أساس أمان Windows

2023-12-08

تبين هذه المقالة تفاصيل إعدادات التكوين لضيوف Windows حسب الاقتضاء في التطبيقات التالية:

[إصدار أولي]: يجب أن تفي أجهزة Windows بمتطلبات أساس أمان حساب Azure تعريف تكوين ضيف Azure Policy
يجب إصلاح الثغرات الأمنية في تكوين الأمان على الأجهزة الخاصة بك في Azure Security Center

لمزيد من المعلومات، راجع تكوين جهاز Azure Automanage.

هام

ينطبق تكوين ضيف نهج Azure فقط على Windows Server SKU وAzure Stack SKU. لا ينطبق على حساب المستخدم النهائي مثل Windows 10 وWindows 11 SKUs.

نهج كلمة المرور لنُهج الحساب

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
مدة تأمين الحساب _{(AZ-WIN-73312)}	الوصف: يحدد إعداد النهج هذا المدة الزمنية التي يجب أن تمر قبل إلغاء تأمين حساب مؤمن ويمكن للمستخدم محاولة تسجيل الدخول مرة أخرى. يقوم الإعداد بذلك عن طريق تحديد عدد الدقائق التي سيظل فيها الحساب المؤمن غير متوفر. إذا تم تكوين قيمة إعداد النهج هذا إلى 0، فسيظل تأمين الحسابات مؤمنا حتى يقوم المسؤول بإلغاء تأمينها يدويا. على الرغم من أنه قد يبدو فكرة جيدة لتكوين قيمة إعداد النهج هذا إلى قيمة عالية، فإن مثل هذا التكوين من المحتمل أن يزيد من عدد المكالمات التي يتلقاها مكتب المساعدة لإلغاء تأمين الحسابات المؤمنة عن طريق الخطأ. يجب أن يكون المستخدمون على دراية بطول الوقت الذي يبقى فيه القفل في مكانه، حتى يدركوا أنهم بحاجة فقط إلى الاتصال بمكتب المساعدة إذا كانت لديهم حاجة ملحة للغاية لاستعادة الوصول إلى جهاز الكمبيوتر الخاص بهم. الحالة الموصى بها لهذا الإعداد هي: `15 or more minute(s)`. ملاحظة: يجب تطبيق إعدادات نهج كلمة المرور (القسم 1.1) وإعدادات نهج تأمين الحساب (القسم 1.2) عبر عنصر نهج المجال الافتراضي لكي يكون ساري المفعول عالميا على حسابات مستخدمي المجال كسلوك افتراضي. إذا تم تكوين هذه الإعدادات في عنصر نهج مجموعة آخر، فإنها ستؤثر فقط على حسابات المستخدمين المحليين على أجهزة الكمبيوتر التي تتلقى عنصر نهج المجموعة. ومع ذلك، يمكن تعريف الاستثناءات المخصصة لسياسة كلمة المرور الافتراضية وقواعد نهج تأمين الحساب لمستخدمي مجال معينين و/أو مجموعات معينة باستخدام كائنات إعدادات كلمة المرور (PSOs)، والتي تكون منفصلة تماما عن نهج المجموعة ويتم تكوينها بسهولة أكبر باستخدام مركز إدارة Active Directory. المسار الرئيسي: [وصول النظام]LockoutDuration نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\نهج الحساب\نهج تأمين الحساب\مدة تأمين الحساب تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 1.2.1 CIS WS2019 1.2.1	>= 15 _(نهج)	تحذير

القالب الإداري - Windows Defender

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تكوين الكشف للتطبيقات التي يحتمل أن تكون غير مرغوب فيها _{(AZ-WIN-202219)}	الوصف: يتحكم إعداد النهج هذا في الكشف عن التطبيقات غير المرغوب فيها (PUA) والإجراءات الخاصة بها، والتي تعد مجمعات تطبيقات غير مرغوب فيها متسترة أو تطبيقاتها المجمعة، والتي يمكنها تقديم البرامج الضارة أو البرامج الضارة. الحالة الموصى بها لهذا الإعداد هي: `Enabled: Block`. لمزيد من المعلومات، راجع هذا الارتباط: حظر التطبيقات غير المرغوب فيها باستخدام برنامج الحماية من الفيروسات من Microsoft Defender \| Microsoft Docs المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\تكوين الكشف عن التطبيقات التي يحتمل أن تكون غير مرغوب فيها تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15	= 1 _(السجل)	هام
مسح جميع الملفات والمرفقات التي تم تنزيلها ضوئياً _{(AZ-WIN-202221)}	الوصف: يقوم إعداد النهج هذا بتكوين المسح الضوئي لجميع الملفات والمرفقات التي تم تنزيلها. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\الحماية في الوقت الحقيقي\فحص جميع الملفات والمرفقات التي تم تنزيلها تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1	=0 _(السجل)	تحذير
إيقاف تشغيل Microsoft Defender AntiVirus _{(AZ-WIN-202220)}	الوصف: يؤدي إعداد النهج هذا إلى إيقاف تشغيل برنامج الحماية من الفيروسات من Microsoft Defender. إذا تم تكوين الإعداد إلى معطل، برنامج الحماية من الفيروسات من Microsoft Defender يتم فحص عمليات التشغيل وأجهزة الكمبيوتر بحثا عن البرامج الضارة والبرامج الأخرى التي يحتمل أن تكون غير مرغوب فيها. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\إيقاف تشغيل Microsoft Defender AntiVirus تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16	=0 _(السجل)	هام
إيقاف تشغيل الحماية في الوقت الحقيقي _{(AZ-WIN-202222)}	الوصف: يقوم إعداد النهج هذا بتكوين مطالبات الحماية في الوقت الحقيقي للكشف عن البرامج الضارة المعروفة. برنامج الحماية من الفيروسات من Microsoft Defender ينبهك عندما تحاول البرامج الضارة أو البرامج غير المرغوب فيها تثبيت نفسها أو تشغيلها على الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\الحماية في الوقت الحقيقي\إيقاف تشغيل الحماية في الوقت الحقيقي تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2	=0 _(السجل)	تحذير
تشغيل مسح البريد الإلكتروني ضوئياً _{(AZ-WIN-202218)}	الوصف: يسمح لك إعداد النهج هذا بتكوين مسح البريد الإلكتروني. عند تمكين فحص البريد الإلكتروني، سيقوم المحرك بتحليل علبة البريد وملفات البريد، وفقا لتنسيقها المحدد، من أجل تحليل أجسام البريد والمرفقات. يتم حاليا دعم العديد من تنسيقات البريد الإلكتروني، على سبيل المثال: pst (Outlook)، dbx، mbx، mime (Outlook Express)، binhex (Mac). الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\Scan\Turn on e-mail scanning تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2	=0 _(السجل)	تحذير
تشغيل مسح البرنامج النصي ضوئياً _{(AZ-WIN-202223)}	الوصف: يسمح إعداد النهج هذا بتشغيل/إيقاف تشغيل فحص البرنامج النصي. يعترض فحص البرنامج النصي البرامج النصية ثم يفحصها قبل تنفيذها على النظام. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\الحماية في الوقت الحقيقي\تشغيل فحص البرنامج النصي تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4	=0 _(السجل)	تحذير

قوالب إدارية - لوحة التحكم

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
السماح بإضفاء طابع شخصي على الإدخال _{(AZ-WIN-00168)}	الوصف: يتيح هذا النهج مكوّن التعلم التلقائي لإضفاء طابع شخصي على الإدخال الذي يتضمن الكلام والكتابة بالحبر والكتابة. ويتيح التعلم التلقائي جمع أنماط الكلام والكتابة اليدوية ومحفوظات الكتابة وجهات الاتصال ومعلومات التقويم الأخيرة. كما أنه مطلوب لاستخدام Cortana. قد يتم تخزين بعض هذه المعلومات التي جمعت على OneDrive الخاص بالمستخدم، في حالة الكتابة بالحبر والكتابة، وسيتم تحميل بعض المعلومات إلى Microsoft لتخصيص الكلام. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى`Disabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية\لوحة التحكم\الخيارات الإقليمية وخيارات اللغة\السماح للمستخدمين بتمكين خدمات التعرف على الكلام عبر الإنترنت ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة Globalization.admx/adml المضمن مع القوالب الإدارية ل Microsoft Windows 10 RTM (الإصدار 1507) (أو أحدث). ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، كان هذا الإعداد يسمى في البداية السماح بتخصيص الإدخال، ولكن تمت إعادة تسميته إلى السماح للمستخدمين بتمكين خدمات التعرف على الكلام عبر الإنترنت بدءا من القوالب الإدارية ل Windows 10 R1809 وServer 2019. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.1.2.2	=0 _(السجل)	تحذير

القوالب الإدارية - دليل أمان MS

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تعطيل عميل SMB v1 (إزالة التبعية على LanmanWorkstation) _{(AZ-WIN-00122)}	الوصف: SMBv1 هو بروتوكول قديم يستخدم خوارزمية MD5 كجزء من SMB. ومن المعروف أن MD5 عرضة لعدد من الهجمات مثل الاصطدام والهجمات المسبقة وكذلك لا تكون متوافقة مع FIPS. مسار المفتاح: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService نظام التشغيل: WS2008، WS2008R2، WS2012 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\القوالب الإدارية\دليل أمان MS\تكوين برنامج تشغيل عميل SMBv1 تعيينات التوافق القياسية:	غير موجود أو = Bowser\0MRxSmb20\0NSI\0\0 _(السجل)	هام
مصادقة WDigest _{(AZ-WIN-73497)}	الوصف: عند تمكين مصادقة WDigest، يحتفظ Lsass.exe بنسخة من كلمة مرور النص العادي للمستخدم في الذاكرة، حيث يمكن أن تكون معرضة لخطر السرقة. إذا لم يتم تكوين هذا الإعداد، يتم تعطيل مصادقة WDigest في Windows 8.1 وفي Windows Server 2012 R2؛ يتم تمكينه بشكل افتراضي في الإصدارات السابقة من Windows وWindows Server. لمزيد من المعلومات حول الحسابات المحلية وسرقة بيانات الاعتماد، راجع مستندات "التخفيف من هجمات تمرير التجزئة (PtH) وتقنيات سرقة بيانات الاعتماد الأخرى". لمزيد من المعلومات حول `UseLogonCredential`، راجع مقالة قاعدة معارف Microsoft 2871997: Microsoft Security Advisory Update لتحسين حماية بيانات الاعتماد وإدارتها في 13 مايو 2014. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. مسار المفتاح: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential نظام التشغيل: WS2016، WS2019 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\دليل أمان MS\مصادقة WDigest (قد يتطلب التعطيل KB2871997) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.3.7 CIS WS2019 18.3.7	=0 _(السجل)	هام

قوالب إدارية - MSS

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
MSS: (DisableIPSourceRouting IPv6) مستوى حماية توجيه مصدر IP (حماية مقابل تزييف هوية حزمة البيانات) _{(AZ-WIN-202213)}	الوصف: توجيه مصدر IP هو آلية تسمح للمرسل بتحديد مسار IP الذي يجب أن يتبعه مخطط البيانات من خلال الشبكة. الحالة الموصى بها لهذا الإعداد هي: `Enabled: Highest protection, source routing is completely disabled`. المسار الرئيسي: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\MSS (قديم)\MSS: (DisableIPSourceRouting IPv6) مستوى حماية توجيه مصدر IP (يحمي من انتحال الحزمة) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.4.2 CIS WS2019 18.4.2	= 2 _(السجل)	معلوماتي
MSS: (DisableIPSourceRouting) مستوى حماية توجيه مصدر IP (حماية مقابل تزييف هوية حزمة البيانات) _{(AZ-WIN-202244)}	الوصف: توجيه مصدر IP هو آلية تسمح للمرسل بتحديد مسار IP الذي يجب أن يتخذه مخطط البيانات عبر الشبكة. يوصى بتكوين هذا الإعداد إلى غير محدد لبيئات المؤسسة وإلى أعلى حماية لبيئات الأمان العالي لتعطيل توجيه المصدر بالكامل. الحالة الموصى بها لهذا الإعداد هي: `Enabled: Highest protection, source routing is completely disabled`. المسار الرئيسي: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\MSS (قديم)\MSS: (DisableIPSourceRouting) مستوى حماية توجيه مصدر IP (يحمي من انتحال الحزمة) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.4.3 CIS WS2019 18.4.3	= 2 _(السجل)	معلوماتي
MSS: (NoNameReleaseOnDemand) السماح للكمبيوتر بتجاهل طلبات إصدار اسم NetBIOS باستثناء من خوادم WINS _{(AZ-WIN-202214)}	الوصف: NetBIOS عبر TCP/IP هو بروتوكول شبكة يوفر من بين أمور أخرى طريقة لحل أسماء NetBIOS المسجلة على الأنظمة المستندة إلى Windows بسهولة إلى عناوين IP التي تم تكوينها على تلك الأنظمة. يحدد هذا الإعداد ما إذا كان الكمبيوتر يصدر اسم NetBIOS الخاص به عندما يتلقى طلب إصدار الاسم. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\MSS (قديم)\MSS: (NoNameReleaseOnDemand) السماح للكمبيوتر بتجاهل طلبات إصدار اسم NetBIOS باستثناء من خوادم WINS تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.4.6 CIS WS2019 18.4.6	= 1 _(السجل)	معلوماتي
MSS: (SafeDllSearchMode) تمكين وضع البحث الآمن لـ DLL (مستحسن) _{(AZ-WIN-202215)}	الوصف: يمكن تكوين ترتيب بحث DLL للبحث عن DLLs المطلوبة عن طريق تشغيل العمليات بإحدى طريقتين: - البحث في المجلدات المحددة في مسار النظام أولا، ثم البحث في مجلد العمل الحالي. - ابحث في مجلد العمل الحالي أولا، ثم ابحث في المجلدات المحددة في مسار النظام. عند التمكين، يتم تعيين قيمة التسجيل إلى 1. باستخدام إعداد 1، يبحث النظام أولا في المجلدات المحددة في مسار النظام ثم يبحث في مجلد العمل الحالي. عند تعطيل قيمة التسجيل يتم تعيين إلى 0 ويبحث النظام أولا في مجلد العمل الحالي ثم يبحث في المجلدات المحددة في مسار النظام. سيتم إجبار التطبيقات على البحث عن DLLs في مسار النظام أولا. بالنسبة للتطبيقات التي تتطلب إصدارات فريدة من DLLs هذه المضمنة مع التطبيق، قد يسبب هذا الإدخال مشاكل في الأداء أو الاستقرار. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. ملاحظة: يتوفر مزيد من المعلومات حول كيفية عمل وضع بحث DLL الآمن في هذا الارتباط: Dynamic-Link Library Search Order - تطبيقات Windows \| Microsoft Docs المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\MSS (قديم)\MSS: (SafeDllSearchMode) تمكين وضع بحث DLL الآمن (مستحسن) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.4.8 CIS WS2019 18.4.8	= 1 _(السجل)	تحذير
MSS: (WarningLevel) حد النسبة المئوية لسجل أحداث الأمان الذي سيقوم النظام فيه بإنشاء تحذير _{(AZ-WIN-202212)}	الوصف: يمكن لهذا الإعداد إنشاء تدقيق أمان في سجل أحداث الأمان عندما يصل السجل إلى حد معرف من قبل المستخدم. الحالة الموصى بها لهذا الإعداد هي: `Enabled: 90% or less`. ملاحظة: إذا تم تكوين إعدادات السجل للكتابة فوق الأحداث حسب الحاجة أو الكتابة فوق الأحداث الأقدم من x أيام، فلن يتم إنشاء هذا الحدث. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\MSS (قديم)\MSS: (WarningLevel) حد النسبة المئوية لسجل أحداث الأمان الذي سيقوم النظام بإنشاء تحذير عنده تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.4.12 CIS WS2019 18.4.12	<= 90 _(السجل)	معلوماتي
يجب تكوين Windows Server لمنع عمليات إعادة توجيه بروتوكول التحكم برسائل الإنترنت (ICMP) من تجاوز المسارات التي تم إنشاؤها بواسطة Open Shortest Path First (OSPF). _{(AZ-WIN-73503)}	الوصف: تتسبب عمليات إعادة توجيه بروتوكول رسالة التحكم بالإنترنت (ICMP) في مكدس IPv4 إلى مسارات مضيف السباكة. تتجاوز هذه المسارات المسارات التي تم إنشاؤها بواسطة Open Shortest Path First (OSPF). الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\MSS (قديم)\MSS: (EnableICMPRedirect) السماح بإعادة توجيه ICMP لتجاوز المسارات التي تم إنشاؤها بواسطة OSPF تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.4.4 CIS WS2019 18.4.4	=0 _(السجل)	معلوماتي

قوالب إدارية - الشبكة

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تمكين تسجيل دخول الضيف غير الآمن _{(AZ-WIN-00171)}	الوصف: يحدد إعداد النهج هذا ما إذا كان عميل بروتوكول SMB سيسمح بتسجيلات دخول الضيف غير الآمنة إلى خادم بروتوكول Server Message Block أم لا. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية etwork\Lanman Workstation\Enable insecure guest logons ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'LanmanWorkstation.admx/adml' المضمن مع قوالب Microsoft Windows 10 الإدارية الإصدار 1511 (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1	=0 _(السجل)	هام
مسارات UNC المتصلبة - NETLOGON _{(AZ_WIN_202250)}	الوصف: يقوم إعداد النهج هذا بتكوين الوصول الآمن إلى مسارات UNC مسار المفتاح: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths؟ ValueName=\\NETLOGON نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار* نهج المجموعة: تكوين الكمبيوتر\القوالب الإدارية\الشبكة\موفر الشبكة\مسارات UNC المتصلبة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1، RequireIntegrity=1 _(السجل)	تحذير
مسارات UNC المتصلبة - SYSVOL _{(AZ_WIN_202251)}	الوصف: يقوم إعداد النهج هذا بتكوين الوصول الآمن إلى مسارات UNC مسار المفتاح: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths؟ ValueName=\\SYSVOL نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار* نهج المجموعة: تكوين الكمبيوتر\القوالب الإدارية\الشبكة\موفر الشبكة\مسارات UNC المتصلبة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1، RequireIntegrity=1 _(السجل)	تحذير
تقليل عدد الاتصالات المتزامنة بالإنترنت أو Windows Domain _{(CCE-38338-0)}	الوصف: يمنع هذا النهج أجهزة الكمبيوتر من الاتصال إلى كل من شبكة اتصال تستند إلى مجال وشبكة اتصال غير المجال في نفس الوقت. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled: 3 = Prevent Wi-Fi when on Ethernet`: تكوين الكمبيوتر\السياسات\القوالب الإدارية etwork\Windows إدارة الاتصالات\تصغير عدد الاتصالات المتزامنة بالإنترنت أو مجال Windows ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'WCM.admx/adml' المضمن مع قوالب Microsoft Windows 8.0 وServer 2012 (غير R2) الإدارية. تم تحديثه بإعداد فرعي جديد لخيارات نهج التصغير بدءا من القوالب الإدارية للإصدار 1903 من Windows 10. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.5.21.1	غير موجود أو = 1 _(السجل)	تحذير
حظر تثبيت وتكوين Network Bridge على شبكة مجال نظام أسماء المجالات _{(CCE-38002-2)}	الوصف: بإمكانك استخدام هذا الإجراء للتحكم في قدرة المستخدم على تثبيت وتكوين وصلة شبكة اتصال. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Network\Network Connections\Prohibit installation and configuration of Network Bridge على شبكة مجال DNS ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `NetworkConnections.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2	=0 _(السجل)	تحذير
حظر استخدام مشاركة اتصال الإنترنت على شبكة مجال نظام أسماء المجالات _{(AZ-WIN-00172)}	الوصف: على الرغم من تطبيق هذا الإعداد "القديم" تقليديا على استخدام "مشاركة اتصال الإنترنت" (ICS) في Windows 2000 وWindows XP وServer 2003، فإن هذا الإعداد ينطبق الآن بشكل حديث على ميزة نقاط الاتصال اللاسلكية للأجهزة المحمولة في Windows 10 وServer 2016. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية etwork اتصالات etwork\حظر استخدام مشاركة اتصال الإنترنت على شبكة مجال DNS ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'NetworkConnections.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.5.11.3	=0 _(السجل)	تحذير
إيقاف تشغيل تحليل الاسم متعدد الإرسال _{(AZ-WIN-00145)}	الوصف: يعتبر LLMNR بروتوكول تحليل الاسم الثانوي. باستخدام LLMNR، ترسل الاستعلامات باستخدام الإرسال المتعدد عبر ارتباط شبكة محلية على شبكة فرعية واحدة من كمبيوتر عميل إلى كمبيوتر عميل آخر على نفس الشبكة الفرعية التي تم تمكين LLMNR عليها أيضًا. لا يتطلب LLMNR تكوين عميل DNS أو خادم DNS، كما يوفر تحليل الاسم في السيناريوهات التي لا يكون فيها تحليل اسم DNS التقليدي ممكنًا. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية etwork\DNS Client\إيقاف تشغيل تحليل اسم الإرسال المتعدد ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'DnsClient.admx/adml' المضمن مع القوالب الإدارية ل Microsoft Windows 8.0 وServer 2012 (غير R2) (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.5.4.2	=0 _(السجل)	تحذير

القوالب الإدارية - دليل الأمان

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تمكين حماية الكتابة فوق معالجة الاستثناء المنظم (SEHOP) _{(AZ-WIN-202210)}	الوصف: يتضمن Windows دعم حماية الكتابة فوق الكتابة فوق معالجة الاستثناء المنظم (SEHOP). نوصي بتمكين هذه الميزة لتحسين ملف تعريف الأمان للكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\دليل أمان MS\تمكين معالجة الاستثناء المنظم لحماية الكتابة فوق (SEHOP) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.3.4 CIS WS2019 18.3.4	=0 _(السجل)	هام
تكوين NetBT NodeType _{(AZ-WIN-202211)}	الوصف: يحدد هذا الإعداد الطريقة التي يستخدمها NetBIOS عبر TCP/IP (NetBT) لتسجيل الأسماء وحلها. الأساليب المتوفرة هي: - تستخدم طريقة B-node (البث) عمليات البث فقط. - يستخدم الأسلوب P-node (نقطة إلى نقطة) استعلامات الاسم فقط إلى خادم الاسم (WINS). - يبث أسلوب M-node (mixed) أولا، ثم يستعلم عن خادم الاسم (WINS) إذا فشل البث. - يستعلم أسلوب H-node (hybrid) عن خادم اسم (WINS) أولا، ثم يبث إذا فشل الاستعلام. الحالة الموصى بها لهذا الإعداد هي: `Enabled: P-node (recommended)` (نقطة إلى نقطة). ملاحظة: تتبع الدقة من خلال LMHOSTS أو DNS هذه الطرق. `NodeType` إذا كانت قيمة التسجيل موجودة، فإنها تتجاوز أي `DhcpNodeType` قيمة سجل. إذا لم يكن `NodeType` موجودا أو `DhcpNodeType` موجودا، يستخدم الكمبيوتر B-node (البث) إذا لم تكن هناك خوادم WINS مكونة للشبكة، أو H-node (مختلطة) إذا كان هناك خادم WINS واحد على الأقل تم تكوينه. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\دليل أمان MS\تكوين نوع عقدة NetBT تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.3.6 CIS WS2019 18.3.6	= 2 _(السجل)	تحذير

