praktisk er grensen lavere (~300MB).

Obs!

Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.

Standard: For Windows Server 2003-familien, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 kB.

�Maksimal st�rrelse p� systemlogg

Denne sikkerhetsinnstillingen angir den maksimale st�rrelsen p� systemhendelsesloggen, som har en teoretisk maksimal st�rrelse p� 4 GB. Rent praktisk er grensen lavere (~300MB).

Obs!

Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.

Standard: For Windows Server 2003-familien, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 kB.

PA�Hindre lokale gjestegrupper og brukere med anonym p�logging i � f� tilgang til programloggen

Denne sikkerhetsinnstillingen bestemmer om gjester skal forhindres i � f� tilgang til programhendelsesloggen.

Obs!

Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.

Denne innstillingen p�virker bare datamaskiner som kj�rer Windows 2000 og Windows XP.

Standard: Aktivert for Windows XP, Deaktivert for Windows 2000�Hindre lokale gjestegrupper og brukere med anonym p�logging i � f� tilgang til sikkerhetsloggen

Denne sikkerhetsinnstillingen bestemmer om gjester skal forhindres i � f� tilgang til sikkerhetshendelsesloggen.

Obs!

Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.

Denne innstillingen p�virker bare datamaskiner som kj�rer Windows 2000 og Windows XP.

Standard: Aktivert for Windows XP, Deaktivert for Windows 2000

�Hindre lokale gjestegrupper og brukere med anonym p�logging i � f� tilgang til systemloggen

Denne sikkerhetsinnstillingen bestemmer om gjester skal forhindres i � f� tilgang til systemhendelsesloggen.

Obs!

Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.

Denne innstillingen p�virker bare datamaskiner som kj�rer Windows 2000 og Windows XP.

Standard: Aktivert for Windows XP, Deaktivert for Windows 2000

]Oppbevar programlogg

Denne sikkerhetsinnstillingen avgj�r hvor mange dager programloggen skal oppbevares.

Angi denne verdien bare hvis du arkiverer loggen ved planlagte intervaller og s�rger for at maksimum programloggst�rrelse er stor nok.

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

Standard: Ingen.

�Oppbevar sikkerhetslogg

Denne sikkerhetsinnstillingen avgj�r hvor mange dager sikkerhetsloggen skal oppbevares.

Angi denne verdien bare hvis du arkiverer loggen ved planlagte intervaller og s�rger for at maksimum sikkerhetsloggst�rrelse er stor nok.

Obs!

Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

En bruker m� ha brukerrettigheten Behandle overv�king og sikkerhetslogg for � f� tilgang til sikkerhetsloggen.

Standard: Ingen.

ZOppbevar systemlogg

Denne sikkerhetsinnstillingen avgj�r hvor mange dager systemloggen skal oppbevares.

Angi denne verdien bare hvis du arkiverer loggen ved planlagte intervaller og s�rger for at maksimum systemloggst�rrelse er stor nok.

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

Standard: Ingen.

Oppbevaringsmetode for programlogg

Denne sikkerhetsinnstillingen avgj�r hvordan informasjonen lagres i programloggen.

Hvis du ikke arkiverer programloggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter behov.

Hvis du arkiverer loggen ved planlagte intervaller, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter dager. Angi deretter antall dager i innstillingene for Oppbevar programlogg. Pass p� at Maksimal st�rrelse p� programlogg er stor nok til � f� plass til intervallet.

Hvis du m� oppbevare alle hendelser i loggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Ikke skriv over hendelser (t�m logg manuelt). Dette valget krever at loggen t�mmes manuelt. N�r maksimal loggst�rrelse er n�dd, blir ikke nye hendelser lagret.

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

Standard: Ingen.

�Oppbevaringsmetode for sikkerhetslogg

Denne sikkerhetsinnstillingen avgj�r hvordan informasjonen lagres i sikkerhetsloggen.

Hvis du ikke arkiverer sikkerhetsloggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter behov.

Hvis du arkiverer loggen ved planlagte intervaller, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter dager. Angi deretter antall dager i innstillingene for Oppbevar sikkerhetslogg. Pass p� at Maksimal st�rrelse p� sikkerhetslogg er stor nok til � f� plass til intervallet.

Obs!

Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

En bruker m� ha brukerrettigheten Behandle overv�king og sikkerhetslogg for � f� tilgang til sikkerhetsloggen.

Standard: Ingen.Oppbevaringsmetode for systemlogg

Denne sikkerhetsinnstillingen avgj�r hvordan informasjonen lagres i systemloggen.

Hvis du ikke arkiverer systemloggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter behov.

Hvis du arkiverer loggen ved planlagte intervaller, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter dager. Angi deretter antall dager i innstillingene for Oppbevar systemlogg. Pass p� at Maksimal st�rrelse p� systemlogg er stor nok til � f� plass til intervallet.

Hvis du m� beholde alle hendelser i loggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Ikke skriv over hendelser (t�m logg manuelt). Dette valget krever at loggen t�mmes manuelt. N�r maksimal loggst�rrelse er n�dd, blir ikke nye hendelser lagret.

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

Standard: Ingen.' Begrensede grupper

Med denne sikkerhetsinnstillingen kan administrator definere to egenskaper for sikkerhetsf�lsomme grupper (begrensede grupper).

De to egenskapene er Medlemmer og Medlem av. Listen Medlemmer definerer hvem som h�rer med eller ikke i den begrensede gruppen. Listen Medlem av angir hvilke andre grupper den begrensede gruppen h�rer til.

N�r en policy for begrensede grupper fremtvinges, fjernes de medlemmene av begrensede grupper som ikke er p� listen Medlemmer. Brukere p� listen Medlemmer som ikke er medlem av den begrensede gruppen, legges til.

Du kan bruke policyen for Begrensede grupper til � kontrollere gruppemedlemskap. Du kan bruke policyen til � angi hvilke medlemmer som skal v�re del av en gruppe. Medlemmer som ikke er angitt i policyen, fjernes ved konfigurering eller oppdatering. I tillegg s�rger den omvendte medlemskapskonfigurasjonen for at hver begrenset gruppe er medlem bare av de gruppene som er oppf�rt i kolonnen Medlem av.

Du kan for eksempel opprette en policy for begrensede grupper slik at bare bestemte brukere (f.eks. Anne og Lars) kan v�re medlemmer av gruppen Administratorer. N�r policyen oppdateres, er det bare Anne og Lars som blir igjen som medlemmer i gruppen Administratorer.

Policyen Begrensede grupper kan brukes p� f�lgende to m�ter:

Policyen defineres i en sikkerhetsmal som brukes under konfigurasjonen p� den lokale datamaskinen.

Innstillingen defineres p� et gruppepolicyobjekt (GPO) direkte, slik at policyen trer i kraft hver gang den oppdateres. Sikkerhetsinnstillingene oppdateres hvert 90. minutt p� en arbeidsstasjon eller server og hvert 5. minutt p� en domenekontroller. Innstillingene oppdateres ogs� hver 16. time enten det har v�rt endringer eller ikke.

Standard: Ingen angitt.

Forsiktig!

Hvis en policy for Begrensede grupper er definert og gruppepolicy oppdateres, fjernes medlemmer som ikke st�r p� medlemslisten for policyen Begrensede grupper. Dette kan inkludere standardmedlemmer som for eksempel administratorer.

Obs!

Begrensede grupper skal brukes prim�rt til � konfigurere medlemskap i lokale grupper p� arbeidsstasjons- eller medlemsservere.

En tom Medlemmer-liste betyr at den begrensede gruppen ikke har noen medlemmer. En tom Medlem av-liste betyr at gruppene som den begrensede gruppen tilh�rer, ikke er angitt.

3Sikkerhetsinnstillinger for systemtjenester

Med disse innstillingene kan administrator definere oppstartsmodus (manuell, automatisk eller deaktivert) og tilgangstillatelser (start, stopp eller pause) for alle systemtjenester.

Standard: Ikke definert

Obs!

Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

Hvis du angir Automatisk for oppstart av systemtjenester, b�r du utf�re tester for � kontrollere at tjenestene kan startes uten brukerinngrep.

For best ytelse b�r un�dvendige eller ubrukte tjenester settes til Manuell.

�Innstillinger for registersikkerhet

Med disse innstillingene kan administrator ved hjelp av Sikkerhetskonfigurasjonsbehandling definere tilgangstillatelser (lister for detaljert tilgangskontroll (DACL)) og overv�kingsinnstillinger (lister for systemtilgangskontroll (SACL)) for registern�kler.

Standard: Ikke definert

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

�Innstillinger for filsystemsikkerhet

Standard: Ikke definert

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

�Overv�k: Fremtving underkategoriinnstillinger for overv�kingspolicy (Windows Vista eller senere) for � overstyre kategoriinnstillinger for overv�kingspolicy

Windows Vista og senere versjoner av Windows tillater at overv�kingspolicy behandles p� en mer n�yaktig m�te ved hjelp av underkategorier for overv�kingspolicy. Hvis overv�kingspolicy angis p� kategoriniv�, overstyres den nye overv�kingspolicyfunksjonen for underkategorien. Gruppepolicy tillater bare at overv�kingspolicy angis p� kategoriniv�, og eksisterende gruppepolicy kan overstyre innstillingene for underkategori for nye maskiner n�r de blir sl�tt sammen med domenet eller oppgradert til Windows Vista eller senere versjoner. Hvis du vil tillate at overv�kingspolicy behandles ved hjelp av underkategorier uten at det kreves en endring i Gruppepolicy, finnes det en ny registerverdi i Windows Vista og senere versjoner, SCENoApplyLegacyAuditPolicy, som hindrer bruk av overv�kingspolicy p� kategoriniv� fra Gruppepolicy og fra det administrative verkt�yet Lokal sikkerhetspolicy.

Hvis overv�kingspolicyen p� kategoriniv� som er angitt her, ikke samsvarer med hendelsene som for �yeblikket genereres, kan �rsaken v�re at denne registern�kkelen er angitt.

Standard: Aktivert6Brukerkontokontroll: Modus for administratorgodkjenning for den innebygde Administrator-kontoen

Denne sikkerhetsinnstillingen bestemmer virkem�ten til administratorgodkjenningsmodus for den innebygde administratorkontoen.

