Configurações de segurança administrativas do Windows

As tabelas a seguir fornecem as configurações administrativas recomendadas disponíveis em um sistema Microsoft Windows para reforço adicional de segurança.
Consulte a documentação do Windows Server para obter informações sobre essas configurações.
As configurações da Política Local são descritas nas seguintes tabelas:
Configurações de segurança > Políticas de conta > Política de bloqueio de conta
Política
Configurações de segurança recomendadas
Duração do bloqueio de conta
0
Limite de bloqueio de conta
3 tentativas inválidas de logon
Zerar contador de bloqueios de conta após
15 minutos
Configurações de segurança > Políticas de conta > Política de senha
Política de senha
Configurações de segurança recomendadas
Impor histórico de senha
24 senhas lembradas
Tempo de vida máximo da senha
60 dias
Tempo de vida mínimo da senha
2 dias
Comprimento mínimo da senha
10 caracteres
A senha deve satisfazer a requisitos de complexidade
Ativado
Armazenar senhas usando criptografia reversível
Desativado
Configurações de segurança > Políticas locais > Política de auditoria
Auditoria local
Configurações de segurança recomendadas
Auditoria de eventos de logon de conta
Êxito, Falha
Auditoria de gerenciamento de conta
Êxito, Falha
Auditoria de acesso ao serviço de diretório
Êxito, Falha
Auditoria de eventos de logon
Êxito, Falha
Auditoria de acesso a objetos
Êxito, Falha
Auditoria de alteração de políticas
Êxito, Falha
Auditoria de uso de privilégios
Êxito, Falha
Auditoria de acompanhamento de processos
Sem auditoria
Auditoria de eventos de sistema
Êxito, Falha
Configurações de segurança > Políticas locais > Atribuição de direitos de usuário
Atribuição de direitos de usuário
Configurações de segurança recomendadas
Restaurar arquivos e pastas
Administradores, operadores de backup
Desligar o sistema
Administradores, usuários avançados, operadores de backup
Sincronizar dados do serviço de diretório
Apropriar-se de arquivos ou de outros objetos
Administradores
Acesso a este computador pela rede
Todos, administradores, usuários, usuários avançados, operadores de backup
Atuar como parte do sistema operacional
Adicionar estações de trabalho ao domínio
Ajustar quotas de memória para um processo
SERVIÇO LOCAL, SERVIÇO DE REDE, Administradores
Permitir logon local
Administradores, usuários, usuários avançados, operadores de backup
Permitir logon pelos Serviços de Terminal
Administradores, Usuários da área de trabalho remota
Fazer backup de arquivos e pastas
Administradores, operadores de backup
Ignorar a verificação completa
Todos, administradores, usuários, usuários avançados, operadores de backup
Alterar a hora do sistema
Administradores, usuários avançados
Criar um arquivo de página
Administradores
Criar um objeto token
Criar objetos globais
Administradores, SERVIÇO
Criar objetos compartilhados permanentemente
Depurar programas
Administradores
Negar acesso a este computador pela rede
Negar logon como um trabalho em lotes
Negar logon como um serviço
Negar logon local
Negar logon pelos serviços de área de trabalho remota
Habilitar computador e contas de usuário para serem confiáveis para delegação
Forçar o desligamento a partir de um sistema remoto
Administradores
Gerar auditoria de segurança
SERVIÇO LOCAL, SERVIÇO DE REDE
Representar um cliente após autenticação
Administradores, SERVIÇO
Aumentar a prioridade de planejamento
Administradores
Carregar e descarregar drivers de dispositivos
Administradores
Bloquear páginas na memória
Fazer logon como um trabalho em lotes
SERVIÇO LOCAL
Fazer logon como um serviço
SERVIÇO DE REDE
Gerenciar a auditoria e o log de segurança
Administradores
Alterar valores de ambiente de firmware
Administradores
Executar tarefas de manutenção de volume
Administradores
Traçar um perfil de um único processo
Administradores, usuários avançados
Traçar um perfil do desempenho do sistema
Administradores
Remover o computador da base de encaixe
Administradores, usuários avançados
Substituir um token no nível de processo
SERVIÇO LOCAL, SERVIÇO DE REDE
Restaurar arquivos e pastas