قوالب إدارية - النظام

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
منع مستخدم من عرض تفاصيل الحساب عند تسجيل الدخول _{(AZ-WIN-00138)}	الوصف: يمنع هذا النهج المستخدم من عرض تفاصيل الحساب (عنوان البريد الإلكتروني أو اسم المستخدم) على شاشة تسجيل الدخول. في حال قمت بتمكين إعداد النهج هذا، فلن يتمكن المستخدم من اختيار إظهار تفاصيل الحساب على شاشة تسجيل الدخول. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فقد يختار المستخدم إظهار تفاصيل الحساب على شاشة تسجيل الدخول. المسار الرئيسي: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\System\Logon\Block user from showing account details on sign-in ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'Logon.admx/adml' المضمن مع الإصدار 1607 من Microsoft Windows 10 والقوالب الإدارية لخادم 2016 (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.28.1	= 1 _(السجل)	تحذير
نهج تهيئة برنامج تشغيل الجهاز Boot-Start _{(CCE-37912-3)}	الوصف: يسمح لك إعداد النهج هذا بتحديد برامج تشغيل بدء التشغيل التي تتم تهيئتها استنادًا إلى تصنيف يحدده بدء تشغيل التشغيل المبكر لمكافحة البرامج الضارة. يمكن لبرنامج تشغيل بدء تشغيل التشغيل المبكر لمكافحة البرامج الضارة إرجاع التصنيفات التالية لكل برنامج تشغيل بدء التشغيل: - جيد: تم توقيع برنامج التشغيل ولم يتم العبث به. - سيئ: تم تحديد برنامج التشغيل على أنه برنامج ضار. يُوصى بعدم السماح بتهيئة برامج التشغيل الجهاز السيئة المعروفة. - سيء، ولكن مطلوب للتمهيد: تم تحديد برنامج التشغيل على أنه برنامج ضار، ولكن لا يمكن تشغيل الكمبيوتر بنجاح دون تحميل برنامج التشغيل هذا. - غير معروف: لم يتم التصديق على برنامج التشغيل هذا من قبل تطبيق الكشف عن البرامج الضارة الخاصة بك ولم يتم تصنيفه من قبل برنامج التشغيل المبكر لبدء تشغيل برنامج تشغيل مكافحة البرامج الضارة. في حال قمت بتمكين إعداد النهج هذا، فستتمكن من اختيار برامج تشغيل بدء التشغيل التي ستتم تهيئتها في المرة التالية التي يتم فيها بدء تشغيل الكمبيوتر. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، يتم تحديد برامج تشغيل بدء التشغيل على أنها جيدة أو غير معروفة أو سيئة ولكن تتم تهيئة Boot Critical ويتم تخطي تهيئة برامج التشغيل المحددة على أنها سيئة. في حال لم يتضمن تطبيق الكشف عن البرامج الضارة برنامج تشغيل التشغيل المبكر لبدء تشغيل البرامج الضارة أو إذا تم تعطيل برنامج تشغيل التشغيل المبكر لبدء تشغيل برامج مكافحة البرامج الضارة، فلن يكون لهذا الإعداد أي تأثير وتتم تهيئة جميع برامج تشغيل التمهيد. المسار الرئيسي: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled:` `Good, unknown and bad but critical`: Computer Configuration\Policies\Administrative Templates\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'EarlyLaunchAM.admx/adml' المضمن مع القوالب الإدارية ل Microsoft Windows 8.0 وServer 2012 (غير R2) (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.14.1	غير موجود أو = 3 _(السجل)	تحذير
تكوين عرض المساعدة عن بعد _{(CCE-36388-7)}	الوصف: يسمح لك إعداد النهج هذا بتشغيل عرض المساعدة عن بعد (غير المرغوب فيه) أو إيقاف تشغيله على هذا الكمبيوتر. لن يتمكن موظفو مكتب المساعدة والدعم من تقديم المساعدة بشكل استباقي، على الرغم من أنه لا يزال بإمكانهم الاستجابة لطلبات مساعدة المستخدمين. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية\النظام\المساعدة عن بعد\تكوين تقديم المساعدة عن بعد ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب `RemoteAssistance.admx/adml` نهج المجموعة المضمن مع قوالب Microsoft Windows 8.0 وServer 2012 (غير R2) الإدارية (أو الأحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1	غير موجود أو = 0 _(السجل)	تحذير
تكوين المساعدة عن بعد المطلوبة _{(CCE-37281-3)}	الوصف: يسمح لك إعداد النهج هذا بتشغيل المساعدة عن بعد المطلوبة (طلب المساعدة عن بعد) أو إيقاف تشغيلها على هذا الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\System\Remote Assistance\Configure Solicited Remote Assistance ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب `RemoteAssistance.admx/adml` نهج المجموعة المضمن مع قوالب Microsoft Windows 8.0 وServer 2012 (غير R2) الإدارية (أو الأحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2	=0 _(السجل)	هام
عدم عرض واجهة مستخدم تحديد الشبكة _{(CCE-38353-9)}	الوصف: يسمح لك إعداد النهج هذا بالتحكم في إمكانية تفاعل أي شخص مع واجهة مستخدم الشبكات المتوفرة على شاشة تسجيل الدخول. في حال قمت بتمكين إعداد النهج هذا، فلا يمكن تغيير حالة اتصال شبكة الكمبيوتر دون تسجيل الدخول إلى Windows. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فإنه يمكن لأي مستخدم قطع اتصال الكمبيوتر بالشبكة أو يمكنه توصيل الكمبيوتر بالشبكات الأخرى المتوفرة دون تسجيل الدخول إلى Windows. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\System\Logon\Do not display network selection UI ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'Logon.admx/adml' المضمن مع قوالب Microsoft Windows 8.1 وServer 2012 R2 الإدارية (أو الأحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.28.2	= 1 _(السجل)	تحذير
عدم تعداد المستخدمين المتصلين على أجهزة الكمبيوتر المرتبطة بالمجال _{(AZ-WIN-202216)}	الوصف: يمنع إعداد النهج هذا المستخدمين المتصلين من التعداد على أجهزة الكمبيوتر المرتبطة بالمجال. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\النظام\تسجيل الدخول\عدم تعداد المستخدمين المتصلين على أجهزة الكمبيوتر المرتبطة بالمجال تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3	= 1 _(السجل)	تحذير
تمكين مصادقة عميل مخطط نقطة نهاية استدعاء إجراء عن بُعد _{(CCE-37346-4)}	الوصف: يتحكم إعداد النهج هذا في ما إذا كان عملاء استدعاء الإجراء عن بُعد يصادقون باستخدام Endpoint Mapper Service عندما يحتوي الاستدعاء الذي يقومون به على معلومات المصادقة. لا يمكن لـ Endpoint Mapper Service على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows NT4 (جميع حزم الخدمة) معالجة معلومات المصادقة المقدمة بهذه الطريقة. في حال قمت بتعطيل إعداد النهج هذا، فلن يقوم عملاء استدعاء الإجراء عن بُعد بالمصادقة على Endpoint Mapper Service، لكنهم سيتمكنون من الاتصال بخدمة Endpoint Mapper Service على Windows NT4 Server. في حال قمت بتمكين إعداد النهج هذا، سيقوم عملاء استدعاء الإجراء عن بُعد بالمصادقة على Endpoint Mapper Service للمكالمات التي تحتوي على معلومات المصادقة. ولن يتمكن العملاء الذين يقومون بإجراء هذه المكالمات من التواصل مع Endpoint Mapper Service على Windows NT4 Server. في حال لم تقم بتكوين إعداد النهج هذا، فسيظل معطلاً. لن يقوم عملاء استدعاء الإجراء عن بُعد بالمصادقة على Endpoint Mapper Service، لكنهم سيتمكنون من الاتصال بخدمة Endpoint Mapper Service على Windows NT4 Server. ملاحظة: لن يتم تطبيق هذا النهج حتى يعاد تشغيل النظام. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'RPC.admx/adml' المضمن مع القوالب الإدارية ل Microsoft Windows 8.0 وServer 2012 (غير R2) (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.37.1	= 1 _(السجل)	هام
تمكين عميل Windows NTP _{(CCE-37843-0)}	الوصف: يحدد إعداد النهج هذا ما إذا كان عميل Windows NTP تم تمكينه. يسمح تمكين عميل Windows NTP للكمبيوتر بمزامنة ساعة الكمبيوتر الخاصة به مع خوادم NTP الأخرى. ربما ترغب في تعطيل هذه الخدمة حال قررت استخدام موفر وقت تابع لجهة خارجية. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'W32Time.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.53.1.1	= 1 _(السجل)	هام
تشفير Oracle Remediation لبروتوكول CredSSP _{(AZ-WIN-201910)}	الوصف: بعض إصدارات بروتوكول CredSSP التي تستخدمها بعض التطبيقات (مثل اتصال سطح المكتب البعيد) عرضة لهجوم أوراكل التشفير ضد العميل. يتحكم هذا النهج في التوافق مع العملاء والخوادم المعرضة للخطر ويسمح لك بتعيين مستوى الحماية المطلوب لثغرة أوراكل التشفير. الحالة الموصى بها لهذا الإعداد هي: `Enabled: Force Updated Clients`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle نظام التشغيل: WS2016، WS2019 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\النظام\تفويض بيانات الاعتماد\معالجة Oracle التشفير تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1	=0 _(السجل)	هام
تأكد من تعيين "تكوين معالجة نهج التسجيل: لا تنطبق أثناء معالجة الخلفية الدورية" على "ممكن: خاطئ" _{(CCE-36169-1)}	الوصف: يمنع خيار "عدم التطبيق أثناء معالجة الخلفية الدورية" النظام من تحديث النهج المتأثرة في الخلفية أثناء استخدام الكمبيوتر. عند تعطيل تحديثات الخلفية، لن تسري تغييرات النهج حتى يتم تسجيل دخول المستخدم التالي أو إعادة تشغيل النظام. الحالة الموصى بها لهذا الإعداد هي`Enabled: FALSE` (غير محدد). المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`، ثم قم بتعيين `Process even if the Group Policy objects have not changed` الخيار إلى `TRUE` (محدد): Computer Configuration\Policies\Administrative Templates\System\Group Policy\Configure registry policy processing ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب `GroupPolicy.admx/adml` نهج المجموعة المضمن مع قوالب Microsoft Windows 8.0 وServer 2012 (غير R2) الإدارية (أو الأحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2	=0 _(السجل)	هام
تأكد من تعيين "تكوين معالجة نهج التسجيل: العملية حتى إذا لم تتغير عناصر نهج المجموعة" إلى "ممكن: صحيح" _{(CCE-36169-1a)}	الوصف: يقوم الخيار "العملية حتى لو لم تتغير عناصر نهج المجموعة" بتحديث النُهج وإعادة تطبيقها حتى إذا لم تتغير النُهج. الحالة الموصى بها لهذا الإعداد هي: `Enabled: TRUE` (محدد). المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`، ثم قم بتعيين الخيار "Process حتى إذا لم تتغير كائنات نهج المجموعة" إلى "TRUE" (محدد): Computer Configuration\Policies\Administrative Templates\System\Group Policy\Configure registry policy processing ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'GroupPolicy.admx/adml' المضمن مع قوالب Microsoft Windows 8.0 وServer 2012 (غير R2) الإدارية (أو الأحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.21.3	=0 _(السجل)	هام
تأكد من تعيين «Continue experiences on this device» إلى «Disabled» _{(AZ-WIN-00170)}	الوصف: يقوم إعداد النهج هذا بتحديد ما إذا كان يسمح لجهاز Windows بالمشاركة في التجارب عبر الأجهزة (متابعة التجارب). الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\System\Group Policy\Continue experiences on this device ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'GroupPolicy.admx/adml' المضمن مع الإصدار 1607 من Microsoft Windows 10 والقوالب الإدارية لخادم 2016 (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.21.4	غير موجود أو = 0 _(السجل)	تحذير
تعداد المستخدمين المحليين على أجهزة الكمبيوتر المرتبطة بالمجال _{(AZ_WIN_202204)}	الوصف: يسمح إعداد النهج هذا للمستخدمين المحليين بتعدادهم على أجهزة الكمبيوتر المرتبطة بالمجال. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو المجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\النظام\تسجيل الدخول\تعداد المستخدمين المحليين على أجهزة الكمبيوتر المرتبطة بالمجال تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4	غير موجود أو = 0 _(السجل)	تحذير
إدراج سطر الأوامر في أحداث إنشاء العملية _{(CCE-36925-6)}	الوصف: يحدد إعداد النهج هذا المعلومات التي تسجل في أحداث تدقيق الأمان عند إنشاء عملية جديدة. ينطبق هذا الإعداد عند تمكين نهج إنشاء عملية التدقيق فقط. في حال قمت بتمكين إعداد النهج هذا، فسيتم تسجيل معلومات سطر الأوامر لكل عملية في نص عادي في سجل أحداث الأمان كجزء من حدث إنشاء عملية التدقيق 4688، «تم إنشاء عملية جديدة»، على محطات العمل والخوادم التي يتم تطبيق إعداد النهج هذا عليها. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فلن يتم تضمين معلومات سطر الأوامر الخاصة بالعملية في أحداث إنشاء عملية التدقيق. الافتراضي: لم يتم تكوين ملاحظة: عند تمكين إعداد النهج هذا، فسيتمكن أي مستخدم له حق الوصول لقراءة أحداث الأمان من قراءة وسيطات سطر الأوامر لأي عملية أنشئت بنجاح. يمكن أن تحتوي وسيطات سطر الأوامر على معلومات خاصة أو حساسة مثل كلمات المرور أو بيانات المستخدم. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\System\Audit Process Creation\Include command line in process creation events ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة "AuditSettings.admx/adml" المضمن مع Microsoft Windows 8.1 وServer 2012 R2 Administrative Templates (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.3.1	= 1 _(السجل)	هام
منع استرداد بيانات تعريف الجهاز من الإنترنت _{(AZ-WIN-202251)}	الوصف: يسمح لك إعداد النهج هذا بمنع Windows من استرداد بيانات تعريف الجهاز من الإنترنت. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. ملاحظة: لن يمنع هذا تثبيت برامج تشغيل الأجهزة الأساسية، ولكنه يمنع تثبيت برامج الأدوات المساعدة المرتبطة بالجهات الخارجية تلقائيا ضمن سياق `SYSTEM` الحساب. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\النظام\تثبيت الجهاز\منع استرداد بيانات تعريف الجهاز من الإنترنت تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2	= 1 _(السجل)	معلوماتي
يسمح المضيف البعيد بتفويض بيانات الاعتماد غير القابلة للتصدير _{(AZ-WIN-20199)}	الوصف: يسمح المضيف البعيد بتفويض بيانات الاعتماد غير القابلة للتصدير. عند استخدام تفويض بيانات الاعتماد، توفر الأجهزة إصدارا قابلا للتصدير من بيانات الاعتماد إلى المضيف البعيد. يعرض هذا المستخدمين لخطر سرقة بيانات الاعتماد من المهاجمين على المضيف البعيد. تعد ميزات وضع المسؤول المقيد وWindows Defender Remote Credential Guard خيارين للمساعدة في الحماية من هذا الخطر. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. ملاحظة: يمكن العثور على مزيد من المعلومات التفصيلية حول حماية بيانات الاعتماد عن بعد ل Windows Defender وكيفية مقارنتها بوضع المسؤول المقيد في هذا الارتباط: حماية بيانات اعتماد سطح المكتب البعيد باستخدام Windows Defender Remote Credential Guard (Windows 10) \| Microsoft Docs المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds نظام التشغيل: WS2016، WS2019 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\النظام\تفويض بيانات الاعتماد\المضيف البعيد يسمح بتفويض بيانات الاعتماد غير القابلة للتصدير تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2	= 1 _(السجل)	هام
إيقاف تشغيل إخطارات التطبيق على شاشة القفل _{(CCE-35893-7)}	الوصف: يسمح لك إعداد النهج هذا بمنع ظهور إخطارات التطبيق على شاشة القفل. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\System\Logon\Turn off app notifications on the lock screen ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'Logon.admx/adml' المضمن مع القوالب الإدارية ل Microsoft Windows 8.0 وServer 2012 (غير R2) (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.28.5	= 1 _(السجل)	تحذير
إيقاف تشغيل تحديث خلفية نهج المجموعة _{(CCE-14437-8)}	الوصف: يمنع إعداد النهج هذا تحديث نهج المجموعة أثناء استخدام الكمبيوتر. ينطبق إعداد النهج هذا على نهج المجموعة لأجهزة الكمبيوتر والمستخدمين ووحدات التحكم بالمجال. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\النظام\نهج المجموعة\إيقاف تشغيل تحديث الخلفية لنهج المجموعة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5	=0 _(السجل)	تحذير
إيقاف تشغيل تنزيل برامج تشغيل الطباعة عبر HTTP _{(CCE-36625-2)}	الوصف: يتحكم إعداد النهج هذا في ما إذا كان بإمكان الكمبيوتر تنزيل حزم برامج تشغيل الطباعة عبر HTTP. لإعداد طباعة HTTP، قد تحتاج برامج تشغيل الطابعات غير المتوفرة في تثبيت نظام التشغيل القياسي إلى تنزيلها عبر HTTP. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\System\Internet Communication Management\Internet Communication settings\Turn off downloading of print drivers over HTTP ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'ICM.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.22.1.1	= 1 _(السجل)	تحذير
إيقاف تشغيل معالج اتصال الإنترنت إذا كان اتصال URL يشير إلى Microsoft.com _{(CCE-37163-3)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن لمعالج اتصال الإنترنت الاتصال بـ Microsoft لتنزيل قائمة Internet Service Providers (ISPs). الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\System\Internet Communication Management\Internet Communication settings\Turn off Internet Connection Wizard إذا كان اتصال URL يشير إلى Microsoft.com ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'ICM.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.22.1.4	= 1 _(السجل)	تحذير
تشغيل تسجيل الدخول برقم التعريف الشخصي (PIN) الملائم _{(CCE-37528-7)}	الوصف: يسمح لك إعداد النهج هذا بالتحكم في ما إذا كان يمكن لمستخدم المجال تسجيل الدخول باستخدام رقم التعريف الشخصي (PIN) ملائم. في Windows 10، تم استبدال رقم التعريف الشخصي (PIN) الملائم بـ Passport، الذي يحتوي على خصائص أمان أقوى. لتكوين «Passport» لمستخدمي المجال، استخدم النهج ضمن configuration\Administrative Templates\Windows Components\Microsoft Passport for Work. ملاحظة: ستخزن كلمة مرور مجال المستخدم مؤقتًا في مخزن النظام عند استخدام هذه الميزة. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\System\Logon\Turn on convenience PIN sign-in ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب `CredentialProviders.admx/adml` نهج المجموعة المضمن مع قوالب Microsoft Windows 8.0 وServer 2012 (غير R2) الإدارية (أو الأحدث).ملاحظة 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية بتشغيل تسجيل الدخول إلى رقم PIN، ولكن تمت إعادة تسميته بدءا من الإصدار 1511 من Windows 10 القوالب الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7	غير موجود أو = 0 _(السجل)	تحذير

القوالب الإدارية - مكون Windows

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
إيقاف تشغيل محتوى حالة حساب المستهلك السحابي _{(AZ-WIN-202217)}	الوصف: يحدد إعداد النهج هذا ما إذا كان محتوى حالة حساب مستهلك السحابة مسموحا به في جميع تجارب Windows. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\محتوى السحابة\إيقاف تشغيل محتوى حالة حساب مستهلك السحابة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1	= 1 _(السجل)	تحذير

القوالب الإدارية - مكونات Windows

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
عدم السماح بإعادة توجيه محرك الأقراص _{(AZ-WIN-73569)}	الوصف: يمنع إعداد النهج هذا المستخدمين من مشاركة محركات الأقراص المحلية على أجهزة الكمبيوتر العميلة الخاصة بهم إلى خوادم سطح المكتب البعيد التي يصلون إليها. تظهر محركات الأقراص المعينة في شجرة مجلد جلسة العمل في مستكشف Windows بالتنسيق التالي: `\\TSClient\<driveletter>$` إذا تمت مشاركة محركات الأقراص المحلية، يتم تركها عرضة للمتسللين الذين يرغبون في استغلال البيانات المخزنة عليها. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\مكونات Windows\خدمات سطح المكتب البعيد\مضيف جلسة سطح المكتب البعيد\الجهاز وإعادة توجيه الموارد\عدم السماح بإعادة توجيه محرك الأقراص تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2	= 1 _(السجل)	تحذير
تشغيل كتابة PowerShell _{(AZ-WIN-202208)}	الوصف: يتيح لك إعداد النهج هذا التقاط إدخال وإخراج أوامر Windows PowerShell في النسخ المستندة إلى النص. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\مكونات Windows\Windows PowerShell\تشغيل نسخ PowerShell تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2	=0 _(السجل)	تحذير

القوالب الإدارية - أمان Windows

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
منع المستخدمين من تعديل الإعدادات _{(AZ-WIN-202209)}	الوصف: يمنع إعداد النهج هذا المستخدمين من إجراء تغييرات على منطقة إعدادات الحماية من الهجمات في إعدادات أمن Windows. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\أمن Windows\حماية التطبيق والمستعرض\منع المستخدمين من تعديل الإعدادات تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1	= 1 _(السجل)	تحذير

قالب إداري - Windows Defender

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تكوين قواعد تقليل الأجزاء المعرضة للهجوم _{(AZ_WIN_202205)}	الوصف: يتحكم إعداد النهج هذا في حالة قواعد تقليل الأجزاء المعرضة للهجوم (ASR). الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\الحماية من مخاطر الهجمات من Microsoft Defender\تقليل الأجزاء المعرضة للهجوم\تكوين قواعد تقليل الأجزاء المعرضة للهجوم تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1	= 1 _(السجل)	تحذير
منع المستخدمين والتطبيقات من الوصول إلى مواقع الويب الخطرة _{(AZ_WIN_202207)}	الوصف: يتحكم إعداد النهج هذا في حماية الشبكة الحماية من مخاطر الهجمات من Microsoft Defender. الحالة الموصى بها لهذا الإعداد هي: `Enabled: Block`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\الحماية من مخاطر الهجمات من Microsoft Defender\Network Protection\منع المستخدمين والتطبيقات من الوصول إلى مواقع الويب الخطرة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1	= 1 _(السجل)	تحذير

تدقيق إدارة حسابات الكمبيوتر

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق إدارة حسابات الكمبيوتر _{(CCE-38004-8)}	الوصف: تبلغ هذه الفئة الفرعية عن كل حدث من أحداث إدارة حساب الكمبيوتر، مثل وقت إنشاء حساب كمبيوتر أو تغييره أو حذفه أو إعادة تسميته أو تعطيله أو تمكينه. تتضمن أحداث هذه الفئة الفرعية: - 4741: تم إنشاء حساب كمبيوتر. - 4742: تم تغيير حساب الكمبيوتر. - 4743: تم حذف حساب كمبيوتر. تتضمن الحالة الموصى بها لهذا الإعداد:`Success`. المسار الرئيسي: {0CCE9236-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\إدارة الحساب\تدقيق إدارة حساب الكمبيوتر تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.2.2 CIS WS2019 17.2.2	= نجاح _(تدقيق)	هام

الذاكرة الأساسية الآمنة

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تمكين حماية DMA للتمهيد _{(AZ-WIN-202250)}	الوصف: تدعم الخوادم القادرة على الذاكرة الأساسية الآمنة البرنامج الثابت للنظام الذي يوفر الحماية من هجمات الوصول المباشر إلى الذاكرة (DMA) الضارة وغير المقصودة لجميع الأجهزة التي تدعم DMA أثناء عملية التمهيد. المسار الرئيسي: BootDMAProtection OSEx: WSASHCI22H2 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: NA تعيينات التوافق القياسية:	= 1 _(OsConfig)	هام
تمكين تكامل بيانات التعليمات البرمجية المفروضة على hypervisor _{(AZ-WIN-202246)}	الوصف: يعمل HVCI وVBS على تحسين نموذج التهديد لنظام Windows وتوفير حماية أقوى ضد البرامج الضارة التي تحاول استغلال Windows Kernel. HVCI هو مكون مهم يحمي ويحمي البيئة الظاهرية المعزولة التي تم إنشاؤها بواسطة VBS عن طريق تشغيل تكامل التعليمات البرمجية لوضع kernel داخله وتقييد تخصيصات ذاكرة النواة التي يمكن استخدامها لاختراق النظام. المسار الرئيسي: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: NA تعيينات التوافق القياسية:	=0 _(OsConfig)	هام
تمكين التمهيد الآمن _{(AZ-WIN-202248)}	الوصف: التمهيد الآمن هو معيار أمان تم تطويره من قبل أعضاء صناعة الكمبيوتر للمساعدة في التأكد من تشغيل الجهاز باستخدام برنامج موثوق به فقط من قبل الشركة المصنعة للمعدات الأصلية (OEM). المسار الرئيسي: SecureBootState OSEx: WSASHCI22H2 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: NA تعيينات التوافق القياسية:	= 1 _(OsConfig)	هام
تمكين حماية النظام _{(AZ-WIN-202247)}	الوصف: باستخدام دعم المعالج لتقنية Dynamic Root of Trust of Measurement (DRTM)، حماية النظام وضع البرامج الثابتة في بيئة الاختبار المعزولة المستندة إلى الأجهزة للمساعدة في الحد من تأثير الثغرات الأمنية في ملايين الأسطر من التعليمات البرمجية للبرامج الثابتة ذات الامتيازات العالية. المسار الرئيسي: SystemGuardStatus OSEx: WSASHCI22H2 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: NA تعيينات التوافق القياسية:	=0 _(OsConfig)	هام
تمكين الأمان المستند إلى ظاهرية واجهة المستخدم _{(AZ-WIN-202245)}	الوصف: يستخدم الأمان المستند إلى الظاهرية أو VBS ميزات ظاهرية الأجهزة لإنشاء منطقة آمنة من الذاكرة وعزلها عن نظام التشغيل العادي. يساعد هذا على ضمان بقاء الخوادم مكرسة لتشغيل أحمال العمل الهامة ويساعد على حماية التطبيقات والبيانات ذات الصلة من الهجوم والاختراق. يتم تمكين VBS وقفله بشكل افتراضي على Azure Stack HCI. المسار الرئيسي: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: NA تعيينات التوافق القياسية:	=0 _(OsConfig)	هام
تعيين إصدار TPM _{(AZ-WIN-202249)}	الوصف: تم تصميم تقنية وحدة النظام الأساسي الموثوق بها (TPM) لتوفير وظائف متعلقة بالأمان تستند إلى الأجهزة. TPM2.0 مطلوب للميزات الأساسية الآمنة. المسار الرئيسي: TPMVersion OSEx: WSASHCI22H2 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: NA تعيينات التوافق القياسية:	يحتوي على 2.0 _(OsConfig)	هام

خيارات الأمان - الحسابات

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
الحسابات: حظر حسابات Microsoft _{(AZ-WIN-202201)}	الوصف: يمنع إعداد النهج هذا المستخدمين من إضافة حسابات Microsoft جديدة على هذا الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Users can't add or log on with Microsoft accounts`. المسار الرئيسي: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\النهج المحلية\خيارات الأمان\الحسابات: حظر حسابات Microsoft تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2	= 3 _(السجل)	تحذير
الحسابات: حالة حساب الضيف _{(CCE-37432-2)}	الوصف: يحدد إعداد النهج هذا ما إذا كان حساب الضيف ممكنًا أو معطلاً. يتيح حساب Guest لمستخدمي الشبكة غير المصادق عليهم الوصول إلى النظام. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. ملاحظة: لن يصير لهذا الإعداد أي تأثير عند تطبيقه على الوحدة التنظيمية لوحدة التحكم بالمجال عبر نهج المجموعة لأن وحدات التحكم بالمجال لا تحتوي على قاعدة بيانات حساب محلي. يمكن تكوينه على مستوى المجال عبر نهج المجموعة، مثل إعدادات نهج تأمين الحساب وكلمة المرور. المسار الرئيسي: [System Access]EnableGuestAccount OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Guest account status تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3	=0 _(نهج)	هام
الحسابات: تقييد استخدام الحساب المحلي لكلمات المرور الفارغة لتسجيل دخول وحدة تحكم فقط _{(CCE-37615-2)}	الوصف: يحدد إعداد النهج هذا إذا كان يمكن استخدام الحسابات المحلية غير المحمية بكلمة مرور لتسجيل الدخول من مواقع أخرى غير وحدة تحكم الكمبيوتر الفعلية. في حال قمت بتمكين إعداد النهج هذا، فلن تتمكن الحسابات المحلية التي تحتوي على كلمات مرور فارغة من تسجيل الدخول إلى الشبكة من أجهزة الكمبيوتر العميلة البعيدة. ولن تتمكن هذه الحسابات إلا من تسجيل الدخول على لوحة مفاتيح الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: تقييد استخدام الحساب المحلي لكلمات المرور الفارغة لتسجيل الدخول إلى وحدة التحكم فقط تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4	غير موجود أو = 1 _(السجل)	هام
الحسابات: إعادة تسمية حساب الضيف _{(AZ-WIN-202255)}	الوصف: حساب الضيف المحلي المضمن هو اسم آخر معروف للمهاجمين. يوصى بإعادة تسمية هذا الحساب إلى شيء لا يشير إلى الغرض منه. حتى إذا قمت بتعطيل هذا الحساب، وهو أمر مستحسن، فتأكد من إعادة تسميته للأمان الإضافي. على وحدات التحكم بالمجال، نظرا إلى أنه ليس لديها حسابات محلية خاصة بها، تشير هذه القاعدة إلى حساب الضيف المضمن الذي تم إنشاؤه عند إنشاء المجال لأول مرة. مسار المفتاح: [الوصول إلى النظام]NewGuestName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\الحسابات: إعادة تسمية حساب الضيف تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6	!= Guest _(نهج)	تحذير
الوصول إلى الشبكة: السماح بترجمة SID/Name مجهولة _{(CCE-10024-8)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن للمستخدم المجهول طلب سمات معرف الأمان (SID) لمستخدم آخر، أو استخدام SID للحصول على اسم المستخدم المقابل له. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: [System Access]LSAAnonymousNameLookup OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\الوصول إلى الشبكة: السماح بترجمة SID/الاسم المجهول تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1	=0 _(نهج)	تحذير

خيارات الأمان - التدقيق

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
التدقيق: هو فرض إعدادات الفئة الفرعية لنهج التدقيق (Windows Vista أو أحدث) لتجاوز إعدادات فئة نهج التدقيق _{(CCE-37850-5)}	الوصف: يتيح إعداد النهج هذا للمسؤولين تمكين قدرات التدقيق الأكثر دقة الموجودة في Windows Vista. ولا تحتوي إعدادات نهج التدقيق المتوفرة في Windows Server 2003 Active Directory بعد على إعدادات لإدارة فئات التدقيق الفرعية الجديدة. لتطبيق نهج التدقيق الموصوف في هذا الأساس على نحو صحيح، يجب تكوين إعدادات الفئة الفرعية لسياسة التدقيق : فرض التدقيق (Windows Vista أو أحدث) لتجاوز إعدادات فئة نهج التدقيق إلى «Enabled». المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Audit: فرض إعدادات الفئة الفرعية لنهج التدقيق (Windows Vista أو أحدث) لتجاوز إعدادات فئة نهج التدقيق تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.2.1	غير موجود أو = 1 _(السجل)	هام
التدقيق: إيقاف تشغيل النظام فوراً إذا تعذر تسجيل عمليات تدقيق الأمان _{(CCE-35907-5)}	الوصف: يحدد إعداد النهج هذا إذا كان النظام يتوقف عن التشغيل إذا كان غير قادر على تسجيل أحداث الأمان. وهو شرط لمعايير تقييم نظام الكمبيوتر الموثوق بها (TCSEC)-C2 وشهادة المعايير المشتركة لمنع الأحداث القابلة للتدقيق من الحدوث في حال كان نظام التدقيق غير قادر على تسجيلها. اختارت Microsoft تلبية هذا المطلب عن طريق إيقاف النظام وعرض رسالة إيقاف حال واجه نظام التدقيق فشلاً. وعند تمكين إعداد النهج هذا، سيتوقف تشغيل النظام إذا تعذر تسجيل تدقيق الأمان لأي سبب من الأسباب. إذا تم تمكين إعداد التدقيق: إيقاف تشغيل النظام على الفور إذا تعذر تسجيل إعداد عمليات تدقيق الأمان، يمكن أن تحدث حالات فشل غير مخطط لها في النظام. ومن الممكن أن يكون العبء الإداري كبيرًا، خاصة إذا قمت أيضًا بتكوين أسلوب الاستبقاء لسجل الأمان إلى عدم الكتابة فوق الأحداث (مسح السجل يدويًا). يتسبب هذا التكوين في أن يصبح تهديد الإنكار (يمكن أن ينكر عامل تشغيل النسخ الاحتياطي أنه قام بعمل نسخة احتياطية من البيانات أو استعادتها) ثغرة أمنية في هجوم لقطع الخدمة (DoS)، لأنه قد يتم إجبار الخادم على إيقاف التشغيل إذا كان يطغى عليه أحداث تسجيل الدخول وأحداث الأمان الأخرى المكتوبة في سجل الأمان. وأيضًا، نظرًا لأن إيقاف التشغيل ليس تحكمًا آمنًا، فمن الممكن أن ينتج عن ذلك ضرر لا يمكن إصلاحه لنظام التشغيل أو التطبيقات أو البيانات. على الرغم من أن نظام ملفات NTFS يضمن تكامله عند حدوث إيقاف تشغيل كمبيوتر من دون تحكم آمن، فلا يمكنه ضمان أن كل ملف بيانات لكل تطبيق سيظل في شكل قابل للاستخدام عند إعادة تشغيل الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Audit: إيقاف تشغيل النظام فورا إذا تعذر تسجيل عمليات تدقيق الأمان تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2	غير موجود أو = 0 _(السجل)	هام

خيارات الأمان - أجهزة

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
الأجهزة: مسموح بتنسيق الوسائط القابلة للإزالة وإخراجها _{(CCE-37701-0)}	الوصف: يقوم إعداد النهج هذا بتحديد من يسمح له بتنسيق الوسائط القابلة للإزالة وإخراجها. بإمكانك استخدام إعداد النهج هذا لمنع المستخدمين غير المصرح لهم من إزالة البيانات على كمبيوتر واحد للوصول إليها على كمبيوتر آخر يكون لهم امتيازات المسؤول المحلي عليه. المسار الرئيسي: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Devices: Allowed to format and ejectable media تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.4.1	غير موجود أو = 0 _(السجل)	تحذير
الأجهزة: منع المستخدمين من تثبيت برامج تشغيل الطابعة _{(CCE-37942-0)}	الوصف: لكي يقوم جهاز كمبيوتر بالطباعة إلى طابعة مشتركة، لا بد من تثبيت برنامج تشغيل هذه الطابعة المشتركة على الكمبيوتر المحلي. يقوم إعداد الأمان هذا بتحديد من يسمح له بتثبيت برنامج تشغيل طابعة كجزء من الاتصال بطابعة مشتركة. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. ملاحظة: لا يؤثر هذا الإعداد على القدرة على إضافة طابعة محلية. لا يظهر هذا الإعداد أي تأثير على المسؤولين. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Devices: منع المستخدمين من تثبيت برامج تشغيل الطابعة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2	غير موجود أو = 1 _(السجل)	تحذير
تقييد تثبيت برنامج تشغيل الطباعة على المسؤولين _{(AZ_WIN_202202)}	الوصف: يتحكم إعداد النهج هذا في ما إذا كان بإمكان المستخدمين غير المسؤولين تثبيت برامج تشغيل الطباعة على النظام. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. ملاحظة: في 10 أغسطس 2021، أعلنت Microsoft عن تغيير السلوك الافتراضي للنقطة والطباعة الذي يعدل سلوك تثبيت برنامج تشغيل Point and Print الافتراضي وتحديثه لطلب امتيازات المسؤول. تم توثيق ذلك في KB5005652 إدارة سلوك تثبيت برنامج التشغيل الافتراضي للنقطة والطباعة الجديد (CVE-2021-34481). المسار الرئيسي: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\القوالب الإدارية\دليل أمان MS\حدود تثبيت برنامج تشغيل الطباعة للمسؤولين تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.3.5 CIS WS2019 18.3.5	= 1 _(السجل)	تحذير

