检测结果

类别： 操作系统安全

操作系统： Windows

描述

验证以下路径的本地组策略设置： 用户配置\管理模板\系统\Ctrl+Alt+Del选项\删除任务管理器 .

当启用'删除任务管理器'策略时，终端将面临安全威胁。由于任务管理器可列出并终止当前运行进程，部分恶意软件会禁用该功能以防止自身被终止。

建议

保持 任务管理器 在所有终端上启用。

分类： 操作系统安全

操作系统： Windows

描述

验证 智能卡 本地服务的设置。

该 智能卡服务 通过后台运行的进程（ scardsvr.exe ）提供智能卡读取权限和公钥服务支持。尽管此Windows服务被认为相当安全，但某些恶意软件可能会伪装成 scardsvr.exe .

建议

若终端未明确使用此服务，请将其禁用。

分类： 网络与凭证

操作系统： Windows

描述

验证 Telnet服务器 服务是否在终端上安装并启用。

Telnet是最早允许通过终端会话访问远程终端的TCP/IP协议之一。Telnet不提供内置安全措施（如数据加密或身份验证），使用它会将终端暴露于安全风险中。

建议

在所有终端上禁用Telnet服务器服务，改用SSH。

类别： 网络与凭据

操作系统： Windows

描述

验证Windows是否需要账户登录。

当用户账户登录被禁用时，Windows会将用户密码存储在注册表数据库中，从而可能在登录时绕过密码屏幕。

建议

始终要求账户登录。

类别： 操作系统安全

操作系统： Windows

描述

验证本地安全策略选项 交互式登录：不需要按CTRL+ALT+DEL .

此选项定义用户在登录Windows前是否必须通过按 CTRL+ALT+DEL 来解锁计算机，作为防止恶意软件截获用户名和密码的额外安全层。

建议

将此策略设置为 禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地安全策略选项 用户账户控制：以管理员批准模式运行所有管理员 .

该设置控制终端所有UAC策略设置的行为。

用户账户控制（UAC）是一项安全功能，有助于防止潜在有害程序对操作系统进行未经授权的更改。UAC要求管理员授权执行诸如安装程序或修改系统设置等操作。

建议

将此策略设置为 启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证 用户账户控制 策略和注册表设置的配置，以检查这些设置是否符合默认推荐设置。

策略设置位于 安全设置\本地策略\安全选项 中的 本地安全策略 应用程序。

建议

将UAC设置至少配置为默认级别。

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 配置自动更新 ，位于 计算机配置\管理模板\Windows组件\Windows更新 .

该策略指定终端是否通过Windows自动更新服务接收安全更新和其他重要下载。禁用时，终端更容易受到安全威胁。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地安全策略选项 网络安全: 下次密码更改时不存储LAN Manager哈希值 .

当用户设置的密码少于15个字符时，Windows会生成该密码的LAN Manager哈希（LM哈希）。

建议

应用修复后，所有受影响的用户必须更改其域密码。新密码长度至少为15个字符。

在这种情况下，Windows会存储一个无法用于用户身份的LM哈希值。

类别： 网络与凭证

操作系统： Windows

描述

验证本地安全策略选项 账户：限制空白密码的本地账户仅限控制台登录 .

该设置验证未设置密码保护的本地账户是否可用于从物理计算机控制台以外的位置登录。

建议

将此策略设置为 已启用 .

类别： 网络与凭证

操作系统： Windows

描述

验证本地安全策略选项 网络访问：不允许匿名枚举SAM账户 .

此选项决定匿名连接是否有权限枚举域账户名称。

禁用此选项的终端易受攻击者尝试获取本地存储的用户名或密码的影响。

建议

该策略的推荐设置为 已启用：不允许枚举SAM账户 .

此选项将 所有人 替换为 已验证用户 在资源的安全权限中。

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 禁止安装使用内核模式驱动的打印机 ，位于 计算机配置\管理模板\打印机 .

此设置决定是否可以在本地终端上安装使用内核模式驱动的打印机。内核模式驱动可访问系统全局内存，因此编写不当的内核模式驱动可能导致停止错误。

建议

将此策略设置为 已启用 .

分类： 操作系统安全

操作系统： Windows

描述

验证Windows备份与恢复服务(SDRSVC)的设置。

建议

在所有终端上启用此服务。

分类： 操作系统安全

操作系统： Windows

描述

验证 电话服务 是否处于活动状态。

建议

将此服务设置为 禁用 .

分类： 操作系统安全

操作系统： Windows

描述

验证本地组策略 在锁屏界面上关闭应用通知 ，位于 计算机配置\管理模板\系统\登录 .

此策略设置可防止应用通知显示在锁屏界面上。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

检查是否启用了任何麦克风。

建议

在终端设备上禁用麦克风。

类别： 操作系统安全

操作系统： Windows

描述

检查用于网络认证的密码和凭据是否存储在本地计算机上。

建议

不允许在本地计算机上存储用于网络认证的密码和凭据。

类别： 网络与凭据

操作系统： Windows

描述

验证本地安全策略选项 域成员：始终对安全通道数据进行数字加密或签名 .

此安全设置决定域成员发起的全部安全通道流量是否必须经过签名或加密。

建议

将此策略设置为 启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地安全策略选项 域成员：尽可能对安全通道数据进行数字加密 .

此安全设置决定域成员是否尝试对其发起的全部安全通道流量协商加密。

禁用此设置可能会不必要地降低安全通道吞吐量，因为使用安全通道的并发API调用仅在安全通道经过签名或加密时才能实现。

建议

将此策略设置为 启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地安全策略选项 域成员：对安全通道数据进行数字签名（如可能） .

此安全设置决定域成员是否尝试对其发起的所有安全通道流量协商签名。

建议

将此策略设置为 已启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地安全策略选项 域成员：禁用计算机账户密码更改 .

决定域成员是否定期更改其账户密码。

建议

将此策略设置为 已禁用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地安全策略选项 域成员：需要强（Windows 2000或更高版本）会话密钥 .

此安全设置决定是否需要对安全通道加密数据使用128位密钥强度。

建议

将此策略设置为 已启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 启用不安全来宾登录 ，位于 计算机配置\管理模板\网络\Lanman工作站 .