F�lgende alternativer finnes:

" Aktivert: Den innebygde administratoren bruker administratorgodkjenningsmodus. Alle operasjoner som krever rettighetsutvidelse, vil som standard be brukeren om � godkjenne operasjonen.

" Deaktivert (standard): Den innebygde administratorkontoen kj�rer alle programmer med full administratortilgang.

�DCOM: Maskintilgangsbegrensninger i Security Descriptor Definition Language (SDDL)-syntaks

Denne policyinnstillingen bestemmer hvilke brukere eller grupper som skal f� tilgang til DCOM-programmer eksternt eller lokalt. Innstillingen brukes til � kontrollere angrepsmulighetene p� datamaskinen for DCOM-programmer.

Du kan bruke denne policyinnstillingen til � angi tilgangstillatelser til alle datamaskinene til bestemte brukere av DCOM-programmer i organisasjonen. N�r du angir brukerne eller gruppene som skal f� tillatelse, fylles sikkerhetsbeskrivelsesfeltet ut med SDDL-representasjonen for disse gruppene og tilgangene. Hvis du lar sikkerhetsbeskrivelsesfeltet v�re tomt, defineres policyinnstillingen i en mal, men den blir ikke gjennomf�rt. Brukere og grupper kan tillates eller nektes tilgang eksplisitt for b�de lokal tilgang og ekstern tilgang.

Registerinnstillinger som opprettes n�r DCOM aktiveres: Policyinnstillingen Maskintilgangsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL) overstyrer (har h�yere prioritet enn) de tidligere registerinnstillingene i dette omr�det. Remote Procedure Call-tjenestene (RpcSs) kontrollerer de nye registern�klene i Policyer-seksjonen for datamaskinbegrensningene, og disse registeroppf�ringene overstyrer eksisterende registern�kler under OLE. Det betyr at registerinnstillinger som eksisterer fra f�r, ikke gjelder lenger, og hvis du endrer eksisterende innstillinger, endres ikke tilgangstillatelser til datamaskinen for brukerne. V�r oppmerksom n�r du konfigurer listen over brukere og grupper.

Mulige verdier for denne policyinnstillingen er f�lgende:

Tom. Dette representerer den lokale sikkerhetspolicyens metode for � slette n�kkelen for gjennomf�ring av policyen. Verdien sletter policyen og setter den deretter til statusen Ikke definert. Denne verdien angis ved � bruke redigeringsprogrammet for tilgangskontrollisten (ACL) og deretter trykke OK.

SDDL. Dette er SDDL-representasjonen (Security Descriptor Definition Language) for gruppene og tilgangene du angir n�r du aktiverer denne policyen.

Ikke definert. Dette er standardverdien.

Obs!

Hvis administratoren nektes tilgangstillatelse til DCOM-programmer p� grunn av endringene som er gjort for DCOM i Windows, kan administratoren bruke policyinnstillingen DCOM: Maskintilgangsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL) til � behandle DCOM-tilgang til datamaskinen. Administratoren kan angi hvilke brukere og grupper som skal ha tilgang til DCOM-programmet p� datamaskinen b�de lokalt og eksternt ved � bruke denne innstillingen. Det vil gjenopprette kontroll over DCOM-programmet for administratoren og brukerne. Dette gj�r du ved � �pne DCOM: Maskintilgangsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL) og klikke Rediger Sikkerhet. Angi gruppene du vil inkludere og tilgangstillatelser for datamaskinen for disse gruppene. Det definerer innstillingen og angir riktig SDDL-verdi.

PA�
DCOM: Maskinoppstartsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL)

Denne policyinnstillingen bestemmer hvilke brukere eller grupper som kan starte eller aktivere DCOM-programmer eksternt eller lokalt. Innstillingen brukes til � kontrollere angrepsmulighetene p� datamaskinen for DCOM-programmer.

Du kan bruke denne innstillingen til � gi tilgang til alle datamaskinene til brukere av DCOM-programmer. N�r du definerer denne innstillingen og angir brukerne eller gruppene som skal f� tillatelse, fylles sikkerhetsbeskrivelsesfeltet ut med SDDL-representasjonen for disse gruppene og tilgangene. Hvis du lar sikkerhetsbeskrivelsesfeltet v�re tomt, defineres policyinnstillingen i en mal, men den blir ikke gjennomf�rt. Brukere og grupper kan tillates eller nektes tilgang eksplisitt for lokal oppstart, ekstern oppstart, lokal aktivering og ekstern aktivering.

Registerinnstillingene som opprettes p� grunn av denne policyen, overstyrer de tidligere registerinnstillingene i dette omr�det. Remote Procedure Call-tjenestene (RpcSs) kontrollerer de nye registern�klene i Policyer-seksjonen for datamaskinbegrensningene. Disse oppf�ringene overstyrer eksisterende registern�kler under OLE.

Mulige verdier for denne gruppepolicyinnstillingen er f�lgende:

Tom. Dette representerer den lokale sikkerhetspolicyens m�te � slette n�kkelen for gjennomf�ring av policyen p�. Verdien sletter policyen og setter den deretter til statusen Ikke definert. Denne verdien angis ved � bruke redigeringsprogrammet for tilgangskontrollisten (ACL) og deretter trykke OK.

SDDL. Dette er SDDL-representasjonen (Security Descriptor Definition Language) for gruppene og tilgangene du angir n�r du aktiverer denne policyen.

Ikke definert. Dette er standardverdien.

Obs!

Hvis administratoren nektes tilgang til � aktivere og starte DCOM-programmer p� grunn av endringene som er gjort for DCOM i denne versjonen av Windows, kan denne policyinnstillingen brukes til � kontrollere DCOM-aktivering og -oppstart p� datamaskinen. Administratoren kan angi hvilke brukere og grupper som skal kunne starte og aktivere DCOM-programmer p� datamaskinen b�de lokalt og eksternt ved � bruke policyinnstillingen DCOM: Maskinoppstartsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL). Det vil gjenopprette kontroll over DCOM-programmet for administratoren og angitte brukerne. Dette gj�r du ved � �pne DCOM: Maskinoppstartsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL) og klikke Rediger Sikkerhet. Angi gruppene du vil inkludere og oppstartstillatelser for datamaskinen for disse gruppene. Det definerer innstillingen og angir riktig SDDL-verdi.

�Brukerkontokontroll: Virkem�te av utvidelsesforesp�rsel for administratorer i modus for administratorgodkjenning

Denne policyinnstillingen styrer virkem�ten til utvidelsesforesp�rselen for administratorer.

F�lgende alternativer finnes:

" Utvid uten � sp�rre: Gir privilegerte kontoer mulighet til � utf�re en operasjon uten samtykke eller legitimasjon. Obs! Bruk dette alternativet bare i de mest begrensede milj�ene.

" Be om legitimasjon p� det sikre skrivebordet: N�r en operasjon krever utvidelse av rettigheter, blir brukeren bedt om p� det sikre skrivebordet � angi et privilegert brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med brukerens h�yeste tilgjengelige rettigheter.

" Be om samtykke p� det sikre skrivebordet: N�r en operasjon krever utvidelse av rettigheter, blir brukeren bedt om p� det sikre skrivebordet � velge enten Tillat eller Avsl�. Hvis brukeren velger Tillat, fortsetter operasjonen med brukeres h�yeste tilgjengelige rettigheter.

" Be om legitimasjon: N�r en operasjon krever rettighetsutvidelse, blir brukeren bedt om � oppgi brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med den aktuelle tilgangen.

" Be om samtykke: N�r en krever rettighetsutvidelse, blir brukeren bedt om � velge velge Tillat eller Avsl�. Hvis brukeren velger Tillat, fortsetter operasjonen med brukerens h�yest tilgjengelige tilgang.

" Be om samtykke for ikke-Windows-bin�re (standard): N�r en operasjon for et ikke-Microsoft-program krever rettighetsutvidelse, blir brukeren bedt om p� det sikre skrivebordet � velge enten Tillat eller Avsl�. Hvis brukeren velger Tillat, fortsetter operasjonen med brukerens h�yeste tilgjengelige rettigheter.

�Brukerkontokontroll: Virkem�te for utvidelsesforesp�rsel for vanlige brukere

Denne policyinnstillingen styrer virkem�ten til utvidelsesforesp�rselen for standardbrukere.

F�lgende alternativer finnes:

" Be om legitimasjon: N�r en operasjon krever rettighetsutvidelse, blir brukeren bedt om � oppgi et administrativt brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med de aktuelle rettighetene.

" Nekt utvidelsesforesp�rsler automatisk: N�r en operasjon krever rettighetsutvidelse, vises en konfigurerbar feilmelding om at tilgang er avvist. En organisasjon som kj�rer skrivebord som standardbrukere, kan velge denne innstillingen for � redusere foresp�rsler om brukerst�tte.

" Be om legitimasjon p� det sikre skrivebordet (standard): N�r en operasjon krever rettighetsutvidelse, blir brukeren bedt p� det sikre skrivebordet om � angi et annet brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med den aktuelle rettigheten.

fBrukerkontokontroll: Oppdag programinstallasjoner og be om utvidelse

Denne policyinnstillingen styrer virkem�ten til gjenkjenning av programinstallasjoner for datamaskinen.

F�lgende alternativer finnes:

" Aktivert (standard): N�r det oppdages en programinstallasjonspakke som krever rettighetsutvidelse, blir brukeren bedt om � angi et administrativt brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med den aktuelle rettigheten.

" Deaktivert: Programinstallasjonspakker blir ikke oppdaget, og det blir ikke bedt om utvidelse. Organisasjoner som kj�rer skrivebord for standardbrukere og bruker delegerte installasjonsteknologier som GPSI (Group Policy Software Install) eller SMS (Systems Management Server), b�r deaktivere denne policyinnstillingen. I s� fall er gjenkjennelse av installasjonsprogrammet un�dvendig.

�Brukerkontokontroll: Bare utvid kj�rbare filer som er signert og validert

Denne policyinnstillingen vil fremtvinge PKI-signaturkontroller av alle interaktive programmer som ber om rettighetsutvidelse. Administratorer i organisasjoner kan kontrollere hvilke programmer som f�r lov til � kj�re, ved � legge til sertifikater i de lokale datamaskinenes lager for klarerte utgivere.

F�lgende alternativer finnes:

" Aktivert: Fremtvinger PKI-sertifikatkjedevalidering for en gitt kj�rbar fil f�r den tillates � kj�re.