خيارات الأمان - عضو المجال

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تأكد من تعيين "عضو المجال: تشفير بيانات القناة الآمنة رقمياً أو توقيعها (دائماً)" إلى "ممكن" _{(CCE-36142-8)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يجب توقيع كافة حركة مرور القناة الآمنة التي بدأها عضو المجال أو تشفيرها. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\عضو المجال: تشفير بيانات القناة الآمنة رقميا أو توقيعها (دائما) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1	غير موجود أو = 1 _(السجل)	هام
تأكد من تعيين "عضو المجال: تشفير بيانات القناة الآمنة رقمياً (عندما يكون ذلك ممكناً)" على "ممكن" _{(CCE-37130-2)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يجب على عضو المجال محاولة التفاوض على التشفير لجميع حركة مرور القناة الآمنة التي يبدأها. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\عضو المجال: تشفير بيانات القناة الآمنة رقميا (عندما يكون ذلك ممكنا) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2	غير موجود أو = 1 _(السجل)	هام
تأكد من تعيين "عضو المجال: توقيع بيانات القناة الآمنة رقمياً (عندما يكون ذلك ممكناً)" على "ممكن" _{(CCE-37222-7)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يجب على عضو المجال محاولة التفاوض بشأن ما إذا كان يجب توقيع جميع نسب استخدام الشبكة للقناة الآمنة التي يبدأها رقمياً. تحمي التوقيعات الرقمية نسبة استخدام الشبكة من التعديل من قبل أي شخص يسجل البيانات أثناء اجتيازها للشبكة. الحالة الموصى بها لهذا الإعداد هي: «Enabled». المسار الرئيسي: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: توقيع بيانات القناة الآمنة رقميا (عندما يكون ذلك ممكنا) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3	غير موجود أو = 1 _(السجل)	هام
تأكد من تعيين "عضو المجال: تعطيل تغييرات كلمة مرور حساب الجهاز" إلى "معطل" _{(CCE-37508-9)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن لعضو المجال تغيير كلمة مرور حساب الكمبيوتر الخاص به بشكل دوري. من المحتمل أن تكون أجهزة الكمبيوتر التي لا يمكنها تغيير كلمات مرور حساباتها عرضة للخطر، لأن المهاجم قد يكون قادراً على تحديد كلمة المرور لحساب مجال النظام. الحالة الموصى بها لهذا الإعداد هي: «Disabled». المسار الرئيسي: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Disable machine account password changes تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4	غير موجود أو = 0 _(السجل)	هام
تأكد من تعيين "عضو المجال: الحد الأقصى لعمر كلمة مرور حساب الجهاز" على "30 يوماً أو أقل، ولكن ليس 0" _{(CCE-37431-4)}	الوصف: يحدد إعداد النهج هذا الحد الأقصى للعمر المسموح به لكلمة مرور حساب الكمبيوتر. بشكل افتراضي، يقوم أعضاء المجال تلقائياً بتغيير كلمات مرور المجال الخاصة بهم كل 30 يوماً. إذا قمت بزيادة هذا الفاصل الزمني بشكل كبير بحيث لم تعد أجهزة الكمبيوتر تغير كلمات المرور الخاصة بها، فسيكون لدى المهاجم المزيد من الوقت للقيام بهجوم بقوة غاشمة على أحد حسابات الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `30 or fewer days, but not 0`. ملاحظة: لا تتوافق قيمة `0` مع المعيار لأنه يعطل الحد الأقصى لعمر كلمة المرور. المسار الرئيسي: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `30 or fewer days, but not 0`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: الحد الأقصى لعمر كلمة مرور حساب الجهاز تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5	في 1-30 _(السجل)	هام
تأكد من تعيين "عضو المجال: طلب مفتاح جلسة عمل قوي (Windows 2000 أو أحدث) إلى 'ممكن' _{(CCE-37614-5)}	الوصف: عند تمكين إعداد النهج هذا، لا يمكن إنشاء قناة آمنة إلا باستخدام وحدات تحكم المجال القادرة على تشفير بيانات القناة الآمنة باستخدام مفتاح جلسة قوي (128 بت). لتمكين إعداد النهج هذا، يجب أن تكون جميع وحدات التحكم بالمجال في المجال قادرة على تشفير بيانات القناة الآمنة باستخدام مفتاح قوي، مما يعني أنه يجب أن تقوم جميع وحدات التحكم بالمجال بتشغيل Microsoft Windows 2000 أو أحدث. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\عضو المجال: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو أحدث) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6	غير موجود أو = 1 _(السجل)	هام

خيارات الأمان - تسجيل الدخول التفاعلي

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
يجب أن يكون التخزين المؤقت لبيانات اعتماد تسجيل الدخول محدوداً _{(AZ-WIN-73651)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن للمستخدم تسجيل الدخول إلى مجال Windows باستخدام معلومات الحساب المخزنة مؤقتا. يمكن تخزين معلومات تسجيل الدخول لحسابات المجال مؤقتا محليا للسماح للمستخدمين بتسجيل الدخول حتى إذا تعذر الاتصال بوحدة تحكم المجال. يحدد إعداد النهج هذا عدد المستخدمين الفريدين الذين يتم تخزين معلومات تسجيل الدخول لهم مؤقتا محليا. إذا تم تعيين هذه القيمة إلى 0، يتم تعطيل ميزة ذاكرة التخزين المؤقت لتسجيل الدخول. يمكن للمهاجم الذي يمكنه الوصول إلى نظام الملفات للخادم تحديد موقع هذه المعلومات المخزنة مؤقتا واستخدام هجوم القوة الغاشمة لتحديد كلمات مرور المستخدم. الحالة الموصى بها لهذا الإعداد هي: `4 or fewer logon(s)`. المسار الرئيسي: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\تسجيل الدخول التفاعلي: عدد عمليات تسجيل الدخول السابقة للتخزين المؤقت (في حالة عدم توفر وحدة التحكم بالمجال) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6	في 1-4 _(السجل)	معلوماتي
تسجيل الدخول التفاعلي: لا تعرض اسم المستخدم الأخير _{(CCE-36056-0)}	الوصف: يحدد إعداد النهج هذا ما إذا كان سيتم عرض اسم حساب آخر مستخدم لتسجيل الدخول إلى أجهزة الكمبيوتر العميلة في مؤسستك في شاشة تسجيل الدخول إلى Windows الخاصة بكل كمبيوتر. قم بتمكين إعداد النهج هذا لمنع المتسللين من جمع أسماء الحسابات بشكل مرئي من شاشات أجهزة كمبيوتر سطح المكتب أو الكمبيوتر المحمول في مؤسستك. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Don't display last sign-in ملاحظة: في الإصدارات القديمة من Microsoft Windows، كان هذا الإعداد يسمى تسجيل الدخول التفاعلي: لا تعرض اسم المستخدم الأخير، ولكن تمت إعادة تسميته بدءا من Windows Server 2019. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2	= 1 _(السجل)	هام
تسجيل الدخول التفاعلي: لا تتطلب CTRL + ALT + DEL _{(CCE-37637-6)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يجب على المستخدمين الضغط على CTRL+ALT+DEL قبل تسجيل الدخول. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Do not require CTRL+ALT+DEL تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1	غير موجود أو = 0 _(السجل)	هام
تسجيل الدخول المحلي: حد عدم نشاط الجهاز _{(AZ-WIN-73645)}	الوصف: يلاحظ Windows عدم نشاط جلسة تسجيل الدخول، وإذا تجاوز مقدار الوقت غير النشط حد عدم النشاط، تشغيل شاشة التوقف، مما يؤدي إلى تأمين جلسة العمل. الحالة الموصى بها لهذا الإعداد هي: `900 or fewer second(s), but not 0`. ملاحظة: لا تتوافق قيمة `0` مع المعيار لأنها تعطل حد عدم نشاط الجهاز. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\السياسات\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\تسجيل الدخول التفاعلي: حد عدم نشاط الجهاز تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3	في 1-900 _(السجل)	هام
تسجيل الدخول المحلي: نص الرسالة للمستخدمين الذين يحاولون تسجيل الدخول _{(AZ-WIN-202253)}	الوصف: يحدد إعداد النهج هذا رسالة نصية تعرض للمستخدمين عند تسجيل الدخول. قم بتكوين هذا الإعداد بطريقة متسقة مع متطلبات الأمان والتشغيل لمؤسستك. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\تسجيل الدخول التفاعلي: نص الرسالة للمستخدمين الذين يحاولون تسجيل الدخول تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4	!= _(السجل)	تحذير
تسجيل الدخول المحلي: عنوان الرسالة للمستخدمين الذين يحاولون تسجيل الدخول _{(AZ-WIN-202254)}	الوصف: يحدد إعداد النهج هذا النص المعروض في شريط عنوان النافذة التي يراها المستخدمون عند تسجيل الدخول إلى النظام. قم بتكوين هذا الإعداد بطريقة متسقة مع متطلبات الأمان والتشغيل لمؤسستك. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\تسجيل الدخول التفاعلي: عنوان الرسالة للمستخدمين الذين يحاولون تسجيل الدخول تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5	!= _(السجل)	تحذير
تسجيل الدخول المحلي: مطالبة المستخدم بتغيير كلمة المرور قبل انتهاء الصلاحية _{(CCE-10930-6)}	الوصف: يحدد إعداد النهج هذا مدى تحذير المستخدمين مسبقا من انتهاء صلاحية كلمة المرور الخاصة بهم. يوصى بتكوين إعداد النهج هذا لمدة 5 أيام على الأقل ولكن لا يزيد عن 14 يوما لتحذير المستخدمين بشكل كاف عند انتهاء صلاحية كلمات المرور الخاصة بهم. الحالة الموصى بها لهذا الإعداد هي: `between 5 and 14 days`. المسار الرئيسي: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\تسجيل الدخول التفاعلي: مطالبة المستخدم بتغيير كلمة المرور قبل انتهاء الصلاحية تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7	في 5-14 _(السجل)	معلوماتي

خيارات الأمان - عميل شبكة Microsoft

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
عميل شبكة Microsoft: توقيع الاتصالات بصورة رقمية (دائمًا) _{(CCE-36325-9)}	الوصف: يحدد إعداد النهج هذا ما إذا كان توقيع الحزمة مطلوبا من قبل مكون عميل SMB. ملاحظه: عندما يتم تمكين إعداد النهج هذا لأجهزة الكمبيوتر المستندة إلى Windows Vista وتوصيلها بمشاركات الملفات أو الطباعة على الخوادم البعيدة، من المهم أن تتم مزامنة الإعداد مع الإعداد المصاحب له، خادم شبكة Microsoft: الاتصالات الموقعة رقميا (دائما)، على تلك الخوادم. لمزيد من المعلومات حول هذه الإعدادات، راجع قسم "عميل شبكة Microsoft والخادم: الاتصالات الموقعة رقميا (أربعة إعدادات ذات صلة)" في الفصل الخامس من دليل التهديدات والتدابير المضادة. الحالة الموصى بها لهذا الإعداد هي: «Enabled». المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (always) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1	= 1 _(السجل)	هام
عميل شبكة Microsoft: توقيع الاتصالات رقميا (إذا وافق الخادم) _{(CCE-36269-9)}	الوصف: يحدد إعداد النهج هذا ما إذا كان عميل SMB سيحاول التفاوض على توقيع حزمة SMB. ملاحظه: تمكين إعداد النهج هذا على عملاء SMB على شبكتك يجعلها فعالة تماما لتوقيع الحزمة مع جميع العملاء والخوادم في بيئتك. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: توقيع الاتصالات رقميا (إذا وافق الخادم) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2	غير موجود أو = 1 _(السجل)	هام
عميل شبكة Microsoft: إرسال كلمة مرور غير مشفرة إلى خوادم SMB التابعة لجهة خارجية _{(CCE-37863-8)}	الوصف: يحدد إعداد النهج هذا ما إذا كان معيد توجيه SMB سيرسل كلمات مرور نص عادي أثناء المصادقة إلى خوادم SMB التابعة لجهة خارجية التي لا تدعم تشفير كلمة المرور. يوصى بتعطيل إعداد النهج هذا ما لم تكن هناك حالة عمل قوية لتمكينه. في حال تم تمكين إعداد النهج هذا، فسيتم السماح بكلمات المرور غير المشفرة عبر الشبكة. الحالة الموصى بها لهذا الإعداد هي: «Disabled». المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Send unencrypted password to third-party SMB servers تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3	غير موجود أو = 0 _(السجل)	هام
خادم شبكة Microsoft: مقدار وقت الخمول المطلوب قبل تعليق جلسة عمل _{(CCE-38046-9)}	الوصف: يسمح لك إعداد النهج هذا بتحديد مقدار وقت الخمول المستمر الذي يجب أن يمر في جلسة عمل SMB قبل تعليق الجلسة بسبب عدم النشاط. يمكن للمسؤولين استخدام إعداد النهج هذا للتحكم في الوقت الذي يقوم فيه الكمبيوتر بإيقاف جلسة عمل SMB غير نشطة مؤقتا. إذا تم استئناف نشاط العميل، فستتم إعادة إنشاء جلسة العمل تلقائيا. تظهر قيمة «0» للسماح لجلسات العمل بالاستمرار إلى أجل غير مسمى. الحد الأقصى للقيمة هو «99999»، وهو أكثر من «69» يومًا، في الواقع، تقوم هذه القيمة بتعطيل الإعداد. الحالة الموصى بها لهذا الإعداد هي: `15 or fewer minute(s), but not 0`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `15 or fewer minute(s)`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: مقدار وقت الخمول المطلوب قبل إيقاف الجلسة مؤقتا تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.9.1	في 1-15 _(السجل)	هام
عميل شبكة Microsoft: توقيع الاتصالات رقميًا (دائمًا) _{(CCE-37864-6)}	الوصف: يحدد إعداد النهج هذا ما إذا كان توقيع الحزمة مطلوبا من قبل مكون خادم SMB. تمكين إعداد النهج هذا في بيئة مختلطة لمنع عملاء انتقال البيانات من الخادم من استخدام محطة العمل كخادم شبكة. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally sign communications (always) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2	= 1 _(السجل)	هام
عميل شبكة Microsoft: توقيع الاتصالات رقميًا (إذا وافق العميل) _{(CCE-35988-5)}	الوصف: يحدد إعداد النهج هذا ما إذا كان خادم SMB سيتفاوض على توقيع حزمة SMB مع العملاء الذين يطلبونه. في حال لم يأتِ أي طلب توقيع من العميل، فسيتم السماح بالاتصال بدون توقيع إذا لم يتم تمكين إعداد خادم شبكة Microsoft: توقيع الاتصالات رقميًا (دائمًا). ملاحظه: قم بتمكين إعداد النهج هذا على عملاء SMB على شبكتك لجعلها فعالة تماما لتوقيع الحزمة مع جميع العملاء والخوادم في بيئتك. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: توقيع الاتصالات رقميا (إذا وافق العميل) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3	= 1 _(السجل)	هام
خادم شبكة Microsoft: قطع اتصال العملاء عند انتهاء صلاحية ساعات تسجيل الدخول _{(CCE-37972-7)}	الوصف: يحدد إعداد الأمان هذا ما إذا كان سيتم قطع اتصال المستخدمين المتصلين بالكمبيوتر المحلي خارج ساعات تسجيل الدخول الصالحة لحساب المستخدم الخاص بهم. يؤثر هذا الإعداد على مكون Server Message Block (SMB). إذا قمت بتمكين إعداد النهج هذا، فيجب عليك أيضًا تمكين أمان الشبكة: فرض تسجيل الخروج عند انتهاء صلاحية ساعات تسجيل الدخول (القاعدة 2.3.11.6). إذا كانت مؤسستك تقوم بتكوين ساعات تسجيل الدخول للمستخدمين، فإن إعداد النهج هذا ضروري لضمان فعاليتها. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: قطع اتصال العملاء عند انتهاء صلاحية ساعات تسجيل الدخول تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4	غير موجود أو = 1 _(السجل)	هام
خادم شبكة Microsoft: مستوى التحقق من صحة اسم هدف اسم الخدمة الأساسي للخادم _{(CCE-10617-9)}	الوصف: يتحكم إعداد النهج هذا في مستوى التحقق من صحة الكمبيوتر الذي يحتوي على مجلدات أو طابعات مشتركة (الخادم) يتم إجراؤه على اسم الخدمة الأساسي (SPN) الذي يوفره كمبيوتر العميل عند إنشاء جلسة عمل باستخدام بروتوكول كتلة رسائل الخادم (SMB). يوفر بروتوكول كتلة رسائل الخادم (SMB) الأساس لمشاركة الملفات والطباعة وعمليات الشبكات الأخرى، مثل إدارة Windows عن بعد. يدعم بروتوكول SMB التحقق من صحة الاسم الأساسي لخدمة خادم SMB (SPN) داخل كائن ثنائي كبير الحجم للمصادقة الذي يوفره عميل SMB لمنع فئة من الهجمات ضد خوادم SMB المشار إليها باسم هجمات ترحيل SMB. سيؤثر هذا الإعداد على كل من SMB1 وSMB2. الحالة الموصى بها لهذا الإعداد هي: `Accept if provided by client`. تكوين هذا الإعداد ليتوافق `Required from client` أيضا مع المعيار. ملاحظة: نظرا لأن إصدار MS KB3161561 تصحيح الأمان، يمكن أن يسبب هذا الإعداد مشكلات كبيرة (مثل مشاكل النسخ المتماثل ومشكلات تحرير نهج المجموعة وتعطل الشاشة الزرقاء) على وحدات التحكم بالمجال عند استخدامها في وقت واحد مع تصلب مسار UNC (أي القاعدة 18.5.14.1). لذلك يوصي CIS بعدم نشر هذا الإعداد على وحدات تحكم المجال. المسار الرئيسي: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\خادم شبكة Microsoft: مستوى التحقق من صحة اسم هدف SPN للخادم تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5	= 1 _(السجل)	تحذير

خيارات الأمان - خادم شبكة Microsoft

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تعطيل خادم SMB v1 _{(AZ-WIN-00175)}	الوصف: تعطيل هذا الإعداد يعطل المعالجة من جانب الخادم لبروتوكول SMBv1. (مستحسن.) يتيح تمكين هذا الإعداد المعالجة من جانب الخادم لبروتوكول SMBv1. (افتراضي.) تتطلب التغييرات التي أجريت على هذا الإعداد إعادة تمهيد لكي تسري. لمزيد من المعلومات، راجع https://support.microsoft.com/kb/2696547 المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: غير قابل للتطبيق تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.3.3	غير موجود أو = 0 _(السجل)	هام

خيارات الأمان - الوصول إلى شبكة

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
الحسابات: إعادة تسمية حساب المسؤول _{(CCE-10976-9)}	الوصف: حساب المسؤول المحلي المضمن هو اسم حساب معروف سيستهدفه المهاجمون. من المستحسن اختيار اسم آخر لهذا الحساب، وتجنب الأسماء التي تشير إلى حسابات الوصول الإدارية أو المرتفعة. تأكد أيضا من تغيير الوصف الافتراضي للمسؤول المحلي (من خلال وحدة تحكم إدارة الكمبيوتر). على وحدات التحكم بالمجال، نظرا لعدم وجود حسابات محلية خاصة بها، تشير هذه القاعدة إلى حساب المسؤول المضمن الذي تم إنشاؤه عند إنشاء المجال لأول مرة. المسار الرئيسي: [System Access]NewAdministratorName نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\الحسابات: إعادة تسمية حساب المسؤول تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5	!= المسؤول _(نهج)	تحذير
الوصول إلى الشبكة: لا تسمح بالتعداد المجهول لحسابات SAM _{(CCE-36316-8)}	الوصف: يتحكم إعداد النهج هذا في قدرة المستخدمين المجهولين على تعداد الحسابات في Security Accounts Manager (SAM). إذا قمت بتمكين إعداد النهج هذا، فلن يتمكن المستخدمون الذين لديهم اتصالات مجهولة من تعداد أسماء مستخدمي حساب المجال على الأنظمة في بيئتك. يسمح إعداد النهج هذا أيضا بقيود إضافية على الاتصالات المجهولة. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. ملاحظة: لا يؤثر هذا النهج على وحدات التحكم بالمجال. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options الوصول إلى etwork: لا تسمح بالتعداد المجهول لحسابات SAM تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.10.2	غير موجود أو = 1 _(السجل)	هام
الوصول إلى الشبكة: لا تسمح بالتعداد المجهول لحسابات SAM والمشاركات _{(CCE-36077-6)}	الوصف: يتحكم إعداد النهج هذا في قدرة المستخدمين المجهولين على تعداد حسابات SAM بالإضافة إلى المشاركات. إذا قمت بتمكين إعداد النهج هذا، فلن يتمكن المستخدمون المجهولون من تعداد أسماء مستخدمي حساب المجال وأسماء مشاركة الشبكة على الأنظمة في بيئتك. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. ملاحظة: لا يؤثر هذا النهج على وحدات التحكم بالمجال. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options الوصول إلى etwork: لا تسمح بالتعداد المجهول لحسابات ومشاركات SAM تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.10.3	= 1 _(السجل)	هام
الوصول إلى الشبكة: السماح لتطبيق أذونات الجميع على المستخدمين المجهولين _{(CCE-36148-5)}	الوصف: يحدد إعداد النهج هذا الأذونات الإضافية التي تم تعيينها للاتصالات المجهولة بالكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Let Everyone permissions apply to anonymous users تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5	غير موجود أو = 0 _(السجل)	هام
الوصول إلى الشبكة: مسارات تسجيل يمكن الوصول إليها عن بُعد _{(CCE-37194-8)}	الوصف: يحدد إعداد النهج هذا مسارات التسجيل التي يمكن الوصول إليها بعد الرجوع إلى مفتاح WinReg لتحديد أذونات الوصول إلى المسارات. ملاحظة: هذا الإعداد ليس موجودًا في Windows XP. كان هناك إعداد بهذا الاسم في Windows XP، ولكنه يسمى "الوصول إلى الشبكة: مسارات التسجيل والمسارات الفرعية التي يمكن الوصول إليها عن بعد" في Windows Server 2003 وWindows Vista وWindows Server 2008. ملاحظة: عند تكوين هذا الإعداد، بإمكانك تحديد قائمة بكائن واحد أو أكثر. المحدد المستخدم عند إدخال القائمة هو موجز سطر أو إرجاع حرف، أي اكتب العنصر الأول في القائمة، واضغط على الزر Enter، واكتب العنصر التالي، واضغط على مفتاح الإدخال Enter مرة أخرى، وما إلى ذلك. يتم تخزين قيمة الإعداد كقوائم محددة بفواصل في قوالب أمان نهج المجموعة. كما يتم عرضه كقائمة محددة بفاصلة في جزء عرض محرر نهج المجموعة ومجموعة النتائج لوحدة تحكم النهج. ويتم تسجيلها في السجل كقوائم محددة لموجز الأسطر في قيمة REG_MULTI_SZ. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: مسارات التسجيل التي يمكن الوصول إليها عن بعد تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.10.8	ليس موجودًا أو = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 _(السجل)	هام
الوصول إلى الشبكة: مسارات التسجيل والمسارات الفرعية التي يمكن الوصول إليها عن بُعد _{(CCE-36347-3)}	الوصف: يحدد إعداد النهج هذا مسارات التسجيل والمسارات الفرعية التي يمكن الوصول إليها عندما يشير تطبيق أو عملية إلى مفتاح WinReg لتحديد أذونات الوصول. ملاحظة: في Windows XP، يسمى هذا الإعداد "الوصول إلى الشبكة: مسارات التسجيل التي يمكن الوصول إليها عن بعد"، الإعداد الذي يحمل نفس الاسم في Windows Vista وWindows Server 2008 وWindows Server 2003 غير موجود في Windows XP. ملاحظة: عند تكوين هذا الإعداد، بإمكانك تحديد قائمة بكائن واحد أو أكثر. المحدد المستخدم عند إدخال القائمة هو موجز سطر أو إرجاع حرف، أي اكتب العنصر الأول في القائمة، واضغط على الزر Enter، واكتب العنصر التالي، واضغط على مفتاح الإدخال Enter مرة أخرى، وما إلى ذلك. يتم تخزين قيمة الإعداد كقوائم محددة بفواصل في قوالب أمان نهج المجموعة. كما يتم عرضه كقائمة محددة بفاصلة في جزء عرض محرر نهج المجموعة ومجموعة النتائج لوحدة تحكم النهج. ويتم تسجيلها في السجل كقوائم محددة لموجز الأسطر في قيمة REG_MULTI_SZ. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options الوصول إلى etwork: مسارات التسجيل والمسارات الفرعية التي يمكن الوصول إليها عن بعد عندما يحتفظ الخادم بدور خدمات شهادات Active Directory مع خدمة دور المرجع المصدق، يجب أن تتضمن القائمة أعلاه أيضا: 'System\CurrentControlSet\Services\CertSvc'. عندما يكون لدى الخادم ميزة خادم WINS مثبتة، يجب أن تتضمن القائمة أعلاه أيضا: 'System\CurrentControlSet\Services\WINS' تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.10.9	غير موجود أو = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 _(السجل)	هام
الوصول إلى الشبكة: تقييد الوصول المجهول إلى أنابيب الاتصال المسماة والمشاركات _{(CCE-36021-4)}	الوصف: عند التمكين، يقيد إعداد النهج هذا الوصول المجهول إلى تلك المشاركات والأنابيب المسماة في الإعدادات `Network access: Named pipes that can be accessed anonymously` و`Network access: Shares that can be accessed anonymously` فقط. يتحكم إعداد النهج هذا في وصول جلسة عمل فارغة إلى المشاركات على أجهزة الكمبيوتر الخاصة بك عن طريق إضافة `RestrictNullSessAccess` باستخدام القيمة `1` في مفتاح التسجيل `HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters`. تقوم قيمة التسجيل هذه بالتبديل بين مشاركات الجلسة الفارغة أو إيقاف تشغيلها للتحكم في ما إذا كانت خدمة الخادم تقيد وصول العملاء غير المصادق عليهم إلى الموارد المسماة. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Restrict anonymous access to Named Pipes and Shares تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10	غير موجود أو = 1 _(السجل)	هام
الوصول إلى الشبكة: تقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM _{(AZ-WIN-00142)}	الوصف: يسمح لك إعداد النهج هذا بتقييد اتصالات RPC البعيدة إلى SAM. في حال لم يتم تحديده، فسيتم استخدام واصف الأمان الافتراضي. يتم دعم هذا النهج على Windows Server 2016 على الأقل. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators: Remote Access: Allow`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options الوصول إلى etwork: تقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.10.11	غير موجود أو = O:BAG:BAD:(A;;RC;;;BA) _(السجل)	هام
الوصول إلى الشبكة: المشاركات التي يمكن الوصول إليها بشكل مجهول _{(CCE-38095-6)}	الوصف: يحدد إعداد النهج هذا مشاركات الشبكة التي يمكن للمستخدمين المجهولين الوصول إليها. التكوين الافتراضي لإعداد النهج هذا له تأثير ضئيل لأنه يجب مصادقة جميع المستخدمين قبل أن يتمكنوا من الوصول إلى الموارد المشتركة على الخادم. ملاحظة: ربما يكون من الخطر جدًا إضافة مشاركات أخرى إلى إعداد نهج المجموعة هذا. يمكن لأي مستخدم شبكة الوصول إلى أي مشاركات مدرجة، والتي قد تكشف البيانات الحساسة أو تتلفها. ملاحظة: عند تكوين هذا الإعداد، بإمكانك تحديد قائمة بكائن واحد أو أكثر. المحدد المستخدم عند إدخال القائمة هو موجز سطر أو إرجاع حرف، أي اكتب العنصر الأول في القائمة، واضغط على الزر Enter، واكتب العنصر التالي، واضغط على مفتاح الإدخال Enter مرة أخرى، وما إلى ذلك. يتم تخزين قيمة الإعداد كقوائم محددة بفواصل في قوالب أمان نهج المجموعة. كما يتم عرضه كقائمة محددة بفاصلة في جزء عرض محرر نهج المجموعة ومجموعة النتائج لوحدة تحكم النهج. ويتم تسجيلها في السجل كقوائم محددة لموجز الأسطر في قيمة REG_MULTI_SZ. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `<blank>` (أي بلا): Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options الوصول إلى etwork: المشاركات التي يمكن الوصول إليها بشكل مجهول تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.10.12	غير موجود أو = _(السجل)	هام
الوصول إلى الشبكة: نموذج المشاركة والأمان الخاص بالحسابات المحلية _{(CCE-37623-6)}	الوصف: يحدد إعداد النهج هذا كيفية مصادقة عمليات تسجيل دخول الشبكة التي تستخدم الحسابات المحلية. يتيح الخيار الكلاسيكي التحكم الدقيق في الوصول إلى الموارد، بما في ذلك القدرة على تعيين أنواع مختلفة من الوصول إلى مستخدمين مختلفين لنفس المورد. يتيح لك الخيار Guest only معاملة جميع المستخدمين على قدم المساواة. وفي هذا السياق، يقوم جميع المستخدمين بالمصادقة كضيف فقط لتلقي نفس مستوى الوصول إلى مورد معين. الحالة الموصى بها لهذا الإعداد هي: `Classic - local users authenticate as themselves`. ملاحظه: لا يؤثر هذا الإعداد على عمليات تسجيل الدخول التفاعلية التي يتم تنفيذها عن بعد باستخدام خدمات مثل Telnet أو خدمات سطح المكتب البعيد (التي كانت تسمى سابقًا خدمات المحطة الطرفية). المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Classic - local users authenticate as themselves`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Sharing and security model for local accounts تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13	غير موجود أو = 0 _(السجل)	هام

