重要提示
此云解决方案提供商包含一些正在开发中的设置,仅适用于 Windows Insider Preview 版本。 这些设置可能会发生更改,并且可能依赖于预览版中的其他功能或服务。
AuditInsecureGuestLogon
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100.3613] 及更高版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/AuditInsecureGuestLogon
此策略控制当客户端作为来宾帐户登录时,SMB 客户端是否将启用审核事件。
如果启用此策略设置,则当客户端以来宾帐户登录时,SMB 客户端将记录事件。
如果禁用或未配置此策略设置,则 SMB 客户端不会记录事件。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Pol_AuditInsecureGuestLogon |
| 友好名称 | 审核不安全的来宾登录 |
| 位置 | “计算机配置” |
| 路径 | 网络 > Lanman 工作站 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 注册表值名称 | AuditInsecureGuestLogon |
| ADMX 文件名 | LanmanWorkstation.admx |
AuditServerDoesNotSupportEncryption
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100.3613] 及更高版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/AuditServerDoesNotSupportEncryption
此策略控制 SMB 客户端是否在 SMB 服务器不支持加密时启用审核事件。
如果启用此策略设置,当 SMB 服务器不支持加密时,SMB 客户端将记录事件。
如果禁用或未配置此策略设置,则 SMB 客户端不会记录事件。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Pol_AuditServerDoesNotSupportEncryption |
| 友好名称 | 审核服务器不支持加密 |
| 位置 | “计算机配置” |
| 路径 | 网络 > Lanman 工作站 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 注册表值名称 | AuditServerDoesNotSupportEncryption |
| ADMX 文件名 | LanmanWorkstation.admx |
AuditServerDoesNotSupportSigning
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100.3613] 及更高版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/AuditServerDoesNotSupportSigning
此策略控制 SMB 客户端是否在 SMB 服务器不支持签名时启用审核事件。
如果启用此策略设置,当 SMB 服务器不支持签名时,SMB 客户端将记录事件。
如果禁用或未配置此策略设置,则 SMB 客户端不会记录事件。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Pol_AuditServerDoesNotSupportSigning |
| 友好名称 | 审核服务器不支持签名 |
| 位置 | “计算机配置” |
| 路径 | 网络 > Lanman 工作站 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 注册表值名称 | AuditServerDoesNotSupportSigning |
| ADMX 文件名 | LanmanWorkstation.admx |
EnableInsecureGuestLogons
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/EnableInsecureGuestLogons
此策略设置确定 SMB 客户端是否允许不安全的来宾登录到 SMB 服务器。
如果启用此策略设置或未配置此策略设置,SMB 客户端将允许不安全的来宾登录。
如果禁用此策略设置,SMB 客户端将拒绝不安全的来宾登录。
如果启用签名,SMB 客户端将拒绝不安全的来宾登录。
文件服务器使用不安全的来宾登录来允许对共享文件夹进行未经身份验证的访问。 虽然不安全的来宾登录在企业环境中并不常见,但使用者网络附加存储 (NAS) 充当文件服务器的设备经常使用不安全的来宾登录。 Windows 文件服务器需要身份验证,默认情况下不使用不安全的来宾登录。 由于不安全的来宾登录未经身份验证,因此将禁用 SMB 签名和 SMB 加密等重要安全功能。 因此,允许不安全的来宾登录的客户端容易受到各种可能导致数据丢失、数据损坏和恶意软件暴露的中间人攻击。 此外,网络上的任何人都可以访问使用不安全的来宾登录写入文件服务器的任何数据。 Microsoft建议禁用不安全的来宾登录,并将文件服务器配置为要求经过身份验证的访问”。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Pol_EnableInsecureGuestLogons |
| 友好名称 | 启用不安全的来宾登录 |
| 位置 | “计算机配置” |
| 路径 | 网络 > Lanman 工作站 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 注册表值名称 | AllowInsecureGuestAuth |
| ADMX 文件名 | LanmanWorkstation.admx |
EnableMailslots
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100.3613] 及更高版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/EnableMailslots
此策略控制 SMB 客户端是否通过 MUP 启用或禁用远程邮件图。
如果禁用此策略设置,远程邮件图将无法通过 MUP 运行,因此它们不会通过 SMB 客户端重定向程序。
如果未配置此策略设置,则可以通过 MUP 允许远程邮件图。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Pol_EnableMailslots |
| 友好名称 | 启用远程邮件图 |
| 位置 | “计算机配置” |
| 路径 | 网络 > Lanman 工作站 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\NetworkProvider |
| 注册表值名称 | EnableMailslots |
| ADMX 文件名 | LanmanWorkstation.admx |
MaxSmb2Dialect
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100.3613] 及更高版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/MaxSmb2Dialect
此策略控制 SMB 协议的最大版本。
注意
如果仍安装并启用 SMB 1,此组策略不会阻止使用该组件。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 785 |
允许的值:
| 值 | 描述 |
|---|---|
| 514 | SMB 2.0.2。 |
| 528 | SMB 2.1.0。 |
| 768 | SMB 3.0.0。 |
| 770 | SMB 3.0.2。 |
| 785 (默认) | SMB 3.1.1。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Pol_MaxSmb2Dialect |
| 友好名称 | 强制使用 SMB 的最大版本 |
| 位置 | “计算机配置” |
| 路径 | 网络 > Lanman 工作站 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| ADMX 文件名 | LanmanWorkstation.admx |
MinSmb2Dialect
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100.3613] 及更高版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/MinSmb2Dialect
此策略控制 SMB 协议的最低版本。
注意
如果仍安装并启用 SMB 1,此组策略不会阻止使用该组件。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 514 |
允许的值:
| 值 | 描述 |
|---|---|
| 514 (默认) | SMB 2.0.2。 |
| 528 | SMB 2.1.0。 |
| 768 | SMB 3.0.0。 |
| 770 | SMB 3.0.2。 |
| 785 | SMB 3.1.1。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Pol_MinSmb2Dialect |
| 友好名称 | 强制要求 SMB 的最低版本 |
| 位置 | “计算机配置” |
| 路径 | 网络 > Lanman 工作站 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| ADMX 文件名 | LanmanWorkstation.admx |
RequireEncryption
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100.3613] 及更高版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/RequireEncryption
此策略控制 SMB 客户端是否需要加密。
如果启用此策略设置,SMB 客户端将要求 SMB 服务器支持加密和加密数据。
如果禁用或未配置此策略设置,则 SMB 客户端不需要加密。 但是,可能仍需要 SMB 加密;请参阅下面的说明。
注意
此策略与每个共享、每个服务器和每个映射的驱动器连接属性相结合,通过这些属性可能需要 SMB 加密。 SMB 服务器必须支持并启用 SMB 加密。 例如,如果禁用此策略 (或未) 配置,如果 SMB 服务器共享需要加密,则 SMB 客户端仍可能执行加密。
重要提示
SMB 加密需要 SMB 3.0 或更高版本。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Pol_RequireEncryption |
| 友好名称 | 要求加密 |
| 位置 | “计算机配置” |
| 路径 | 网络 > Lanman 工作站 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 注册表值名称 | RequireEncryption |
| ADMX 文件名 | LanmanWorkstation.admx |