该策略决定SMB客户端是否允许向SMB服务器进行不安全来宾登录。

因此，允许不安全来宾登录的客户端容易遭受各种中间人攻击，可能导致数据丢失、数据损坏和恶意软件感染。

此外，任何通过不安全来宾登录写入文件服务器的数据都可能被网络上的任何人访问。

建议

禁用不安全的来宾登录，并配置文件服务器要求经过身份验证的访问。

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 防止启用锁屏相机 ，位于 计算机配置\管理模板\控制面板\个性化 .

此策略会禁用PC设置中的锁屏相机切换开关，并防止在锁屏界面上调用相机。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 阻止启用锁屏幻灯片 ，位于 计算机配置\管理模板\控制面板\个性化 .

此策略会禁用PC设置中的锁屏幻灯片设置，并阻止在锁屏上播放幻灯片。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 阻止启用锁屏幻灯片 ，位于 计算机配置\管理模板\控制面板\个性化 .

此策略会禁用PC设置中的锁屏幻灯片设置，并阻止在锁屏上播放幻灯片。

建议

将此策略设置为 已启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地安全策略选项 Microsoft网络客户端：将未加密的密码发送给第三方SMB服务器 .

建议

将此策略设置为 已禁用 .

类别： 网络与凭证

操作系统： Windows

描述

验证本地安全策略选项 Microsoft网络服务器：数字签名通信(始终) .

此安全设置决定服务器消息块(SMB)服务器组件是否需要数据包签名。

SMB协议是Microsoft文件和打印共享以及许多其他网络操作(如远程Windows管理)的基础。

为防止中间人攻击篡改传输中的SMB数据包，SMB协议支持对SMB数据包进行数字签名。

建议

将此策略设置为 已启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 关闭通过HTTP下载打印驱动程序 ，位于 计算机配置\管理模板\系统\Internet通信管理\Internet通信设置 .

此策略指定是否允许此客户端通过HTTP下载打印驱动程序包。

建议

将此策略设置为 已启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 关闭通过HTTP打印 ，位于 计算机配置\管理模板\系统\Internet通信管理\Internet通信设置 .

此策略指定是否允许从此客户端通过HTTP进行打印。通过HTTP打印允许客户端打印到内网及互联网上的打印机。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地安全策略选项 系统对象：增强内部系统对象（如符号链接）的默认权限 .

此安全设置决定了对象的默认自主访问控制列表（DACL）的强度。

Active Directory 维护一个共享系统资源的全局列表，如 DOS 设备名称、互斥体和信号量。这样，对象可以在进程之间定位和共享。每种类型的对象在创建时都有一个默认的 DACL，指定谁可以访问这些对象以及授予哪些权限。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 在已加入域的计算机上枚举本地用户 ，位于 计算机配置\管理模板\系统\登录 .

该策略允许在已加入域的计算机上枚举本地用户。

建议

将此策略设置为 禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 启用便捷PIN码登录 ，位于 计算机配置\管理模板\系统\登录 .

该策略用于控制域用户是否可使用便捷PIN码登录。

建议

将此策略设置为 禁用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 限制未经身份验证的RPC客户端 ，位于 计算机配置\管理模板\系统\远程过程调用 .

该策略控制远程过程调用(RPC)运行时如何处理连接到RPC服务器的未经身份验证的客户端。

在域环境中应谨慎使用此策略，因为它可能影响包括组策略处理本身在内的广泛功能。

如果客户端使用命名管道与服务器通信或使用RPC安全机制，则将被视为已认证客户端。

建议

将此策略设置为 已启用 > 已认证 .

分类： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许Microsoft账户设为可选 ，位于 计算机配置\管理模板\Windows组件\应用运行时 .

该策略可设置是否需要Microsoft账户登录Windows应用商店应用。

此策略仅影响支持该功能的Windows应用商店应用。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 关闭自动播放 ，位于 计算机配置\管理模板\Windows组件\自动播放策略 .

此策略设置允许您关闭自动播放功能（在驱动器中插入媒体后立即从中读取）。

建议

将此策略设置为 已启用 > 所有驱动器 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 关闭自动播放 ，位于 计算机配置\管理模板\Windows组件\自动播放策略 .

此策略设置允许您关闭自动播放功能（在驱动器中插入媒体后立即从中读取）。

建议

将此策略设置为 已启用：所有驱动器 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 当计算机锁定时禁用新的DMA设备 ，位于 计算机配置\管理模板\Windows组件\BitLocker驱动器加密 .

该策略允许在用户登录Windows前阻止所有Thunderbolt热插拔PCI下游端口的直接内存访问(DMA)。机器解锁时已枚举的设备将继续运行，直至被拔出或系统重启/休眠。

此策略仅在启用BitLocker或设备加密时生效。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许使用增强型启动PIN码 ，位于 计算机配置\管理模板\Windows组件\BitLocker驱动器加密\操作系统驱动器 .

此策略配置BitLocker是否使用增强型启动PIN码。增强型启动PIN码允许包含大小写字母、符号、数字和空格等字符。

此策略在启用BitLocker时生效。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许使用安全启动进行完整性验证 ，位于 计算机配置\管理模板\Windows组件\BitLocker驱动器加密\操作系统驱动器 .

此策略设置定义是否允许将安全启动作为BitLocker操作系统驱动器的平台完整性提供程序。

安全启动确保PC的预启动环境仅加载经授权软件发布者数字签名的固件。

与传统的BitLocker完整性检查相比，安全启动还为管理预启动配置提供了更大的灵活性。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 拒绝对未受BitLocker保护的可移动驱动器的写入访问 ，位于 计算机配置\管理模板\Windows组件\BitLocker驱动器加密\可移动数据驱动器 .

此策略设置配置计算机需启用BitLocker保护才能向可移动数据驱动器写入数据。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 关闭微软消费者体验功能 ，位于 计算机配置\管理模板\Windows组件\云内容 .

建议

将此策略设置为 已启用 .

分类： 操作系统安全

操作系统： Windows

描述

验证本地组策略 提权时枚举管理员账户 ，位于 计算机配置\管理模板\Windows组件\凭据用户界面 .

此策略设置控制用户尝试提升运行中应用程序权限时是否显示管理员账户。

默认情况下，用户尝试提权时不会显示管理员账户。

建议

将此策略设置为 已禁用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 禁止在DNS域网络上使用Internet连接共享 ，位于 计算机配置\管理模板\网络\网络连接 .