خيارات الأمان - أمان الشبكة

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
أمان الشبكة: السماح للنظام المحلي باستخدام هوية الكمبيوتر للمصادقة المتكاملة في Windows _{(CCE-38341-4)}	الوصف: عند التمكين، يتسبب إعداد النهج هذا في قيام خدمات النظام المحلي التي تستخدم التفاوض باستخدام هوية الكمبيوتر عند تحديد المصادقة المتكاملة في Windows بواسطة التفاوض. يدعم هذا النهج على Windows 7 أو Windows Server 2008 R2 على الأقل. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options أمان etwork: السماح للنظام المحلي باستخدام هوية الكمبيوتر ل NTLM تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.11.1	= 1 _(السجل)	هام
أمان الشبكة: السماح بجلسة العمل LocalSystem NULL الاحتياطية _{(CCE-37035-3)}	الوصف: يحدد إعداد النهج هذا إذا كان يسمح للمصادقة المتكاملة في Windows بالرجوع إلى جلسة عمل NULL عند استخدامه مع LocalSystem. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Allow LocalSystem NULL sessionback تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2	غير موجود أو = 0 _(السجل)	هام
أمان الشبكة: السماح لطلبات مصادقة PKU2U لهذا الكمبيوتر باستخدام الهويات المتصلة عبر الإنترنت _{(CCE-38047-7)}	الوصف: يحدد هذا الإعداد إذا كانت الهويات عبر الإنترنت قادرة على المصادقة على هذا الكمبيوتر. يتم تنفيذ بروتوكول المستخدم إلى المستخدم المستند إلى تشفير المفتاح العام (PKU2U) الذي تم تقديمه في Windows 7 وWindows Server 2008 R2 كموفر دعم أمان (SSP). يتيح موفر دعم الأمان (SSP) مصادقة نظير إلى نظير، خاصة من خلال ميزة وسائط Windows 7 ومشاركة الملفات المسماة مجموعة المشاركة المنزلية، والتي تسمح بالمشاركة بين أجهزة الكمبيوتر التي ليست أعضاء في مجال. مع PKU2U، تم تقديم ملحق جديد إلى حزمة مصادقة التفاوض، `Spnego.dll`. في الإصدارات السابقة من Windows، قرر التفاوض ما إذا كان يجب استخدام مصادقة Kerberos أو المصادقة المتكاملة في Windows للمصادقة. ملحق موفر دعم الأمان للتفاوض، `Negoexts.dll`، والذي يتم التعامل معه كبروتوكول مصادقة من قبل Windows، يدعم Microsoft موفرات دعم الأمان بما في ذلك بروتوكول المستخدم إلى المستخدم المستند إلى تشفير المفتاح العام. عند تكوين أجهزة الكمبيوتر لقبول طلبات المصادقة باستخدام معرفات عبر الإنترنت، يستدعي `Negoexts.dll` موفر دعم الأمان بروتوكول المستخدم إلى المستخدم المستند إلى تشفير المفتاح العام على الكمبيوتر المستخدم لتسجيل الدخول. يحصل موفر دعم الأمان بروتوكول المستخدم إلى المستخدم المستند إلى تشفير المفتاح العام على شهادة محلية ويتبادل النهج بين أجهزة الكمبيوتر النظيرة. عند التحقق من صحتها على كمبيوتر النظير، يتم إرسال الشهادة داخل بيانات التعريف إلى نظير تسجيل الدخول للتحقق من الصحة وربط شهادة المستخدم بالرمز المميز للأمان وإكمال عملية تسجيل الدخول. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network Security: السماح لطلبات مصادقة PKU2U لهذا الكمبيوتر باستخدام الهويات عبر الإنترنت تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3	غير موجود أو = 0 _(السجل)	تحذير
أمان الشبكة: تكوين أنواع التشفير المسموح بها لـ Kerberos _{(CCE-37755-6)}	الوصف: يسمح لك إعداد النهج هذا بتعيين أنواع التشفير المسموح لمصادقة Kerberos باستخدامها. يدعم هذا النهج على Windows 7 أو Windows Server 2008 R2 على الأقل. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\أمان الشبكة: تكوين أنواع التشفير المسموح بها ل Kerberos تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.11.4	غير موجود أو = 2147483640 _(السجل)	هام
أمان الشبكة: لا تخزن قيمة تجزئة LAN Manager عند التغيير ا لتالي لكلمة المرور _{(CCE-36326-7)}	الوصف: يحدد إعداد النهج هذا إذا كانت قيمة تجزئة LAN Manager (LM) لكلمة المرور الجديدة مخزنة عند تغيير كلمة المرور. تجزئة LM ضعيفة نسبيًا وعُرضة للهجوم مقارنة بتجزئة Microsoft Windows NT الأقوى بصورة مشفرة. ونظرًا إلى أنه يتم تخزين تجزئات LM على الكمبيوتر المحلي في قاعدة بيانات الأمان، يمكن بعد ذلك اختراق كلمات المرور بسهولة حال تعرضت قاعدة البيانات للهجوم. ملاحظة: قد تفشل أنظمة التشغيل القديمة وبعض تطبيقات الجهات الخارجية عند تمكين إعداد النهج هذا. لاحظ أيضًا أنه لا بد من تغيير كلمة المرور على جميع الحسابات بعد تمكين هذا الإعداد للحصول على الفائدة المناسبة. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: لا تخزن قيمة تجزئة LAN Manager عند تغيير كلمة المرور التالية تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5	غير موجود أو = 1 _(السجل)	هام
أمان الشبكة: مستوى مصادقة LAN Manager _{(CCE-36173-3)}	الوصف: LAN Manager (LM) هي عائلة من برامج Microsoft العميل/ الخادم المبكرة التي تسمح للمستخدمين بربط أجهزة الكمبيوتر الشخصية معًا على شبكة واحدة. تتضمن قدرات الشبكة مشاركة الملفات والطباعة الشفافة وميزات أمان المستخدم وأدوات إدارة الشبكات. في مجالات Active Directory، يعتبر بروتوكول Kerberos هو بروتوكول المصادقة الافتراضي. ومع ذلك، إذا لم يتم التفاوض على بروتوكول Kerberos لسبب ما، فسيستخدم Active Directory LM أو NTLM أو NTLMv2. تتضمن مصادقة LAN Manager LM وNTLM ومتغيرات الإصدار 2 من NTLM (NTLMv2)، وهو البروتوكول المستخدم لمصادقة جميع عملاء Windows عند تنفيذ العمليات التالية: - الانضمام إلى مجال - المصادقة بين غابات Active Directory - المصادقة على المجالات ذات المستوى الأدنى - المصادقة على أجهزة الكمبيوتر التي لا تعمل بنظام التشغيل Windows 2000 أو Windows Server 2003 أو Windows XP) - المصادقة على أجهزة الكمبيوتر غير الموجودة في المجال القيم الممكنة لأمان الشبكة: إعدادات مستوى مصادقة LAN Manager هي: - إرسال استجابات LM وNTLM - إرسال LM وNTLM - استخدم أمان جلسة NTLMv2 إذا تم التفاوض عليه - إرسال استجابات NTLM فقط - إرسال استجابات NTLMv2 فقط - إرسال N استجاباتTLMv2 فقط\رفض LM - إرسال استجابات NTLMv2 فقط\رفض LM وNTLM - غير محدد أمان الشبكة: يحدد إعداد مستوى مصادقة LAN Manager بروتوكول مصادقة التحدي/الاستجابة المستخدم لتسجيل دخول الشبكة. يؤثر هذا الاختيار على مستوى بروتوكول المصادقة الذي يستخدمه العملاء، ومستوى أمان الجلسة الذي تتفاوض عليه أجهزة الكمبيوتر، ومستوى المصادقة الذي تقبله الخوادم كما يلي: - إرسال استجابات LM وNTLM. يستخدم العملاء مصادقة LM والمصادقة المتكاملة في Windows ولا يستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 مطلقًا. تقبل وحدات التحكم بالمجال مصادقة LM والمصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2. - إرسال LM وNTLM — استخدم أمان جلسة NTLMv2 إذا تم التفاوض عليه. يستخدم العملاء مصادقة LM والمصادقة المتكاملة في Windows ويستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. تقبل وحدات التحكم بالمجال مصادقة LM والمصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2. - إرسال استجابة المصادقة المتكاملة في Windows فقط. يستخدم العملاء المصادقة المتكاملة في Windows فقط ويستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. تقبل وحدات التحكم بالمجال مصادقة LM والمصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2. - قم بإرسال استجابة المصادقة المتكاملة في Windows الإصدار 2 فقط. يستخدم العملاء المصادقة المتكاملة في Windows الإصدار 2 فقط ويستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. تقبل وحدات التحكم بالمجال مصادقة LM والمصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2. - إرسال استجابة المصادقة المتكاملة في Windows الإصدار 2 فقط\رفض LM. يستخدم العملاء المصادقة المتكاملة في Windows الإصدار 2 فقط ويستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. ترفض وحدات التحكم بالمجال LM (jتقبل مصادقة المصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2 فقط). - إرسال استجابة NTLMv2 فقط\رفض LM وNTLM. يستخدم العملاء المصادقة المتكاملة في Windows الإصدار 2 فقط ويستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. ترفض وحدات التحكم بالمجال LM والمصادقة المتكاملة في Windows (تقبل فقط المصادقة المتكاملة في Windows الإصدار 2). تتوافق هذه الإعدادات مع المستويات التي تمت مناقشتها في مستندات Microsoft الأخرى كما يلي: - المستوى 0 — إرسال استجابة LM والمصادقة المتكاملة في Windows؛ لا تستخدم أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 مطلقًا. يستخدم العملاء مصادقة LM والمصادقة المتكاملة في Windows، ولا يستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 مطلقًا. تقبل وحدات التحكم بالمجال مصادقة LM والمصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2. - المستوى 1 — استخدم أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا تم التفاوض عليه. يستخدم العملاء مصادقة LM والمصادقة المتكاملة في Windows، ويستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. تقبل وحدات التحكم بالمجال مصادقة LM والمصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2. - المستوى 2 — إرسال استجابة المصادقة المتكاملة في Windows فقط. يستخدم العملاء مصادقة المصادقة المتكاملة في Windows فقط، ويستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. تقبل وحدات التحكم بالمجال مصادقة LM والمصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2. - المستوى 3 — إرسال استجابة المصادقة المتكاملة في Windows الإصدار 2 فقط. يستخدم العملاء المصادقة المتكاملة في Windows الإصدار 2 فقط كما يستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. تقبل وحدات التحكم بالمجال مصادقة LM والمصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2. - المستوى 4 — ترفض وحـدات التحكم بالمجال استجابات LM. يستخدم العملاء المصادقة المتكاملة في Windows كما يستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. ترفض وحدات التحكم بالمجال مصادقة LM، أي أنها تقبل المصادقة المتكاملة في Windows والمصادقة المتكاملة في Windows الإصدار 2. - المستوى 5 — ترفض وحدات التحكم بالمجال استجابات LM والمصادقة المتكاملة في Windows (تقبل المصادقة المتكاملة في Windows الإصدار 2 فقط). يستخدم العملاء المصادقة المتكاملة في Windows الإصدار 2 كما يستخدمون أمان جلسة المصادقة المتكاملة في Windows الإصدار 2 إذا كان الخادم يدعمها. ترفض وحدات التحكم بالمجال المصادقة المتكاملة في Windows وLM (يقبلون المصادقة المتكاملة في Windows الإصدار 2 فقط). المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى: 'إرسال استجابة NTLMv2 فقط. رفض LM وNTLM': Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options أمان etwork: مستوى مصادقة LAN Manager تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.11.7	= 5 _(السجل)	هام
أمان الشبكة: متطلبات توقيع عميل LDAP _{(CCE-36858-9)}	الوصف: يحدد هذا النهج مستوى توقيع البيانات المطلوب نيابة عن العملاء الذين يصدرون طلبات BIND LDAP. ملاحظة: لا يؤثر إعداد النهج هذا على الربط البسيط ل LDAP (`ldap_simple_bind`) أو ربط LDAP البسيط من خلال طبقة مآخذ توصيل آمنة (`ldap_simple_bind_s`). لا يستخدم أي عميل من عملاء Microsoft LDAP المضمنين في Windows XP Professional ldap_simple_bind أو ldap_simple_bind_s للاتصال بوحدة تحكم بالمجال. الحالة الموصى بها لهذا الإعداد هي: `Negotiate signing`. تكوين هذا الإعداد إلى `Require signing` يتوافق أيضًا مع المعيار. المسار الرئيسي: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Negotiate signing` (التكوين إلى `Require signing` يتوافق أيضا مع المعيار): Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: LDAP client signing requirements تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8	غير موجود أو = 1 _(السجل)	هام
أمان الشبكة: الحد الأدنى من أمان الجلسة لعملاء يستندون إلى NTLM SSP (بما في ذلك RPC الآمن) _{(CCE-37553-5)}	الوصف:يحدد هذا النهج السلوكيات التي يسمح بها العملاء للتطبيقات باستخدام موفر دعم الأمان للمصادقة المتكاملة في Windows. يتم استخدام واجهة SSP (SSPI) بواسطة التطبيقات التي تحتاج إلى خدمات المصادقة. لا يقوم الإعداد بتعديل كيفية عمل تسلسل المصادقة ولكنه يتطلب بدلا من ذلك سلوكيات معينة في التطبيقات التي تستخدم SSPI. الحالة الموصى بها لهذا الإعداد هي: `Require NTLMv2 session security, Require 128-bit encryption`. ملاحظة: تعتمد هذه القيم على أمان الشبكة: قيمة إعداد أمان مستوى مصادقة LAN Manager. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Require NTLMv2 session security, Require 128-bit encryption`: تكوين الكمبيوتر\السياسات\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\أمان الشبكة: الحد الأدنى لأمان الجلسة لعملاء NTLM SSP المستندين إلى (بما في ذلك RPC الآمن) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.11.9	= 537395200 _(السجل)	هام
أمان الشبكة: الحد الأدنى من أمان الجلسة لخوادم NTLM SSP (بما في ذلك RPC الآمن) _{(CCE-37835-6)}	الوصف:يحدد هذا النهج السلوكيات المسموح بها من العملاء للتطبيقات باستخدام موفر دعم الأمان للمصادقة المتكاملة في Windows. يتم استخدام واجهة SSP (SSPI) بواسطة التطبيقات التي تحتاج إلى خدمات المصادقة. لا يقوم الإعداد بتعديل كيفية عمل تسلسل المصادقة ولكنه يتطلب بدلا من ذلك سلوكيات معينة في التطبيقات التي تستخدم SSPI. الحالة الموصى بها لهذا الإعداد هي: `Require NTLMv2 session security, Require 128-bit encryption`. ملاحظة: تعتمد هذه القيم على أمان الشبكة: قيمة إعداد أمان مستوى مصادقة LAN Manager. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين قيمة النهج ل Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network security: الحد الأدنى من أمان الجلسة لخوادم NTLM SSP المستندة إلى (بما في ذلك RPC الآمن) لطلب أمان جلسة NTLMv2 وتطلب تشفير 128 بت (جميع الخيارات المحددة). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.11.10	= 537395200 _(السجل)	هام

خيارات الأمان - إيقاف التشغيل

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
إيقاف التشغيل: السماح بإيقاف تشغيل النظام من دون الحاجة إلى تسجيل الدخول _{(CCE-36788-8)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن إيقاف تشغيل الكمبيوتر عند عدم تسجيل دخول المستخدم أم لا. في حال تم تمكين إعداد النهج هذا، يتوفر أمر إيقاف التشغيل على شاشة تسجيل الدخول إلى Windows. يُوصى بتعطيل إعداد النهج هذا لتقييد القدرة على إيقاف تشغيل الكمبيوتر وذلك في حالة المستخدمين الذين لديهم بيانات اعتماد على النظام. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. ملاحظة: في Server 2008 R2 والإصدارات الأقدم، لم يكن لهذا الإعداد أي تأثير على جلسات سطح المكتب البعيد (RDP) / الخدمات الطرفية - لقد أثر فقط على وحدة التحكم المحلية. مع ذلك، غيرت Microsoft السلوك في Windows Server 2012 (غير R2) وما فوق، حيث إذا تم تعيينه إلى ممكن، يسمح أيضًا لجلسات سطح المكتب البعيد بإيقاف تشغيل الخادم أو إعادة تشغيله. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Shutdown: السماح بإيقاف تشغيل النظام دون الحاجة إلى تسجيل الدخول تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1	غير موجود أو = 0 _(السجل)	تحذير
إيقاف التشغيل: مسح الملف الخاص بصفحة الذاكرة الظاهرية _{(AZ-WIN-00181)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يتم مسح ملف صفحة الذاكرة الظاهرية عند إيقاف تشغيل النظام أم لا. وعند تمكين إعداد النهج هذا، يتم مسح ملف صفحة النظام في كل مرة يتم فيها إيقاف تشغيل النظام بشكل صحيح. في حال قمت بتمكين إعداد الأمان هذا، يتم استبعاد ملف الإسبات (Hiberfil.sys) عند تعطيل الإسبات على نظام كمبيوتر محمول. يستغرق إيقاف تشغيل الكمبيوتر وإعادة تشغيله وقتًا أطول، وسيكون ملحوظًا بشكل خاص على أجهزة الكمبيوتر التي تحتوي على ملفات ترحيل كبيرة. المسار الرئيسي: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: تكوين قيمة النهج ل Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Shutdown: مسح ملف صفحة الذاكرة الظاهرية إلى `Disabled`. تعيينات التوافق القياسية:	غير موجود أو = 0 _(السجل)	هام

خيارات الأمان - تشفير النظام

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
يجب أن يطلب من المستخدمين إدخال كلمة مرور للوصول إلى المفاتيح الخاصة المخزنة على الكمبيوتر. _{(AZ-WIN-73699)}	الوصف: إذا تم اكتشاف المفتاح الخاص، يمكن للمهاجم استخدام المفتاح للمصادقة كمستخدم معتمد والوصول إلى البنية الأساسية للشبكة. حجر الزاوية في PKI هو المفتاح الخاص المستخدم لتشفير المعلومات أو توقيعها رقميا. إذا تمت سرقة المفتاح الخاص، سيؤدي ذلك إلى اختراق المصادقة وعدم الإنكرار المكتسب من خلال PKI لأن المهاجم يمكنه استخدام المفتاح الخاص لتوقيع المستندات رقميا والتظاهر بأنه المستخدم المعتمد. يجب على حاملي الشهادة الرقمية والسلطة المصدرة حماية أجهزة الكمبيوتر أو أجهزة التخزين أو أي شيء يستخدمونه للاحتفاظ بالمفاتيح الخاصة. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\تشفير النظام: فرض حماية قوية للمفتاح لمفاتيح المستخدم المخزنة على الكمبيوتر تعيينات التوافق القياسية:	= 2 _(السجل)	هام
يجب تكوين Windows Server لاستخدام خوارزميات متوافقة مع FIPS للتشفير والتجزئة والتوقيع. _{(AZ-WIN-73701)}	الوصف: يضمن هذا الإعداد أن النظام يستخدم خوارزميات متوافقة مع FIPS للتشفير والتجزئة والتوقيع. تفي الخوارزميات المتوافقة مع FIPS بمعايير محددة وضعتها حكومة الولايات المتحدة ويجب أن تكون الخوارزميات المستخدمة لجميع وظائف تشفير نظام التشغيل. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: عضو المجال مسار نهج المجموعة: تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\تشفير النظام: استخدام الخوارزميات المتوافقة مع FIPS للتشفير والتجزئة والتوقيع تعيينات التوافق القياسية:	= 1 _(السجل)	هام

خيارات الأمان - عناصر النظام

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
عناصر النظام: تتطلب عدم تحسس حالة الأحرف للأنظمة الفرعية غير التابعة ل Windows _{(CCE-37885-1)}	الوصف: يحدد إعداد النهج هذا إذا كان يتم فرض عدم حساسية الحالة لجميع الأنظمة الفرعية. يعتبر النظام الفرعي لـ Microsoft Win32 غير حساس لحالة الأحرف. مع ذلك، تدعم النواة حساسية حالة الأحرف للأنظمة الفرعية الأخرى، مثل واجهة نظام التشغيل المحمولة لـ UNIX (POSIX). ونظرًا إلى أن Windows غير حساس لحالة الأحرف (ولكن النظام الفرعي POSIX سيدعم حساسية الحالة)، فإن الفشل في فرض إعداد النهج هذا يجعل من الممكن لمستخدم النظام الفرعي POSIX إنشاء ملف بنفس اسم ملف آخر باستخدام حالة مختلطة لتسميته. يمكن لمثل هذا الموقف حظر الوصول إلى هذه الملفات من قبل مستخدم آخر يستخدم أدوات Win32 النموذجية، لأن واحدًا فقط من الملفات سيكون متاحا. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\System objects: Require case insensitivity for non-Windows subsystems تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1	غير موجود أو = 1 _(السجل)	تحذير
عناصر النظام: تقوية الأذونات الافتراضية لكائنات النظام الداخلية (على سبيل المثال، الارتباطات الرمزية) _{(CCE-37644-2)}	الوصف: يحدد إعداد النهج هذا قوة قائمة التحكم في الوصول التقديرية الافتراضية (DACL) للعناصر. يحتفظ Active Directory بقائمة عمومية خاصة بموارد النظام المشتركة، مثل أسماء أجهزة DOS وكتم الصوت والإشارات. وبهذه الطريقة، يمكن تحديد موقع الكائنات ومشاركتها بين العمليات. ينشأ كل نوع من الكائنات باستخدام DACL افتراضي يحدد من يمكنه الوصول إلى الكائنات والأذونات الممنوحة. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين قيمة النهج ل Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\System objects: تقوية الأذونات الافتراضية لكائنات النظام الداخلية (على سبيل المثال، ارتباطات رمزية) إلى `Enabled` تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.3.15.2	= 1 _(السجل)	هام

خيارات الأمان - إعدادات النظام

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
إعدادات النظام: استخدم قواعد الشهادات على الملفات التنفيذية لـ Windows لنهج تقييد البرامج _{(AZ-WIN-00155)}	الوصف: يحدد إعداد النهج هذا إذا كانت الشهادات الرقمية تتم معالجتها عند تمكين نهج تقييد البرامج ويحاول مستخدم أو عملية تشغيل برنامج بملحق اسم ملف .exe. يمكن قواعد الشهادة أو يعطلها (نوع من قاعدة نهج تقييد البرامج). باستخدام نهج تقييد البرامج، بإمكانك إنشاء قاعدة شهادة تسمح بتنفيذ البرامج الموقعة على Authenticode ® أو لا تسمح بها، استنادًا إلى الشهادة الرقمية المقترنة بالبرنامج. ولكي تسري قواعد الشهادة في نهج تقييد البرامج، يجب تمكين إعداد النهج هذا. المسار الرئيسي: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\النهج المحلية\خيارات الأمان\إعدادات النظام: استخدام قواعد الشهادة على الملفات التنفيذية ل Windows لنهج تقييد البرامج تعيينات التوافق القياسية:	= 1 _(السجل)	تحذير

خيارات الأمان - التحكم في حساب مستخدم

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
التحكم في حساب المستخدم: وضع موافقة المسؤول لحساب المسؤول المضمن _{(CCE-36494-3)}	الوصف: يتحكم إعداد النهج هذا في سلوك وضع موافقة المسؤول لحساب المسؤول المضمن. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Admin Approval Mode لحساب المسؤول المضمن تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1	= 1 _(السجل)	هام
التحكم في حساب المستخدم: السماح لتطبيقات UIAccess بالمطالبة برفعها دون استخدام سطح المكتب الآمن _{(CCE-36863-9)}	الوصف: يتحكم إعداد النهج هذا في ما إذا كان بإمكان برامج إمكانية وصول ذوي الاحتياجات الخاصة لواجهة المستخدم (UIAccess أو UIA) تعطيل سطح المكتب الآمن تلقائيًا لمطالبات الارتفاع التي يستخدمها مستخدم قياسي. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\السياسات المحلية\خيارات الأمان\التحكم في حساب المستخدم: السماح لتطبيقات UIAccess بالمطالبة برفعها دون استخدام سطح المكتب الآمن تعيينات التوافق القياسية:	=0 _(السجل)	هام
التحكم في حساب المستخدم: سلوك مطالبة التأكيد للمسؤولين في وضع موافقة المسؤول _{(CCE-37029-6)}	الوصف: يقوم إعداد النهج هذا في التحكم في سلوك مطالبة الارتفاع للمسؤولين. الحالة الموصى بها لهذا الإعداد هي: `Prompt for consent on the secure desktop`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Prompt for consent on the secure desktop`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: سلوك مطالبة الارتفاع للمسؤولين في وضع موافقة المسؤول تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2	= 2 _(السجل)	هام
التحكم في حساب المستخدم: سلوك المطالبة بالرفع الخاص بالمستخدمين القياسيين _{(CCE-36864-7)}	الوصف: يقوم إعداد النهج هذا في التحكم في سلوك مطالبة الارتفاع للمستخدمين القياسيين. الحالة الموصى بها لهذا الإعداد هي: `Automatically deny elevation requests`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Automatically deny elevation requests:` Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: سلوك مطالبة الارتفاع للمستخدمين القياسيين تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3	=0 _(السجل)	هام
التحكم في حساب المستخدم: الكشف عن تثبيتات التطبيق والمطالبة برفعه _{(CCE-36533-8)}	الوصف: يتحكم إعداد النهج هذا في سلوك الكشف عن تثبيت التطبيق للكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Detect application installations and prompt for elevation تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4	= 1 _(السجل)	هام
التحكم في حساب المستخدم: يرفع مستوى تطبيقات UIAccess المثبتة في مواقع آمنة فقط _{(CCE-37057-7)}	الوصف: يتحكم إعداد النهج هذا في ما إذا كان يجب أن تكون التطبيقات التي تطلب التشغيل مع مستوى تكامل إمكانية وصول ذوي الاحتياجات الخاصة لواجهة المستخدم (UIAccess) موجودة في موقع آمن في نظام الملفات. تقتصر المواقع الآمنة على ما يلي: - `…\Program Files\`بما في ذلك المجلدات الفرعية -`…\Windows\system32\` - `…\Program Files (x86)\`، بما في ذلك المجلدات الفرعية لإصدارات 64 بت من Windows ملاحظة: يفرض Windows فحص توقيع البنية الأساسية للمفتاح العام (PKI) على أي تطبيق تفاعلي يطلب التشغيل بمستوى تكامل UIAccess بغض النظر عن حالة إعداد الأمان هذا. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: رفع مستوى تطبيقات UIAccess المثبتة في مواقع آمنة فقط تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5	= 1 _(السجل)	هام
التحكم في حساب المستخدم: يقوم بتشغيل جميع المسؤولين في وضع موافقة المسؤول _{(CCE-36869-6)}	الوصف:يتحكم هذا النهج في سلوك كافة إعدادات نهج التحكم في حساب المستخدم للكمبيوتر. إذا قمت بتغيير إعداد النهج هذا، فيجب إعادة تشغيل الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. ملاحظة: في حال تم تعطيل إعداد النهج هذا، يقوم مركز الأمان بإعلامك بأن الأمان العام لنظام التشغيل قد تم تقليله. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: تشغيل جميع المسؤولين في وضع موافقة المسؤول تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6	= 1 _(السجل)	هام
التحكم في حساب المستخدم: التبديل إلى سطح المكتب الآمن عند المطالبة بالرفع _{(CCE-36866-2)}	الوصف: يتحكم إعداد النهج هذا في ما إذا كان يتم عرض مطالبة طلب الارتفاع على سطح مكتب المستخدم التفاعلي أو سطح المكتب الآمن. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: التبديل إلى سطح المكتب الآمن عند المطالبة برفعه تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7	= 1 _(السجل)	هام
التحكم في حساب المستخدم: افتراضية فشل كتابة الملفات والسجلات في مواقع كل مستخدم _{(CCE-37064-3)}	الوصف: يتحكم إعداد النهج هذا في ما إذا كان يتم إعادة توجيه فشل كتابة التطبيق إلى مواقع السجل ونظام الملفات المحددة. يعمل إعداد النهج هذا على التخفيف من التطبيقات التي تعمل كمسؤول وكتابة بيانات تطبيق وقت التشغيل إلى: - `%ProgramFiles%`أو - `%Windir%` أو - `%Windir%\system32` أو - `HKEY_LOCAL_MACHINE\Software`. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Virtualize file and registry write failures to per-user locations تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8	= 1 _(السجل)	هام