" Deaktivert (standard): Fremtvinger ikke PKI-sertifikatkjedevalidering f�r en gitt kj�rbar fil tillates � kj�re.

�Brukerkontokontroll: Utvid bare for UIAccess-programmer som installeres p� sikre plasseringer

Denne policyinnstillingen bestemmer om programmer som ber om � f� kj�re med et UIAccess-integritetsniv�, m� befinne seg p� et sikkert sted i filsystemet. Sikre steder er begrenset til f�lgende kataloger:

- & \Programfiler\, inkludert underkataloger

- & \Windows\system32\

- & \Programfiler (x86)\, inkludert underkataloger for 64-biters versjoner av Windows

Obs! Det fremtvinges en PKI-signaturkontroll av alle interaktive programmer som ber om � f� kj�re med et UIAccess-integritetsniv�, uavhengig av statusen til denne sikkerhetsinnstillingen.

F�lgende alternativer finnes:

" Aktivert (standard): Et program starter med UIAccess-integritet bare hvis det befinner seg p� et sikkert sted i filsystemet.

" Deaktivert: Et program starter med UIAccess-integritet selv om det ikke befinner seg p� et sikkert sted i filsystemet.

CBrukerkontokontroll: Sl� p� administratorgodkjenningsmodus

Denne policyinnstillingen styrer virkem�ten til alle brukerkontrollpolicyer for datamaskinen. Hvis du endrer denne policyinnstillingen, m� du starte datamaskinen p� nytt.

F�lgende alternativer finnes:

" Aktivert (standard): Administratorgodkjenningsmodus er aktivert. Denne policyen m� aktiveres, og tilknyttede brukerkontrollpolicyer m� ogs� angis tilsvarende for � la den innebygde administratorkontoen og alle andre brukere som er medlemmer av administratorgruppe kj�re i administratorgodkjenningsmodus.

" Deaktivert: Administratorgodkjenningsmodus og alle relaterte brukerkontrollpolicyer er deaktivert. Obs! Hvis denne policyinnstillingen er deaktivert, vil sikkerhetssenteret varsle om at det generelle sikkerhetsniv�et til operativsystemet er redusert.

~Brukerkontokontroll: Bytt til det sikrede skrivebordet ved foresp�rsler om utvidelse

Denne sikkerhetsinnstillingen bestemmer om utvidelsesforesp�rselen skal vises p� skrivebordet til interaktive brukere eller p� det sikre skrivebordet.

F�lgende alternativer finnes:

" Aktivert (standard): Alle utvidelsesforesp�rsler g�r som standard til det sikre skrivebordet, uavhengig av policyinnstillinger for sp�rreatferd for administratorer og standardbrukere

" Deaktivert: Alle utvidelsesforesp�rsler g�r til skrivebordet for interaktive brukere. Policyinnstillinger for sp�rreatferd for administratorer og standardbrukere brukes.

�Brukerkontokontroll: Virtualiser skrivefeil for fil og register til brukerspesifikke plasseringer

Denne sikkerhetsinnstillingen aktiverer omadressering av skrivefeil for eldre programmer til definerte plasseringer i b�de registret og filsystemet. Denne policyinnstillingen reduserer de programmene som historisk sett kj�rte som administrator og skrev kj�retidsprogramdata tilbake til %ProgramFiles%, %Windir%; %Windir%\system32 eller HKLM\Software\....

F�lgende alternativer finnes:

" Aktivert (standard): Programmenes skrivefeil omadresseres til definerte brukerplasseringer i b�de filsystemet og registret.

" Deaktivert: Programmer som skriver data til beskyttede steder, vil mislykkes.

�Opprett symbolske koblinger

Denne tilgangen bestemmer om brukeren kan opprette en symbolsk kobling fra datamaskinen brukeren er logget p�.

Standard: Administrator

Advarsel! Denne tilgangen b�r bare gis til klarerte brukere. Symbolske koblinger kan f�re til sikkerhetsproblemer i programmer som ikke er utviklet for � h�ndtere dem.

Obs!

Denne innstillingen kan brukes sammen med en innstilling for et filsystem med symbolske koblinger som kan manipuleres med kommandolinjeverkt�yet for � kontrollere hvilke typer symbolske koblinger som er tillatt p� maskinen. Skriv fsutil behavior set symlinkevalution /?' p� kommandolinjen for � f� mer informasjon om fsutil og symbolske koblinger.cEndre en objektetikett

Denne tilgangen bestemmer hvilke brukerkontoer som kan endre integritetsetiketten for objekter, som filer, registern�kler eller prosesser som eies av andre brukere. Prosesser som kj�rer under en brukerkonto, kan endre etiketten for et objekt som eies av denne brukeren, til et lavere niv� uten denne tilgangen.

Standard: Ingen�Brukerkontokontroll: La UIAccess-programmer be om utvidelse uten � bruke sikkert skrivebord.

Denne policyinnstillingen kontrollerer om programmer for tilgang til brukergrensesnitt (User Interface Accessibility, UIAccess eller UIA) automatisk kan deaktivere det sikre skrivebordet for utvidelsesforesp�rsler som brukes av en standardbruker.

" Aktivert: UIA-programmer, medregnet Windows Remote Assistance, deaktiver automatisk det sikre skrivebordet for utvidelsessp�rssm�l. Hvis du ikke deaktiverer policyinnstillingen "Brukerkontokontroll: Bytt til det sikre skrivebordet n�r det sp�rres om utvidelse", vises sp�rsm�lene p� den interaktive brukerens skrivebord i stedet for det sikre skrivebordet.

" Deaktivert (standard): Det sikre skrivebordet kan bare deaktiveres av brukeren av det interaktive skrivebordet eller ved � deaktivere policyinnstillingen "Brukerkontokontroll: Bytt til det sikre skrivebordet n�r det sp�rres om utvidelse".

Denne innstillingen brukes i legitimasjonsbehandlingen under sikkerhetskopiering/gjenoppretting. Ingen kontoer b�r ha denne rettigheten, ettersom den bare er tilordnet til Winlogon. Brukerlagret legitimasjon kan bli skadet hvis denne rettigheten gis til andre enheter.�Bytte tidssone

Denne brukerrettigheten fastsetter hvilke brukere og grupper som kan endre tidssonen som brukes til visning av lokal tid p� datamaskinen, som er datamaskinens systemtid pluss tidssoneforskyvningen. Selve systemtiden er absolutt og p�virkes ikke av en endring i tidssonen.

Denne brukerrettigheten er definert i gruppepolicyobjektet (GPO) Standard domenekontroller og i den lokale sikkerhetspolicyen for arbeidsstasjonene og serverne.

Standard: Administratorer, Brukere��k arbeidssettet for en prosess

Denne rettigheten bestemmer hvilke brukerkontoer som kan �ke eller redusere st�rrelsen p� et prosessarbeidssett.

Standard: Brukere

Arbeidssettet for en prosess er settet med minnesider som for �yeblikket er synlige for prosessen i det fysiske Random Access Memory-minnet. Disse sidene er plassert i minnet og tilgjengelige for et program � bruke uten � utl�se en sidefeil. Minimum- og maksimums st�rrelser for arbeidssettet p�virker den virtuelle minnesideadferden til en prosess.

Advarsel: � �ke st�rrelsen p� arbeidssettet for en prosess reduserer mengden fysisk minne tilgjengelig for resten av systemet.FNettverkssikkerhet: Begrens NTLM: Utg�ende NTLM-trafikk til eksterne servere

Denne policyinnstillingen tillater deg � avsl� eller overv�ke utg�ende NTLM-trafik til eksterne servere.

Hvis du velger Avsl� all utg�ende NTLM-trafikk til eksterne servere, kan ikke klientdatamaskinen godkjenne identiteter til en ekstern server ved bruk av NTLM-godkjenning. Du kan bruke policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til unntak for eksterne servere for NTLM-godkjenning" for � definere en liste av eksterne servere hvor klienter tillates � bruke NTLM-godkjenning.

Hvis du velger Overv�k all utg�ende NTLM-trafikk til eksterne servere, logger klientdatamaskinen en hendelse for hver foresp�rsel om NTLM-godkjenning til en ekstern server. Dette tillater deg � identifisere disse serverne som mottar foresp�rsler om NTLM-godkjenning fra klientdatamaskinen. Hvis du velger Tillat all utg�ende NTLM-trafikk til eksterne servere eller ikke konfigurerer denne policyinnstillingen, kan klientdatamaskinen godkjenne identiteter til en ekstern server ved hjelp av NTLM-godkjenning.

�Nettverkssikkerhet: Begrens NTLM: Innkommende NTLM-trafikk

Denne policyinnstillingen tillater deg � avsl� eller overv�ke innkommende NTLM-trafikk.

Hvis du velger Avsl� all innkommende NTLM-trafikk, vil serveren avsl� foresp�rsler om NTLM-godkjenning fra innkommende trafikk og viser en blokkert NTLM-feil.

Hvis du velger Avsl� all innkommende domenep�loggingsrelatert NTLM-trafikk, vil serveren avsl� foresp�rsler om NTLM-godkjenning for domenep�logging og viser en blokkert NTLM-feil.

Hvis du velger Tillat all innkommende NTLM-trafikk eller ikke konfigurerer denne policyinnstillingen, vil serveren tillate alle foresp�rsler om NTLM-godkjenning.Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet

Denne policyinnstillingen tillater deg � avsl� NTLM-godkjenning innenfor dette domenet. Denne policyen p�virker ikke interaktiv p�logging til denne domenekontrolleren.

Hvis du velger Avsl� NTLM-trafikk i dette domenet, vil domenekontrolleren avsl� alle direkte foresp�rsler om NTLM-godkjenning fra dens servere og for dens kontoer og returnere en NTLM-blokkeringsfeil med mindre servernavnet er p� unntakslisten i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet".

Hvis du velger Avsl� NTLM-trafikk til servere i dette domenet, vil domene kontrolleren avls� foresp�rsler om NTLM-godkjenning til alle servere og returnere en NTLM-blokkeringsfeil med mindre servernavnet er p� unntakslisten i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet".

Hvis du velger Avsl� domenep�loggingsrelatert NTLM-trafikk i dette domenet, vil domenekontrolleren avsl� alle p�loggingsfors�k med NTLM-godkjenning fra domenekontoer og returnere en NTLM-blokkeringsfeil med mindre servernavnet er p� unntakslisten i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet".