确定管理员是否可以启用和配置Internet连接的Internet连接共享(ICS)功能，以及ICS服务是否可以在计算机上运行。

ICS允许管理员将其系统配置为小型网络的Internet网关，并通过DHCP为本地专用网络提供名称解析和寻址等网络服务。

建议

将此策略设置为 已启用 .

类别： 网络与凭证

操作系统： Windows

描述

验证本地组策略 允许Windows自动连接到建议的开放热点、联系人共享的网络以及提供付费服务的热点 ，位于 计算机配置\管理模板\网络\WLAN服务\WLAN设置 .

本策略用于配置以下WLAN设置的访问权限：

建议

将此策略设置为 禁用 .

类别： 网络与凭证

操作系统： Windows

描述

验证本地组策略 当连接到域认证网络时，禁止连接非域网络 ，位于 计算机配置\管理模板\网络\Windows连接管理器 .

该策略阻止计算机同时连接到基于域的网络和非基于域的网络。

若启用此策略，计算机将根据以下情况响应自动和手动网络连接尝试：

若未配置或禁用此策略，则允许同时连接到域网络和非域网络。

建议

将此策略设置为 已启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 远程主机允许委派不可导出的凭据 ，位于 计算机配置\管理模板\系统\凭据委派 .

使用凭据委派时，设备会向远程主机提供可导出的凭据版本，这将使用户面临远程主机上攻击者窃取凭据的风险。

建议

将此策略设置为 启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 启用基于虚拟化的安全 ，位于 计算机配置\管理模板\系统\设备防护 。指定是否启用基于虚拟化的安全。

基于虚拟化的安全利用Windows虚拟机监控程序为安全服务提供支持。

基于虚拟化的安全需要安全启动，并可选择通过使用DMA保护来启用。

建议

将此策略设置为 启用 并配置以下选项：

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 阻止安装与任何这些设备ID匹配的设备 ，位于 计算机配置\管理模板\系统\设备安装\设备安装限制 .

此策略设置允许您指定一个即插即用硬件ID和兼容ID列表，以阻止Windows安装这些设备。

此策略设置优先于任何其他允许Windows安装设备的策略设置。

建议

将此策略设置为 已启用 ，并选择以下选项：

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 阻止使用与这些设备安装类别匹配的驱动程序安装设备 ，位于 计算机配置\管理模板\系统\设备安装\设备安装限制 .

该策略设置允许您指定一个设备安装类全局唯一标识符(GUID)列表，用于阻止Windows安装这些设备驱动程序。

此策略设置优先于任何其他允许Windows安装设备的策略设置。

建议

将此策略设置为 已启用 ，并选择以下选项：

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 引导启动驱动程序初始化策略 ，位于 计算机配置\管理模板\系统\早期启动反恶意软件 .

该策略设置允许您根据早期启动反恶意软件引导启动驱动程序确定的分类来指定初始化哪些引导启动驱动程序。

早期启动反恶意软件引导启动驱动程序可以为每个引导启动驱动程序返回以下分类：

建议

将此策略设置为 启用 > 良好、未知及不良但关键 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 配置增强型反欺骗 ，位于 计算机配置\管理模板\Windows组件\生物识别\面部特征 .

此策略设置决定Windows Hello面部认证是否需要增强型反欺骗功能。

建议

将此策略设置为 启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 配置启动PIN码的最小长度 ，位于 计算机配置\管理模板\Windows组件\BitLocker驱动器加密\操作系统驱动器 .

此策略设置允许您配置可信平台模块(TPM)启动PIN码的最小长度。

启用BitLocker时将应用此策略设置。

启动PIN码的最小长度为4位，最大长度为20位。

建议

将此策略设置为 已启用 > 最小字符数7 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 关闭资源管理器的数据执行保护 ，位于 计算机配置\管理模板\Windows组件\文件资源管理器 .

禁用数据执行保护可让某些旧版插件应用程序正常运行而不会终止资源管理器。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略“在堆损坏时关闭终止”，该策略位于“计算机配置\管理模板\Windows组件\文件资源管理器”中。禁用堆损坏终止可使某些旧版插件应用程序在不立即终止资源管理器的情况下运行，但资源管理器仍可能在之后意外终止。

建议

将此策略设置为 已禁用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 配置密码管理器 ，位于 计算机配置\管理模板\Windows组件\Microsoft Edge .

此策略设置决定员工是否可以使用 密码管理器 .

默认情况下， 密码管理器 默认处于开启状态。

建议

将此策略设置为 已禁用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 不允许保存密码 ，位于 计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面连接客户端 .

该策略控制是否允许通过远程桌面连接在本机保存密码。

当用户通过远程桌面连接打开RDP文件并保存设置时，RDP文件中所有现存密码将被删除。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 不允许驱动器重定向 ，位于 计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\设备和资源重定向 .

此策略设置指定是否阻止在远程桌面服务会话中映射客户端驱动器（驱动器重定向）。

默认情况下，RD会话主机服务器在连接时自动映射客户端驱动器。

映射的驱动器以“位于”格式显示在文件资源管理器或计算机的会话文件夹树中。您可以使用此策略设置覆盖此行为。

建议

将此策略设置为 已启用 .

类别： 网络和凭据

操作系统： Windows

描述

验证本地组策略 连接时始终提示输入密码 ，位于 计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\安全 .

此策略设置指定远程桌面服务是否在连接时始终提示客户端输入密码。

您可以使用此设置强制要求用户登录远程桌面服务时输入密码，即使他们已在远程桌面连接客户端中提供了密码。

默认情况下，远程桌面服务允许用户通过在远程桌面连接客户端中输入密码自动登录。

建议

将此策略设置为 已启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 要求安全RPC通信 ，位于 计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\安全 .

指定远程桌面会话主机服务器是否需要与所有客户端进行安全RPC通信，或允许不安全的通信。

您可以使用此设置通过仅允许经过身份验证和加密的请求来增强与客户端的RPC通信安全性。

建议

将此策略设置为 已启用 .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 设置客户端连接加密级别 ，位于 计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\安全 .

指定是否要求在远程桌面协议(RDP)连接期间使用特定加密级别来保护客户端计算机与RD会话主机服务器之间的通信。

此策略仅在使用原生RDP加密时适用。但不建议使用原生RDP加密（与SSL加密相对）。

此策略不适用于SSL加密。

默认情况下，加密级别设置为“高”（推荐选项）。此设置使用强128位加密对从客户端发送到服务器以及从服务器发送到客户端的数据进行加密。

在仅包含128位客户端（例如运行远程桌面连接的客户端）的环境中使用此加密级别。

不支持此加密级别的客户端无法连接到RD会话主机服务器。

建议

将此策略设置为 已启用 > 高级 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 阻止下载附件 ，位于 计算机配置\管理模板\Windows组件\RSS源 .