إعدادات الأمان - نهج الحساب

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
حد تأمين الحساب _{(AZ-WIN-73311)}	الوصف: يحدد إعداد النهج هذا عدد محاولات تسجيل الدخول الفاشلة قبل تأمين الحساب. تعيين هذا النهج إلى `0` لا يتوافق مع المعيار لأن القيام بذلك يعطل حد تأمين الحساب. الحالة الموصى بها لهذا الإعداد هي: `5 or fewer invalid logon attempt(s), but not 0`. ملاحظة: يجب تطبيق إعدادات نهج كلمة المرور (القسم 1.1) وإعدادات نهج تأمين الحساب (القسم 1.2) عبر عنصر نهج المجال الافتراضي لكي يكون ساري المفعول عالميا على حسابات مستخدمي المجال كسلوك افتراضي. إذا تم تكوين هذه الإعدادات في عنصر نهج مجموعة آخر، فإنها ستؤثر فقط على حسابات المستخدمين المحليين على أجهزة الكمبيوتر التي تتلقى عنصر نهج المجموعة. ومع ذلك، يمكن تعريف الاستثناءات المخصصة لسياسة كلمة المرور الافتراضية وقواعد نهج تأمين الحساب لمستخدمي مجال معينين و/أو مجموعات معينة باستخدام كائنات إعدادات كلمة المرور (PSOs)، والتي تكون منفصلة تماما عن نهج المجموعة ويتم تكوينها بسهولة أكبر باستخدام مركز إدارة Active Directory. المسار الرئيسي: [System Access]LockoutBadCount نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\نهج الحساب\نهج تأمين الحساب\حد تأمين الحساب تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 1.2.2 CIS WS2019 1.2.2	في 1-3 _(نهج)	هام
فرض محفوظات كلمة المرور _{(CCE-37166-6)}	الوصف: يحدد إعداد النهج هذا عدد كلمات المرور الفريدة المجددة التي يجب أن تكون مقترنة بحساب مستخدم قبل أن تتمكن من إعادة استخدام كلمة مرور قديمة. ويجب أن تتراوح قيمة إعداد النهج هذا بين 0 و24 كلمة مرور. تعتبر القيمة الافتراضية لـ Windows Vista هي 0 كلمات مرور، ولكن الإعداد الافتراضي في المجال هو 24 كلمة مرور. وللحفاظ على فعالية إعداد النهج هذا، استخدم إعداد الحد الأدنى لعمر كلمة المرور لمنع المستخدمين من تغيير كلمة المرور الخاصة بهم بشكل متكرر. الحالة الموصى بها لهذا الإعداد هي: '24 كلمة (كلمات مرور) أو أكثر'. المسار الرئيسي: [System Access]PasswordHistorySize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `24 or more password(s)`: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Enforce password history تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 1.1.1	>= 24 _(نهج)	هام
الحد الأقصى لعمر كلمة المرور _{(CCE-37167-4)}	الوصف: يحدد إعداد النهج هذا المدة التي يمكن للمستخدم فيها استخدام كلمة المرور الخاصة به قبل انتهاء صلاحيتها. تتراوح قيم إعداد النهج هذا من 0 إلى 999 يوما. إذا قمت بتعيين القيمة إلى 0، فلن تنتهي صلاحية كلمة المرور أبدًا. نظرا لأنه يمكن للمخترقين اختراق كلمات المرور، كلما قمت بتغيير كلمة المرور بشكل متكرر قل عدد الفرص المتاحة للمخترق لاستخدام كلمة مرور متشققة. ومع ذلك، كلما تم تعيين هذه القيمة، ارتفعت إمكانية زيادة المكالمات إلى دعم مكتب المساعدة بسبب اضطرار المستخدمين إلى تغيير كلمة المرور الخاصة بهم أو نسيان كلمة المرور الحالية. الحالة الموصى بها لهذا الإعداد هي: `60 or fewer days, but not 0`. المسار الرئيسي: [System Access]MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `365 or fewer days, but not 0`: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Maximum password age تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 1.1.2	في 1-70 _(نهج)	هام
الحد الأدنى لعمر كلمة المرور _{(CCE-37073-4)}	الوصف: يحدد إعداد النهج هذا عدد الأيام التي عليك فيها استخدام كلمة مرور قبل أن تتمكن من تغييرها. يتراوح نطاق قيم إعداد هذا النهج بين 1 و999 يوما. (بإمكانك أيضًا تعيين القيمة إلى 0 للسماح بإجراء تغييرات فورية على كلمة المرور.) القيمة الافتراضية لهذا الإعداد هي 0 أيام. الحالة الموصى بها لهذا الإعداد هي: `1 or more day(s)`. المسار الرئيسي: [System Access]MinimumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `1 or more day(s)`: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Minimum password age تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 1.1.3	>= 1 _(نهج)	هام
الحد الأدنى لطول كلمة المرور _{(CCE-36534-6)}	الوصف: يحدد إعداد النهج هذا أقل عدد من الأحرف التي تشكل كلمة مرور لحساب مستخدم. ثمة العديد من النظريات المختلفة حول كيفية تحديد أفضل طول لكلمة المرور للمؤسسة، ولكن ربما تكون «عبارة المرور» مصطلحًا أفضل من «كلمة المرور». في Microsoft Windows 2000 أو إصدار أحدث، يمكن أن تكون عبارات المرور طويلة جدًا ويمكن أن تتضمن مسافات. لذلك، عبارة مثل «I want to drink a $5 milkshake» عبارة مرور صالحة؛ إنها كلمة مرور أقوى بكثير من سلسلة من 8 أو 10 أحرف من الأرقام والأحرف العشوائية، ومع ذلك من الأسهل تذكرها. لا بد من تثقيف المستخدمين بشأن الاختيار الصحيح لكلمات المرور وصيانتها، خاصة فيما يتعلق بطول كلمة المرور. في بيئات المؤسسة، القيمة المثالية لإعداد الحد الأدنى لطول كلمة المرور هي 14 حرفًا، ولكن لا بد من ضبط هذه القيمة لتلبية متطلبات العمل لمؤسستك. الحالة الموصى بها لهذا الإعداد هي: `14 or more character(s)`. المسار الرئيسي: [System Access]MinimumPasswordLength OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `14 or more character(s)`: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Minimum password length تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 1.1.4	>= 14 _(نهج)	هام
يجب أن تفي كلمة المرور بمتطلبات التعقيد _{(CCE-37063-5)}	الوصف: يقوم إعداد النهج هذا بالتحقق من جميع كلمات المرور الجديدة للتأكد من أنها تفي بالمتطلبات الأساسية لكلمات المرور القوية. عند تمكين هذا النهج، يجب أن تفي كلمات المرور بالحد الأدنى من المتطلبات التالية: - لا يحتوي على اسم حساب المستخدم أو أجزاء من اسم المستخدم الكامل الذي يتجاوز حرفين متتاليين - أن يكون طوله ستة أحرف على الأقل - يحتوي على أحرف من ثلاث من الفئات الأربع التالية: - أحرف إنجليزية كبيرة (من A إلى Z) - أحرف إنجليزية صغيرة (من a إلى z) - الأرقام العشرة الأساسية (من 0 إلى 9) - أحرف غير أبجدية (على سبيل المثال، !, $, #, ٪) - فئة شاملة لأي حرف Unicode لا يقع ضمن الفئات الأربعة السابقة. ومن الممكن تكون هذه الفئة الخامسة محددة إقليميًا. يزيد كل حرف إضافي في كلمة المرور من تعقيدها بشكل كبير. على سبيل المثال، كلمة مرور أبجدية مكونة من سبعة أحرف، تحتوي جميعها على تركيبات أبجدية 267 (حوالي 8 × 109 أو 8 مليارات) محتملة. عند 1،000،000 محاولة في الثانية (قدرة العديد من الأدوات المساعدة لتكسير كلمة المرور)، لن يستغرق الأمر سوى 133 دقيقة للاختراق. وتحتوي كلمة المرور الأبجدية المكونة من سبعة أحرف مع حساسية الحالة على 527 تركيبة. وتحتوي كلمة المرور الأبجدية الرقمية الحساسة لحالة الأحرف المكونة من سبعة أحرف بدون علامات ترقيم على 627 تركيبة. وتحتوي كلمة المرور المكونة من ثمانية أحرف على مجموعات ممكنة من 268 (أو 2 × 1011). وعلى الرغم من أن هذا قد يبدو عددًا كبيرًا، في 1,000,000 محاولة في الثانية الواحدة قد يستغرق الأمر 59 ساعة فقط لتجربة جميع كلمات المرور الممكنة. تذكر أن هذه الأوقات ستزيد بشكل كبير لكلمات المرور التي تستخدم أحرف ALT وأحرف لوحة المفاتيح الخاصة الأخرى مثل «!» أو «@». يمكن أن يساعد الاستخدام السليم لإعدادات كلمة المرور في أن يجعل شن هجوم بقوة غاشمة أمرًا صعبًا. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: [System Access]PasswordComplexity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: يجب أن يفي Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Password بمتطلبات التعقيد تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5	= 1 _(نهج)	هام
إعادة تعيين عداد تأمين الحساب بعد _{(AZ-WIN-73309)}	الوصف: يحدد إعداد النهج هذا طول الوقت قبل إعادة تعيين حد تأمين الحساب إلى الصفر. القيمة الافتراضية لإعداد النهج هذا غير معرفة. إذا تم تعريف حد تأمين الحساب، يجب أن يكون وقت إعادة التعيين هذا أقل من أو يساوي قيمة إعداد مدة تأمين الحساب. إذا تركت إعداد النهج هذا عند قيمته الافتراضية أو قمت بتكوين القيمة إلى فاصل زمني طويل جدا، فقد تكون بيئتك عرضة لهجوم DoS. يمكن للمهاجم إجراء عدد من محاولات تسجيل الدخول الفاشلة بشكل ضار على جميع المستخدمين في المؤسسة، مما سيؤدي إلى تأمين حساباتهم. إذا لم يتم تحديد أي نهج لإعادة تعيين تأمين الحساب، ستكون مهمة يدوية للمسؤولين. وعلى العكس من ذلك، إذا تم تكوين قيمة زمنية معقولة لإعداد النهج هذا، تأمين المستخدمين لفترة معينة حتى يتم إلغاء تأمين جميع الحسابات تلقائيا. الحالة الموصى بها لهذا الإعداد هي: `15 or more minute(s)`. ملاحظة: يجب تطبيق إعدادات نهج كلمة المرور (القسم 1.1) وإعدادات نهج تأمين الحساب (القسم 1.2) عبر عنصر نهج المجال الافتراضي لكي يكون ساري المفعول عالميا على حسابات مستخدمي المجال كسلوك افتراضي. إذا تم تكوين هذه الإعدادات في عنصر نهج مجموعة آخر، فإنها ستؤثر فقط على حسابات المستخدمين المحليين على أجهزة الكمبيوتر التي تتلقى عنصر نهج المجموعة. ومع ذلك، يمكن تعريف الاستثناءات المخصصة لسياسة كلمة المرور الافتراضية وقواعد نهج تأمين الحساب لمستخدمي مجال معينين و/أو مجموعات معينة باستخدام كائنات إعدادات كلمة المرور (PSOs)، والتي تكون منفصلة تماما عن نهج المجموعة ويتم تكوينها بسهولة أكبر باستخدام مركز إدارة Active Directory. المسار الرئيسي: [System Access]ResetLockoutCount نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\نهج الحساب\نهج تأمين الحساب\إعادة تعيين عداد تأمين الحساب بعد تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 1.2.3 CIS WS2019 1.2.3	>= 15 _(نهج)	هام
تخزين كلمات مرور باستخدام تشفير قابل للعكس _{(CCE-36286-3)}	الوصف: يحدد إعداد النهج هذا ما إذا كان نظام التشغيل يخزن كلمات المرور بطريقة تستخدم تشفيرًا قابلاً للعكس، والذي يوفر الدعم لبروتوكولات التطبيق التي تتطلب معرفة كلمة مرور المستخدم لأغراض المصادقة. تعتبر كلمات المرور المخزنة بتشفير قابل للعكس في الأساس نفس إصدارات النص العادي لكلمات المرور. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: [System Access]ClearTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Store passwords using reversible encryption تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7	=0 _(نهج)	هام

إعدادات الأمان - جدار حماية Windows

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
جدار الحماية في نظام التشغيل Windows: المجال: السماح باستجابة أحادية الإرسال _{(AZ-WIN-00088)}	الوصف: يكون هذا الخيار مفيدًا في حال كنت بحاجة إلى التحكم في ما إذا كان هذا الكمبيوتر يتلقى استجابات أحادية الإرسال لرسائل الإرسال المتعدد الصادرة أو رسائل البث. نوصي بهذا الإعداد إلى "نعم" لملفات التعريف الخاصة وملفات تعريف المجال، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 0. المسار الرئيسي: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين قيمة النهج ل Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (سيكون هذا الارتباط في الجزء الأيمن)\Domain Profile Tab\Settings (select Customize)\Unicast response, Allow unicast response تعيينات التوافق القياسية:	=0 _(السجل)	تحذير
جدار حماية Windows: المجال: حالة جدار الحماية _{(CCE-36062-8)}	الوصف: حدد تشغيل (يوصى به) لجعل جدار حماية Windows مع الأمان المتقدم يستخدم إعدادات ملف التعريف هذا لتصفية نسبة استخدام الشبكة. إذا قمت بتحديد إيقاف تشغيل، لن يستخدم جدار حماية في نظام Windows مع الأمان المتقدم أي من قواعد جدار الحماية أو قواعد أمان الاتصال لهذا التشكيل الجانبي. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `On (recommended)`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Firewall state تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.1.1	= 1 _(السجل)	هام
جدار حماية Windows: المجال: الاتصالات الصادرة _{(AZ-WIN-202252)}	الوصف: يحدد هذا الإعداد سلوك الاتصالات الواردة التي لا تتطابق مع قاعدة جدار الحماية الواردة. الحالة الموصى بها لهذا الإعداد هي: `Block (default)`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع الأمان المتقدم\جدار حماية Windows مع الأمان المتقدم\خصائص جدار حماية Windows\ملف تعريف المجال\الاتصالات الواردة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.1.2 CIS WS2019 9.1.2	= 1 _(السجل)	هام
جدار حماية Windows: المجال: التسجيل: حزم البيانات التي تم إسقاطها في السجل _{(AZ-WIN-202226)}	الوصف: استخدم هذا الخيار لتسجيل عندما يتجاهل جدار حماية Windows مع الأمان المتقدم حزمة واردة لأي سبب من الأسباب. يسجل السجل سبب ووقت إسقاط الحزمة. ابحث عن إدخالات تحتوي على الكلمة `DROP` في عمود الإجراء للسجل. الحالة الموصى بها لهذا الإعداد هي: `Yes`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع الأمان المتقدم\جدار حماية Windows مع الأمان المتقدم\خصائص جدار حماية Windows\ملف تعريف المجال\تسجيل تخصيص\حزم البيانات التي تم إسقاطها في السجل تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.1.7 CIS WS2019 9.1.7	= 1 _(السجل)	معلوماتي
جدار حماية Windows: المجال: التسجيل: تسجيل الاتصالات الناجحة _{(AZ-WIN-202227)}	الوصف: استخدم هذا الخيار لتسجيل عندما يسمح جدار حماية Windows مع الأمان المتقدم باتصال وارد. يسجل السجل سبب ووقت تكوين الاتصال. ابحث عن إدخالات تحتوي على الكلمة `ALLOW` في عمود الإجراء للسجل. الحالة الموصى بها لهذا الإعداد هي: `Yes`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف تعريف المجال\تسجيل تخصيص\تسجيل الاتصالات الناجحة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.1.8 CIS WS2019 9.1.8	= 1 _(السجل)	تحذير
جدار حماية Windows: المجال: التسجيل: الاسم _{(AZ-WIN-202224)}	الوصف: استخدم هذا الخيار لتحديد مسار واسم الملف الذي سيكتب فيه جدار حماية Windows معلومات السجل الخاصة به. الحالة الموصى بها لهذا الإعداد هي: `%SystemRoot%\System32\logfiles\firewall\domainfw.log`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف تعريف المجال\تسجيل تخصيص\اسم تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.1.5 CIS WS2019 9.1.5	= %SystemRoot%\System32\logfiles\firewall\domainfw.log _(السجل)	معلوماتي
جدار حماية Windows: المجال: التسجيل: حد الحجم (كيلوبايت) _{(AZ-WIN-202225)}	الوصف: استخدم هذا الخيار لتحديد حد حجم الملف الذي سيكتب فيه جدار حماية Windows معلومات السجل الخاصة به. الحالة الموصى بها لهذا الإعداد هي: `16,384 KB or greater`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف تعريف المجال\تسجيل تخصيص\حد الحجم (KB) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.1.6 CIS WS2019 9.1.6	>= 16384 _(السجل)	تحذير
جدار حماية Windows: المجال: الاتصالات الصادرة _{(CCE-36146-9)}	الوصف: يحدد هذا الإعداد سلوك الاتصالات الصادرة لملفات تعريف العام التي لا تتطابق مع قاعدة جدار حماية صادرة. في Windows Vista، يعد السلوك الافتراضي هو السماح بالاتصالات ما لم تكن هناك قواعد جدار حماية تمنع الاتصال. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Allow (default)`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Outbound connections تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.1.3	=0 _(السجل)	هام
جدار الحماية Windows: المجال: الإعدادات: تطبيق قواعد أمان الاتصال المحلي _{(CCE-38040-2)}	الوصف: تحديد ما إذا كان يسمح للمسؤولين المحليين بإنشاء قواعد جدار الحماية المحلية التي تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة لملف تعريف المجال. الحالة الموصى بها لهذا الإعداد هي "نعم"، سيؤدي ذلك إلى تعيين قيمة السجل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين قيمة النهج ل Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (سيكون هذا الارتباط في الجزء الأيمن)\Domain Profile Tab\Settings (select Customize)\Rule merging, Apply local connection security rules تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.3.6	= 1 _(السجل)	هام
جدار الحماية Windows: المجال: الإعدادات: تطبيق قواعد جدار الحماية المحلية _{(CCE-37860-4)}	الوصف: يحدد هذا الإعداد ما إذا كان مسموح للمسؤولين المحليين بإنشاء قواعد جدار الحماية المحلية التي تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة لملف تعريف المجال. الحالة الموصى بها لهذا الإعداد هي Yes، سيؤدي ذلك إلى تعيين قيمة السجل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع الأمان المتقدم\جدار حماية Windows مع الأمان المتقدم\خصائص جدار حماية Windows (سيكون هذا الارتباط في الجزء الأيمن)\علامة التبويب ملف تعريف المجال\الإعدادات (حدد تخصيص)\دمج القاعدة، تطبيق قواعد جدار الحماية المحلية تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.3.5	غير موجود أو = 1 _(السجل)	هام
جدار حماية Windows: المجال: الإعدادات: عرض إخطار _{(CCE-38041-0)}	الوصف: بتحديد هذا الخيار، لا يعرض أي إخطار للمستخدم عند حظر برنامج من تلقي الاتصالات الواردة. في بيئة الخادم، لا تكون النوافذ المنبثقة مفيدة حيث لم يسجل دخول المستخدمين، والنوافذ المنبثقة غير ضرورية ويمكن أن تضيف ارتباكًا للمسؤول. تكوين إعداد النهج هذا إلى "لا"، سيؤدي هذا إلى تعيين قيمة التسجيل إلى 1. لن يعرض جدار حماية Windows إخطارًا عند حظر برنامج من تلقي الاتصالات الواردة. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Settings Customize\Display a notification تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.1.4	= 1 _(السجل)	تحذير
جدار الحماية في نظام التشغيل Windows: خاص: السماح باستجابة أحادية الإرسال _{(AZ-WIN-00089)}	الوصف: يكون هذا الخيار مفيدًا في حال كنت بحاجة إلى التحكم في ما إذا كان هذا الكمبيوتر يتلقى استجابات أحادية الإرسال لرسائل الإرسال المتعدد الصادرة أو رسائل البث. نوصي بهذا الإعداد إلى "نعم" لملفات التعريف الخاصة وملفات تعريف المجال، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 0. المسار الرئيسي: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع الأمان المتقدم\جدار حماية Windows مع الأمان المتقدم\خصائص جدار حماية Windows (سيكون هذا الارتباط في الجزء الأيسر)\علامة تبويب ملف التعريف الخاص\الإعدادات (حدد تخصيص)\استجابة أحادية الإرسال، السماح باستجابة أحادية الإرسال تعيينات التوافق القياسية:	=0 _(السجل)	تحذير
جدار حماية Windows: خاص: حالة جدار الحماية _{(CCE-38239-0)}	الوصف: حدد تشغيل (يوصى به) لجعل جدار حماية Windows مع الأمان المتقدم يستخدم إعدادات ملف التعريف هذا لتصفية نسبة استخدام الشبكة. إذا قمت بتحديد إيقاف تشغيل، لن يستخدم جدار حماية في نظام Windows مع الأمان المتقدم أي من قواعد جدار الحماية أو قواعد أمان الاتصال لهذا التشكيل الجانبي. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `On (recommended)`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Firewall state تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.2.1	= 1 _(السجل)	هام
جدار حماية Windows: خاص: الاتصالات الواردة _{(AZ-WIN-202228)}	الوصف: يحدد هذا الإعداد سلوك الاتصالات الواردة التي لا تتطابق مع قاعدة جدار الحماية الواردة. الحالة الموصى بها لهذا الإعداد هي: `Block (default)`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع الأمان المتقدم\جدار حماية Windows مع الأمان المتقدم\خصائص جدار حماية Windows\ملف التعريف الخاص\الاتصالات الواردة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.2.2 CIS WS2019 9.2.2	= 1 _(السجل)	هام
جدار حماية Windows: خاص: التسجيل: حزم البيانات التي تم إسقاطها في السجل _{(AZ-WIN-202231)}	الوصف: استخدم هذا الخيار لتسجيل عندما يتجاهل جدار حماية Windows مع الأمان المتقدم حزمة واردة لأي سبب من الأسباب. يسجل السجل سبب ووقت إسقاط الحزمة. ابحث عن إدخالات تحتوي على الكلمة `DROP` في عمود الإجراء للسجل. الحالة الموصى بها لهذا الإعداد هي: `Yes`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع الأمان المتقدم\جدار حماية Windows مع الأمان المتقدم\خصائص جدار حماية Windows\ملف التعريف الخاص\تسجيل تخصيص\حزم البيانات التي تم إسقاطها تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.2.7 CIS WS2019 9.2.7	= 1 _(السجل)	معلوماتي
جدار حماية Windows: خاص: التسجيل: تسجيل الاتصالات الناجحة _{(AZ-WIN-202232)}	الوصف: استخدم هذا الخيار لتسجيل عندما يسمح جدار حماية Windows مع الأمان المتقدم باتصال وارد. يسجل السجل سبب ووقت تكوين الاتصال. ابحث عن إدخالات تحتوي على الكلمة `ALLOW` في عمود الإجراء للسجل. الحالة الموصى بها لهذا الإعداد هي: `Yes`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف تعريف خاص\تسجيل تخصيص\تسجيل الاتصالات الناجحة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.2.8 CIS WS2019 9.2.8	= 1 _(السجل)	تحذير
جدار حماية Windows: خاص: التسجيل: الاسم _{(AZ-WIN-202229)}	الوصف: استخدم هذا الخيار لتحديد مسار واسم الملف الذي سيكتب فيه جدار حماية Windows معلومات السجل الخاصة به. الحالة الموصى بها لهذا الإعداد هي: `%SystemRoot%\System32\logfiles\firewall\privatefw.log`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف تعريف خاص\تسجيل تخصيص\اسم تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.2.5 CIS WS2019 9.2.5	= %SystemRoot%\System32\logfiles\firewall\privatefw.log _(السجل)	معلوماتي
جدار حماية Windows: خاص: التسجيل: حد الحجم (كيلوبايت) _{(AZ-WIN-202230)}	الوصف: استخدم هذا الخيار لتحديد حد حجم الملف الذي سيكتب فيه جدار حماية Windows معلومات السجل الخاصة به. الحالة الموصى بها لهذا الإعداد هي: `16,384 KB or greater`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف تعريف خاص\تسجيل تخصيص\حد الحجم (KB) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.2.6 CIS WS2019 9.2.6	>= 16384 _(السجل)	تحذير
جدار حماية Windows: خاص: الاتصالات الصادرة _{(CCE-38332-3)}	الوصف: يحدد هذا الإعداد سلوك الاتصالات الصادرة لملفات تعريف العام التي لا تتطابق مع قاعدة جدار حماية صادرة. يعد السلوك الافتراضي هو السماح بالاتصالات ما لم تكن هناك قواعد جدار حماية تمنع الاتصال. مهم في حال قمت بتعيين الاتصالات الصادرة إلى حظر ثم نشر نهج جدار الحماية باستخدام عنصر نهج المجموعة، فلن تتمكن أجهزة الكمبيوتر التي تتلقى إعدادات عنصر نهج المجموعة من تلقي تحديثات نهج المجموعة اللاحقة ما لم تقم بإنشاء قاعدة صادرة ونشرها تمكن نهج المجموعة من العمل. تشمل القواعد المعرفة مسبقًا للشبكات الأساسية قواعد صادرة تمكن نهج المجموعة من العمل. تأكد أن هذه القواعد الصادرة نشطة، واختبر ملفات تعريف جدار الحماية بدقة قبل النشر. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Allow (default)`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Outbound connections تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.2.3	=0 _(السجل)	هام
جدار الحماية Windows: خاص: الإعدادات: تطبيق قواعد أمان الاتصال المحلي _{(CCE-36063-6)}	الوصف: تحديد ما إذا كان يسمح للمسؤولين المحليين بإنشاء قواعد جدار الحماية المحلية التي تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة لملف تعريف المجال. الحالة الموصى بها لهذا الإعداد هي "نعم"، سيؤدي ذلك إلى تعيين قيمة السجل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع الأمان المتقدم\جدار حماية Windows مع الأمان المتقدم\خصائص جدار حماية Windows (سيكون هذا الارتباط في الجزء الأيسر)\علامة تبويب ملف التعريف الخاص\الإعدادات (حدد تخصيص)\دمج القواعد، تطبيق قواعد أمان الاتصال المحلي تعيينات التوافق القياسية:	= 1 _(السجل)	هام
جدار الحماية Windows: خاص: الإعدادات: تطبيق قواعد جدار الحماية المحلية _{(CCE-37438-9)}	الوصف: يحدد هذا الإعداد ما إذا كان مسموح للمسؤولين المحليين بإنشاء قواعد جدار الحماية المحلية التي تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة لملف تعريف المجال. الحالة الموصى بها لهذا الإعداد هي Yes، سيؤدي ذلك إلى تعيين قيمة السجل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين قيمة النهج ل Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (سيكون هذا الارتباط في الجزء الأيسر)\علامة تبويب ملف التعريف الخاص\الإعدادات (حدد تخصيص)\دمج القواعد، تطبيق قواعد جدار الحماية المحلية تعيينات التوافق القياسية:	غير موجود أو = 1 _(السجل)	هام
جدار حماية Windows: خاص: الإعدادات: عرض إخطار _{(CCE-37621-0)}	الوصف: بتحديد هذا الخيار، لا يعرض أي إخطار للمستخدم عند حظر برنامج من تلقي الاتصالات الواردة. في بيئة الخادم، لا تكون النوافذ المنبثقة مفيدة حيث لم يسجل دخول المستخدمين، والنوافذ المنبثقة غير ضرورية ويمكن أن تضيف ارتباكًا للمسؤول. تكوين إعداد النهج هذا إلى "لا"، سيؤدي هذا إلى تعيين قيمة التسجيل إلى 1. لن يعرض جدار حماية Windows إخطارًا عند حظر برنامج من تلقي الاتصالات الواردة. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Settings Customize\Display a notification تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.2.4	= 1 _(السجل)	تحذير
جدار الحماية في نظام التشغيل Windows: عام: السماح باستجابة أحادية الإرسال _{(AZ-WIN-00090)}	الوصف: يكون هذا الخيار مفيدًا في حال كنت بحاجة إلى التحكم في ما إذا كان هذا الكمبيوتر يتلقى استجابات أحادية الإرسال لرسائل الإرسال المتعدد الصادرة أو رسائل البث. يمكن القيام بذلك عن طريق تغيير حالة هذا الإعداد إلى "لا"، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1. المسار الرئيسي: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين قيمة النهج ل Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (سيكون هذا الارتباط في الجزء الأيمن)\Public Profile Tab\Settings (select Customize)\Unicast response, Allow unicast response تعيينات التوافق القياسية:	= 1 _(السجل)	تحذير
جدار حماية Windows: عام: حالة جدار الحماية _{(CCE-37862-0)}	الوصف: حدد تشغيل (يوصى به) لجعل جدار حماية Windows مع الأمان المتقدم يستخدم إعدادات ملف التعريف هذا لتصفية نسبة استخدام الشبكة. إذا قمت بتحديد إيقاف تشغيل، لن يستخدم جدار حماية في نظام Windows مع الأمان المتقدم أي من قواعد جدار الحماية أو قواعد أمان الاتصال لهذا التشكيل الجانبي. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `On (recommended)`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Firewall state تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.3.1	= 1 _(السجل)	هام
جدار حماية Windows: عام: الاتصالات الواردة _{(AZ-WIN-202234)}	الوصف: يحدد هذا الإعداد سلوك الاتصالات الواردة التي لا تتطابق مع قاعدة جدار الحماية الواردة. الحالة الموصى بها لهذا الإعداد هي: `Block (default)`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف التعريف العام\الاتصالات الواردة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.3.2 CIS WS2019 9.3.2	= 1 _(السجل)	هام
جدار حماية Windows: عام: التسجيل: تسجيل الحزم التي تم إسقاطها _{(AZ-WIN-202237)}	الوصف: استخدم هذا الخيار لتسجيل عندما يتجاهل جدار حماية Windows مع الأمان المتقدم حزمة واردة لأي سبب من الأسباب. يسجل السجل سبب ووقت إسقاط الحزمة. ابحث عن إدخالات تحتوي على الكلمة `DROP` في عمود الإجراء للسجل. الحالة الموصى بها لهذا الإعداد هي: `Yes`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع الأمان المتقدم\جدار حماية Windows مع الأمان المتقدم\خصائص جدار حماية Windows\ملف التعريف العام\تسجيل تخصيص\حزم بيانات السجل التي تم إسقاطها تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.3.9 CIS WS2019 9.3.9	= 1 _(السجل)	معلوماتي
جدار حماية Windows: عام: التسجيل: تسجيل الاتصالات الناجحة _{(AZ-WIN-202233)}	الوصف: استخدم هذا الخيار لتسجيل عندما يسمح جدار حماية Windows مع الأمان المتقدم باتصال وارد. يسجل السجل سبب ووقت تكوين الاتصال. ابحث عن إدخالات تحتوي على الكلمة `ALLOW` في عمود الإجراء للسجل. الحالة الموصى بها لهذا الإعداد هي: `Yes`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف تعريف عام\تسجيل تخصيص\تسجيل الاتصالات الناجحة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.3.10 CIS WS2019 9.3.10	= 1 _(السجل)	تحذير
جدار حماية Windows: عام: التسجيل: الاسم _{(AZ-WIN-202235)}	الوصف: استخدم هذا الخيار لتحديد مسار واسم الملف الذي سيكتب فيه جدار حماية Windows معلومات السجل الخاصة به. الحالة الموصى بها لهذا الإعداد هي: `%SystemRoot%\System32\logfiles\firewall\publicfw.log`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف تعريف عام\تسجيل تخصيص\اسم تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.3.7 CIS WS2019 9.3.7	= %SystemRoot%\System32\logfiles\firewall\publicfw.log _(السجل)	معلوماتي
جدار حماية Windows: عام: التسجيل: حد الحجم (كيلوبايت) _{(AZ-WIN-202236)}	الوصف: استخدم هذا الخيار لتحديد حد حجم الملف الذي سيكتب فيه جدار حماية Windows معلومات السجل الخاصة به. الحالة الموصى بها لهذا الإعداد هي: `16,384 KB or greater`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\جدار حماية Windows مع أمان متقدم\جدار حماية Windows مع أمان متقدم\خصائص جدار حماية Windows\ملف تعريف عام\تسجيل تخصيص\حد الحجم (KB) تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 9.3.8 CIS WS2019 9.3.8	>= 16384 _(السجل)	معلوماتي
جدار حماية Windows: عام: الاتصالات الصادرة _{(CCE-37434-8)}	الوصف: يحدد هذا الإعداد سلوك الاتصالات الصادرة لملفات تعريف العام التي لا تتطابق مع قاعدة جدار حماية صادرة. يعد السلوك الافتراضي هو السماح بالاتصالات ما لم تكن هناك قواعد جدار حماية تمنع الاتصال. مهم في حال قمت بتعيين الاتصالات الصادرة إلى حظر ثم نشر نهج جدار الحماية باستخدام عنصر نهج المجموعة، فلن تتمكن أجهزة الكمبيوتر التي تتلقى إعدادات عنصر نهج المجموعة من تلقي تحديثات نهج المجموعة اللاحقة ما لم تقم بإنشاء قاعدة صادرة ونشرها تمكن نهج المجموعة من العمل. تشمل القواعد المعرفة مسبقًا للشبكات الأساسية قواعد صادرة تمكن نهج المجموعة من العمل. تأكد أن هذه القواعد الصادرة نشطة، واختبر ملفات تعريف جدار الحماية بدقة قبل النشر. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Allow (default)`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Outbound connections تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.3.3	=0 _(السجل)	هام
جدار حماية Windows: عام: الإعدادات: تطبيق قواعد أمان الاتصال المحلي _{(CCE-36268-1)}	الوصف: تحديد ما إذا كان يسمح للمسؤولين المحليين بإنشاء قواعد جدار الحماية المحلية التي تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة لملف تعريف المجال. الحالة الموصى بها لهذا الإعداد هي "نعم"، سيؤدي ذلك إلى تعيين قيمة السجل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Customize\Apply local connection security rules تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.3.6	= 1 _(السجل)	هام
جدار حماية Windows: عام: الإعدادات: تطبيق قواعد جدار الحماية المحلية _{(CCE-37861-2)}	الوصف: يحدد هذا الإعداد ما إذا كان مسموح للمسؤولين المحليين بإنشاء قواعد جدار الحماية المحلية التي تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة لملف تعريف المجال. الحالة الموصى بها لهذا الإعداد هي Yes، سيؤدي ذلك إلى تعيين قيمة السجل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Customize\Apply local firewall rules تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.3.5	غير موجود أو = 1 _(السجل)	هام
جدار حماية Windows: عام: الإعدادات: عرض إخطار _{(CCE-38043-6)}	الوصف: بتحديد هذا الخيار، لا يعرض أي إخطار للمستخدم عند حظر برنامج من تلقي الاتصالات الواردة. في بيئة الخادم، لا تكون النوافذ المنبثقة مفيدة حيث لم يسجل دخول المستخدمين، والنوافذ المنبثقة غير ضرورية ويمكن أن تضيف ارتباكًا للمسؤول. تكوين إعداد النهج هذا إلى "لا"، سيؤدي هذا إلى تعيين قيمة التسجيل إلى 1. لن يعرض جدار حماية Windows إخطارًا عند حظر برنامج من تلقي الاتصالات الواردة. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No`: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Customize\Display a notification تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 9.3.4	= 1 _(السجل)	تحذير