Hvis du velger Avsl� domenep�loggingsrelatert NTLM-trafikk eller NTLM-trafikk til servere i dette domenet, vil domenekontrolleren avsl� alle p�loggingsfors�k med NTLM-godkjenning til alle servere i domenet som bruker domenekontoer og returnere en NTLM-blokkeringsfeil med mindre servernavnet er p� unntakslisten i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet".

Hvis du velger Tillat domenep�loggingsrelatert NTLM og NTLM-trafikk til servere i dette domenet, eller hvis du ikke konfigurerer denne policyinnstillingen, vil domenekontrolleren tillate alle direkte foresp�rsler om NTLM-godkjenning innen domenet.

�Nettverkssikkerhet: Begrens NTLM: Legg til unntak for eksterne servere for NTLM-godkjenning

Denne policyinnstillingen tillater deg � opprette en unntaksliste for eksterne servere hvor klienter tillates � bruke NTLM-godkjenning hvis policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Utg�ende NTLM-trafikk til eksterne servere" er konfigurert.

Hvis du konfigurerer denne policyinnstillingen, kan du definere en liste over eksterne servere hvor klienter tillates � bruke NTLM-godkjenning.

Hvis du ikke konfigurerer denne policyinnstillingen, brukes ingen unntak.

Navnformatet for servere p� denne unntakslisten er det fullstendig unike domenenavnet (FQDN) eller NetBIOS-servernavnet brukt av programmet listet �n per linje. For � sikre unntakene brukes navnet av alle programmer som m� v�re p� listen, og for � sikre at unntaket er n�yaktig, b�r servernavnet v�re oppf�rt i begge navngivningsformater. En enkel asterisk (*) kan brukes i begynnelsen eller slutten p� strengen som et jokertegn.

6Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet

Denne policyinnstillingen tillater deg � opprette en unntaksliste over servere i dette domenet hvor klienter tillates � bruke direkte NTLM-godkjenning hvis "Nettverkssikkerhet: Begrens NTLM: Avsl� NTLM-godkjenning i dette domenet" er innstilt.

Hvis du konfigurerer denne policyinnstillingen, kan du definere en liste over servere i dette domenet hvor klientene tillates � bruke NTLM-godkjenning.

Hvis du ikke konfigurerer denne policyinnstillingen, brukes ingen unntak.

Navnformatet for servere p� denne unntakslisten er det fullstendig unike domenenavnet (FQDN) eller NetBIOS-servernavnet brukt av det kallende programmet listet �n per linje. En enkel asterisk (*) kan brukes i begynnelsen eller slutten p� strengen som et jokertegn.

�Nettverkssikkerhet: Tillat at LocalSystem g�r tilbake til NULL-�kt

Tillat at NTLM g�r tilbake til NULL-�kt ved bruk sammen med LocalSystem.

Standarden er TRUE til og med Windows Vista og FALSE i Windows 7.

�Nettverkssikkerhet: Konfigurer krypteringstyper som er tillatte for Kerberos

Denne policyinnstillingen tillater deg � angi krypteringstypene Kerberos-klienten kan bruke.

Hvis den ikke velges, tillates ikke krypteringstypen. Denne innstillingen kan p�virke kompatibilitet med klientdatamaskiner eller tjenester og programmer. Flere valg er tillatte.

Denne policyen st�ttes i minst Windows 7 eller Windows Server 2008 R2.

%Nettverkssikkerhet: Tillat at PKU2U-godkjenningsforesp�rsler til denne datamaskinen kan bruke identiteter p� nettet.

Denne policyinnstillingen er deaktivert som standard p� Windows Server-maskiner, og alltid deaktivert p� domenekontrollere. Hvis du deaktiverer denne policyen, hindrer du at tilkoblede identiteter godkjenner disse maskinene.

F�r Windows 10, versjon 1607 blir denne policyen deaktivert som standard p� domene tilknyttede maskiner. Denne policyen aktiveres som standard p� Windows-versjoner som begynner med Windows 10 1607.

Nettverkssikkerhet: Begrens NTLM: Overv�k innkommende NTLM-trafikk

Denne policyinnstillingen gj�r det mulig � overv�ke innkommende NTLM-trafikk.

Hvis du velger Deaktiver eller ikke konfigurerer denne policyinnstillingen, logger ikke serveren hendelser for innkommende NTLM-trafikk.

Hvis du velger Aktiver for domenekontoer, logger serveren hendelser for direkte foresp�rsler om NTLM-godkjenning som vil bli blokkert n�r policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Innkommende NTLM-trafikk" er satt til Avvis alle domenekontoer.

Hvis du velger Aktiver overv�king for alle kontoer, logger serveren hendelser for alle foresp�rsler om NTLM-godkjenning som vil bli blokkert n�r policyinnstillingen "Nettverkssikkerhet: Begrens: Innkommende NTLM-trafikk" er satt til Avvis alle kontoer.

Denne policyen st�ttes p� minst Windows 7 eller Windows Server 2008 R2.

Obs! Overv�kingshendelser blir registrert p� denne datamaskinen i "operasjonsloggen" under Applications and Services Log/Microsoft/Windows/NTLM.

�Nettverkssikkerhet: Begrens NTLM: Overv�k NTLM-godkjenning i dette domenet

Denne policyinnstillingen tillater deg � overv�ke NTLM-godkjenning i dette domene.

Hvis du velger Avsl� eller ikke konfigurerer denne policyinnstillingen, logger ikke domenekontrolleren hendelser for NTLM-godkjenning i dette domenet.

Hvis du velger Aktiver for domenekontoer p� domeservere, logger domenekontrolleren hendelser for p�loggingsfors�k med NTLM-godkjenning ved bruk av domenekontoer p� domeneservere n�r NTLM-godkjenning ville blitt avsl�tt fordi Avsl� for domenekontoer p� domeservere er valgt i policyinnstillingen Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet.

Hvis du velger Aktiver for domenekontoer, logger domenekontrolleren hendelser for p�loggingsfors�k med NTLM-godkjenning ved bruk av domenekontoer n�r NTLM-godkjenning ville blitt avsl�tt fordi Avsl� for domenekontoer er valgt i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet".

Hvis du velger Aktiver for domeneserver, logger domenekontrolleren hendelser for alle servere i domenet n�r NTLM-godkjenning ville blitt avvist fordi Avsl� for domeneservere er valgt i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet".

Hvis du velger Aktiver alle, vil domenekontrolleren logge hendelser for NTLM pass-through godkjenningsforesp�rsler fra sine servere og for sine kontoer som ville blitt avvist fordi Avsl� alle er valgt i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet".

Denne policyen st�tters p� minst Windows Server 2008 R2.

Obs!: Overv�kingshendelser blir registrert p� denne datamaskinen i operasjonsloggen under Applications and Services Log/Microsoft/Windows/NTLM.

�Nettverkssikkerhet: Tillat at lokalsystemet bruker datamaskin-ID-en for NTLM

Denne policyinnstillingen lar lokale systemtjenester som bruker Negotiate, bruke datamaskin-ID-en ved tilbakestilling til NTLM-godkjenning.

Hvis du aktiverer denne policyinnstillingen, vil tjenester som kj�rer som lokalt system som bruker Negotiate, bruke datamaskin-ID-en. Dette kan f�re til mislykkede godkjenningsforesp�rsler mellom Windows-operativsystemer, og det kan logges feil.

Hvis du deaktiverer denne policyinnstillingen, vil tjenester som kj�rer som lokalt system som bruker Negotiate ved tilbakestilling til NTLM-godkjenning, godkjenne anonymt.

Denne policyen er aktivert som standard p� Windows 7 og over.

Denne policyen er deaktivert som standard p� Windows Vista.

Denne policyen st�ttes p� minst Windows Vista eller Windows Server 2008.

Merk: Windows Vista eller Windows Server 2008 ikke viser denne innstillingen i gruppepolicy.

Microsoft-nettverksserver: Valideringsniv� for server-SPN-m�lnavn

Denne policyinnstillingen styrer valideringsniv�et en datamaskin med delte mapper eller skrivere (serveren) utf�rer p� tjenestens hovednavn (SPN) som leveres av klientdatamaskinen n�r den etablerer en �kt ved hjelp av SMB-protokollen (Server Message Block).

SMB-protokollen (Server Message Block) gir grunnlag for fil- og utskriftsdeling og andre nettverksoperasjoner, for eksempel ekstern Windows-administrasjon. SMB-protokollen st�tter validering av SPN-tjenesten for SMB-serveren innenfor godkjenningsbloben som er mottatt fra en SMB-klient, for � forhindre en angrepsklasse mot SMB-servere kalt SMB-rel�angrep. Denne innstillingen vil p�virke b�de SMB1 og SMB2.

Denne sikkerhetsinnstillingen bestemmer valideringsniv�et en SMB-server utf�rer p� tjenestekontohavernavnet (SPN) som leveres av SMB-klienten n�r du pr�ver � opprette en �kt p� en SMB-server.

Alternativene er:

Av SPN er ikke n�dvendig eller validert av SMB-serveren fra en SMB-klient.

Godta hvis klienten har angitt at SMB-serveren godtar og validerer SPN-en som leveres av SMB-klienten, og tillater at en �kt etableres hvis den samsvarer med SMB-serverlisten for SPN-er for seg selv. Hvis SPN IKKE samsvarer, vil �ktforesp�rselen for denne SMB-klienten bli avvist.

Kreves fra klient SMB-klienten M� sende et SPN-navn i �ktoppsett, og SPN-navnet M� samsvare med SMB-serveren som blir spurt om � opprette en tilkobling. Hvis ingen SPN leveres av klienten, eller SPN som er angitt, ikke samsvarer, blir �kten avvist.