此策略设置阻止用户从源下载附件（文件附件）到用户的计算机。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许索引加密文件 ，位于 计算机配置\管理模板\Windows组件\搜索 .

此策略设置允许对加密项进行索引。

默认情况下，控制面板设置为不索引加密内容。启用或禁用此设置时，索引将完全重建。

必须对索引所在位置使用全卷加密（如BitLocker驱动器加密或非Microsoft解决方案），以维护加密文件的安全性。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 防止用户修改设置 ，位于 计算机配置\管理模板\Windows组件\Windows Defender安全中心\应用和浏览器保护 或 计算机配置\管理模板\Windows组件\Windows安全\应用和浏览器保护 （根据Windows版本而定）。

该策略设置可防止用户对Windows Defender安全中心中的漏洞利用防护设置区域进行更改。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 启用或禁用Windows游戏录制与广播功能 ，位于 计算机配置\管理模板\Windows组件\Windows游戏录制与广播 .

此设置用于启用或禁用Windows游戏录制与广播功能。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许 Windows Ink 工作区 ，位于 计算机配置\管理模板\Windows 组件\Windows Ink 工作区 .

此设置从 Windows 10 Redstone 开始支持。

建议

将此策略设置为 已启用 > 开启，但禁止在锁屏上方访问 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许用户控制安装 ，位于 计算机配置\管理模板\Windows 组件\Windows Installer .

此策略允许用户更改通常仅对系统管理员可用的安装选项。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 始终以提升的权限安装 ，位于 计算机配置\管理模板\Windows组件\Windows Installer .

此策略设置指示Windows Installer在系统上安装任何程序时使用提升的权限。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 系统启动重启后自动登录最后交互用户 ，位于 计算机配置\管理模板\Windows组件\Windows登录选项 .

此策略设置控制设备是否在Windows Update重启系统后自动登录最后交互用户。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 启用PowerShell脚本块日志记录 ，位于 计算机配置\管理模板\Windows组件\Windows PowerShell .

此策略设置将所有PowerShell脚本输入记录到Microsoft-Windows-PowerShell/Operational事件日志中。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许基本身份验证 ，位于 计算机配置\管理模板\Windows组件\Windows远程管理(WinRM)\WinRM客户端 .

该策略设置允许您管理Windows远程管理(WinRM)客户端是否使用基本身份验证。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许未加密流量 ，位于 计算机配置\管理模板\Windows组件\Windows远程管理(WinRM)\WinRM客户端 .

此策略设置用于管理Windows远程管理(WinRM)客户端是否通过网络发送和接收未加密消息。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 禁用摘要认证 ，位于 计算机配置\管理模板\Windows组件\Windows远程管理(WinRM)\WinRM客户端 .

此策略设置用于管理Windows远程管理(WinRM)客户端是否使用摘要认证。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许基本身份验证 ，位于 计算机配置\管理模板\Windows组件\Windows远程管理(WinRM)\WinRM服务 .

此策略设置允许您管理Windows远程管理(WinRM)服务是否接受来自远程客户端的基本身份验证。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 允许未加密流量 ，位于 计算机配置\管理模板\Windows组件\Windows远程管理(WinRM)\WinRM服务 .

此策略设置允许您管理Windows远程管理(WinRM)服务是否通过网络发送和接收未加密消息。

建议

将此策略设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

验证本地组策略 禁止WinRM存储运行身份凭证 ，位于 计算机配置\管理模板\Windows组件\Windows远程管理(WinRM)\WinRM服务 .

此策略设置允许您管理Windows远程管理(WinRM)服务是否禁止 运行身份 凭证为任何插件存储。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 禁止按用户安装ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer .

此策略设置允许您禁止按用户安装ActiveX控件。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 安全区域：不允许用户添加/删除站点 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer .

该策略阻止用户从安全区域添加或删除站点。安全区域是具有相同安全级别的网站组。

此策略可防止用户更改管理员设置的安全区域站点管理设置。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 安全区域：不允许用户更改策略 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer .

该策略阻止用户更改安全区域设置。安全区域是具有相同安全级别的网站组。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 安全区域：仅使用计算机设置 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer .

将安全区域信息应用于同一台计算机的所有用户。安全区域是具有相同安全级别的网站组。

此策略旨在确保安全区域设置统一应用于同一台计算机，并且不会因用户而异。

另请参阅 安全区域：不允许用户更改策略 策略。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 指定使用ActiveX安装服务来安装ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer .

此策略设置允许您指定ActiveX控件的安装方式。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 关闭崩溃检测 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer .

此策略设置允许您管理插件管理的崩溃检测功能。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 关闭安全设置检查 功能，位于 计算机配置\管理模板\Windows组件\Internet Explorer .

此策略设置会关闭安全设置检查功能，该功能用于检查Internet Explorer的安全设置以确定何时这些设置会使Internet Explorer处于风险之中。

建议

将此策略设置为 已禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 禁止忽略证书错误 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板 .

此策略设置可防止用户在Internet Explorer中忽略中断浏览的安全套接字层/传输层安全性（SSL/TLS）证书错误（例如“过期”、“吊销”或“名称不匹配”错误）。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许在签名无效时仍运行或安装软件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\高级页 .

此策略设置用于管理是否允许用户在签名无效时安装或运行软件（如ActiveX控件和文件下载）。无效签名可能表明文件已被篡改。

建议

将此策略设置为 已禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 检查服务器证书吊销状态 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\高级页 .

该策略设置允许您管理Internet Explorer是否检查服务器证书的吊销状态。

当证书被泄露或不再有效时会被吊销，此选项可保护用户避免向可能欺诈或不安全的站点提交机密数据。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 检查下载程序的签名 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\高级页 .

该策略设置允许您管理Internet Explorer在下载可执行程序前是否检查用户计算机上的数字签名（用于识别签名软件的发布者并验证其未被修改或篡改）。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用增强保护模式时不允许 ActiveX 控件在保护模式下运行 ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\高级页 .

