分类: WINDOWS
2007-02-28 12:29:37
组策略安全选项对应注册表项汇总 在组策略中的位置: 计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] 值名:AuditBaseObjects 含义:对全局系统对象的访问进行审计 类型:REG_DWORD 数据:0=停用 1=启用 值名:CrashOnAuditFail 含义:如果无法纪录安全审计则立即关闭系统 类型:REG_DWORD 数据:0=停用 1=启用 值名:FullPrivilegeAuditing 含义:对备份和还原权限的使用进行审计 类型:REG_BINARY 数据:0=停用 1=启用 值名:LmCompatibilityLevel 含义:LAN Manager 身份验证级别 类型:REG_DWORD 数据:0=发送LM & NTLM响应 1=发送LM & NTLM - 若协商使用NTLMv2安全 2=仅发送NTLM响应 3=仅发送NTLMv2响应 4=仅发送NTLMv2响应\拒绝LM 5=仅发送NTLMv2响应\拒绝LM & NTLM 值名:RestrictAnonymous 含义:对匿名连接的额外限制(通常用于限制IPC$空连接) 类型:REG_DWORD 数据:0=无.依赖于默认许可权限 1=不允许枚举SAM账号和共享 2=没有显式匿名权限就无法访问 值名ubmitControl 含义:允许服务器操作员计划任务(仅用于域控制器) 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers] 值名:AddPrinterDrivers 含义:防止用户安装打印机驱动程序 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management] 值名:ClearPageFileAtShutdown 含义:在关机时清理虚拟内存页面交换文件 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager] 值名rotectionMode 含义:增强全局系统对象的默认权限 (例如 Symbolic Links) 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters] 值名:EnableSecuritySignature 含义:对服务器通讯进行数字签名 (如果可能) 类型:REG_DWORD 数据:0=停用 1=启用 值名:RequireSecuritySignature 含义:对服务器通讯进行数字签名 (总是) 类型:REG_DWORD 数据:0=停用 1=启用 值名:EnableForcedLogOff 含义:当登录时间用完时自动注销用户 (本地) 类型:REG_DWORD 数据:0=停用 1=启用 值名:AutoDisconnect 含义:在断开会话产所需要的空闲时间 类型:REG_DWORD 数据:分钟数 [MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters] 值名:EnableSecuritySignature 含义:对客户端通讯进行数字签名 (如果可能) 类型:REG_DWORD 数据:0=停用 1=启用 值名:RequireSecuritySignature 含义:对客户端通讯进行数字签名 (总是) 类型:REG_DWORD 数据:0=停用 1=启用 值名:EnablePlainTextPassword 含义:发送未加密的密码以连接到第三方SMB服务器 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters] 值名isablePasswordChange 含义:防止计算机帐户密码的系统维护 类型:REG_DWORD 数据:0=停用 1=启用 值名ignSecureChannel 含义:安全通道: 对安全通道数据进行数字签名 (如果可能) 类型:REG_DWORD 数据:0=停用 1=启用 值名ealSecureChannel 含义:安全通道: 对安全通道数据进行数字加密 (如果可能) 类型:REG_DWORD 数据:0=停用 1=启用 值名:RequireSignOrSeal 含义:安全通道: 对安全通道数据进行数字加密或签名 (总是) 类型:REG_DWORD 数据:0=停用 1=启用 值名:RequireStrongKey 含义:安全通道: 需要强 (Windows 2000 或以上版本) 会话密钥 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\Software\[M$]\Driver Signing] 值名olicy 含义:未签名驱动程序的安装操作 类型:REG_BINARY 数据:0=默认安装 1=允许安装但发出警告 2=禁止安装 [MACHINE\Software\[M$]\Non-Driver Signing] 值名olicy 含义:未签名非驱动程序的安装操作 类型:REG_BINARY 数据:0=默认安装 1=允许安装但发出警告 2=禁止安装 [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System] 值名isableCAD 含义:禁用按 CTRL+ALT+DEL 进行登录的设置 类型:REG_DWORD 数据:0=停用 1=启用 值名ontDisplayLastUserName 含义:登录屏幕上不要显示上次登录的用户名 类型:REG_DWORD 数据:0=停用 1=启用 值名:LegalNoticeCaption 含义:用户试图登录时消息标题 类型:REG_SZ 数据:标题文本 值名:LegalNoticeText 含义:用户试图登录时消息文字 类型:REG_SZ 数据:消息文字 值名hutdownWithoutLogon 含义:登录屏幕上不要显示上次登录的用户名 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel 含义:故障恢复控制台: 允许自动系统管理级登录 类型:REG_DWORD 数据:0=停用 1=启用 值名etCommand 含义:故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Winlogon] 值名:AllocateCDRoms 含义:只有本地登录的用户才能访问 CD-ROM 类型:REG_SZ 数据:0=停用 1=启用 值名:AllocateDASD 含义:允许弹出可移动 NTFS 媒体 类型:REG_SZ 数据:0=Administrators 1=Administrators 和 Power users 2=Administrators 和 Interactive users 值名:AllocateFloppies 含义:只有本地登录的用户才能访问软盘 类型:REG_SZ 数据:0=停用 1=启用 值名:CachedLogonsCount 含义:可被缓冲保存的前次登录个数 (在域控制器不可用的情况下) 类型:REG_SZ 数据:次数,如10次 值名asswordExpiryWarning 含义:在密码到期前提示用户更改密码 类型:REG_DWORD 数据:天数,缺省是14天 值名cRemoveOption 含义:智能卡移除操作 类型:REG_SZ 数据:0=无操作 1=锁定工作站 2=强制注销 ============================= 组策略用户配置管理模板与注册表对应键值 一.组策略用户配置管理模板Windows组件 《Windows Update》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate] "DisableWindowsUpdateAccess"=dword:00000001(删除使用所有Windows Update功能的访问)(至少WINXP) 《组策略用户配置管理模板任务栏和开始菜单》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "NoSimpleStartMenu"=dword:00000001(强制典型菜单)(至少WINXP) "NoCommonGroups"=dword:00000001(从开始->程序菜单删除公共程序组)(至少WIN2000) "NoSMMyDocs"=dword:00000001(从开始->文档菜单删除我的文档图标)(至少WIN2000) "NoNetworkConnections"=dword:00000001(从开始->设置菜单删除网络连接)(至少WIN2000) "NoSMMyPictures"=dword:00000001(从开始菜单中删除"图片收藏"图标)(至少WINXP) "ForceStartMenuLogOff"=dword:00000001(强制开始菜单显示注销)(至少WIN2000) "Intellimenus"=dword:00000001(禁止个性化菜单)(至少WIN2000) "NoInstrumentation"=dword:00000001(关闭用户跟踪)(至少WIN2000) [注]这个设置防止系统跟踪用户使用的程序、用户导航的路径和用户打开的文档。