Standard: Av

Alle Windows-operativsystemer st�tter b�de en SMB-komponent p� klientsiden og en SMB-komponent p� serversiden. Dette p�virker virkem�ten til server-SMBen, og implementering av denne m� vurderes og testes n�ye for � forhindre forstyrrelser i funksjonene for fil- og utskriftsbetjening. Du finner mer informasjon om hvordan du implementerer denne og bruker den til � sikre SMB-serverne, p� Microsofts webomr�de (https://go.microsoft.com/fwlink/?LinkId=144505).�Microsoft-nettverksserver: Pr�v S4U2Self for � hente kravinformasjon

Denne sikkerhetsinnstillingen st�tter klienter som kj�rer en tidligere versjon av Windows enn Windows 8 i � f� tilgang til en fildeling som krever brukerkrav. Innstillingen angir om den lokale filserveren skal pr�ve � bruke Kerberos S4U2Self-funksjonen (Service-For-User-To-Self) til � hente kravene til en nettverksklients kontohaver fra klientens kontodomene. Denne innstillingen b�r bare aktiveres hvis filserveren benytter brukerkrav for � kontrollere tilgangen til filer, og hvis filserveren st�tter klientkontohavere hvis kontoer kan v�re i et domene med klientdatamaskiner og domenekontrollere som kj�rer en tidligere versjon av Windows enn Windows 8.

Denne innstillingen skal settes til automatisk (standard) slik at filserveren automatisk kan vurdere om krav kreves for brukeren. En administrator vil angi denne innstillingen eksplisitt til �Aktivert� bare hvis det finnes lokale filtilgangspolicyer som inkluderer brukerkrav.

N�r denne sikkerhetsinnstillingen er aktivert, vil Windows-filserveren unders�ke tilgangstoken til en godkjent nettverksklientkontohaver og avgj�re om informasjon om kravet finnes. Hvis det ikke finnes krav, bruker filserveren Kerberos S4U2Self-funksjonen til � pr�ve � kontakte en Windows Server 2012-domenekontroller i klientens kontodomene og hente et kravaktivert tilgangstoken for klientkontohaveren. Et krav-aktivert token kan v�re n�dvendig for � f� tilgang til filer eller mapper som har kravbasert tilgangskontrollpolicy.

Hvis denne innstillingen er deaktivert fors�ker ikke Windows-filserveren � innhente et kravaktivert tilgangstoken for klientkontohaveren.

Standard: Automatisk.�Kontoer: Blokker Microsoft-kontoer

Denne innstillingen hindrer bruk av Innstillingsappen til � legge til en Microsoft-konto for enkel p�logging (SSO)-godkjenning for Microsoft-tjenester og enkelte bakgrunnstjenester, eller bruke en Microsoft-konto for enkel p�logging til andre programmer eller tjenester.

Det finnes to alternativer hvis denne innstillingen er aktivert:

" Brukere kan ikke legge til Microsoft-kontoer betyr at eksisterende tilkoblede kontoer fortsatt kan logge seg p� enheten (og vises p� p�loggingsskjermen). Brukere kan imidlertid ikke bruke Innstillingsappen til � legge til nye tilkoblede kontoer (eller koble lokale kontoer til Microsoft-kontoer).

" Brukere kan ikke legge til eller logge p� med Microsoft-kontoer betyr at brukere ikke kan legge til nye tilkoblede kontoer (eller koble lokale kontoer til Microsoft-kontoer) eller bruke eksisterende tilkoblede kontoer gjennom Innstillinger.

Denne innstillingen p�virker ikke tillegging av en Microsoft-konto for programgodkjenning. Hvis denne innstillingen er aktivert kan en bruker for eksempel fortsatt oppgi en Microsoft-konto for godkjenning med et program som E-post, men brukeren kan ikke bruke Microsoft-kontoen for godkjenning med enkel p�logging i andre programmer eller tjenester (med andre ord, brukeren blir bedt om godkjenning for andre programmer eller tjenester).

Som standard er denne innstillingen Ikke definert.�Interaktiv p�logging: terskel for maskinkonto.

Denne sikkerhetsinnstillingen bestemmer antall mislykkede p�loggingsfors�k som f�rer til at maskinen starter p� nytt. Maskiner med BitLocker aktivert for � beskytte OS-volumer bli l�st ute og kan bare gjenopprettes ved � oppgi en gjenopprettingsn�kkel p� konsollen. Kontroller at de riktige gjenopprettingspolicyene er aktivert.

Du kan angi verdien mellom 1 og 999 mislykkede p�loggingsfors�k. Hvis du angir verdien til 0, blir maskinen aldri l�st. Verdiene fra 1 til 3 blir tolket som 4.

Mislykkede passordfors�k mot arbeidsstasjoner eller medlemsservere som er l�st ved hjelp av enten CTRL + ALT + DELETE eller passordbeskyttet skjermsparere, teller som mislykkede p�loggingsfors�k.

Standard: 0.�Interaktiv p�logging: Inaktivitetsgrense for maskin.

Windows registrerer inaktivitet i en p�loggings�kt, og hvis inaktivitetstiden overskrider inaktivitetsgrensen, startes skjermbeskytteren, noe som l�ser �kten.

Standard: H�ndheves ikke.PA�F� tak i et representasjonstoken for en annen bruker i samme �kt.

N�r denne tilgangen tilordnes en bruker, kan programmer som kj�rer p� vegne av denne brukeren, f� et representasjonstoken av andre brukere som har logget p� den samme �kten interaktivt. Dette forutsetter at anroperen har et representasjonstoken for �ktbrukeren. Gjelder ikke Windows client/server for skrivebord, hvor hver bruker f�r en separat �kt.Network access: Restrict clients allowed to make remote calls to SAM

This policy setting allows you to restrict remote rpc connections to SAM.

If not selected, the default security descriptor will be used.

This policy is supported on at least Windows Server 2016.

�Interaktiv p�logging: Ikke vis brukernavnet ved p�logging

Denne sikkerhetsinnstillingen bestemmer om brukernavnet til personen som logger p� denne PC-en, skal vises ved Windows-p�logging, etter at at legitimasjonen er angitt, og f�r PC-skrivebordet vises.

Hvis denne policyen er aktivert, vises ikke brukernavnet.

Hvis denne policyen er deaktivert, vises brukernavnet.

Standard: Deaktivert.

�Interaktiv p�logging: Vis brukerinformasjon n�r �kten er l�st

Denne innstillingen styrer om detaljer som e-postadresse eller domene\brukernavn vises med brukernavnet p� p�loggingsskjermen. N�r det gjelder klienter som kj�rer Windows 10 versjon 1511 og 1507 (RTM), fungerer denne innstillingen p� lignende m�te som i tidligere versjoner av Windows. P� grunn av en ny personverninnstilling i Windows 10 versjon 1607 p�virker denne innstillingen disse klientene p� en annen m�te.

Endringer i Windows 10 versjon 1607

Fra og med versjon 1607 ble det lagt til ny funksjonalitet i Windows 10 for � skjule brukernavndetaljer, for eksempel e-postadresse, som standard, og et alternativ for � endre standarden slik at detaljene vises. Denne funksjonaliteten kontrolleres av den nye personverninnstillingen i Innstillinger > Kontoer > P�loggingsalternativer. Personverninnstillingen er deaktivert som standard, slik at detaljene skjules.

Denne gruppepolicyinnstillingen styrer samme funksjonalitet.

Denne innstillingen har disse mulige verdiene:

Brukers visningsnavn, domene og brukernavn: For en lokal p�logging vises brukerens fulle navn. Hvis brukeren logget p� med en Microsoft-konto, vises brukerens e-postadresse. Ved en domenep�logging vises domene\brukernavn.

Bare brukers visningsnavn: Fullt navn p� brukeren som l�ste �kten, vises.

Bare domene og brukernavn: Ved en domenep�logging vises bare domene\brukernavn. Personverninnstillingen i Innstillinger > Kontoer > P�loggingsalternativer aktiveres automatisk og nedtones.

Ikke vis brukerinformasjon: Det vises ingen navn, men for alle versjoner av Windows f�r Windows 10 vises fullt navn p� brukere p� skrivebordet for Bytt bruker. Fra og med Windows 10 versjon 1607 er det ikke lenger st�tte for dette alternativet. Hvis du velger dette alternativet, vises i stedet fullt navn p� brukeren som l�ste �kten. Denne endringen gj�r at denne innstillingen stemmer overens med funksjonaliteten til den nye personverninnstillingen. Hvis du ikke vil vise noe brukerinformasjon, aktiverer du gruppepolicyinnstillingen Interaktiv p�logging: Ikke vis sist p�logget.

- Tom: Standardinnstilling. Dette betyr �Ikke definert�, men brukerens fulle navn vises p� samme m�te som med alternativet Bare brukers visningsnavn.

Hurtigreparasjon for Windows 10 versjon 1607

Klienter som kj�rer Windows 10 versjon 1607, viser ikke detaljer p� p�loggingsskjermen selv om alternativet Brukers visningsnavn, domene og brukernavn er valgt, fordi personverninnstillingen er deaktivert. Hvis personverninnstillingen er aktivert, vises detaljene.

Personverninnstillingen kan ikke endres for klienter i bulk. Installer i stedet KB 4013429 p� klienter som kj�rer Windows 10 versjon 1607, slik at de fungerer p� lignende m�te som tidligere versjoner av Windows.

Interaksjon med Blokker bruker fra � vise kontodetaljer ved p�logging

For alle versjoner av Windows 10 er det bare brukernavnet som vises som standard.

Hvis Blokker bruker fra � vise kontodetaljer ved p�logging er angitt, er det bare brukerens visningsnavn som vises, uavhengig av andre gruppepolicyinnstillinger. Brukere kan ikke vise detaljer.

Hvis Blokker bruker fra � vise kontodetaljer ved p�logging ikke er angitt, kan du angi Interaktiv p�logging: Vis brukerinformasjon n�r �kten er l�st til Brukers visningsnavn, domene og brukernavn for � vise flere detaljer, for eksempel domene\brukernavn. I dette tilfellet m� du installere KB 4013429 p� klienter som kj�rer Windows 10 versjon 1607. Brukere kan ikke skjule flere detaljer.

Gode fremgangsm�ter

Implementeringen av denne policyen er avhengig av sikkerhetskravene for p�loggingsinformasjon som vises. Hvis du kj�rer datamaskiner der sensitive data lagres, med skjermer p� usikrede steder, eller hvis du har datamaskiner med sensitive data som brukere har ekstern tilgang til, kan det � vise den p�loggede brukerens navn, v�re i strid med den generelle sikkerhetspolicyen.

Avhengig av sikkerhetspolicyen kan det v�re aktuelt � aktivere policyen Interaktiv p�logging: Ikke vis sist p�logget.

CGj�r om eldre grenser for passordlengde

Denne innstillingen kontrollerer om innstillingen for minimum passordlengde kan �kes utover den eldre grensen p� 14.