此策略设置可在启用增强保护模式时阻止 ActiveX 控件在保护模式下运行。

当用户安装了与增强保护模式不兼容的 ActiveX 控件且网站尝试加载该控件时，Internet Explorer 会通知用户并提供在常规保护模式下运行网站的选项。

此策略设置会禁用此通知并强制所有网站在增强保护模式下运行。增强保护模式通过在 64 位版本的 Windows 上使用 64 位进程，提供针对恶意网站的额外保护。

对于运行至少 Windows 8 的计算机，增强保护模式还限制了 Internet Explorer 可以从注册表和文件系统中读取的位置。

当启用增强保护模式且用户遇到尝试加载与增强保护模式不兼容的 ActiveX 控件的网站时，Internet Explorer 会通知用户并提供为该特定网站禁用增强保护模式的选项。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 关闭加密支持 ，位置在 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\高级页 .

此策略设置允许您在浏览器中关闭对传输层安全性(TLS)1.0、TLS 1.1、TLS 1.2、安全套接字层(SSL)2.0或SSL 3.0的支持。TLS和SSL是帮助保护浏览器与目标服务器之间通信的协议。

当浏览器尝试与目标服务器建立受保护的通信时，浏览器和服务器会协商使用的协议和版本。

浏览器和服务器会尝试匹配对方支持的协议和版本列表，并选择最优先的匹配项。

建议

将此策略设置为 已启用 > 使用TLS 1.1；使用TLS 1.2 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 在64位Windows版本上以增强保护模式运行时启用64位标签进程 ，位置在 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\高级页 .

此策略设置决定Internet Explorer 11在64位Windows版本上以增强保护模式运行时是使用64位进程（以获得更高安全性）还是32位进程（以获得更好兼容性）。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用增强保护模式 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\高级页 .

增强保护模式通过在64位Windows版本上使用64位进程，提供针对恶意网站额外防护。

对于运行至少Windows 8的计算机，增强保护模式还限制Internet Explorer可从注册表和文件系统读取的位置。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 内网站点：包含所有网络路径(UNCs) ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页 .

此策略设置控制是否将表示UNC的URL映射到本地Intranet安全区域。

建议

将此策略设置为“已禁用”。 已禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用证书地址不匹配警告 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页 .

此策略设置允许您启用证书地址不匹配安全警告。

启用此策略设置后，当用户访问提供为不同网站地址颁发的证书的安全HTTP（HTTPS）网站时，将收到警告。

此警告有助于防止欺骗攻击。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 跨域访问数据源 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略设置允许您管理Internet Explorer是否可以使用Microsoft XML解析器(MSXML)或ActiveX数据对象(ADO)访问其他安全区域的数据。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许通过脚本从剪贴板执行剪切、复制或粘贴操作 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此设置允许管理脚本是否可以在指定区域执行剪贴板操作（如剪切、复制和粘贴）。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许拖放或复制粘贴文件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略设置允许您管理用户是否可以从该区域内拖动文件或复制粘贴文件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许加载XAML文件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该策略设置允许您管理可扩展应用程序标记语言(XAML)文件的加载。

XAML是一种基于XML的声明性标记语言，通常用于创建利用Windows Presentation Foundation的丰富用户界面和图形。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 仅允许已批准的域在无提示的情况下使用ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该策略设置控制是否提示用户允许ActiveX控件在安装该控件的网站以外的网站上运行。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 仅允许已批准的域使用TDC ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略设置控制是否允许用户在网站上运行TDC ActiveX控件。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许对Internet Explorer WebBrowser控件进行脚本编写 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略设置决定页面是否能够通过脚本控制嵌入的WebBrowser控件。

默认情况下，仅在本地计算机和Intranet区域中允许对WebBrowser控件的脚本访问。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许脚本启动的窗口不受大小或位置限制 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略设置允许管理对脚本启动的弹出窗口及包含标题栏和状态栏的窗口的限制。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许脚本小程序 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此设置用于管理用户是否可以运行脚本小程序。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许通过脚本更新状态栏 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该设置允许管理是否允许脚本在该区域内更新状态栏。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许在Internet Explorer中运行VBScript ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略设置允许您管理是否可以在Internet Explorer的指定区域页面上运行VBScript。

建议

将此策略设置为 启用 > 禁用 .

分类： 浏览器安全

操作系统： Windows

描述

验证本地组策略 自动提示文件下载 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此设置决定是否对非用户发起的文件下载显示提示。无论此设置如何，用户发起的下载均会收到文件下载对话框。

建议

将此策略设置为 启用 > 禁用 .

分类： 浏览器安全

操作系统： Windows

描述

验证本地组策略 不对ActiveX控件运行反恶意软件程序 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略设置决定Internet Explorer是否对ActiveX控件运行反恶意软件程序，以检查其加载到页面是否安全。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 下载已签名的 ActiveX 控件 ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页\Internet 区域 .

此策略用于管理用户是否可以从该区域的页面下载已签名的 ActiveX 控件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 下载未签名的ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略用于管理用户是否可以从该区域下载未签名的ActiveX控件。

此类代码具有潜在危害性，尤其是来自不受信任区域时。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用跨窗口拖拽不同域的内容 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略用于设置当源和目标位于不同窗口时，将内容从一个域拖拽至另一个域的选项。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用同一窗口内跨域内容拖拽功能 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略设置允许配置同一窗口内将内容从一个域拖拽至另一个域的选项。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 用户向服务器上传文件时包含本地路径 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该策略控制用户通过HTML表单上传文件时是否发送本地路径信息。

默认情况下会发送路径信息。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略“初始化并执行 未标记为安全的ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略用于管理未标记为安全的ActiveX控件。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java权限 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略允许您管理Java小程序的权限。

如果启用此设置，您可以从下拉框中选择以下选项：

建议

将此策略设置为 启用 > 禁用Java .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 在IFRAME中启动应用程序和文件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\互联网区域 .