نهج تدقيق النظام - تسجيل دخول إلى الحساب

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق التحقق من صحة بيانات الاعتماد _{(CCE-37741-6)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن نتائج اختبارات التحقق من الصحة على بيانات الاعتماد المرسلة لطلب تسجيل دخول حساب مستخدم. تطرأ هذه الأحداث على الكمبيوتر الموثوق به لبيانات الاعتماد. وفيما يتعلق بحسابات المجال، تكون وحدة التحكم بالمجال موثوقة، بينما بالنسبة للحسابات المحلية، يكون الكمبيوتر المحلي موثوقًا به. وفي بيئات المجال، تحدث معظم أحداث تسجيل الدخول إلى الحساب في سجل الأمان لوحدات التحكم بالمجال الموثوق بها لحسابات المجال. مع ذلك، يمكن أن تحدث هذه الأحداث على أجهزة الكمبيوتر الأخرى في المؤسسة عند استخدام الحسابات المحلية لتسجيل الدخول. تتضمن أحداث هذه الفئة الفرعية: - 4774: عين حساب لتسجيل الدخول. - 4775: تعذر القيام بتعيين حساب لتسجيل الدخول. - 4776: قامت وحدة التحكم بالمجال بمحاولة التحقق من صحة بيانات الاعتماد لحساب. - 4777: حاولت وحدة التحكم بالمجال التحقق من صحة بيانات الاعتماد لحساب. الحالة الموصى بها لهذا الإعداد هي: «النجاح والفشل». المسار الرئيسي: {0CCE923F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Success and Failure`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Credential Validation تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1	= النجاح والفشل _(تدقيق)	هام
تدقيق خدمة مصادقة Kerberos _{(AZ-WIN-00004)}	الوصف: تبلغ هذه الفئة الفرعية عن نتائج الأحداث التي تم إنشاؤها بعد طلب TGT لمصادقة Kerberos. Kerberos هي خدمة مصادقة موزعة تسمح للعميل الذي يعمل نيابة عن مستخدم بإثبات هويته لخادم دون إرسال البيانات عبر الشبكة. يساعد هذا في التخفيف من المهاجم أو الخادم من انتحال شخصية مستخدم. - 4768: طلب تذكرة مصادقة Kerberos (TGT). - 4771: فشل المصادقة المسبقة ل Kerberos. - 4772: فشل طلب تذكرة مصادقة Kerberos. الحالة الموصى بها لهذا الإعداد هي: `Success and Failure`. المسار الرئيسي: {0CCE9242-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\تسجيل الدخول إلى الحساب\خدمة مصادقة تدقيق Kerberos تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.1.2 CIS WS2019 17.1.2	>= النجاح والفشل _(تدقيق)	هام

نهج تدقيق النظام - إدارة الحساب

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق إدارة مجموعة التوزيع _{(CCE-36265-7)}	الوصف: تبلغ هذه الفئة الفرعية عن كل حدث لإدارة مجموعة التوزيع، مثل وقت إنشاء مجموعة توزيع أو تغييرها أو حذفها أو عند إضافة عضو إلى مجموعة توزيع أو إزالته منها. إذا قمت بتمكين إعداد نهج التدقيق هذا، يمكن للمسؤولين تعقب الأحداث للكشف عن إنشاء حسابات المجموعة الضارة والعارضة والمخولة. تتضمن أحداث هذه الفئة الفرعية: - 4744: تم إنشاء مجموعة محلية معطلة أمنيا. - 4745: تم تغيير مجموعة محلية معطلة أمنيا. - 4746: تمت إضافة عضو إلى مجموعة محلية معطلة أمنيا. - 4747: تمت إزالة عضو من مجموعة محلية معطلة أمنيا. - 4748: تم حذف مجموعة محلية معطلة أمنيا. - 4749: تم إنشاء مجموعة عمومية معطلة أمنيا. - 4750: تم تغيير مجموعة عمومية معطلة أمنيا. - 4751: تمت إضافة عضو إلى مجموعة عمومية معطلة أمنيا. - 4752: تمت إزالة عضو من مجموعة عمومية معطلة للأمان. - 4753: تم حذف مجموعة عمومية معطلة أمنيا. - 4759: تم إنشاء مجموعة عالمية معطلة أمنيا. - 4760: تم تغيير مجموعة عالمية معطلة أمنيا. - 4761: تمت إضافة عضو إلى مجموعة عالمية معطلة أمنيا. - 4762: تمت إزالة عضو من مجموعة عالمية معطلة أمنيا. - 4763: تم حذف مجموعة عالمية معطلة أمنيا. تتضمن الحالة الموصى بها لهذا الإعداد:`Success`. المسار الرئيسي: {0CCE9238-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\إدارة الحساب\إدارة مجموعة توزيع التدقيق تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.2.3 CIS WS2019 17.2.3	>= نجاح _(تدقيق)	هام
تدقيق أحداث إدارة الحساب الأخرى _{(CCE-37855-4)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن أحداث أخرى لإدارة الحساب. تتضمن أحداث هذه الفئة الفرعية: — 4782: تم الوصول إلى تجزئة كلمة مرور حساب. — 4793: تم استدعاء واجهة برمجة تطبيقات التحقق من نهج كلمات المرور. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE923A-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Success`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Other Account Management Events تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.2.4	>= نجاح _(تدقيق)	هام
تدقيق إدارة مجموعة الأمان _{(CCE-38034-5)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن كل حدث من أحداث إدارة مجموعة الأمان، مثل وقت إنشاء مجموعة أمان أو تغييرها أو حذفها أو عند إضافة عضو إلى مجموعة أمان أو إزالته منها. في حال قمت بتمكين إعداد نهج التدقيق هذا، يمكن للمسؤولين تعقب الأحداث للكشف عن الإنشاء الضار والعارض والمخول لحسابات مجموعة الأمان. تتضمن أحداث هذه الفئة الفرعية: - 4727: أُنشئت مجموعة عمومية ممكنة للأمان. - 4728: أضيف عضو إلى مجموعة عمومية ممكنة للأمان. - 4729: أزيل عضو من مجموعة عمومية ممكنة للأمان. - 4730: حذفت مجموعة عمومية ممكنة للأمان. - 4731: أُنشئت مجموعة محلية ممكنة للأمان. - 4732: أضيف عضو إلى مجموعة محلية ممكنة للأمان. - 4733: أزيل عضو من مجموعة محلية ممكنة للأمان. - 4734: حذفت مجموعة محلية ممكنة للأمان. - 4735: تغيرت مجموعة محلية ممكنة للأمان. - 4737: تغيرت مجموعة عمومية ممكنة للأمان. - 4754: أنشئت مجموعة عالمية ممكنة للأمان. - 4755: تغيرت مجموعة عالمية ممكنة للأمان. - 4756: أضيف عضو إلى مجموعة عالمية ممكنة للأمان. - 4757: أزيل عضو من مجموعة عالمية ممكنة للأمان. - 4758: حذفت مجموعة عالمية ممكنة للأمان. - 4764: غير نوع المجموعة. الحالة الموصى بها لهذا الإعداد هي: `Success and Failure`. المسار الرئيسي: {0CCE9237-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Success`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Security Group Management تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.2.5	>= نجاح _(تدقيق)	هام
تدقيق إدارة حساب المستخدم _{(CCE-37856-2)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن كل حدث من أحداث إدارة حساب المستخدم، مثل وقت إنشاء حساب مستخدم أو تغييره أو حذفه، تتم إعادة تسمية حساب مستخدم أو تعطيله أو تمكينه؛ أو تم تعيين كلمة مرور أو تغييرها. إذا قمت بتمكين إعداد نهج التدقيق هذا، يمكن للمسؤولين تعقب الأحداث للكشف عن الإنشاء الضار والعارض والمخول لحسابات مجموعة الأمان. تتضمن أحداث هذه الفئة الفرعية: - 4720: أنشئ حساب مستخدم. - 4722: تم تمكين حساب مستخدم. - 4723: تمت محاولة لتغيير كلمة مرور الحساب. - 4724: جرت محاولة لاستعادة كلمة مرور الحساب. - 4725: تم تعطيل حساب مستخدم. - 4726: تم حذف حساب مستخدم. - 4738: تم تغيير حساب مستخدم. - 4740: تم قفل حساب مستخدم. - 4765: تمت إضافة محفوظات معرف الأمان إلى حساب. - 4766: فشلت محاولة إضافة محفوظات معرف الأمان إلى حساب. - 4767: تم إلغاء قفل حساب مستخدم. - 4780: تم تعيين قائمة التحكم بالوصول على الحسابات التي هي أعضاء في مجموعات المسؤولين. - 4781: تم تغيير اسم الحساب: - 4794: جرت محاولة لتعيين وضع استعادة خدمات الدليل. - 5376: نسخت بيانات اعتماد إدارة بيانات الاعتماد احتياطيًا. - 5377: تم استرداد بيانات اعتماد إدارة بيانات الاعتماد من نسخة احتياطية. الحالة الموصى بها لهذا الإعداد هي: `Success and Failure`. المسار الرئيسي: {0CCE9235-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Success and Failure`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit User Account Management تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6	= النجاح والفشل _(تدقيق)	هام

نهج تدقيق النظام - تعقب مفصل

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق نشاط PNP _{(AZ-WIN-00182)}	الوصف: يتيح لك إعداد النهج هذا التدقيق عند اكتشاف التوصيل والتشغيل لجهاز خارجي. الحالة الموصى بها لهذا الإعداد هي: `Success`. ملاحظة: مطلوب Windows 10 أو Server 2016 أو نظام تشغيل أعلى للوصول إلى هذه القيمة وتعيينها في نهج المجموعة. المسار الرئيسي: {0CCE9248-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Audit: فرض إعدادات الفئة الفرعية لنهج التدقيق (Windows Vista أو أحدث) لتجاوز إعدادات فئة نهج التدقيق تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.3.1 CIS WS2022 17.3.1	>= نجاح _(تدقيق)	هام
تدقيق إنشاء العمليات _{(CCE-36059-4)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن إنشاء عملية واسم البرنامج أو المستخدم الذي أنشأها. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4688: أنشئت عملية جديدة. - 4696: عين رمزًا مميزًا أساسيًا للمعالجة. راجع مقالة قاعدة معارف Microsoft 947226 للحصول على أحدث المعلومات حول هذا الإعداد. الحالة الموصى بها لهذا الإعداد هي: `Success`. المسار الرئيسي: {0CCE922B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Success`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Detailed Tracking\Audit Process Creation تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2	>= نجاح _(تدقيق)	هام

نُهج تدقيق النظام - الوصول إلى DS

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق الوصول لخدمة الدلائل _{(CCE-37433-0)}	الوصف: تبلغ هذه الفئة الفرعية عند الوصول إلى كائن AD DS. تتسبب الكائنات التي لها SACLs فقط في إنشاء أحداث التدقيق، وفقط عند الوصول إليها بطريقة تطابق SACL الخاصة بها. تشبه هذه الأحداث أحداث الوصول إلى خدمة الدليل في الإصدارات السابقة من Windows Server. تنطبق هذه الفئة الفرعية فقط على وحدات تحكم المجال. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4662 : تم تنفيذ عملية على كائن. تتضمن الحالة الموصى بها لهذا الإعداد:`Failure`. المسار الرئيسي: {0CCE923B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\وصول DS\تدقيق الوصول إلى خدمة دليل التدقيق تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.4.1 CIS WS2019 17.4.1	>= الفشل _(تدقيق)	هام
تدقيق تغييرات خدمة الدلائل _{(CCE-37616-0)}	الوصف: تبلغ هذه الفئة الفرعية عن التغييرات التي تطرأ على الكائنات في خدمات مجال Active Directory (AD DS). أنواع التغييرات التي تم الإبلاغ عنها هي إنشاء العمليات التي يتم تنفيذها على كائن وتعديلها ونقلها وإلغاء حذفها. يشير تدقيق تغيير DS، عند الاقتضاء، إلى القيم القديمة والجديدة للخصائص المتغيرة للعناصر التي تم تغييرها. تتسبب الكائنات التي لها SACLs فقط في إنشاء أحداث التدقيق، وفقط عند الوصول إليها بطريقة تطابق SACL الخاصة بها. لا تتسبب بعض الكائنات والخصائص في إنشاء أحداث التدقيق بسبب الإعدادات على فئة الكائن في المخطط. تنطبق هذه الفئة الفرعية فقط على وحدات تحكم المجال. تتضمن أحداث هذه الفئة الفرعية: - 5136 : تم تعديل عنصر خدمة الدليل. - 5137 : تم إنشاء كائن خدمة دليل. - 5138 : تم إلغاء حذف كائن خدمة الدليل. - 5139 : تم نقل كائن خدمة الدليل. تتضمن الحالة الموصى بها لهذا الإعداد:`Success`. المسار الرئيسي: {0CCE923C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\وصول DS\تغييرات خدمة دليل التدقيق تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.4.2 CIS WS2019 17.4.2	>= نجاح _(تدقيق)	هام
تدقيق النسخ المتماثل لخدمة الدلائل _{(AZ-WIN-00093)}	الوصف: تبلغ هذه الفئة الفرعية عند بدء النسخ المتماثل بين وحدتي تحكم بالمجال وتنتهي. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4932: بدأت مزامنة نسخة متماثلة من سياق تسمية Active Directory. – 4933: انتهت مزامنة نسخة متماثلة من سياق تسمية Active Directory. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: http:--support.microsoft.com-default.aspx-kb-947226 المسار الرئيسي: {0CCE923D-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة التحكم بالمجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\الوصول إلى DS\النسخ المتماثل لخدمة دليل التدقيق تعيينات التوافق القياسية:	>= بلا تدقيق _(تدقيق)	هام

نهج تدقيق النظام - تسجيل دخول-تسجيل خروج

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق تأمين الحساب _{(CCE-37133-6)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عند تأمين حساب المستخدم نتيجة للعديد من محاولات تسجيل الدخول الفاشلة. تتضمن أحداث هذه الفئة الفرعية: — 4625: فشل حساب في تسجيل دخول. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9217-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Failure`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Account Lockout تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.5.1	>= الفشل _(تدقيق)	هام
تدقيق عضوية المجموعة _{(AZ-WIN-00026)}	الوصف: تمكنك عضوية مجموعة التدقيق من تدقيق عضويات المجموعة عند تعدادها على كمبيوتر العميل. يسمح لك هذا النهج بمراجعة معلومات عضوية المجموعة في الرمز المميز لتسجيل دخول المستخدم. تنشأ الأحداث في هذه الفئة الفرعية على الكمبيوتر الذي يتم إنشاء جلسة تسجيل دخول عليه. لتسجيل الدخول التفاعلي، ينشأ حدث تدقيق الأمان على الكمبيوتر الذي قام المستخدم بتسجيل الدخول إليه. بالنسبة إلى تسجيل دخول الشبكة، مثل الوصول إلى مجلد مشترك على الشبكة، ينشأ حدث تدقيق الأمان على الكمبيوتر الذي يستضيف المورد. لا بد أيضًا من تمكين الفئة الفرعية لتسجيل الدخول إلى التدقيق. يتم إنشاء أحداث متعددة إذا تعذر احتواء معلومات عضوية المجموعة في حدث تدقيق أمان واحد. تتضمن الأحداث التي تخضع للتدقيق ما يلي: - 4627(S): معلومات عضوية المجموعة. المسار الرئيسي: {0CCE9249-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Success`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Group Membership تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.5.2	>= نجاح _(تدقيق)	هام
تدقيق تسجيل الخروج _{(CCE-38237-4)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عندما يسجل المستخدم الخروج من النظام. تطرأ هذه الأحداث على الكمبيوتر الذي تم الوصول إليه. بالنسبة إلى تسجيلات الدخول التفاعلية، تنشأ هذه الأحداث على الكمبيوتر الذي تم تسجيل الدخول إليه. في حال تم تسجيل دخول الشبكة للوصول إلى مشاركة، فإن هذه الأحداث تنشئ على الكمبيوتر الذي يستضيف المورد الذي تم الوصول إليه. في حال قمت بتكوين هذا الإعداد إلى «No auditing»، فمن الصعب أو المستحيل تحديد المستخدم الذي قام بالوصول إلى أجهزة كمبيوتر المؤسسة أو حاول الوصول إليها. تتضمن أحداث هذه الفئة الفرعية: - 4634: تم تعيين حساب لتسجيل الدخول. - 4647: عمليات تسجيل الخروج التي بدأت بواسطة المستخدم. الحالة الموصى بها لهذا الإعداد هي: «Success». المسار الرئيسي: {0CCE9216-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Success`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logoff تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3	>= نجاح _(تدقيق)	هام
تدقيق تسجيل الدخول _{(CCE-38036-0)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عندما يحاول المستخدم تسجيل الدخول إلى النظام. تطرأ هذه الأحداث على الكمبيوتر الذي تم الوصول إليه. بالنسبة إلى تسجيلات الدخول التفاعلية، تنشأ هذه الأحداث على الكمبيوتر الذي تم تسجيل الدخول إليه. في حال تم تسجيل دخول الشبكة للوصول إلى مشاركة، فإن هذه الأحداث تنشئ على الكمبيوتر الذي يستضيف المورد الذي تم الوصول إليه. في حال قمت بتكوين هذا الإعداد إلى «No auditing»، فمن الصعب أو المستحيل تحديد المستخدم الذي قام بالوصول إلى أجهزة كمبيوتر المؤسسة أو حاول الوصول إليها. تتضمن أحداث هذه الفئة الفرعية: - 4624: تم تعيين حساب لتسجيل الدخول. - 4625: فشل حساب في تسجيل الدخول. - 4648: تمت محاولة تسجيل الدخول باستخدام بيانات اعتماد صريحة. - 4675: تمت تصفية معرفات الأمان. الحالة الموصى بها لهذا الإعداد هي: «النجاح والفشل». المسار الرئيسي: {0CCE9215-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Success and Failure`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4	= النجاح والفشل _(تدقيق)	هام
تدقيق أحداث تسجيل الدخول/تسجيل الخروج الأخرى _{(CCE-36322-6)}	الوصف: تبلغ هذه الفئة الفرعية عن أحداث أخرى متعلقة بتسجيل الدخول/تسجيل الخروج، مثل قطع اتصال جلسة عمل الخدمات الطرفية وإعادة الاتصال، باستخدام RunAs لتشغيل العمليات ضمن حساب مختلف، وتأمين محطة عمل وفتحها. تتضمن أحداث هذه الفئة الفرعية ما يلي: — 4649: تم الكشف عن هجوم إعادة التشغيل. — 4778: تمت إعادة التوصيل لجلسة عمل بـ Window Station. — 4779: قطع اتصال جلسة العمل بـ Window Station. — 4800: تم قفل محطة العمل. — 4801: تم إلغاء قفل محطة العمل. — 4802: تم استدعاء شاشة التوقف. — 4803: تم تجاهل شاشة التوقف. — 5378: لم يقم النهج بالسماح بتفويض بيانات الاعتماد المطلوبة. — 5632: قدم طلب للمصادقة على شبكة لاسلكية. — 5633: قدم طلب للمصادقة على شبكة سلكية. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE921C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Success and Failure`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Other Logon/Logoff Events تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.5.5	= النجاح والفشل _(تدقيق)	هام
تدقيق تسجيل الدخول الخاص _{(CCE-36266-5)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عند استخدام تسجيل دخول خاص. تسجيل الدخول الخاص هو تسجيل دخول له امتيازات مكافئة للمسؤول ويجوز استخدامه لرفع عملية إلى مستوى أعلى. تتضمن أحداث هذه الفئة الفرعية: - 4964 : تم تعيين مجموعات خاصة لتسجيل دخول جديد. الحالة الموصى بها لهذا الإعداد هي: `Success`. المسار الرئيسي: {0CCE921B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Success`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Special Logon تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6	>= نجاح _(تدقيق)	هام

نهج تدقيق النظام - الوصول إلى العناصر

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق مشاركة الملفات التفصيلية _{(AZ-WIN-00100)}	الوصف: تسمح لك هذه الفئة الفرعية بمراجعة محاولات الوصول إلى الملفات والمجلدات على مجلد مشترك. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 5145: تم التحقق من كائن مشاركة الشبكة لمعرفة ما إذا كان يمكن منح العميل حق الوصول المطلوب. الحالة الموصى بها لهذا الإعداد هي تضمين: `Failure` المسار الرئيسي: {0CCE9244-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\الوصول إلى الكائن\تدقيق مشاركة الملفات التفصيلية تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.6.1 CIS WS2019 17.6.1	>= الفشل _(تدقيق)	هام
تدقيق مشاركة الملفات _{(AZ-WIN-00102)}	الوصف: يسمح لك إعداد النهج هذا بمراجعة محاولات الوصول إلى مجلد مشترك. الحالة الموصى بها لهذا الإعداد هي: `Success and Failure`. ملاحظة: لا توجد قوائم التحكم في الوصول إلى النظام (SACLs) للمجلدات المشتركة. إذا تم تمكين إعداد النهج هذا، يتم تدقيق الوصول إلى جميع المجلدات المشتركة على النظام. المسار الرئيسي: {0CCE9224-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\الوصول إلى الكائن\مشاركة ملف التدقيق تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.6.2 CIS WS2019 17.6.2	= النجاح والفشل _(تدقيق)	هام
تدقيق أحداث وصول عناصر أخرى _{(AZ-WIN-00113)}	الوصف: تبلغ هذه الفئة الفرعية عن الأحداث الأخرى المتعلقة بالوصول إلى العناصر مثل مهام جدولة المهام وعناصر COM+. تتضمن أحداث هذه الفئة الفرعية ما يلي: — 4671: جرت محاولة تطبيق للوصول إلى ترتيبي محظور من خلال TBS. — 4691: طلب الوصول غير المباشر إلى عنصر. — 4698: أُنشئت مهمة مجدولة. — 4699: حذفت مهمة مجدولة. — 4700: تم تمكين مهمة مجدولة. — 4701: عطلت مهمة مجدولة. — 4702: تم تحديث مهمة مجدولة. — 5888: تم تعديل عنصر في كتالوج COM+. — 5889: حذف عنصر من كتالوج COM+. — 5890: أضيف عنصر إلى كتالوج COM+. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9227-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Success and Failure`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Other Object Access Events تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.6.3	= النجاح والفشل _(تدقيق)	هام
تدقيق مساحات التخزين القابلة للإزالة _{(CCE-37617-8)}	الوصف: يسمح لك إعداد النهج هذا بمراجعة محاولات المستخدم للوصول إلى عناصر نظام الملفات على جهاز تخزين قابل للإزالة. أنشئ حدث تدقيق أمان لكافة العناصر لجميع أنواع الوصول المطلوبة فقط. إذا قمت بتكوين إعداد النهج هذا، يتم إنشاء حدث تدقيق في كل مرة يصل فيها حساب إلى عنصر نظام ملفات على تخزين قابل للإزالة. تسجل عمليات تدقيق النجاح المحاولات الناجحة كما تسجل عمليات تدقيق الفشل المحاولات غير الناجحة. إذا قمت بتكوين إعداد النهج هذا، يتم إنشاء حدث تدقيق في كل مرة يصل فيها حساب إلى عنصر نظام ملفات على تخزين قابل للإزالة. الحالة الموصى بها لهذا الإعداد هي: `Success and Failure`. ملاحظة: مطلوب Windows 8 أو Server 2012 (غير R2) أو نظام تشغيل أعلى للوصول إلى هذه القيمة وتعيينها في نهج المجموعة. المسار الرئيسي: {0CCE9245-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Success and Failure`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Removable Storage تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4	= النجاح والفشل _(تدقيق)	هام

نهج تدقيق النظام - تغيير النهج

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق تغيير نهج المصادقة _{(CCE-38327-3)}	الوصف: تبلغ هذه الفئة الفرعية عن التغييرات في نهج المصادقة. تتضمن أحداث هذه الفئة الفرعية: — 4706: أُنشئت ثقة جديدة لمجال. — 4707: أزيلت الثقة بمجال. — 4713: تمت عملية تغيير نهج Kerberos. — 4716: عدلت معلومات المجال الموثوق بها. — 4717: منح الوصول إلى أمان النظام إلى حساب. — 4718: أزيل الوصول إلى أمان النظام من حساب. — 4739: غير نهج المجال. — 4864: كشف عن تضارب مساحة الاسم. — 4865: أضيف إدخال معلومات الغابة الموثوق بها. — 4866: أزيل إدخال معلومات الغابة الموثوق بها. — 4867: عدل إدخال معلومات الغابة الموثوق بها. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9230-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Success`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Authentication Policy Change تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.7.2	>= نجاح _(تدقيق)	هام
تدقيق تغيير نهج التخويل _{(CCE-36320-0)}	الوصف: تبلغ هذه الفئة الفرعية عن التغييرات في نهج التخويل. تتضمن أحداث هذه الفئة الفرعية: - 4704: تم تعيين حق مستخدم. - 4705: تمت إزالة حق المستخدم. - 4706: تم إنشاء ثقة جديدة لمجال. - 4707: تمت إزالة الثقة بمجال. - 4714: تم تغيير نهج استرداد البيانات المشفرة. تتضمن الحالة الموصى بها لهذا الإعداد:`Success`. المسار الرئيسي: {0CCE9231-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\تغيير النهج\تغيير نهج التخويل للتدقيق تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.7.3 CIS WS2019 17.7.3	>= نجاح _(تدقيق)	هام
تدقيق تغيير النهج على مستوى القاعدة MPSSVC _{(AZ-WIN-00111)}	الوصف: تبلغ هذه الفئة الفرعية عن التغييرات في قواعد النهج المستخدمة من خلال خدمة حماية Microsoft (MPSSVC.exe). تستخدم هذه الخدمة من قبل جدار حماية Windows وMicrosoft OneCare. تتضمن أحداث هذه الفئة الفرعية: — 4944: كان النهج التالي نشطًا عند بدء تشغيل جدار حماية Windows. — 4945: أدرجت قاعدة عند بدء تشغيل جدار حماية Windows. — 4946: أجري تغيير على قائمة استثناءات جدار حماية Windows. أضيفت قاعدة. — 4947: تم إجراء تغيير على قائمة استثناءات جدار حماية Windows. عدلت قاعدة. — 4948: أجري تغيير على قائمة استثناءات جدار حماية Windows. حذفت قاعدة. — 4949: استعيدت إعدادات جدار حماية Windows إلى القيم الافتراضية. — 4950: غيرت إعداد جدار حماية Windows. — 4951: تم تجاهل قاعدة بسبب أن رقم الإصدار الرئيسي لم يتم التعرف عليه من قبل جدار حماية Windows. — 4952: تم تجاهل جزء من قاعدة لأن رقم الإصدار الرئيسي لم يتم التعرف عليه من قبل جدار حماية Windows. ستفرض الأجزاء الأخرى من القاعدة. — 4953: تم تجاهل قاعدة بواسطة جدار حماية Windows لأنها لم تتمكن من توزيع القاعدة. — 4954: تغيرت إعدادات نهج المجموعة جدار حماية Windows. نم تأكيد تطبيق الإعدادات. — 4956: غير جدار حماية Windows ملف التعريف النشط. — 4957: لم يطبق جدار حماية Windows القاعدة التالية: — 4958: لم يطبق جدار حماية Windows القاعدة التالية لأن القاعدة تشير إلى العناصر التي لم تكون على هذا الكمبيوتر: راجع مقالة Microsoft Knowledgebase «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9232-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Success and Failure`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit MPSSVC Rule-Level Policy Change تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.7.4	= النجاح والفشل _(تدقيق)	هام
تدقيق أحداث تغيير النهج الأخرى _{(AZ-WIN-00114)}	الوصف: تحتوي هذه الفئة الفرعية على أحداث حول تغييرات نهج عامل استرداد بيانات EFS، والتغييرات في عامل تصفية النظام الأساسي لتصفية Windows، والحالة على تحديثات إعدادات نهج الأمان لإعدادات نهج المجموعة المحلية، وتغييرات نهج الوصول المركزي، وأحداث استكشاف الأخطاء وإصلاحها التفصيلية لعمليات الجيل التالي من التشفير (CNG). - 5063: تمت محاولة عملية موفر تشفير. - 5064: تمت محاولة عملية سياق تشفير. - 5065: تمت محاولة تعديل سياق التشفير. - 5066: تمت محاولة عملية دالة تشفير. - 5067: تمت محاولة تعديل وظيفة التشفير. - 5068: تمت محاولة عملية موفر وظيفة التشفير. - 5069: تمت محاولة عملية خاصية وظيفة التشفير. - 5070: تمت محاولة تعديل خاصية وظيفة التشفير. - 6145: حدث خطأ واحد أو أكثر أثناء معالجة نهج الأمان في كائنات نهج المجموعة. تتضمن الحالة الموصى بها لهذا الإعداد:`Failure`. المسار الرئيسي: {0CCE9234-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\تغيير النهج\تدقيق أحداث تغيير النهج الأخرى تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.7.5 CIS WS2019 17.7.5	>= الفشل _(تدقيق)	هام
تغيير سياسة التدقيق _{(CCE-38028-7)}	الوصف: تبلغ هذه الفئة الفرعية عن التغييرات في نهج التدقيق، بما في ذلك تغييرات قائمة التحكم بالوصول للنظام. تتضمن أحداث هذه الفئة الفرعية: — 4715: غير نهج التدقيق (قائمة التحكم بالوصول للنظام) على عنصر. — 4719: تم تغيير نهج التدقيق الخاص بالنظام. — 4902: أنشئ جدول نهج التدقيق لكل مستخدم. — 4904: جرت محاولة تسجيل مصدر حدث أمان. — 4905: جرت محاولة إلغاء تسجيل مصدر حدث أمان. — 4906: تغيرت قيمة «CrashOnAuditFail». — 4907: تم تغيير إعدادات التدقيق على العنصر. — 4908: تم تعديل جدول تسجيل دخول مجموعات خاصة. — 4912: تم تغيير نهج تدقيق لكل مستخدم. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE922F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\تغيير النهج\تغيير نهج التدقيق تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.7.1	>= نجاح _(تدقيق)	هام

نهج تدقيق النظام - استخدام الامتياز

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق استخدام الامتيازات الحساسة _{(CCE-36267-3)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عندما يستخدم حساب مستخدم أو خدمة امتيازًا حساسًا. يتضمن الامتياز الحساس حقوق المستخدم التالية: العمل كجزء من نظام التشغيل، وملفات النسخ الاحتياطي والدلائل، وإنشاء عنصر رمز مميز، وبرامج تتبع الأخطاء، وتمكين حسابات الكمبيوتر والمستخدمين للوثوق بها للتفويض، وإنشاء عمليات تدقيق الأمان، وانتحال شخصية عميل بعد المصادقة، وتحميل برامج تشغيل الأجهزة وتفريغها، وإدارة سجل التدقيق والأمان، وتعديل قيم بيئة البرامج الثابتة، استبدال رمز مميز على مستوى العملية، واستعادة الملفات والدلائل، وتملك الملفات أو العناصر الأخرى. تدقيق هذه الفئة الفرعية سيؤدي إلى إنشاء حجم كبير من الأحداث. تشمل أحداث هذه الفئة الفرعية: — 4672: الامتيازات الخاصة المعينة لتسجيل الدخول الجديد. — 4673: تم استدعاء خدمة امتياز. — 4674: جرت محاولة عملية على عنصر مميز. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9228-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Success and Failure`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Privilege Use\Audit Sensitive Privilege Use تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.8.1	= النجاح والفشل _(تدقيق)	هام