Hvis denne innstillingen ikke er definert, kan minimum passordlengde konfigureres til maksimalt 14.

Hvis denne innstillingen er definert og deaktivert, kan minimum passordlengde konfigureres til maksimalt 14.

Hvis denne innstillingen er definert og aktivert, kan minimum passordlengde konfigureres h�yere enn 14.

Hvis du vil ha mer informasjon, kan du se https://go.microsoft.com/fwlink/?LinkId=2097191.

�Overv�king av minimum passordlengde

Denne sikkerhetsinnstillingen bestemmer minimum passordlengde som advarsel om overv�king av passord utstedes for. Denne innstillingen kan konfigureres fra 1 til 128.

Du b�r bare aktivere og konfigurere denne innstillingen n�r du pr�ver � fastsl� den potensielle virkningen av � �ke innstillingen minimum passordlengde i milj�et ditt.

Hvis denne innstillingen ikke er definert, blir ikke overv�kingshendelser utstedt.

Hvis denne innstillingen er definert og er mindre enn eller lik innstillingen for minimum passordlengde, blir ikke overv�kingshendelser utstedt.

Hvis denne innstillingen er definert og er st�rre enn innstillingen for minimum passordlengde, og lengden p� et nytt kontopassord er kortere enn denne innstillingen, utstedes det en overv�kingshendelse.

Hvis du vil ha mer informasjon, kan du se https://go.microsoft.com/fwlink/?LinkId=2097191.

Domenekontroller: Krav til kanalbindingstoken p� LDAP-server

Denne sikkerhetsinnstillingen bestemmer om LDAP-serveren h�ndhever validering av kanalbindingstokener mottatt i LDAP-bindingsforesp�rsler sendt via LDAP-tilkoblinger, p� f�lgende m�te:

Aldri: Ingen kanalbindingsvalidering utf�res. Dette er virkem�ten for alle servere som ikke er oppdatert.

N�r dette st�ttes: Klienter som annonserer st�tte for kanalbindingstokener, m� ha riktig token ved godkjenning av TLS/SSL-tilkoblinger. Klienter som ikke annonserer slik st�tte, eller som ikke bruker TLS/SSL-tilkoblinger, p�virkes ikke. Dette er et mellomliggende alternativ som tillater programkompatibilitet.

Alltid: Alle klienter m� gi informasjon om kanalbinding via LDAP-er. Serveren avviser godkjenningsforesp�rsler for LDAP fra klienter som ikke gj�r det.

Standard: Denne policyen er ikke angitt, noe som har samme virkem�te som N�r det st�ttes.

Hvis du vil ha mer informasjon om denne konfigurasjonsinnstillingen, kan du se https://go.microsoft.com/fwlink/?linkid=2102405.

Obs!� N�r det st�ttes-alternativet beskytter bare de klientene som st�tter Utvidet beskyttelse for godkjenning. Klienter som ikke gj�r det, kan fortsatt kan v�re s�rbare til de oppdateres eller konfigureres. N�r denne policyen er angitt til Alltid, kan ikke systemene XP/2k3/Vista/Server 2008 godkjenne via TLS/SSL-tilkoblinger som standard f�r Utvidet beskyttelsen for godkjenning er aktivert i henhold til https://docs.microsoft.com/en-us/security-updates/securityadvisories/2009/973811

|Domenekontroller: Tillat s�rbare Netlogon-tilkoblinger over sikker kanal

Denne sikkerhetsinnstillingen fastsl�r om domenekontrolleren g�r rundt sikker RPC for Netlogon-tilkoblinger over sikker kanal for spesifikke maskinkontoer.

Denne policyen skal brukes for alle domenekontrollere i en skog ved � aktivere policyen p� alle domenekontrollere OU.

N�r Opprett s�rbare tilkoblinger-listen (tillatelsesliste) er konfigurert:

Hvis domenekontrolleren er gitt �tillat�-tillatelsen, vil domenekontrolleren tillate kontoer � bruke en sikker Netlogon-kanal uten sikker RPC.

Hvis domenekontrolleren er gitt �tillat�-tillatelsen, vil domenekontrolleren kreve at kontoer bruker en sikker Netlogon-kanal med sikker RPC som er den samme som standarden (ikke n�dvendig).

Advarsel! Hvis du aktiverer denne policyen, blir dine domenetilkoblede enheter eksponert, og dette kan utsette Active Directory-skogen din for risiko. Denne policyen skal brukes som et midlertidig tiltak for tredjepartsenheter n�r du idriftsetter oppdateringer. N�r en tredjepartsenhet er oppdatert til � st�tte bruk av sikker RPC med sikre Netlogon-kanaler, skal kontoen fjernes fra Opprett s�rbare tilkoblinger-listen. For � f� en bedre forst�else for risikoen med � konfigurere kontoer til � tillates � bruke s�rbare Netlogon-tilkoblinger med sikker kanal, kan du g� til https://go.microsoft.com/fwlink/?linkid=2133485.

Standard: Denne policyen er ikke konfigurert. Ingen maskiner eller klarerte kontoer eller eksplisitt unntatt fra sikker RPC med h�ndhevelse med Netlogon-tilkoblinger over sikker kanal.

Denne policyen st�ttes p� minst Windows Server 2008 R2.

�Tillat l�sing av administratorkonto

Denne sikkerhetsinnstillingen bestemmer om den innebygde administratorkontoen er underlagt policyen for l�sing av konto.Domenekontroller: Fremtving signeringskrav for LDAP-server

Denne sikkerhetsinnstillingen bestemmer om LDAP-serveren fremtvinger signering som skal forhandles frem med LDAP-klienter.

Denne policyen overstyrer policyen for signeringskrav for LDAP-serveren med mindre den er deaktivert.

Standard: Ikke konfigurert som har samme effekt som Aktivert.

Aktivert: LDAP-signering h�ndheves uavhengig av hva som er angitt i LDAP-signeringspolicyen.

Deaktivert: Innstillingen fra LDAP-signeringspolicyen vil bli brukt.�Domenekontroller: Tillat ny bruk av datamaskinkonto under domenekobling

Denne sikkerhetsinnstillingen bestemmer om domenekontrolleren tillater en klientidentitet i � pr�ve � bruke en eksisterende datamaskinkonto som eies av en annen identitet under domenekobling.

Som standard er f�lgende eiere klarerte: Administratorer og brukeren som utf�rer domenekoblingen.

N�r denne policyen er konfigurert med en liste over klarerte brukere eller grupper, tillater domenekontrolleren at en klient kan bruke en datamaskinkonto som eies av et medlem av den angitte gruppen eller angitt identitet under domenekobling.

Bruk denne policyen p� alle domenekontrollere i et domene ved � aktivere policyen p� domenekontroller-OU-en.

aNettverkssikkerhet: Krav til kryptering for LDAP-klient

Denne sikkerhetsinnstillingen bestemmer hvilket niv� av datakryptering som blir forespurt p� vegne av klienter som sender LDAP BIND-foresp�rsler, p� denne m�ten:

Ingen: LDAP BIND-foresp�rselen sendes med alternativer som angis av avsenderen.

Forhandle om kryptering: Hvis TLS/SSL (Transport Layer Security/Secure Sockets Layer) ikke er startet, initieres LDAP BIND-foresp�rselen med LDAP-alternativet for datakryptering i tillegg til alternativene som angis av avsenderen. Hvis TLS/SSL er startet, initieres LDAP BIND-foresp�rselen med alternativene som angis av avsenderen.

Krever kryptering: Dette er det samme som Forhandle om kryptering. Hvis imidlertid LDAP-serverens mellomliggende saslBindInProgress-svar ikke angir at LDAP-trafikkkryptering st�ttes, blir avsenderen fortalt at foresp�rselen om LDAP BIND-kommandoen mislyktes.

Forsiktig!

Hvis du angir at serveren skal kreve kryptering, m� du ogs� konfigurere klienten. Hvis du ikke konfigurerer klienten, f�rer det til at koblingen til serveren brytes.

Standard: Forhandle om kryptering.

4Domenekontroller: Avsl� standard for innstillinger i passord for maskinkonto

Denne sikkerhetsinnstillingen bestemmer om domenekontrollere vil nekte � angi standard maskinkontopassord ved oppretting. Hvis dette er aktivert, avsl�r domenekontrolleren � angi passord til standard passord for datamaskinkonto.aBrukerkontokontroll: Virkem�te for sp�rsm�l om rettighetsutvidelse for administratorer i modus for forbedret rettighetsbeskyttelse
.

Denne policyinnstillingen kontroller virkem�ten for sp�rsm�l om rettighetsutvidelse for administratorer som kj�rer modus for forbedret rettighetsbeskyttelse.

Alternativer er:

" Be om samtykke p� det sikrede skrivebordet: N�r en operasjon krever rettighetsutvidelse, blir brukeren bedt om � velge Tillat eller Avsl� p� det sikre skrivebordet. Hvis brukeren velger Tillat, fortsetter operasjonen med forbedret utvidet rettighetsbeskyttelse.

" Be om legitimasjon: N�r en operasjon krever rettighetsutvidelse, blir brukeren bedt om � taste inn et administrativt brukernavn og passord p� det sikrede skrivebordet. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med forbedret utvidet rettighetsbeskyttelse.

�Brukerkontokontroll: Konfigurer type Admin godkjenningsmodus

Denne policyinnstillingen styrer om forbedret rettighetsbeskyttelse brukes for utvidelser i modus for administratorgodkjenning. Hvis du endrer denne policyinnstillingen, m� du starte datamaskinen p� nytt. Denne policyen st�ttes bare p� Windows Desktop, ikke Server.

Alternativene er:

" Admin Godkjenningsmodus kj�rer i eldre modus (standard)

" Admin Godkjenningsmodus kj�rer med forbedret rettighetsbeskyttelseVBrukerkontokontroll: Virkem�te for sp�rsm�l om rettighetsutvidelse for administratorer som kj�rer med administratorbeskyttelse

Denne policyinnstillingen kontrollerer virkem�ten for sp�rsm�l om rettighetsutvidelse for administratorer som kj�rer med administratorbeskyttelse.

Alternativene er:

" Be om legitimasjon: N�r en operasjon krever rettighetsutvidelse, blir brukeren bedt om � taste inn et administrativt brukernavn og passord p� det sikre skrivebordet. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med utvidet administratorbeskyttelse.