此策略用于管理是否可以从该区域页面HTML中的IFRAME引用运行应用程序和下载文件。

建议

将此策略设置为 已启用 > 禁用

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 登录选项 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此策略允许管理登录选项的设置。如果启用此策略，可以从以下登录选项中选择：

建议

将此策略设置为 已启用 > 提示输入用户名和密码 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 跨域导航窗口和框架 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该策略允许管理跨域打开窗口、框架及访问应用程序。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 运行未通过Authenticode签名的依赖.NET Framework的组件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该设置用于管理是否允许Internet Explorer执行未经Authenticode签名的.NET Framework组件。

这些组件包括通过object标签引用的托管控件和通过链接引用的托管可执行文件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 运行经Authenticode签名的依赖.NET Framework的组件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该设置用于管理是否允许Internet Explorer执行经Authenticode签名的.NET Framework组件。

这些组件包括通过object标签引用的托管控件和通过链接引用的托管可执行文件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 对可能不安全的文件显示安全警告 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

此设置控制当用户尝试打开可执行文件或其他可能不安全的文件（例如通过文件资源管理器从内网文件共享打开）时，是否显示“打开文件 - 安全警告”消息。

默认情况下，这些文件在受限区域被阻止，在内网和本地计算机区域启用，在Internet和受信任区域设置为提示。

建议

将此策略设置为 已启用 > 提示 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用跨站脚本筛选器 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该设置控制跨站脚本(XSS)筛选器是否检测并阻止该区域网站中的跨站脚本注入。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用保护模式 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该设置允许您启用保护模式。

保护模式通过限制Internet Explorer可写入注册表和文件系统的位置，帮助防范漏洞利用。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用 SmartScreen 筛选器扫描 ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页\Internet 区域 .

此设置控制 SmartScreen 筛选器是否扫描此区域中的页面以查找恶意内容。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 使用弹出窗口阻止程序 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该设置用于管理是否显示不需要的弹出窗口。

最终用户点击链接时打开的弹出窗口不会被阻止。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 用户数据持久化 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该设置用于管理浏览器历史记录、收藏夹、XML存储或直接保存在磁盘网页中的信息保留。

当用户返回到持久化页面时，如果此策略设置配置得当，可以恢复页面状态。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 较低权限Web内容区域的网站可以导航至此区域 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域 .

该设置用于管理来自较低权限区域（如受限站点）的网站是否可以导航至此区域。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 不对ActiveX控件运行反恶意软件程序 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\本地Intranet区域 .

该策略设置决定Internet Explorer是否对ActiveX控件运行反恶意软件程序，以检查它们是否安全可加载到页面上。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 初始化和编写未标记为安全的ActiveX控件脚本 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\本地Intranet区域 .

该策略设置允许您管理未标记为安全的ActiveX控件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java权限 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\内网区域 .

此策略设置允许管理Java小程序的权限。如果启用此策略设置，可以从下拉框中选择选项：

建议

将此策略设置为 已启用 > 高安全性 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 不对 ActiveX 控件运行反恶意软件程序 ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页\本地计算机区域 .

此策略设置决定 Internet Explorer 是否对 ActiveX 控件运行反恶意软件程序，以检查它们是否安全可加载到页面上。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java 权限 ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页\本地计算机区域 .

此策略设置允许您管理Java小程序的权限。若启用此策略，可从下拉框中选择以下选项：

建议

将此策略设置为 已启用 > 禁用Java .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用SmartScreen筛选器扫描 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\锁定的Internet区域 .

此策略设置控制SmartScreen筛选器是否扫描此区域中的页面以查找恶意内容。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java权限 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\锁定的本地Intranet区域 .

此设置允许管理Java小程序的权限。如果启用此设置，可以从下拉框中选择选项：

建议

将此策略设置为 启用 > 禁用Java .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java权限 ，位于 Windows组件\Internet Explorer\Internet控制面板\安全页\锁定的本地计算机区域 .

此策略设置允许您管理Java小程序的权限。

如果启用此策略设置，您可以从下拉框中选择选项：

建议

将此策略设置为 启用 > 禁用Java .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java权限 ，位于 Windows组件\Internet Explorer\Internet控制面板\安全页\锁定的受限站点区域 .

此策略设置允许您管理Java小程序的权限。

若启用此策略设置，可从下拉框中选择以下选项：

建议

将此策略设置为 已启用 > 禁用Java .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用SmartScreen筛选器扫描 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\锁定的受限站点区域 .

此设置控制SmartScreen筛选器是否扫描此区域中的页面以查找恶意内容。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java权限 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限制的受信任站点区域 .

该设置允许管理Java小程序的权限。

若启用此策略设置，可从下拉框中选择选项：

建议

将此策略设置为 已启用 > 禁用Java .

类别： 网络与凭据

操作系统： Windows

描述

验证本地组策略 跨域访问数据源 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该策略设置用于管理Internet Explorer是否可以使用Microsoft XML解析器(MSXML)或ActiveX数据对象(ADO)访问其他安全区域的数据。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许活动脚本 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置用于管理是否运行该区域页面中的脚本代码。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许二进制和脚本行为 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置允许管理动态二进制和脚本行为：这些组件封装了其所附加HTML元素的特定功能。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许通过脚本从剪贴板执行剪切、复制或粘贴操作 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该设置用于管理脚本是否可以在指定区域执行剪贴板操作（如剪切、复制和粘贴）。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略“允许拖放或复制粘贴文件”，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该设置用于管理用户是否可以从该区域内拖动文件或复制粘贴文件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器类别

操作系统： Windows

描述

验证本地组策略 允许文件下载 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置用于管理是否允许从该区域下载文件。

此选项由包含下载链接的页面所属区域决定，而非文件实际来源区域。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许加载XAML文件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置用于管理可扩展应用程序标记语言（XAML）文件的加载。

XAML是一种基于XML的声明式标记语言，常用于创建利用Windows Presentation Foundation的丰富用户界面和图形。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许META REFRESH ，位于计算机 配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页面\受限站点区域 .

此设置用于管理当网页作者使用Meta Refresh设置（标签）将浏览器重定向至其他网页时，用户的浏览器是否允许被重定向。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 仅允许已批准的域在无提示的情况下使用ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页面\受限站点区域 .

该设置控制是否提示用户允许在安装ActiveX控件之外的网站上运行ActiveX控件。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 仅允许已批准的域使用TDC ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页面\受限站点区域 .

该设置控制是否允许用户在网站上运行TDC ActiveX控件。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许对 Internet Explorer WebBrowser 控件进行脚本编写 ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页\受限站点区域 .