系统用这个信息来自定义Windows功能,如个性化菜单。 "MemCheckBoxInRunDlg"=dword:00000001(将"在单独的内存空间运行"复选框添加到"运行"对话框)(至少WIN2000) [注]允许用户在专用的(不是共享的)虚拟DOS机器(VDM)进程中运行十六位程序。 "NoTaskGrouping"=dword:00000001(阻止在任务栏上对项目分组)(至少WINXP) "LockTaskbar"=dword:00000001(锁定任务栏)(至少WINXP) "NoTrayItemsDisplay"=dword:00000001(隐藏系统托盘图标)(至少WINXP) "NoToolbarsOnTaskbar"=dword:00000001(不在任务栏显示任何自定义工具栏)(至少WINXP) "GreyMSIAds""=dword:00000001(灰色显示开始菜单中安装不完全的程序的快捷方式)(至少WIN2000) 《组策略用户配置管理模板任务栏和开始菜单(WINXP新样式开始菜单)》 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer] "NoUserNameInStartMenu"=dword:00000001(隐藏用户名) "NoStartMenuMorePrograms"=dword:00000001(隐藏所有程序) "NoStartMenuMFUprogramsList"=dword:00000001(隐藏经常使用的程序) "NoStartMenuMyMusic"=dword:00000001(删除我的音乐图标) "NoStartMenuNetworkPlaces"=dword:00000001(删除网上邻居图标) 《组策略用户配置管理模板桌面》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNonEnum] "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000001(删除所有我的电脑图标)(至少WINXP) "{450D8FBA-AD25-11D0-98A8-0800361B1103}"=dword:00000001(删除所有我的文档图标)(至少WIN2000) "{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001(删除所有回收站图标)(至少WINXP) [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "NoPropertiesMyComputer"=dword:00000001(删除我的电脑右键菜单的属性)(至少WIN2000SP3) "NoPropertiesMyDocuments"=dword:00000001(删除我的文档右键菜单的属性)(至少WIN2000SP3) "NoPropertiesRecycleBin"=dword:00000001(删除回收站右键菜单的属性)(至少WINXP) "NoRecentDocsNetHood"=dword:00000001(不将打开的共享文件夹添加到网上邻居)(至少WIN2000) "DisablePersonalDirChange"=dword:00000001(禁止更改我的文档路径)(至少WIN2000) "NoDesktopCleanupWizard"=dword:00000001(删除桌面清理向导)(至少WINXP) 《组策略用户配置管理模板桌面活动桌面》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "ForceActiveDesktopOn"=dword:00000001(启用活动桌面,禁止用户关闭)(至少WIN2000) [注]此设置的优先级比"NoActiveDesktop"要高。 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] "Wallpaper"="ab"(指定桌面墙纸的位置,禁止用户更改)(至少WIN2000/ME) "WallpaperStyle"="0"(0:居中,1:平铺,2:拉伸)(至少WIN2000/ME) 《组策略用户配置管理模板控制面板》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "NoControlPanel"=dword:00000001(禁止访问控制面板)(至少WIN2000) "ForceClassicControlPanel"=dword:00000001(强制为传统控制面板样式)(至少WINXP) "DisallowCpl"=dword:00000001(隐藏指定的控制面板项目)(至少WIN2000) "RestrictCpl"=dword:00000001(只显示指定的控制面板项目)(至少WIN2000) [注]以上两项设置需要添加相同名称的子键,然后在子键里面新建字符串,将其值设置为指定的控制面板项目,如desk.cpl、powercfg.cpl等,可以在%WinDir%System32目录中查找cpl文件。
Microsoft Windows Server 2003 Group Policy Settings Reference
Group Policy Settings Reference
Brief Description
This spreadsheet lists Group Policy settings described in Administrative Template (.adm) files and Security Settings that shipped with Windows Server 2003 Service Pack 1.
Overview
This spreadsheet lists Group Policy settings described in Administrative Template (.adm) files and Security Settings that shipped with Windows Server 2003 Service Pack 1. This includes all Administrative Template policy settings supported on the following operating systems: Microsoft Windows Server™ 2003, Windows XP Professional with SP2 or earlier service packs, and Microsoft Windows 2000 with Service Pack 4 or earlier service packs. In addition, this spreadsheet includes the following categories of security policy settings: Account Policies (Password Policy, Account Lockout Policy, and Kerberos Policy), Local Policies (Audit Policy, User Rights Assignment, and Security Options), Event Log, Restricted Groups, System Services, Registry, and File System policy settings. Note: This does not include security settings that exist outside of the Security Settings extension (scecli.dll), such as Wireless Network extension, Public Key Policies, or Software Restriction Policies.
|