نهج تدقيق النظام - النظام

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
تدقيق برنامج تشغيل IPsec _{(CCE-37853-9)}	الوصف: تبلغ هذه الفئة الفرعية عن أنشطة برنامج تشغيل أمان بروتوكول الإنترنت (IPsec). تتضمن أحداث هذه الفئة الفرعية: - 4960: أسقطت IPsec حزمة واردة فشلت في التحقق من التكامل. إذا استمرت هذه المشكلة، فقد تشير إلى مشكلة في الشبكة أو أنه يتم تعديل الحزم أثناء النقل إلى هذا الكمبيوتر. تحقق من أن الحزم المرسلة من الكمبيوتر البعيد هي نفسها التي يتلقاها هذا الكمبيوتر. قد يشير هذا الخطأ أيضا إلى مشاكل إمكانية التشغيل التفاعلي مع تطبيقات IPsec الأخرى. - 4961: أسقطت IPsec حزمة واردة فشلت في التحقق من إعادة التشغيل. إذا استمرت هذه المشكلة، فقد تشير إلى هجوم إعادة التشغيل على هذا الكمبيوتر. - 4962: أسقطت IPsec حزمة واردة فشلت في التحقق من إعادة التشغيل. تحتوي الحزمة الواردة على رقم تسلسل منخفض جدا للتأكد من أنها لم تكن إعادة تشغيل. - 4963: أسقطت IPsec حزمة نصية واضحة واردة كان يجب تأمينها. ويرجع ذلك عادة إلى تغيير الكمبيوتر البعيد نهج IPsec الخاص به دون إبلاغ هذا الكمبيوتر. قد تكون هذه أيضا محاولة هجوم تزييف. - 4965: تلقت IPsec حزمة بيانات من كمبيوتر بعيد مع فهرس معلمة أمان (SPI) غير صحيح. يحدث هذا عادة بسبب تعطل الأجهزة التي تتلف الحزم. إذا استمرت هذه الأخطاء، فتحقق من أن الحزم المرسلة من الكمبيوتر البعيد هي نفسها تلك التي يتلقاها هذا الكمبيوتر. قد يشير هذا الخطأ أيضا إلى مشاكل إمكانية التشغيل التفاعلي مع تطبيقات IPsec الأخرى. في هذه الحالة، إذا لم يتم إعاقة الاتصال، فيمكن تجاهل هذه الأحداث. - 5478: بدأت خدمات IPsec بنجاح. - 5479: تم إغلاق خدمات IPsec بنجاح. يمكن أن يؤدي إيقاف تشغيل IPsec Services إلى تعريض الكمبيوتر لمخاطر أكبر من هجوم الشبكة أو تعريض الكمبيوتر لمخاطر أمنية محتملة. - 5480: فشلت خدمات IPsec في الحصول على القائمة الكاملة لواجهات الشبكة على الكمبيوتر. يشكل هذا خطرا أمنيا محتملا لأن بعض واجهات الشبكة قد لا تحصل على الحماية التي توفرها عوامل تصفية IPsec المطبقة. استخدم الأداة الإضافية "مراقبة أمان IP" لتشخيص المشكلة. - 5483: فشلت خدمات IPsec في تهيئة خادم RPC. تعذر بدء تشغيل خدمات IPsec. - 5484: واجهت خدمات IPsec فشلا فادحا وتم إيقاف تشغيلها. يمكن أن يؤدي إيقاف تشغيل IPsec Services إلى تعريض الكمبيوتر لمخاطر أكبر من هجوم الشبكة أو تعريض الكمبيوتر لمخاطر أمنية محتملة. - 5485: فشلت خدمات IPsec في معالجة بعض عوامل تصفية IPsec على حدث التوصيل والتشغيل لواجهات الشبكة. يشكل هذا خطرا أمنيا محتملا لأن بعض واجهات الشبكة قد لا تحصل على الحماية التي توفرها عوامل تصفية IPsec المطبقة. استخدم الأداة الإضافية "مراقبة أمان IP" لتشخيص المشكلة. الحالة الموصى بها لهذا الإعداد هي: `Success and Failure`. المسار الرئيسي: {0CCE9213-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\النظام\تدقيق برنامج تشغيل IPsec تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.9.1 CIS WS2019 17.9.1	>= النجاح والفشل _(تدقيق)	هام
تدقيق أحداث النظام الأخرى _{(CCE-38030-3)}	الوصف: تقارير هذه الفئة الفرعية عن أحداث النظام الأخرى. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 5024: بدأت خدمة جدار حماية Windows بنجاح. - 5025 : تم إيقاف خدمة جدار حماية Windows. - 5027: تعذر على خدمة جدار حماية Windows استرداد نهج الأمان من التخزين المحلي. ستستمر الخدمة في فرض النهج الحالي. - 5028: تعذر على خدمة جدار حماية Windows تحليل نهج الأمان الجديد. ستستمر الخدمة في النهج المفروض حاليا. - 5029: فشلت خدمة جدار حماية Windows في تهيئة برنامج التشغيل. ستستمر الخدمة في فرض النهج الحالي. - 5030: فشل بدء تشغيل خدمة جدار حماية Windows. - 5032: تعذر على جدار حماية Windows إعلام المستخدم بأنه منع تطبيقا من قبول الاتصالات الواردة على الشبكة. - 5033: بدأ برنامج تشغيل جدار حماية Windows بنجاح. - 5034: تم إيقاف برنامج تشغيل جدار حماية Windows. - 5035: فشل تشغيل برنامج تشغيل جدار حماية Windows. - 5037: اكتشف برنامج تشغيل جدار حماية Windows خطأ وقت التشغيل الحرج. انهاء. - 5058: عملية ملف المفتاح. - 5059: عملية ترحيل المفاتيح. الحالة الموصى بها لهذا الإعداد هي: `Success and Failure`. المسار الرئيسي: {0CCE9214-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\النظام\تدقيق أحداث النظام الأخرى تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 17.9.2 CIS WS2019 17.9.2	= النجاح والفشل _(تدقيق)	هام
تدقيق تغيير حالة الأمان _{(CCE-38114-5)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن التغييرات في حالة الأمان للنظام، مثل وقت بدء النظام الفرعي للأمان وإيقافه. تشمل أحداث هذه الفئة الفرعية ما يلي: — 4608: يبدأ تشغيل Windows. — 4609: يتم إيقاف تشغيل Windows. — 4616: غير وقت النظام. — 4621: قام المسؤول باستعادة النظام من CrashOnAuditFail. سيتاح الآن للمستخدمين الذين ليسوا مسؤولين تسجيل الدخول. ربما لم تسجل بعض الأنشطة القابلة للتدقيق. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9210-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Success`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security State Change تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.9.3	>= نجاح _(تدقيق)	هام
تدقيق ملحق نظام الأمان _{(CCE-36144-4)}	الوصف: تبلغ هذه الفئة الفرعية عن تحميل التعليمات البرمجية للملحق مثل حزم المصادقة من خلال نظام الأمان الفرعي. تشمل أحداث هذه الفئة الفرعية ما يلي: — 4610: تم تحميل حزمة مصادقة من قبل هيئة الأمان المحلية. — 4611: سجلت عملية تسجيل دخول موثوق بها لدى هيئة الأمن المحلي. — 4614: تم تحميل حزمة إعلام بواسطة Security Account Manager. — 4622: تم تحميل حزمة أمان بواسطة هيئة الأمن المحلية. — 4697: تم تثبيت خدمة في النظام. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9211-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Success`: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security System Extension تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.9.4	>= نجاح _(تدقيق)	هام
تدقيق سلامة النظام _{(CCE-37132-8)}	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن انتهاكات تكامل النظام الفرعي للأمان. كما تشمل أحداث هذه الفئة الفرعية ما يلي: - 4612: تم استنفاد الموارد الداخلية المخصصة لوضع رسائل التدقيق في قائمة الانتظار، مما أدى إلى فقدان بعض عمليات التدقيق. — 4615: استخدام غير صالح لمنفذ LPC. — 4618: حدث مراقب لنمط حدث أمان. — 4816 : كشف استدعاء إجراء عن بُعد عن انتهاك تكامل أثناء فك تشفير رسالة واردة. — 5038: حدد تكامل التعليمات البرمجية أن تجزئة صورة ملف غير صحيحة. ربما يكون الملف تالفًا بسبب تعديل غير مصرح به أو قد تشير التجزئة غير الصالحة إلى خطأ محتمل في جهاز القرص. — 5056: أجري اختبار ذاتي للتشفير. — 5057: فشلت عملية تشفير مبدئية. — 5060: فشلت عملية تحقق. — 5061: عمليات التشفير. — 5062: تم إجراء اختبار ذاتي لوضع التشفير لوضع النواة. راجع مقالة قاعدة معارف Microsoft «وصف أحداث الأمان في Windows Vista وفي Windows Server 2008» للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9212-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى "النجاح والفشل:" Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit System Integrity تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 17.9.5	= النجاح والفشل _(تدقيق)	هام

تعيين حقوق المستخدم

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
إدارة بيانات اعتماد الوصول كمتصل موثوق به _{(CCE-37056-9)}	الوصف: يستخدم إعداد الأمان هذا من قبل إدارة بيانات الاعتماد أثناء النسخ الاحتياطي والاستعادة. يجب ألا يكون لدى أي حسابات حق هذا المستخدم، حيث يتم تعيينه فقط إلى Winlogon. ربما يتم اختراق بيانات اعتماد المستخدمين المحفوظة إذا تم تعيين حق المستخدم هذا إلى كيانات أخرى. الحالة الموصى بها لهذا الإعداد هي: `No One`. المسار الرئيسي: [Privilege Rights]SeTrustedCredManAccessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No One`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Access Credential Manager كمتصل موثوق به تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1	= لا أحد _(نهج)	تحذير
الوصول إلى هذا الكمبيوتر من الشبكة _{(CCE-35818-4)}	الوصف: يسمح إعداد النهج هذا للمستخدمين الآخرين على الشبكة بالاتصال بالكمبيوتر وهو مطلوب بواسطة بروتوكولات الشبكة المختلفة التي تتضمن بروتوكولات تستند إلى Server Message Block وNetBIOS ونظام ملفات الإنترنت الشائع ونموذج عنصر المكون Plus (COM+). - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: «المسؤولون، والمستخدمون المصادق عليهم، ووحدات تحكم مجال المؤسسة». - المستوى 1 - خادم العضو. الحالة الموصى بها لهذا الإعداد هي: «المسؤولون، المستخدمون المصادق عليهم». المسار الرئيسي: [Privilege Rights]SeNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتكوين مسار واجهة المستخدم التالي: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3	<= المسؤولون والمستخدمون المصادق عليهم _(نهج)	هام
العمل كجزء من نظام التشغيل _{(CCE-36876-1)}	الوصف: يتيح إعداد النهج هذا لعملية افتراض هوية أي مستخدم، ومن ثمّ الوصول إلى الموارد المخول للمستخدم بالوصول إليها. الحالة الموصى بها لهذا الإعداد هي: `No One`. المسار الرئيسي: [Privilege Rights]SeTcbPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No One`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Act كجزء من نظام التشغيل تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4	= لا أحد _(نهج)	هام
السماح بتسجيل دخول محلي _{(CCE-37659-0)}	الوصف: يحدد إعداد النهج هذا المستخدمين الذين بإمكانهم تسجيل الدخول بشكل تفاعلي إلى أجهزة الكمبيوتر في بيئتك. تتطلب عمليات تسجيل الدخول التي تبدأ بالضغط على تسلسل المفتاح CTRL+ALT+DEL على لوحة مفاتيح الكمبيوتر العميل حق المستخدم هذا. المستخدمين الذين يحاولون تسجيل الدخول من خلال «الخدمات الطرفية» أو خدمات معلومات الإنترنت أيضا تتطلب حق المستخدم هذا. يعين حساب الضيف لهذا المستخدم بشكل افتراضي. على الرغم من تعطيل هذا الحساب افتراضيًا، توصي Microsoft بتمكين هذا الإعداد من خلال نهج المجموعة. مع ذلك، يجب أن يقتصر حق المستخدم هذا بشكل عام على مجموعات المسؤولين والمستخدمين. قم بتعيين حق هذا المستخدم إلى مجموعة عوامل تشغيل النسخ الاحتياطي إذا كانت مؤسستك تتطلب أن يكون لديهم هذه الإمكانية. عند تكوين حق مستخدم في مدير التحكم بالخدمة أدخل قائمة حسابات محددة بفاصلة. من الممكن أن تكون الحسابات محلية أو موجودة في Active Directory، ويمكن أن تكون مجموعات أو مستخدمين أو أجهزة كمبيوتر. المسار الرئيسي: [Privilege Rights]SeInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتكوين مسار واجهة المستخدم التالي: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.2.7	= المسؤولون _(نهج)	هام
السماح بتسجيل الدخول عبر خدمات سطح المكتب البعيد _{(CCE-37072-6)}	الوصف: يحدد إعداد النهج هذا المستخدمين أو المجموعات الذين لديهم الحق في تسجيل الدخول كعميل خدمات طرفية. يحتاج مستخدمو سطح المكتب البعيد إلى حق المستخدم هذا. في حال كانت مؤسستك تستخدم المساعدة عن بعد كجزء من استراتيجية مكتب المساعدة الخاصة بها، فأنشئ مجموعة وقم بتعيينها إلى حق المستخدم هذا من خلال نهج المجموعة. في حال لم يستخدم مكتب المساعدة في مؤسستك «المساعدة عن بعد»، فقم بتعيين حق المستخدم هذا فقط إلى مجموعة المسؤولين أو استخدم ميزة المجموعات المقيدة للتأكد من عدم وجود حسابات مستخدمين كجزء من مجموعة مستخدمي سطح المكتب البعيد. قم بتقييد هذا المستخدم مباشرة إلى مجموعة المسؤولين، وربما مجموعة مستخدمي سطح المكتب البعيد، لمنع المستخدمين غير المرغوب فيهم من الوصول إلى أجهزة الكمبيوتر على شبكتك عن طريق ميزة المساعدة عن بعد. - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: «المسؤولون». - المستوى 1 - خادم العضو. الحالة الموصى بها لهذا الإعداد هي: «المسؤولون، مستخدمو سطح المكتب البعيد». ملاحظه: سيتطلب خادم الأعضاء الذي يحتفظ بدور خدمات سطح المكتب البعيد مع خدمة دور وسيط اتصال سطح المكتب البعيد استثناءً خاصًا لهذه التوصية، للسماح بمنح مجموعة "المستخدمين المصادق عليهم" هذا المستخدم الحق. ملاحظة 2: وينبغي أن تعامل القوائم المذكورة أعلاه على أنها قوائم السماح، ما يعني أنه لا يلزم وجود الأساسيات المذكورة أعلاه لتقييم هذه التوصية لإقرارها. Key Path: [Privilege Rights]SeRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتكوين مسار واجهة المستخدم التالي: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on through Remote Desktop Services تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9	<= المسؤولون، مستخدمو سطح المكتب البعيد _(نهج)	هام
إنشاء ملفات ودلائل _{(CCE-35912-5)}	الوصف: يسمح إعداد النهج هذا للمستخدمين بالالتفاف على أذونات الملفات والدليل لتنفيذ النسخ الاحتياطي للنظام. يتم تمكين حق المستخدم هذا فقط عندما يحاول تطبيق (مثل NTBACKUP) الوصول إلى ملف أو دليل من خلال واجهة برمجة تطبيق النسخ الاحتياطي لنظام ملفات NTFS (واجهة برمجة التطبيقات). وإلا، تطبق أذونات الملف والدليل المعينة. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeBackupPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Back up files and directories تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10	<= المسؤولون، ومشغلو النسخ الاحتياطي، ومشغلو الخادم _(نهج)	هام
تجاوز فحص الاجتياز _{(AZ-WIN-00184)}	الوصف: يسمح إعداد النهج هذا للمستخدمين الذين ليس لديهم إذن الوصول إلى مجلد Traverse بالمرور عبر المجلدات عند استعراض مسار عنصر في نظام ملفات NTFS أو السجل. لا يتيح حق المستخدم هذا للمستخدمين بإدراج محتويات مجلد. عند تكوين حق مستخدم في مدير التحكم بالخدمة أدخل قائمة حسابات محددة بفاصلة. من الممكن أن تكون الحسابات محلية أو موجودة في Active Directory، ويمكن أن تكون مجموعات أو مستخدمين أو أجهزة كمبيوتر. المسار الرئيسي: [Privilege Rights]SeChangeNotifyPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: تكوين قيمة النهج ل Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Bypass traverse checking لتضمين الحسابات أو المجموعات التالية فقط: `Administrators, Authenticated Users, Backup Operators, Local Service, Network Service` تعيينات التوافق القياسية:	<= المسؤولون والمستخدمون المصادق عليهم ومشغلو النسخ الاحتياطي والخدمة المحلية وخدمة الشبكة _(نهج)	هام
تغيير وقت النظام _{(CCE-37452-0)}	الوصف: يحدد إعداد النهج هذا المستخدمين والمجموعات الذين بإمكانهم تغيير الوقت والتاريخ على الساعة الداخلية لأجهزة الكمبيوتر في بيئتك. يمكن للمستخدمين الذين عين لعم حق المستخدم هذا التأثير على مظهر سجلات الأحداث. عند تغيير إعداد وقت الكمبيوتر، تعكس الأحداث المسجلة الوقت الجديد، ولكن ليس الوقت الفعلي الذي وقعت فيه الأحداث. عند تكوين حق مستخدم في مدير التحكم بالخدمة أدخل قائمة حسابات محددة بفاصلة. من الممكن أن تكون الحسابات محلية أو موجودة في Active Directory، ويمكن أن تكون مجموعات أو مستخدمين أو أجهزة كمبيوتر. ملاحظة: قد تتسبب التناقضات بين الوقت على الكمبيوتر المحلي ووحدات التحكم بالمجال في بيئتك في حدوث مشاكل لبروتوكول مصادقة Kerberos، ما قد يجعل من المستحيل على المستخدمين تسجيل الدخول إلى المجال أو الحصول على تخويل للوصول إلى موارد المجال بعد أن يقوموا بتسجيل الدخول. كما أنه ستحدث مشكلات عند تطبيق نهج المجموعة على أجهزة الكمبيوتر العميلة إذا لم تتم مزامنة وقت النظام مع وحدات التحكم بالمجال. الحالة الموصى بها لهذا الإعداد هي: `Administrators, LOCAL SERVICE`. المسار الرئيسي: [Privilege Rights]SeSystemtimePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators, LOCAL SERVICE`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Change the system time تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.2.11 CIS WS2022 2.2.11	<= المسؤولون، ومشغلو الخادم، والخدمة المحلية _(نهج)	هام
تغيير المنطقة الزمنية _{(CCE-37700-2)}	الوصف: يحدد هذا الإعداد المستخدمين الذين بإمكانهم تغيير المنطقة الزمنية للكمبيوتر. لا تحمل هذه القدرة خطرًا كبيرًا على الكمبيوتر وقد تكون مفيدة للعمال المتنقلين. الحالة الموصى بها لهذا الإعداد هي: `Administrators, LOCAL SERVICE`. المسار الرئيسي: [Privilege Rights]SeTimeZonePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators, LOCAL SERVICE`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Change the time zone تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.2.12 CIS WS2022 2.2.12	<= المسؤولون، الخدمة المحلية _(نهج)	هام
إنشاء ملف صفحة _{(CCE-35821-8)}	الوصف: يتيح إعداد النهج هذا للمستخدمين تغيير حجم ملف الصفحة. من خلال جعل ملف الصفحة كبيرًا للغاية أو صغيرًا للغاية، يمكن للمخترق أن يؤثر بسهولة على أداء جهاز كمبيوتر مخترق. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeCreatePagefilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create a pagefile تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13	= المسؤولون _(نهج)	هام
إنشاء عنصر رمز مميز _{(CCE-36861-3)}	الوصف: يتيح إعداد النهج هذا لعملية إنشاء رمز مميز للوصول، والذي قد يوفر حقوقًا مرتفعة للوصول إلى البيانات الحساسة. الحالة الموصى بها لهذا الإعداد هي: `No One`. المسار الرئيسي: [Privilege Rights]SeCreateTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No One`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create aken object تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14	= لا أحد _(نهج)	تحذير
إنشاء عناصر عمومية _{(CCE-37453-8)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن للمستخدمين إنشاء عناصر عمومية متوفرة لجميع جلسات العمل. لا يزال بإمكان المستخدمين إنشاء عناصر خاصة بجلسة العمل الخاصة بهم في حال يكن لديهم حق هذا المستخدم. بإمكان المستخدمين الذين يمكنهم إنشاء عناصر عمومية التأثير على العمليات التي تعمل ضمن جلسات عمل المستخدمين الآخرين. ربما تؤدي هذه الإمكانية إلى مجموعة متنوعة من المشاكل، مثل فشل التطبيق أو تلف البيانات. الحالة الموصى بها لهذا الإعداد هي: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. ملاحظة: سيتطلب خادم العضو المثبت عليه Microsoft SQL Server ومكون «خدمات التكامل» الاختياري الخاص به استثناء خاصا لهذه التوصية لمنح هذا المستخدم حق إدخالات إضافية تم إنشاؤها بواسطة لغة الاستعلامات المركبة. المسار الرئيسي: [Privilege Rights]SeCreateGlobalPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create global objects تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15	<= المسؤولون، الخدمة، الخدمة المحلية، خدمة الشبكة _(نهج)	تحذير
إنشاء عناصر مشتركة دائمة _{(CCE-36532-0)}	الوصف: يعتبر حق المستخدم هذا مفيدا لمكونات وضع kernel التي توسع مساحة اسم العنصر. مع ذلك، فإن المكونات التي تعمل في وضع kernel لها حق هذا المستخدم بطبيعته. لذلك، ليس ضروريًا عادة تعيين حق المستخدم هذا على وجه التحديد. الحالة الموصى بها لهذا الإعداد هي: `No One`. المسار الرئيسي: [Privilege Rights]SeCreatePermanentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No One`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create permanent shared objects تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16	= لا أحد _(نهج)	تحذير
إنشاء ارتباطات رمزية _{(CCE-35823-4)}	الوصف: يحدد إعداد النهج هذا المستخدمين الذين بإمكانهم إنشاء ارتباطات رمزية. في Windows Vista، من الممكن الوصول إلى عناصر نظام ملفات NTFS الموجودة، مثل الملفات والمجلدات، بالإشارة إلى نوع جديد من عناصر نظام الملفات يسمى ارتباط رمزي. يعتبر الارتباط الرمزي مؤشرًا (يشبه إلى حد كبير اختصارًا أو ملف .lnk) إلى عنصر نظام ملفات آخر، والذي يمكن أن يكون ملفًا أو مجلدًا أو اختصارًا أو ارتباطًا رمزيًا آخر. الفرق بين الاختصار والارتباط الرمزي هو أن الاختصار يعمل من داخل Windows shell فقط. بالنسبة إلى البرامج والتطبيقات الأخرى، الاختصارات هي مجرد ملف آخر، بينما مع الارتباطات الرمزية، يتم تطبيق مفهوم الاختصار كميزة لنظام ملفات NTFS. من الممكن أن تعرض الارتباطات الرمزية الثغرات الأمنية في التطبيقات غير المصممة لاستخدامها. ولهذا السبب، لا بد من تعيين امتياز إنشاء ارتباطات رمزية فقط للمستخدمين الموثوق بهم. بشكل افتراضي، بإمكان المسؤولين فقط إنشاء ارتباطات رمزية. - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: «المسؤولون». - المستوى 1 - خادم العضو. الحالة الموصى بها لهذا الإعداد هي: «المسؤولون» و(عند تثبيت دور Hyper-V ) «NT VIRTUAL MACHINE\Virtual Machines». المسار الرئيسي: [Privilege Rights]SeCreateSymbolicLinkPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لتنفيذ حالة التكوين الموصى بها، قم بتكوين مسار واجهة المستخدم التالي: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\النهج المحلية\تعيين حقوق المستخدم\إنشاء ارتباطات رمزية تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18	<= المسؤولون، NT VIRTUAL MACHINE\Virtual Machines _(نهج)	هام
برامج تتبع الأخطاء _{(AZ-WIN-73755)}	الوصف: يحدد إعداد النهج هذا حسابات المستخدمين التي سيكون لها الحق في إرفاق مصحح أخطاء بأي عملية أو إلى النواة، والتي توفر وصولا كاملا إلى مكونات نظام التشغيل الحساسة والهامة. لا يحتاج المطورون الذين يقومون بتصحيح أخطاء تطبيقاتهم الخاصة إلى تعيين حق المستخدم هذا؛ ومع ذلك، سيحتاج إليه المطورون الذين يقومون بتصحيح مكونات النظام الجديدة. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. ملاحظة: يعتبر حق المستخدم هذا "امتيازا حساسا" لأغراض التدقيق. المسار الرئيسي: [Privilege Rights]SeDebugPrivilege نظام التشغيل: WS2016، WS2019 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\النهج المحلية\تعيين حقوق المستخدم\تصحيح البرامج تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.2.19 CIS WS2019 2.2.19	= المسؤولون _(نهج)	هام
رفض الوصول إلى هذا الكمبيوتر من الشبكة _{(CCE-37954-5)}	الوصف: يمنع إعداد النهج هذا المستخدمين من الاتصال بجهاز كمبيوتر عبر الشبكة، ما يتيح للمستخدمين الوصول إلى البيانات ومن المحتمل أن يتم تعديلها عن بعد. في البيئات عالية الأمان، لا يجب أن تكون هناك حاجة للمستخدمين عن بعد للوصول إلى البيانات على جهاز كمبيوتر. وبدلاً من ذلك، لا بد من إنجاز مشاركة الملفات من خلال استخدام خوادم الشبكة. - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي تضمين: «الضيوف، الحساب المحلي». - المستوى 1 - خادم العضو. الحالة الموصى بها لهذا الإعداد هي تضمين: «الضيوف والحساب المحلي وعضو مجموعة المسؤولين». تحذير: قد يؤدي تكوين خادم مستقل (غير مرتبط بالمجال) كما هو موضح أعلاه إلى عدم القدرة على إدارة الخادم عن بعد. ملاحظة: قد يؤثر تكوين خادم عضو أو خادم مستقل كما هو موضح أعلاه سلبا على التطبيقات التي تقوم بإنشاء حساب خدمة محلي ووضعه في مجموعة المسؤولين - وفي هذه الحالة يجب عليك إما تحويل التطبيق لاستخدام حساب خدمة مستضاف على المجال، أو إزالة الحساب المحلي وعضو مجموعة المسؤولين من تعيين حق المستخدم هذا. كما يفضل بشدة استخدام حساب خدمة مستضاف على المجال على إجراء استثناء لهذه القاعدة، حيثما أمكن ذلك. المسار الرئيسي: [Privilege Rights]SeDenyNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتكوين مسار واجهة المستخدم التالي: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny access to this computer from the network تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21	>= الضيوف _(نهج)	هام
رفض تسجيل دخول كوظيفة دفعية _{(CCE-36923-1)}	الوصف: يحدد إعداد النهج هذا الحسابات التي لن تتمكن من تسجيل الدخول إلى الكمبيوتر كوظيفة دفعية. الوظيفة الدفعية ليست ملف دفعة (.bat)، ولكن بدلاً من ذلك مرفق قائمة انتظار الدفعات. تعد الحسابات التي تستخدم جدولة المهام لجدولة المهام بحاجة إلى حق المستخدم هذا. يتجاوز حق رفض تسجيل الدخول كمستخدم وظيفة دفعية حق تسجيل الدخول كمستخدم وظيفة دفعية، والذي يمكن استخدامه للسماح للحسابات بجدولة المهام التي تستهلك موارد النظام الزائدة. قد يتسبب مثل هذا التكرار في حالة هجوم لقطع الخدمة. ربما يكون الفشل في تعيين حق هذا المستخدم إلى الحسابات الموصى بها خطرًا أمنيًا. تتضمن الحالة الموصى بها لهذا الإعداد:`Guests`. المسار الرئيسي: [Privilege Rights]SeDenyBatchLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Guests`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22	>= الضيوف _(نهج)	هام
رفض تسجيل الدخول كخدمة _{(CCE-36877-9)}	الوصف: يحدد إعداد الأمان هذا حسابات الخدمة التي تمنع من تسجيل عملية كخدمة. يحل إعداد النهج هذا محل إعداد نهج تسجيل الدخول كخدمة إذا كان الحساب خاضعًا لكلا النهجين. تتضمن الحالة الموصى بها لهذا الإعداد:`Guests`. ملاحظة: لا ينطبق إعداد الأمان هذا على حسابات النظام أو الخدمة المحلية أو خدمة الشبكة. المسار الرئيسي: [Privilege Rights]SeDenyServiceLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Guests`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23	>= الضيوف _(نهج)	هام
رفض تسجيل الدخول محليًا _{(CCE-37146-8)}	الوصف: يحدد إعداد الأمان هذا المستخدمين الذين يمنعون من تسجيل الدخول على الكمبيوتر. يحل إعداد النهج هذا محل إعداد نهج السماح بتسجيل الدخول محليًا إذا كان الحساب خاضعًا لكلا النهجين. مهم: إذا قمت بتطبيق نهج الأمان هذا على مجموعة الجميع، فلن يتمكن أي شخص من تسجيل الدخول محليًا. تتضمن الحالة الموصى بها لهذا الإعداد:`Guests`. Key Path: [Privilege Rights]SeDenyInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي لتضمين `Guests`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24	>= الضيوف _(نهج)	هام
رفض تسجيل الدخول من خلال خدمات سطح المكتب البعيد _{(CCE-36867-0)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن للمستخدمين تسجيل الدخول كعملاء خدمات طرفية أم لا. بعد ربط خادم عضو الأساس ببيئة مجال، ليست هناك حاجة لاستخدام الحسابات المحلية للوصول إلى الخادم من الشبكة. حسابات المجال يمكنها الوصول إلى الخادم للإدارة ومعالجة المستخدم النهائي. تتضمن الحالة الموصى بها لهذا الإعداد:`Guests, Local account`. تحذير: قد يؤدي تكوين خادم مستقل (غير مرتبط بالمجال) كما هو موضح أعلاه إلى عدم القدرة على إدارة الخادم عن بعد. Key Path: [Privilege Rights]SeDenyRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتكوين مسار واجهة المستخدم التالي: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on through Remote Desktop Services تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.2.26	>= الضيوف _(نهج)	هام
تمكين حسابات الكمبيوتر والمستخدم للثقة للتفويض _{(CCE-36860-5)}	الوصف: يسمح إعداد النهج هذا للمستخدمين بتغيير إعداد Trusted for Delegation على عنصر كمبيوتر في Active Directory. ربما يسمح إساءة استخدام هذا الامتياز للمستخدمين غير المصرح لهم بانتحال شخصية مستخدمين آخرين على الشبكة. - المستوى 1 - وحدة تحكم المجال. الحالة المُوصى بها لهذا الإعداد هي: «المسؤولون» - المستوى 1 - خادم الأعضاء. الحالة الموصى بها لهذا الإعداد هي: «لا أحد». المسار الرئيسي: [Privilege Rights]SeEnableDelegationPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتكوين مسار واجهة المستخدم التالي: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Enable computer and user accounts to be trusted for delegation تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28	= لا أحد _(نهج)	هام
فرض إيقاف التشغيل من نظام بعيد _{(CCE-37877-8)}	الوصف: يتيح إعداد النهج هذا للمستخدمين إيقاف تشغيل أجهزة الكمبيوتر المستندة إلى Windows Vista من المواقع البعيدة على الشبكة. من الممكن لأي شخص تم تعيين حق المستخدم هذا له أن يتسبب في حالة رفض الخدمة (DoS)، ما يجعل الكمبيوتر غير متوفر لطلبات مستخدم الخدمة. لذلك، يوصى بتعيين حق هذا المستخدم فقط للمسؤولين الموثوق بهم للغاية. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeRemoteShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Force shutdown from a remote system تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29	= المسؤولون _(نهج)	هام
إنشاء عمليات تدقيق الأمان _{(CCE-37639-2)}	الوصف: يحدد إعداد النهج هذا المستخدمين أو العمليات التي يمكنها أن تنشئ سجلات تدقيق في سجل الأمان. الحالة الموصى بها لهذا الإعداد هي: `LOCAL SERVICE, NETWORK SERVICE`. ملاحظة: سيتطلب خادم العضو الذي يحتفظ بدور خادم ويب (خدمات معلومات الإنترنت) مع خدمة دور خادم الويب استثناء خاصًا لهذه التوصية، للسماح بمنح تجمع (تجمعات) تطبيقات خدمات معلومات الإنترنت هذا المستخدم الحق. ملاحظة رقم 2: سيتطلب خادم العضو الذي يحتفظ بدور خدمات الأمان المشترك لـ Active Directory استثناء خاصًا لهذه التوصية، للسماح بمنح الخدمات `NT SERVICE\ADFSSrv` و`NT SERVICE\DRS`، بالإضافة إلى حساب خدمة خدمات الأمان المشترك لـ Active Directory المقترن حق المستخدم هذا. المسار الرئيسي: [Privilege Rights]SeAuditPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `LOCAL SERVICE, NETWORK SERVICE`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Generate security audits تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30	<= الخدمة المحلية، خدمة الشبكة، IIS APPPOOL\DefaultAppPool _(نهج)	هام
زيادة مجموعة عمل عملية _{(AZ-WIN-00185)}	الوصف: يحدد هذا الامتياز حسابات المستخدمين التي يمكن أن تزيد أو تقلل من حجم مجموعة عمل العملية. تعد مجموعة عمل العملية هي مجموعة صفحات الذاكرة المرئية حاليا للعملية في ذاكرة RAM الفعلية. هذه الصفحات مقيمة ومتاحة للتطبيق لاستخدامها دون تشغيل خطأ في الصفحة. الحد الأدنى والحد الأقصى لأحجام مجموعة العمل يؤثر على سلوك ترحيل الذاكرة الظاهرية لعملية ما. عند تكوين حق مستخدم في مدير التحكم بالخدمة أدخل قائمة حسابات محددة بفاصلة. من الممكن أن تكون الحسابات محلية أو موجودة في Active Directory، ويمكن أن تكون مجموعات أو مستخدمين أو أجهزة كمبيوتر. المسار الرئيسي: [Privilege Rights]SeIncreaseWorkingSetPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\النهج المحلية\تعيين حقوق المستخدم\زيادة مجموعة عمل العملية تعيينات التوافق القياسية:	<= المسؤولون، الخدمة المحلية _(نهج)	تحذير
زيادة أولوية الجدولة _{(CCE-38326-5)}	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن للمستخدمين زيادة فئة الأولوية الأساسية لعملية ما. (ليست عملية مميزة لزيادة الأولوية النسبية ضمن فئة الأولوية.) حق المستخدم هذا غير مطلوب من قبل الأدوات الإدارية التي يتم توفيرها مع نظام التشغيل ولكن قد يكون مطلوبًا من قبل أدوات تطوير البرامج. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeIncreaseBasePriorityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators, Window Manager\Window Manager Group`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Increase scheduling priority تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33	= المسؤولون _(نهج)	تحذير
تحميل برامج تشغيل الأجهزة وتفريغها _{(CCE-36318-4)}	الوصف: يتيح إعداد النهج هذا للمستخدمين تحميل برنامج تشغيل جهاز جديد بشكل ديناميكي على نظام. ربما يستخدم المخترق هذه الإمكانية لتثبيت تعليمات برمجية ضارة يبدو أنها برنامج تشغيل جهاز. يعد حق المستخدم هذا مطلوبًا للمستخدمين لإضافة طابعات محلية أو برامج تشغيل طابعة في Windows Vista. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeLoadDriverPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Load and unload device drivers تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34	<= المسؤولون، مشغلو الطباعة _(نهج)	تحذير
تأمين الصفحات في الذاكرة _{(CCE-36495-0)}	الوصف: يسمح إعداد النهج هذا للعملية بالاحتفاظ بالبيانات في الذاكرة الفعلية، ما يمنع النظام من ترحيل البيانات إلى الذاكرة الظاهرية على القرص. في حال تم تعيين حق المستخدم هذا، يمكن أن يحدث تدهورًا كبيرًا في أداء النظام. الحالة الموصى بها لهذا الإعداد هي: `No One`. المسار الرئيسي: [Privilege Rights]SeLockMemoryPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No One`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Lock pages in memory تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35	= لا أحد _(نهج)	تحذير
إدارة التدقيق وسجل الأمان _{(CCE-35906-7)}	الوصف: يحدد إعداد النهج هذا المستخدمين الذين بإمكانهم تغيير خيارات التدقيق للملفات والدلائل ومسح سجل الأمان. بالنسبة إلى البيئات التي تشغل Microsoft Exchange Server، يجب أن تمتلك مجموعة «خوادم Exchange» هذا الامتياز على وحدات تحكم المجال لتعمل بشكل صحيح. نظرًا لذلك، تتوافق DCs التي تمنح مجموعة "خوادم Exchange" هذا الامتياز مع هذا المعيار. إذا لم تستخدم البيئة Microsoft Exchange Server، فيجب أن يقتصر هذا الامتياز على "المسؤولين" فقط على DCs. - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: «المسؤولون و(عند تشغيل Exchange في البيئة) «خوادم Exchange». - المستوى 1 - خادم العضو. الحالة الموصى بها لهذا الإعداد هي: «المسؤولون». المسار الرئيسي: [Privilege Rights]SeSecurityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتكوين مسار واجهة المستخدم التالي: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Manage auditing and security log تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38	= المسؤولون _(نهج)	هام
تعديل تسمية عنصر _{(CCE-36054-5)}	الوصف: يحدد هذا الامتياز حسابات المستخدمين التي يمكنها تعديل تسمية تكامل الكائنات، مثل الملفات أو مفاتيح التسجيل أو العمليات التي يملكها مستخدمون آخرون. من الممكن للعمليات التي تعمل ضمن حساب مستخدم تعديل تسمية عنصر يملكه هذا المستخدم إلى مستوى أقل دون هذا الامتياز. الحالة الموصى بها لهذا الإعداد هي: `No One`. المسار الرئيسي: [Privilege Rights]SeRelabelPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `No One`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Modify an object label تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.2.39 CIS WS2022 2.2.39	= لا أحد _(نهج)	تحذير
تعديل قيم بيئة البرامج الثابتة _{(CCE-38113-7)}	الوصف: يتيح إعداد النهج هذا للمستخدمين تكوين متغيرات البيئة على مستوى النظام التي تؤثر على تكوين الأجهزة. عادة ما تخزن هذه المعلومات في آخر تكوين جيد معروف. تعديل هذه القيم يمكن أن يؤدي إلى فشل الأجهزة التي من شأنها أن تؤدي إلى حالة رفض الخدمة. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeSystemEnvironmentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Modify firmware environment values تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40	= المسؤولون _(نهج)	تحذير
تنفيذ مهام صيانة مستوى وحدة التخزين _{(CCE-36143-6)}	الوصف: يسمح إعداد النهج هذا للمستخدمين بإدارة تكوين وحدة التخزين أو القرص للنظام، مما قد يسمح للمستخدم بحذف وحدة تخزين والتسبب في فقدان البيانات بالإضافة إلى شرط رفض الخدمة. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeManageVolumePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Perform volume maintenance tasks تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41	= المسؤولون _(نهج)	تحذير
عملية واحدة لملف التعريف _{(CCE-37131-0)}	الوصف: يحدد إعداد النهج هذا المستخدمين الذين بإمكانهم استخدام الأدوات لمراقبة أداء العمليات غير المتعلقة بالنظام. عادة، لست بحاجة إلى تكوين هذا المستخدم الحق في استخدام الأداة الإضافية أداء وحدة تحكم إدارة Microsoft (MMC). مع ذلك، تحتاج إلى هذا المستخدم مباشرة في حال تم تكوين System Monitor لجمع البيانات باستخدام Windows Management Instrumentation (WMI). يؤدي تقييد حق مستخدم العملية الفردية لملف التعريف إلى منع المتسللين من الحصول على معلومات إضافية يمكن أن تستخدم لتحميل هجوم على النظام. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeProfileSingleProcessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Profile single process تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42	= المسؤولون _(نهج)	تحذير
أداء نظام ملف التعريف _{(CCE-36052-9)}	الوصف: يتيح إعداد النهج هذا للمستخدمين استخدام الأدوات لعرض أداء عمليات النظام المختلفة، والتي يمكن إساءة استخدامها للسماح للمهاجمين بتحديد العمليات النشطة للنظام وتوفير نظرة ثاقبة على سطح الهجوم المحتمل للكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: `Administrators, NT SERVICE\WdiServiceHost`. المسار الرئيسي: [Privilege Rights]SeSystemProfilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators, NT SERVICE\WdiServiceHost`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Profile system performance تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.2.43 CIS WS2022 2.2.43	<= المسؤولون، NT SERVICE\WdiServiceHost _(نهج)	تحذير
استبدال الرمز المميز على مستوى العملية _{(CCE-37430-6)}	الوصف: يسمح إعداد النهج هذا لعملية أو خدمة واحدة ببدء خدمة أو عملية أخرى برمز مميز مختلف للوصول إلى الأمان، والذي من الممكن استخدامه لتعديل رمز الوصول إلى الأمان لتلك العملية الفرعية ويؤدي إلى تصعيد الامتيازات. الحالة الموصى بها لهذا الإعداد هي: `LOCAL SERVICE, NETWORK SERVICE`. ملاحظة: سيتطلب خادم العضو الذي يحتفظ بدور خادم ويب (خدمات معلومات الإنترنت) مع خدمة دور خادم الويب استثناء خاصًا لهذه التوصية، للسماح بمنح تجمع (تجمعات) تطبيقات خدمات معلومات الإنترنت هذا المستخدم الحق. ملاحظة رقم 2: يتطلب خادم عضو مثبت عليه Microsoft SQL Server استثناء خاصًا لهذه التوصية لمنح هذا المستخدم حق الإدخالات الإضافية التي تم إنشاؤها بواسطة لغة الاستعلامات المركبة. المسار الرئيسي: [Privilege Rights]SeAssignPrimaryTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `LOCAL SERVICE, NETWORK SERVICE`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Replace a process level token تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.2.44 CIS WS2022 2.2.44	<= الخدمة المحلية، خدمة الشبكة _(نهج)	تحذير
استعادة الملفات والدلائل _{(CCE-37613-7)}	الوصف: يحدد إعداد النهج هذا المستخدمين الذين بإمكانهم تجاوز الملفات والدليل والسجل وأذونات العناصر الثابتة الأخرى عند استعادة الملفات والدلائل التي تم نسخها احتياطيا على أجهزة الكمبيوتر التي تقوم بتشغيل Windows Vista في بيئتك. يحدد حق المستخدم هذا أيضًا المستخدمين الذين بإمكانهم تعيين أساسيات أمان صالحة كمالكي عناصر؛ وهو مشابه ملفات النسخ الاحتياطي وحق مستخدم الدلائل. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeRestorePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Restore files and directories تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.2.45	<= المسؤولون، ومشغلو النسخ الاحتياطي _(نهج)	تحذير
إيقاف تشغيل النظام _{(CCE-38328-1)}	الوصف: يحدد إعداد النهج هذا المستخدمين والمجموعات الذين قاموا بتسجيل الدخول محليًا إلى أجهزة الكمبيوتر في بيئتك والمسموح لهم بإيقاف تشغيل نظام التشغيل باستخدام أمر إيقاف التشغيل. من الممكن أن يؤدي إساءة استخدام حق المستخدم هذا إلى حالة رفض الخدمة. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Shut down the system تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 2.2.46 CIS WS2022 2.2.46	<= المسؤولون، ومشغلو النسخ الاحتياطي _(نهج)	تحذير
الحصول على ملكية الملفات أو العناصر الأخرى _{(CCE-38325-7)}	الوصف: يتيح إعداد النهج هذا للمستخدمين ملكية الملفات أو المجلدات أو مفاتيح التسجيل أو العمليات أو مؤشرات الترابط. يتجاوز حق المستخدم هذا أي أذونات موجودة لحماية الكائنات لمنح الملكية للمستخدم المحدد. الحالة الموصى بها لهذا الإعداد هي: `Administrators`. المسار الرئيسي: [Privilege Rights]SeTakeOwnershipPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Administrators`: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Take ownership of files or other objects تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48	= المسؤولون _(نهج)	هام
يجب تعيين حق مستخدم انتحال شخصية عميل بعد المصادقة فقط إلى المسؤولين والخدمة والخدمة المحلية وخدمة الشبكة. _{(AZ-WIN-73785)}	الوصف: يسمح إعداد النهج للبرامج التي يتم تشغيلها نيابة عن مستخدم بانتحال شخصية هذا المستخدم (أو حساب محدد آخر) حتى يتمكن من التصرف نيابة عن المستخدم. إذا كان هذا المستخدم على حق مطلوب لهذا النوع من انتحال الهوية، فلن يتمكن المستخدم غير المصرح به من إقناع العميل بالاتصال على سبيل المثال، عن طريق استدعاء الإجراء عن بعد (RPC) أو أنابيب مسماة إلى خدمة أنشأها لانتحال شخصية هذا العميل، ما قد يرفع أذونات المستخدم غير المصرح به إلى مستويات إدارية أو نظامية. تحتوي الخدمات التي بدأها مدير التحكم في الخدمة على مجموعة الخدمة المضمنة المضافة افتراضيا إلى رموز الوصول المميزة الخاصة بها. تحتوي خوادم COM التي بدأتها البنية الأساسية ل COM وتم تكوينها للتشغيل ضمن حساب معين أيضا على مجموعة الخدمة المضافة إلى رموز الوصول المميزة الخاصة بها. ونتيجة لذلك، يتم تعيين هذه العمليات لهذا المستخدم مباشرة عند بدء تشغيلها. أيضا، يمكن للمستخدم انتحال شخصية رمز مميز للوصول إذا كان هناك أي من الشروط التالية: - رمز الوصول الذي يتم انتحاله هو لهذا المستخدم. - قام المستخدم، في جلسة تسجيل الدخول هذه، بتسجيل الدخول إلى الشبكة باستخدام بيانات اعتماد صريحة لإنشاء رمز الوصول المميز. - المستوى المطلوب أقل من انتحال شخصية، مثل مجهول أو تعريف. يمكن للمهاجم الذي لديه انتحال شخصية عميل بعد حق مستخدم المصادقة إنشاء خدمة، وخدع عميل لجعله يتصل بالخدمة، ثم انتحال شخصية هذا العميل لرفع مستوى وصول المهاجم إلى مستوى وصول العميل. الحالة الموصى بها لهذا الإعداد هي: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. ملاحظة: يعتبر حق المستخدم هذا "امتيازا حساسا" لأغراض التدقيق. ملاحظة رقم 2: يتطلب خادم العضو المثبت عليه Microsoft SQL Server ومكون "خدمات التكامل" الاختياري الخاص به استثناء خاصا لهذه التوصية لمنح هذا المستخدم حق الإدخالات الإضافية التي تم إنشاؤها بواسطة SQL. المسار الرئيسي: [Privilege Rights]SeImpersonatePrivilege نظام التشغيل: WS2016، WS2019 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\تعيين حقوق المستخدم\انتحال شخصية عميل بعد المصادقة تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.2.31 CIS WS2019 2.2.31	<= المسؤولون، الخدمة، الخدمة المحلية، خدمة الشبكة _(نهج)	هام