此设置确定页面是否可以通过脚本控制嵌入的 WebBrowser 控件。

默认情况下，仅在本地计算机和 Intranet 区域中允许对 WebBrowser 控件进行脚本访问。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许脚本启动的窗口不受大小或位置限制 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该设置允许管理对脚本启动的弹出窗口及包含标题栏和状态栏的窗口的限制。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许脚本小程序 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该设置允许管理用户是否可以运行脚本小程序。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许通过脚本更新状态栏 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置用于管理是否允许脚本在该区域内更新状态栏。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许在 Internet Explorer 中运行 VBScript ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页\受限站点区域 .

此策略设置用于管理是否可以在 Internet Explorer 的指定区域页面上运行 VBScript。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 自动提示文件下载 ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页\受限站点区域 .

此设置决定是否会被提示非用户发起的文件下载。无论此设置如何，用户发起的下载仍会收到文件下载对话框。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 不对ActiveX控件运行反恶意软件程序 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页面\受限站点区域 .

该设置决定Internet Explorer是否对ActiveX控件运行反恶意软件程序，以检查其加载到页面上是否安全。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 下载已签名的ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该设置用于管理用户是否可以从该区域中的页面下载已签名的ActiveX控件。

建议

将此策略设置为 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 下载未签名的ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此策略设置用于管理用户是否可以从该区域下载未签名的ActiveX控件。此类代码可能有害，尤其是来自不受信任的区域时。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用跨窗口拖拽不同域内容 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该设置允许在源窗口和目标窗口分属不同域时，配置跨窗口拖拽内容的选项。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用同一窗口内跨域内容拖拽功能 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置允许配置当源和目标位于同一窗口时，将内容从一个域拖拽至另一域的选项。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 用户向服务器上传文件时包含本地路径 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该设置控制用户通过HTML表单上传文件时是否发送本地路径信息。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 初始化并执行未标记为安全的ActiveX控件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该设置允许管理未标记为安全的ActiveX控件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java权限 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置用于管理Java小程序的权限。若启用此策略设置，可从下拉框中选择以下选项：

建议

将此策略设置为 已启用 > 禁用Java .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 在IFRAME中启动应用程序和文件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置用于管理是否允许从该区域页面HTML中的IFRAME引用运行应用程序和下载文件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 登录选项 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置允许管理登录选项的相关配置。

建议

将此策略设置为 已启用 > 匿名登录 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 跨域导航窗口和框架 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置允许管理跨域窗口和框架的打开以及应用程序的访问。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 运行未使用Authenticode签名的依赖.NET Framework的组件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置允许管理是否可以从Internet Explorer执行未使用Authenticode签名的.NET Framework组件。

这些组件包括从object标签引用的托管控件和从链接引用的托管可执行文件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 运行依赖.NET Framework且经Authenticode签名的组件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置用于管理是否允许从Internet Explorer执行经Authenticode签名的.NET Framework组件。

这些组件包括通过object标签引用的托管控件和通过链接引用的托管可执行文件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 运行ActiveX控件和插件 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

该设置用于管理是否可以在指定区域的页面上运行ActiveX控件和插件。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 对标记为可安全执行脚本的ActiveX控件执行脚本 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此策略设置用于管理标记为可安全执行脚本的ActiveX控件是否可与脚本交互。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java小程序脚本 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置用于管理是否允许该区域内的脚本访问小程序。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

此设置控制当用户尝试打开可执行文件或其他潜在不安全文件时（例如通过文件资源管理器从内网文件共享打开） “打开文件 - 安全警告” 提示信息是否显示。

默认情况下，这些文件在受限区域被阻止，在内网和本地计算机区域启用，在互联网和受信任区域设为提示。

建议

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用跨站脚本筛选器 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受限站点区域 .

此设置控制跨站脚本（XSS）筛选器是否检测并阻止注入该区域网站的跨站脚本。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用保护模式 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页面\受限站点区域 .

该设置允许启用保护模式。保护模式通过限制Internet Explorer可写入注册表和文件系统的位置，帮助保护其免受漏洞利用。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 启用SmartScreen筛选器扫描 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页面\受限站点区域 .

该设置控制SmartScreen筛选器是否扫描此区域中的页面以查找恶意内容。

建议

将此策略设置为 已启用 > 启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 使用弹出窗口阻止程序 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页面\受限站点区域 .

此设置用于管理是否显示不需要的弹出窗口。

最终用户点击链接时打开的弹出窗口不会被阻止。

建议

将此策略设置为 已启用 > 启用 .

分类： 浏览器安全

操作系统： Windows

描述

验证本地组策略 用户数据持久化 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页面\受限站点区域 .

该设置允许管理浏览器历史记录、收藏夹、XML存储或直接保存在磁盘网页中的信息保留。

当用户返回到持久化页面时，若此策略设置配置得当，页面状态可被恢复。

建议

将此策略设置为 启用 > 禁用 .

分类： 浏览器安全

操作系统： Windows

描述

验证本地组策略 较低权限Web内容区域的网站可导航至此区域 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页面\受限站点区域 .

该设置允许管理来自较低权限区域（如互联网站点）的网站是否可导航至此区域。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 不对ActiveX控件运行反恶意软件程序 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受信任的站点区域 .

此设置决定Internet Explorer是否对ActiveX控件运行反恶意软件程序，以检查其在页面上加载是否安全。

建议

将此策略设置为 已启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 初始化并编写未标记为安全的ActiveX控件脚本 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受信任站点区域 .

此设置允许管理未标记为安全的ActiveX控件。

建议

将此策略设置为 启用 > 禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Java权限 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\受信任的站点区域 .

该设置允许管理Java小程序的权限。

建议

将此策略设置为 启用 > 高安全性 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 允许回退到SSL 3.0（Internet Explorer） ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\安全功能 .

此设置允许阻止不安全地回退至SSL 3.0。

建议

将此策略设置为 已启用 > 无站点 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 移除Internet Explorer中过时ActiveX控件的“本次运行”按钮 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\安全功能\加载项管理 .

此策略设置可阻止用户看到 本次运行 按钮及在Internet Explorer中运行特定过时的ActiveX控件。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 关闭Internet Explorer对过时ActiveX控件的拦截功能 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\安全功能\加载项管理 .

此设置决定Internet Explorer是否拦截特定过时的ActiveX控件。内网区域永远不会拦截过时的ActiveX控件。

建议

将此策略设置为 已禁用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Internet Explorer进程 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\安全功能\一致的MIME处理 .