" Be om samtykke p� det sikrede skrivebordet: N�r en operasjon krever rettighetsutvidelse, blir brukeren bedt om � velge Tillat endringer eller Avsl� p� det sikre skrivebordet. Hvis brukeren velger Tillat endringer, fortsetter operasjonen utvidet med administratorbeskyttelse.

�Brukerkontokontroll: Konfigurer type modus for administratorgodkjenning

Denne policyinnstillingen kontrollerer om administratorbeskyttelse brukes p� utvidelser for administratorgodkjenningsmodus. Hvis du endrer denne policyinnstillingen, m� du starte datamaskinen p� nytt. Denne policyen st�ttes bare p� Windows-skrivebordet, ikke server.

Alternativene er:

" Modus for administratorgodkjenning kj�rer i eldre modus (standard)

" Modus for administratorgodkjenning kj�rer med administratorbeskyttelsePADu er i ferd med � endre sikkerhetsinnstillingene for denne tjenesten. Hvis du endrer standardsikkerheten for tjenesten, kan det f�re til problemer p� grunn av inkonsekvent konfigurasjon mellom denne tjenesten og andre tjenester som bruker den.

Vil du fortsette?PASikkerhetsmaler�Du er i ferd med � importere ny malinformasjon til den lokale datamaskinpolicyen for denne datamaskinen. Dette vil endre gjeldende sikkerhetsinnstillinger for datamaskinen. Vil du fortsette? Konfigurerer datamaskinsikkerhetCGjeldende sikkerhetskonfigurasjonsdatabase: Lokal policydatabase %s>Gjeldende sikkerhetskonfigurasjonsdatabase: Privat database %sGenererer analyseinformasjonImport mislyktesDelobjekter definertIkke tilgjengeligNy tjeneste
Konfigurerer:CLegg til &fil...
Legger til en ny fil eller mappe til i denne malen,Legg til denne filen eller mappen til malen:Legg til fil eller mappeMicrosoft Corporation10.0_Sikkerhetsmaler er en MMC-snapin-modul som tilbyr redigeringsfunksjoner for sikkerhetsmalfiler.�Konfigurasjon og analyse av sikkerhet er en MMC-snapin-modul som tilbyr sikkerhetskonfigurasjon og analyse for Windows-datamaskiner ved � bruke sikkerhetsmalfiler.�Snapin-modulen Sikkerhetsinnstillinger er en utvidelse til Gruppepolicy som hjelper deg med � definere sikkerhetspolicyer for datamaskiner i domenet.B&Importer policy...
Importerer en malfil til dette policyobjektet.C&Eksporter policy...
Eksporterer mal fra denne policyen til en fil.1Filen %s finnes allerede.
Vil du skrive over den? Vellykket MislykketIngen overv�kingKan ikke oppdatere policyer.Kan ikke kopiere avsnittVelg fil som skal legges til
�pne databasePAOpprett databaseEksporter policy tilImporter policy fraImporter malEksporter mal tilSikkerhetsinnstilling#Kan ikke �pne lokal policydatabase.Lokal policy database�Databasen for lokale sikkerhetsinnstillinger kan ikke redigeres fra snapin-modulen for Konfigurasjon og analyse av sikkerhet. Bruk snapin-modulen for gruppepolicy for � redigere lokale sikkerhetsinnstillinger..\help\75393cf0-f17a-453d-98a9-592b009289c2.chm.\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm.\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm@\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm@\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htmC\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm_Det er nye policyinnstillinger p� datamaskinen. Vil du oppdatere visningen av gjeldende policy?Datamaskininnstilling p� %s6Denne databasen kan ikke opprettes fordi ingen malfil er valgt.
<H4>Slik �pner du en eksisterende database</H4><OL><LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_1">H�yreklikk omr�deelementet <I>Konfigurasjon og analyse av sikkerhet</I>. <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_2">Velg <B>�pne database</B> <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_3"> Velg en database og klikk �pne</OL> <H4>Slik oppretter du en ny database</H4><OL> <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_4">H�yreklikk omr�deelementet <I>Konfigurasjon og analyse av sikkerhet</I>. <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_5"> Velg <B>�pne database</B>. <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_6"> Skriv inn et nytt databasenavn, og klikk deretter �pne. <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_7">Velg sikkerhetskonfigurasjonsfilen du vil importere, og klikk �pne.</OL>N&Erstatt eksisterende tillatelser for alle undern�kler med arvbare tillatelser1&Overf�r arvbare tillatelser til alle undern�kler9&Ikke tillat erstatning av tillatelser for denne n�kkelenKonfigurer medlemskap for %sBillett utl�per om:Billett utl�per ikke.Billettfornyelse utl�per om:Billettfornyelse er deaktivert.Maksimal toleranse:Maksimal toleranse:Gjelder ikke*<Denne gruppen inneholder ingen medlemmer>1<Gruppene denne gruppen tilh�rer b�r ikke endres>Bruker- og gruppenavnLegg til bruker eller gruppeIkke koble fra klienter:&Koble fra n�r inaktiv tid overskrider:Ikke hurtigbufre p�logginger:
Hurtigbuffer:1Be om dette s� mange dager f�r passordet utl�per:1Be om dette s� mange dager f�r passordet utl�per:&Konfigurer denne n�kkelen og,Kan ikke lagre global plasseringsbeskrivelse%Kan ikke lagre plasseringsbeskrivelse4Last inn igjen
Laster inn sikkerhetspolicyen p� nytt)Lagre endringer for %1 f�r ny innlasting?Lokale sikkerhetsinnstillingerPA+Klasse for WSecEdit-sikkerhetsinnstillinger6Klasse for lokale sikkerhetsinnstillinger for WSecEditC\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htmC\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htmjSnapin-modulen Lokale sikkerhetsinnstillinger hjelper deg med � definere sikkerhet p� det lokale systemet.C\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm0Klasse for WSecEdit RSOP-sikkerhetsinnstillinger�Utvidelses-snapin-modulen RSOP Security Settings utvider snapin-modulen RSOP og hjelper deg med � vise resulterende sikkerhetspolicyer for datamaskiner i domenet.&BrukKan ikke fastsl� sikkerhetsinnstillingene for gruppepolicyen som gjelder for denne maskinen.
Feilen som ble returnert n�r du pr�vde � hente disse innstillingene fra den lokale sikkerhetspolicydatabasen (%%windir%%\security\database\secedit.sdb), er: %s
Alle lokale sikkerhetsinnstillinger blir vist, men det vil ikke bli gitt indikasjoner p� om en gitt sikkerhetsinnstilling er definert av gruppepolicy.
Lokale sikkerhetsinnstillinger som er endret gjennom dette grensesnittet, kan senere overstyres av policyer p� domeneniv�.�Kan ikke fastsl� sikkerhetsinnstillingene for gruppepolicyen som gjelder for denne maskinen.
Feilen som ble returnert n�r du pr�vde � hente disse innstillingene fra den lokale sikkerhetspolicydatabasen (%%windir%%\security\database\secedit.sdb), er: %s
Alle lokale sikkerhetsinnstillinger blir vist, men det vil ikke bli gitt indikasjoner p� om en gitt sikkerhetsinnstilling er definert av gruppepolicy. Loggfil:
PolicynavnPAInnstillingPolicyen %1 ble brukt riktig.�Det oppstod en feil under konfigurering av en underordnet for dette objektet. (Policymotoren pr�vde eventuelt og mislyktes i � konfigurere den underordnede for en bestemt policyinnstilling.) Se %windir%\security\logs\winlogon.log for mer informasjonvPolicyen %1 resulterte i f�lgende feil %2. Se %windir%\security\logs\winlogon.log p� m�lmaskinen for mer informasjon.�Policyen %1 resulterte i en ugyldig status og ble logget. Se %%windir%%\security\logs\winlogon.log p� m�lmaskinen for mer informasjon.�Policymotoren pr�vde ikke � konfigurere innstillingen. Se %windir%\security\logs\winlogon.log p� m�lmaskinen for mer informasjon.&Vis sikkerhet...@Kan ikke eksportere mal til %1.
Feilen som ble returnert, er: %2%Lagre endringer i sikkerhetsdatabase?4Nekt p�logging gjennom Eksterne skrivebordstjenester6Tillat p�logging gjennom Eksterne skrivebordstjenesterKan ikke legge til mals�kebane\Security\LogsGSikkerhetsdelen av gruppepolicyen kan bare redigeres p� PDC-emulatoren.�Innstillingen er ikke kompatibel med datamaskiner som kj�rer Windows 2000 Service Pack 1 eller tidligere. Bruk gruppepolicyobjekter som inneholder denne innstillingen, bare p� datamaskiner som kj�rer en senere versjon av operativsystemet.PA*Lukk alle egenskapssider f�r du sletter %1Verdi m� v�re mellom %d og %d4Nettverkstilgang: Tillat anonym SID/navneoversetting.Administratorer m� ha lokal p�loggingstilgang.GDu kan ikke nekte alle brukere eller administratorer � logge p� lokalt.!Noen kontoer kan ikke oversettes.ZHvis du vil bruke endringene eller lukke egenskapsarket, lukker du alle sekund�re vinduer.WVinduet kan ikke �pnes. Windows kan ikke opprette en grensesnittr�d for egenskapsarket.@\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm
Hva er dette?sct.\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm(Verdien m� v�re mellom %d og %d, eller 0QDenne innstillingen p�virker bare operativsystemer eldre enn Windows Server 2003.\Endring av denne innstillingen kan p�virke klient-, tjeneste- og programkompatibiliteten.
%1+Se <A>%1</A> for mer informasjon (Q%2!lu!).�Du er i ferd med � endre denne innstillingen til en verdi som kan p�virke klient-, tjeneste- og programkompatibiliteten.