Administradores, operadores de backup
Desligar o sistema
Administradores, usuários avançados, operadores de backup
Sincronizar dados do serviço de diretório
Apropriar-se de arquivos ou de outros objetos
Administradores
Configurações de segurança > Políticas locais > Opções de segurança
Opções de segurança
Configurações de segurança recomendadas
Contas: status de conta de administrador
Ativado
Contas: status de conta de convidado
Desativado
Contas: limite o uso em contas locais de senhas em branco somente ao logon no console
Ativado
Contas: renomear conta do administrador
protectdemo
Contas: renomear conta do convidado
Convidado
Auditoria: fazer auditoria do acesso a objetos do sistema global
Desativado
Auditoria: fazer auditoria do uso dos privilégios backup e restauração
Desativado
Auditoria: desligar o sistema imediatamente se não for possível o log de auditorias de segurança
Desativado
Dispositivos: permitir desencaixe sem fazer logon
Ativado
Dispositivos: permite formatar e ejetar a mídia removível
Administradores
Dispositivos: evita que usuários instalem drivers de impressora
Ativado
Dispositivos: restringir acesso ao CD-ROM apenas aos usuários com logon local
Ativado
Dispositivos: restringir acesso ao disquete apenas aos usuários com logon local
Ativado
Dispositivos: comportamento de instalação de driver não assinado
Não permitir a instalação
Controlador do domínio: permitir que operadores do servidor agendem tarefas
Ativado
Controlador de domínio: requisitos de assinatura do servidor LDAP
Não definido
Controlador do domínio: recusar alterações de senha de conta de computador
Não definido
Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sempre)
Ativado
Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível)
Ativado
Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível)
Ativado
Membro do domínio: desativar alterações de senha da conta do computador
Desativado
Membro do domínio: duração máxima da senha da conta do computador
30 dias
Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior)
Ativado
Logon interativo: não exibir o último nome do usuário
Ativado
Logon interativo: não exigir Ctrl+Alt+Del
Desativado
Logon interativo: texto de mensagem para usuários tentando fazer logon
Logon interativo: título da mensagem para usuários tentando fazer logon
Não definido
Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível)
10 logons
Logon interativo: pedir que o usuário altere a senha antes que ela expire
14 dias
Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho
Desativado
Logon interativo: requer um cartão inteligente
Desativado
Logon interativo: comportamento de remoção de cartão inteligente
Forçar logoff
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre)
Ativado
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)
Ativado
Cliente de rede Microsoft: enviar senha não criptografada para conectar-se a servidores SMB de outro fabricante
Desativado
Servidor da rede Microsoft: período de tempo ocioso necessário antes de desconectar a sessão
15 minutos
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)
Ativado
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar)
Ativado
Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon
Ativado
Acesso à rede: permitir SID anônimo/Conversão de nomes
Desativado
Acesso à rede: não permitir enumeração anônima de contas SAM
Ativado
Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM
Desativado
Acesso à rede: não permitir o armazenamento de credenciais ou .NET Passports para autenticação de rede
Desativado
Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos
Desativado
Acesso à rede: pipes nomeados acessíveis anonimamente
COMNAP, COMNODE, SQL\QUERY, SPOOLSS, EPMAPPER, LOCATOR, TrkWks, TrkSvr
Acesso à rede: caminhos do Registro acessíveis remotamente
System\CurrentControlSet\Control\ProductOptions, System\CurrentControlSet\Control\Server Applications, Software\Microsoft\Windows NT\CurrentVersion
Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente
System\CurrentControlSet\Control\Print\Printers, System\CurrentControlSet\Services\Eventlog