Internet Explorer使用多用途互联网邮件扩展(MIME)数据来确定通过Web服务器接收的文件处理流程。

此策略设置决定Internet Explorer是否要求Web服务器提供的所有文件类型信息保持一致。

例如，如果文件的MIME类型为text/plain，但MIME嗅探显示该文件实际为可执行文件，Internet Explorer会通过将其保存在缓存中并更改扩展名来重命名该文件。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Internet Explorer进程 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\安全功能\MIME嗅探安全功能 .

此策略设置决定Internet Explorer的MIME嗅探是否会阻止将一种文件提升为更危险的文件类型。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Internet Explorer进程 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\安全功能\MK协议安全限制 .

MK协议安全限制策略设置通过阻止MK协议来减少攻击面。托管在MK协议上的资源将失效。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Internet Explorer进程 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\安全功能\通知栏 .

该设置允许您管理在限制文件或代码安装时，是否为Internet Explorer进程显示通知栏。

默认情况下，Internet Explorer进程会显示通知栏。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Internet Explorer进程 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\安全功能\防止区域提升 .

Internet Explorer对其打开的每个网页施加限制。这些限制取决于网页的位置（Internet、Intranet、本地计算机区域等）。

本地计算机上的网页具有最少的安全限制，并位于本地计算机区域，这使得本地计算机安全区域成为恶意用户的主要目标。

如果没有安全上下文，区域提升还会禁用JavaScript导航。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Internet Explorer 进程 ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\限制 ActiveX 安装 .

此设置可阻止 Internet Explorer 进程中的 ActiveX 控件安装提示。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Internet Explorer 进程 ，位于 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\限制文件下载 .

此设置可阻止非用户主动发起的文件下载提示。

建议

将此策略设置为 已启用 .

类别： 浏览器安全

操作系统： Windows

描述

验证本地组策略 Internet Explorer进程 ，位于 计算机配置\管理模板\Windows组件\Internet Explorer\安全功能\脚本化窗口安全限制 .

Internet Explorer允许脚本以编程方式打开、调整大小和重新定位各类窗口。

窗口限制安全功能可限制弹出窗口，并禁止脚本显示那些标题栏和状态栏对用户不可见或遮挡其他窗口标题栏和状态栏的窗口。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

验证策略 启用本地管理员密码管理 位于：

此策略用于管理本地管理员账户的密码。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

微软安全指南： 对网络登录的本地账户应用UAC限制 .

此设置控制是否允许本地账户通过网络登录（例如， NETUSE ，连接到 C$ 等）。

当同一账户和密码在多台系统上配置时，本地账户存在极高的凭据被盗风险。

启用此策略可显著降低该风险。

建议

将此策略设置为 已启用 .

类别： 操作系统安全

操作系统： Windows

描述

微软安全指南： 配置SMB v1服务器 .

禁用此设置将禁用SMBv1协议的服务器端处理。（推荐）

启用此设置将启用SMBv1协议的服务器端处理。（默认）

此设置的更改需要重启才能生效。

更多信息，请参阅 https://support.microsoft.com/kb/2696547 .

建议

将此设置为 已禁用 .

类别： 操作系统安全

操作系统： Windows

描述

微软安全指南： 配置SMB v1客户端驱动程序 .

禁用此设置将禁用SMBv1协议的服务器端处理。（推荐）

启用此设置将启用SMBv1协议的服务器端处理。（默认）

此设置的更改需要重启才能生效。更多信息，请参阅 https://support.microsoft.com/kb/2696547 .

建议

将此设置为 启用 > 禁用驱动程序 .

类别： 操作系统安全

操作系统： Windows

描述

微软安全指南： 启用结构化异常处理覆盖保护（SEHOP） .

建议

将此设置为 启用 .

类别： 操作系统安全

操作系统： Windows

描述

微软安全指南： WDigest身份验证 .

当启用WDigest身份验证时， Lsass.exe 会在内存中保留用户明文密码的副本，这可能存在被盗风险。除非必要，微软建议禁用WDigest身份验证。

建议

将此设置为 禁用 .

类别： 网络与凭据

操作系统： Windows

描述

MSS：( 禁用IPv6源路由 ) IP源路由保护级别（防止数据包欺骗）

建议

将此设置为 最高保护级别，完全禁用源路由 .

类别： 网络与凭据

操作系统： Windows

描述

MSS: ( 禁用IP源路由 ) IP源路由保护级别（防止数据包欺骗）

建议

将此设置为 最高保护级别，源路由完全禁用 .

类别： 网络与凭据

操作系统： Windows

描述

MSS: ( 启用ICMP重定向 ) 允许ICMP重定向覆盖OSPF生成的路由

建议

将此设置为 禁用 .

类别： 操作系统安全

操作系统： Windows

描述

MSS: ( NoNameReleaseOnDemand ) 允许计算机忽略除WINS服务器外的NetBIOS名称释放请求

建议

将此设置为 已启用 .

分类： 操作系统安全

操作系统： Windows

描述

检查 Office Word 11 的宏设置，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查 Office Word 12 的宏设置，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Word 14 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Word 15 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Word 16 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置： Office MSProject 11 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office MSProject 12 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的 Office MSProject 14 宏设置，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office MSProject 15 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office MSProject 16 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Excel 11 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

分类： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置： Office Excel 12 ，位于 文件\选项>信任中心>信任中心设置>宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Excel 14 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

分类： 操作系统安全

操作系统： Windows

描述

检查 Office Excel 15 的宏设置，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Excel 16 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office PowerPoint 11 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office PowerPoint 12 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

分类： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置： Office PowerPoint 14 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查 Office PowerPoint 15 的宏设置，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

分类： 操作系统安全

操作系统： Windows

描述

检查 Office PowerPoint 16 的宏设置，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Access 11 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Access 12 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Access 14 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不发出通知 .

分类： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置： Office Access 15 ，位于 文件\选项>信任中心>信任中心设置>宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Access 16 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

分类： 操作系统安全

操作系统： Windows

描述

检查 Office Publisher 11 的宏设置，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Publisher 12 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Publisher 14 ，路径为 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置 Office Publisher 15 ，路径为 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

分类： 操作系统安全

操作系统： Windows

描述

检查以下位置的宏设置： Office Publisher 16 ，位于 文件\选项\信任中心\信任中心设置\宏设置 .

建议

将此设置为 禁用所有宏且不通知 .

类别： 操作系统安全

操作系统： Windows

描述

检查 Office Outlook 12 的宏设置，位于 文件\选项\信任中心\信任中心设置\宏设置 .