Vil du fortsette gj�re endringen?ZAdministratorer og TJENESTE m� gis den representerte klienten etter godkjenningstillatelse�Denne innstillingen kan kanskje ikke fremtvinges hvis en annen policy er konfigurert til � overstyre overv�kingspolicyen p� kategoriniv�.
%1\Hvis du vil ha mer informasjon, se <A>%1</A> i den tekniske referansen for sikkerhetspolicy.PA%Ingen forklaring for denne handlingenMaskinen l�ses etterPAgAdministrer policyer for sentral tilgang...
Legg til / fjern policyer for sentral tilgang i denne malen8Denne tilgangspolicyen inneholder f�lgende policyregler:Status@Laster ned policyer for sentral tilgang fra Active Directory ...5Feil: Kan ikke laste ned policyer for sentral tilgangKlar...PA!!Ukjent policy!!:�Finner ikke denne policyen for sentral tilgang. Den kan ha blitt slettet fra Active Directory eller ha ugyldige innstillinger. Gjenopprett policyen i Active Directory Administrative Center (AD AC), eller fjern den fra konfigurasjonen.KKontoer: Begrens bruk av tomme passord for lokal konto til konsollp�logging5Overv�k: Overv�k tilgangen til globale systemobjekterKOverv�k: Overv�k bruk av sikkerhetskopierings- og gjenopprettingstillatelseLOverv�k: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overv�kes:Enheter: Forhindre brukere fra � installere skriverdriverePA0Enheter: Tillat frakobling uten � m�tte logge p�8Domenekontroller: La serveroperat�rer planlegge oppgaver;Domenekontroller: Avsl� endringer i passord for maskinkonto0Domenekontroller: Signeringskrav for LDAP-serverIngenKrev signering>Domenemedlem: Deaktiver endring av passord for datamaskinkonto3Domenemedlem: Maksimal passordalder for maskinkontoDDomenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid):Domenemedlem: Krypter sikre kanaldata digitalt (n�r mulig)9Domenemedlem: Signer sikre kanaldata digitalt (n�r mulig)?Domenemedlem: Krev sterk �ktsn�kkel (Windows 2000 eller senere),Interaktiv p�logging: Ikke krev Ctrl+Alt+DEL,Interaktiv p�logging: Ikke vis sist p�loggetPA=Interaktiv p�logging: Vis brukerinformasjon n�r �kten er l�st*Brukers visningsnavn, domene og brukernavnBare brukers visningsnavnIkke vis brukerinformasjonGInteraktiv p�logging: Meldingstekst for brukere som fors�ker � logge p�HInteraktiv p�logging: Meldingstittel for brukere som fors�ker � logge p�uInteraktiv p�logging: Antall tidligere p�logginger som skal bufres (i tilfelle domenekontroller ikke er tilgjengelig)BInteraktiv p�logging: Be bruker om � endre passord f�r det utl�perZInteraktiv p�logging: Krev godkjenning av domenekontroller for � l�se opp arbeidsstasjonenFInteraktiv p�logging: krev Windows Hello for bedrifter eller smartkort9Interaktiv p�logging: Oppf�rsel ved fjerning av smartkortIngen handlingL�s arbeidsstasjonFremtving avlogging?Koble fra hvis en ekstern �kt for Eksterne skrivebordstjenesterAMicrosoft nettverksklient: Signer kommunikasjon digitalt (alltid)MMicrosoft nettverksklient: Signer kommunikasjon digitalt (hvis server godtar)MMicrosoft nettverksklient: Send ukryptert passord til tredjeparts SMB-servereDMicrosoft nettverksserver: Inaktiv tid n�dvendig f�r �kten frakoblesAMicrosoft nettverksserver: Signer kommunikasjon digitalt (alltid)YMicrosoft nettverksserver: Signer serverkommunikasjon digitalt (hvis klienten godtar det)FMicrosoft nettverksserver: Logg av brukere n�r p�loggingstiden utl�perYNettverkstilgang: Ikke tillat lagring av passord og legitimasjon for nettverksgodkjenning>Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoerLNettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser@Nettverkstilgang: La Alle-tillatelser gjelde for anonyme brukereSNettverkstilgang: Begrens anonym tilgang til navngitte datakanaler og delte omr�der=Nettverkstilgang: Navngitte datakanaler som kan �pnes anonymt5Nettverkstilgang: Delte omr�der som kan �pnes anonymtDNettverkstilgang: Registerbaner og underbaner som kan �pnes eksternt6Nettverkstilgang: Registerbaner som kan �pnes eksterntANettverkstilgang: Delings- og sikkerhetsmodell for lokale kontoerPA1Klassisk - lokale brukere godkjennes som seg selv0Bare gjest - lokale brukere godkjennes som gjest0Nettverkssikkerhet: LAN Manager-godkjenningsniv�Send LM- og NTLM-svar:Send LM og NTLM - bruk NTLMv2-�ktsikkerhet hvis forhandletBare send NTLM-responsBare send NTLMv2-responsBare send NTLMv2-svar. Nekt LM&Bare send NTLMv2-svar. Nekt LM og NTLM]Nettverkssikkerhet: Minimum �ktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) klienter\Nettverkssikkerhet: Minimum �ktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) servereKrev NTLMv2-�ktsikkerhetKrev 128-biters krypteringPA6Nettverkssikkerhet: Krav til signering for LDAP-klientIngenForhandle om signeringKrev signeringAGjenopprettingskonsoll: Tillat automatisk administrativ p�logging\Gjenopprettingskonsoll: Tillat kopiering fra diskett og tilgang til alle stasjoner og mapper:Avslutt: Tillat systemet � avsluttes uten � m�tte logge p�2Avslutt: T�m sidevekslingsfilen for virtuelt minnekSystemobjekter: Stram inn standardtillatelser til interne systemobjekter (for eksempel symbolske koblinger)[Systemobjekter: Standardeier for objekter opprettet av medlemmer av gruppen AdministratorerAdministratorer-gruppeObjektoppretterjSystemobjekter: Krev at det ikke skilles mellom store og sm� bokstaver for delsystemer som ikke er Windows[Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, hash-koding og signering\Systemkryptografi: Fremtving sterk n�kkelbeskyttelse for brukern�kler lagret p� datamaskinen9Brukerinndata kreves ikke n�r nye n�kler lagres og brukesPA3Brukeren blir spurt n�r n�kkelen brukes f�rste gang7Brukeren m� oppgi et passord hver gang en n�kkel brukesmSysteminnstillinger: Bruk sertifikatregler p� Windows-kj�rbare filer for begrensningspolicyer for programvare+Systeminnstillinger: Valgfrie undersystemerp�loggingerdagerminuttersekunder[DCOM: Maskinoppstartsbegrensninger i Security Descriptor Definition Language (SDDL)-syntaksZDCOM: Maskintilgangsbegrensninger i Security Descriptor Definition Language (SDDL)-syntaksDEnheter: Begrens CD-ROM-tilgang til brukeren som er logget p� lokalt8Enheter: Tillatt � formatere og l�se ut flyttbare medierAdministratorer'Administratorer og privilegerte brukere&Administratorer og interaktive brukereCEnheter: Begrens diskettilgang til brukeren som er logget p� lokalt�Overv�king: Fremtving underkategoriinnstillinger for overv�kingspolicy (Windows Vista eller senere) for � overstyre kategoriinnstillinger for overv�kingspolicyLNettverkssikkerhet: Begrens NTLM: Utg�ende NTLM-trafikk til eksterne servereTillat alle
Avsl� alle:Nettverkssikkerhet: Begrens NTLM: Innkommende NTLM-trafikkTillat alleAvsl� alle domenekontoerAvsl� alle kontoerBNettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet Deaktiver(Avsl� for domenekontoer p� domeneservereAvsl� for domenekontoerAvsl� for domeneservere
Avsl� alle[Nettverkssikkerhet: Begrens NTLM: Legg til unntak for eksterne servere for NTLM-godkjenningGNettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenetBNettverkssikkerhet: Tillat at LocalSystem g�r tilbake til NULL-�ktLNettverkssikkerhet: Konfigurer krypteringstyper som er tillatte for KerberosDES_CBC_CRCDES_CBC_MD5RC4_HMAC_MD5AES128_HMAC_SHA1AES256_HMAC_SHA1Fremtidige krypteringstyperqNettverkssikkerhet: Tillat at PKU2U-godkjenningsforesp�rsler til denne datamaskinen bruker onlineidentiteter.

Overv�k alleBNettverkssikkerhet: Begrens NTLM: Overv�k innkommende NTLM-trafikkJNettverkssikkerhet: Begrens NTLM: Overv�k NTLM-godkjenning i dette domenetMNettverkssikkerhet: Tillat lokalt system � bruke datamaskinidentitet for NTLM Deaktiver$Aktiver overv�king for domenekontoer#Aktiver overv�king for alle kontoer Deaktiver*Aktiver for domenekontoer p� domeneservereAktiver for domenekontoerAktiver for domeneservereAktiver alleAMicrosoft-nettverksserver: Valideringsniv� for server-SPN-m�lnavnAvGodta hvis mottatt fra klientKreves fra klientDMicrosoft-nettverksserver: Pr�v S4U2Self for � hente kravinformasjonStandardAktivert
Deaktivert"Kontoer: Blokker Microsoft-kontoerDenne policyen er deaktivertPA,Brukere kan ikke legge til Microsoft-kontoer?Brukere kan ikke legge til eller logge p� med Microsoft-kontoer3Interaktiv p�logging: Terskel for maskinkontol�sing3Interaktiv p�logging: Inaktivitetsgrense for maskinugyldige p�loggingsfors�kaNettverkstilgang: Begrens hvilke klienter som har tillatelse til � opprette eksterne kall til SAM9Interaktiv p�logging: Ikke vis brukernavnet ved p�loggingBare domene- og brukernavntegn<Domenekontroller: Krav til kanalbindingstoken p� LDAP-serverAldriN�r det st�ttesAlltidKDomenekontroller: Tillat s�rbare tilkoblinger til sikker kanal for Netlogon>Domenekontroller: h�ndheving av signeringskrav for LDAP-serverGDomenekontroller: Tillat ny bruk av datamaskinkonto under domenekobling7Nettverkssikkerhet: Krav til kryptering for LDAP-klientIngenForhandle om forseglingKrev forsegling?Domenekontroller: Avvis � sette standardpassord for maskinkontoPA�4VS_VERSION_INFO��
E�e
E�e?StringFileInfo�041404B0LCompanyNameMicrosoft Corporationl"FileDescriptionSikkerhetskonfigurasjons-UI-moduln'FileVersion10.0.26100.6725 (WinBuild.160101.0800)2 InternalNameWSECEDITp&LegalCopyright� Microsoft Corporation. Med enerett.JOriginalFilenameWSecEdit.dll.muij%ProductNameOperativsystemet Microsoft� Windows�DProductVersion10.0.26100.6725DVarFileInfo$Translation�PADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADD

Anon7 - 2021