مكونات Windows

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
السماح بالمصادقة الأساسية _{(CCE-36254-1)}	الوصف: يسمح لك إعداد النهج هذا بإدارة ما إذا كانت خدمة Windows Remote Management (WinRM) تقبل المصادقة الأساسية من عميل عن بعد. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow Basic authentication ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `WindowsRemoteManagement.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1	غير موجود أو = 0 _(السجل)	هام
السماح بالبيانات التشخيصية _{(AZ-WIN-00169)}	الوصف: يحدد إعداد النهج هذا مقدار بيانات التشخيص والاستخدام التي أبلغ عنها إلى Microsoft. ستقوم القيمة 0 بإرسال الحد الأدنى من البيانات إلى Microsoft. تتضمن هذه البيانات أداة إزالة البرامج الضارة (MSRT) وبيانات Windows Defender، إذا تم تمكينها، وإعدادات عميل بيانات تتبع الاستخدام. ينطبق تعيين قيمة 0 على أجهزة المؤسسة وEDU وإنترنت الأشياء والخادم فقط. يعادل تعيين قيمة 0 للأجهزة الأخرى اختيار قيمة 1. ترسل القيمة 1 كمية أساسية من بيانات التشخيص والاستخدام فقط. يرجى ملاحظة أن تعيين قيم 0 أو 1 سيؤدي إلى تدهور تجارب معينة على الجهاز. تقوم القيمة 2 بإرسال بيانات تشخيص واستخدام محسنة. تقوم القيمة 3 بإرسال نفس البيانات كقيمة 2، بالإضافة إلى بيانات تشخيص إضافية، بما في ذلك الملفات والمحتوى الذي قد يكون سبب المشكلة. تنطبق Windows 10 إعدادات بيانات تتبع الاستخدام على نظام التشغيل Windows وبعض تطبيقات الطرف الأول. ولا ينطبق هذا الإعداد على تطبيقات الجهات الخارجية التي تعمل على Windows 10. الحالة الموصى بها لهذا الإعداد هي: `Enabled: 0 - Security [Enterprise Only]`. ملاحظة: إذا تم تكوين إعداد «Allow Telemetry» إلى «0 - Security [Enterprise Only]»، فلن يكون للخيارات الموجودة في Windows Update تأجيل الترقيات والتحديثات أي تأثير. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled: Diagnostic data off (not recommended)` أو `Enabled: Send required diagnostic data`: Computer Configuration\Policies\Administrative Templates\Windows Components\Data Collection and Preview Builds\Allow Diagnostic Data ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'DataCollection.admx/adml' المضمن مع قوالب Microsoft Windows 11 الإدارية الإصدار 21H2 (أو أحدث). ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية باسم السماح ببيانات تتبع الاستخدام، ولكن تمت إعادة تسميته إلى السماح بالبيانات التشخيصية بدءا من القوالب الإدارية للإصدار 21H2 من Windows 11. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1	>= 1 _(السجل)	تحذير
السماح بفهرسة ملفات مشفرة _{(CCE-38277-0)}	الوصف: يتحكم إعداد النهج هذا في إذا كان يسمح بفهرسة العناصر المشفرة. عندما يتغير هذا الإعداد، تتم إعادة إنشاء الفهرس بالكامل. لا بد من استخدام تشفير وحدة التخزين الكامل (مثل تشفير محرك BitLocker أو حل غير Microsoft) لموقع الفهرس للحفاظ على أمان الملفات المشفرة. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Search\Allow indexing of encrypted files ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `Search.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3	غير موجود أو = 0 _(السجل)	تحذير
السماح لحسابات Microsoft بأن تصير اختيارية _{(CCE-38354-7)}	الوصف: يتيح لك إعداد النهج هذا التحكم في إذا كانت حسابات Microsoft اختيارية لتطبيقات Microsoft Store التي تتطلب حسابًا لتسجيل الدخول. يؤثر هذا النهج فقط على تطبيقات Microsoft Store التي تدعمه. في حال قمت بتمكين إعداد النهج هذا، فستسمح تطبيقات Microsoft Store التي تتطلب عادة حساب Microsoft لتسجيل الدخول للمستخدمين بتسجيل الدخول باستخدام حساب مؤسسة بدلاً من ذلك. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فسيحتاج المستخدمون إلى تسجيل الدخول باستخدام حساب Microsoft. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional نظام التشغيل: WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\App runtime\Allow Microsoft accounts to be optional ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة "AppXRuntime.admx/adml" المضمن مع Microsoft Windows 8.1 وServer 2012 R2 Administrative Templates (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.6.1	= 1 _(السجل)	تحذير
السماح بنسبة استخدام شبكة غير مشفرة _{(CCE-38223-4)}	الوصف: يسمح لك إعداد النهج هذا بإدارة إذا كانت خدمة Windows Remote Management (WinRM) ترسل وتتلقى رسائل غير مشفرة عبر الشبكة. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow unencrypted traffic ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `WindowsRemoteManagement.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3	غير موجود أو = 0 _(السجل)	هام
السماح بعنصر تحكم للمستخدم في عمليات التثبيت _{(CCE-36400-0)}	الوصف: يسمح للمستخدمين بتغيير خيارات التثبيت التي تتوفر لا عادة إلا لمسؤولي النظام. تمنع ميزات الأمان في Windows Installer المستخدمين من تغيير خيارات التثبيت المحجوزة لمسؤولي النظام عادة، مثل تحديد الدليل الذي تم تثبيت الملفات عليه. في حال اكتشف Windows Installer أن حزمة تثبيت سمحت للمستخدم بتغيير خيار محمي، فإنه يوقف التثبيت ويعرض رسالة. تعمل ميزات الأمان هذه عند تشغيل برنامج التثبيت فقط في سياق أمان متميز، حيث لديه حق الوصول إلى الدلائل التي تم رفضها للمستخدم. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Installer\Allow user control over installs ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `MSI.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد تمكين تحكم المستخدم في عمليات التثبيت، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1	غير موجود أو = 0 _(السجل)	هام
التثبيت بامتيازات مرتفعة دائمًا _{(CCE-37490-0)}	الوصف: يتحكم هذا الإعداد في ما إذا كان يجب على Windows Installer استخدام أذونات النظام عند تثبيت أي برنامج على النظام أم لا. ملاحظة: يظهر هذا الإعداد في كل من مجلدي تكوين الكمبيوتر وتكوين المستخدم. لجعل هذا الإعداد فعالاً، يجب تمكين الإعداد في كلا المجلدين. الحذر: إذا تم تمكينه، يمكن للمستخدمين المهرة الاستفادة من الأذونات التي يمنحها هذا الإعداد لتغيير امتيازاتهم والحصول على وصول دائم إلى الملفات والمجلدات المقيدة. لاحظ أن إصدار تكوين المستخدم من هذا الإعداد غير مضمون ليكون آمنا. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: عضو المجال، عضو مجموعة العمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: تكوين المستخدم\النهج\القوالب الإدارية\مكونات Windows\Windows Installer\التثبيت دائما بامتيازات مرتفعة ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `MSI.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2	غير موجود أو = 0 _(السجل)	تحذير
المطالبة بكلمة مرور عند الاتصال دائمًا _{(CCE-37929-7)}	الوصف: يحدد إعداد النهج هذا ما إذا كانت خدمات المحطة الطرفية تطالب دائمًا كمبيوتر العميل بكلمة مرور عند الاتصال. يمكنك استخدام إعداد النهج هذا لفرض مطالبة كلمة مرور للمستخدمين الذين يقومون بتسجيل الدخول إلى خدمات المحطة الطرفية، حتى إذا كانوا قد قدموا كلمة المرور بالفعل في عميل اتصال سطح المكتب البعيد. افتراضيًا، تسمح الخدمات الطرفية للمستخدمين بتسجيل الدخول تلقائيًا إذا أدخلوا كلمة مرور في عميل اتصال سطح المكتب البعيد. يُرجى ملاحظة أنه إذا لم تقم بتكوين إعداد النهج هذا، يمكن لمسؤول الكمبيوتر المحلي استخدام أداة تكوين الخدمات الطرفية إما للسماح بكلمات المرور أو منع إرسالها تلقائيًا. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Always prompt for password upon connection ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'TerminalServer.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في القوالب الإدارية ل Microsoft Windows Vista، تمت تسمية هذا الإعداد دائما مطالبة العميل بكلمة المرور عند الاتصال، ولكن تمت إعادة تسميتها بدءا من القوالب الإدارية ل Windows Server 2008 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.65.3.9.1	= 1 _(السجل)	هام
التطبيق: التحكم في سلوك سجل الأحداث عند وصول ملف السجل إلى الحد الأقصى لحجمه _{(CCE-37775-4)}	الوصف: يتحكم إعداد النهج هذا في سلوك سجل الأحداث عند وصول ملف السجل إلى الحد الأقصى لحجمه. في حال قمت بتمكين إعداد النهج هذا ووصل ملف السجل إلى الحد الأقصى لحجمه، فلن تتم كتابة الأحداث الجديدة في السجل ويتم فقدانها. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه ووصل ملف السجل إلى الحد الأقصى لحجمه، فستقوم الأحداث الجديدة بالكتابة فوق الأحداث القديمة. ملاحظة: قد يتم الاحتفاظ بالأحداث القديمة أو لا يتم الاحتفاظ بها وفقا لإعداد النهج "سجل النسخ الاحتياطي تلقائيا عند امتلاءه". المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application\Control Event Log behavior عندما يصل ملف السجل إلى الحد الأقصى لحجمه ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'EventLog.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية باسم الاحتفاظ بالأحداث القديمة، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.27.1.1	غير موجود أو = 0 _(السجل)	هام
التطبيق: تحديد الحد الأقصى لحجم ملف السجل (بالكيلوبايت) _{(CCE-37948-7)}	الوصف: يحدد إعداد النهج هذا الحد الأقصى لحجم ملف السجل بالكيلوبايت. في حال قمت بتمكين إعداد النهج هذا، يمكنك تكوين الحد الأقصى لحجم ملف السجل ليكون بين 1 ميغابايت (1024 كيلوبايت) و2 تيرابايت (2147483647 كيلوبايت) بزيادات كيلوبايت. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فسيتم تعيين الحد الأقصى لحجم ملف السجل إلى القيمة المكونة محليًا. يمكن تغيير هذه القيمة من قِبل المسؤول المحلي باستخدام مربع الحوار خصائص السجل وتعين افتراضيًا إلى 20 ميغابايت. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled: 32,768 or greater`: Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application\Specify the maximum log file size (KB) ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'EventLog.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية الحد الأقصى لحجم السجل (KB)، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.27.1.2	>= 32768 _(السجل)	هام
حظر جميع مصادقة مستخدم حساب Microsoft للمستهلكين _{(AZ-WIN-20198)}	الوصف: يحدد هذا الإعداد ما إذا كانت التطبيقات والخدمات على الجهاز يمكنها الاستفادة من مصادقة حساب Microsoft للمستهلك الجديد عبر Windows `OnlineID` وواجهات `WebAccountManager` برمجة التطبيقات. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth نظام التشغيل: WS2016، WS2019 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\مكونات Windows\حسابات Microsoft\حظر جميع مصادقة مستخدم حساب Microsoft للمستهلكين تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1	= 1 _(السجل)	هام
تكوين منع الإعداد المحلي لإعداد التقارير إلى Microsoft MAPS _{(AZ-WIN-00173)}	الوصف: يقوم إعداد النهج هذا بتكوين منع محلي لتكوين الانضمام إلى Microsoft MAPS. يمكن تعيين هذا الإعداد فقط باستخدام نهج المجموعة. في حال قمت بتمكين هذا الإعداد، فسيأخذ إعداد التفضيل المحلي الأولوية على نهج المجموعة. في حال قمت بتعطيل هذا الإعداد أو لم تقم بتكوينه فسيأخذ نهج المجموعة الأولوية على إعداد التفضيل المحلي. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender Antivirus\MAPS\Configure local setting override for reporting to Microsoft MAPS ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب `WindowsDefender.admx/adml` نهج المجموعة المضمن مع Microsoft Windows 8.1 وServer 2012 R2 Administrative Templates (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1	غير موجود أو = 0 _(السجل)	تحذير
تكوين Windows SmartScreen _{(CCE-35859-8)}	الوصف: يتيح لك إعداد النهج هذا إدارة سلوك Windows SmartScreen. يساعد Windows SmartScreen على الحفاظ على أمان أجهزة الكمبيوتر عبر تحذير المستخدمين قبل تشغيل البرامج غير المعترف بها التي تم تنزيلها من الإنترنت. يتم إرسال بعض المعلومات إلى Microsoft حول الملفات والبرامج التي يتم تشغيلها على أجهزة الكمبيوتر الشخصية مع تمكين هذه الميزة. إذا قمت بتمكين إعداد النهج هذا، فقد يتم التحكم في سلوك Windows SmartScreen عن طريق تعيين أحد الخيارات التالية: * امنح المستخدم تحذيرا قبل تشغيل برنامج غير معروف تم تنزيله * قم بإيقاف تشغيل SmartScreen إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، تتم إدارة سلوك Windows SmartScreen من قبل المسؤولين على الكمبيوتر باستخدام إعدادات Windows SmartScreen في الأمان والصيانة. الخيارات: * إعطاء المستخدم تحذيرا قبل تشغيل البرامج غير المعروفة التي تم تنزيلها * إيقاف تشغيل SmartScreen المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: تحذير ومنع التجاوز: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\Windows Defender SmartScreen\Explorer\تكوين SmartScreen ل Windows Defender ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة WindowsExplorer.admx/adml المضمن مع القوالب الإدارية ل Microsoft Windows 8.0 وServer 2012 (غير R2) (أو أحدث). ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية تكوين Windows SmartScreen، ولكن تمت إعادة تسميته بدءا من الإصدار 1703 من Windows 10 القوالب الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.85.1.1	= 1 _(السجل)	تحذير
الكشف عن التغيير من منفذ RDP الافتراضي _{(AZ-WIN-00156)}	الوصف: يقوم هذا الإعداد بتحديد ما إذا كان منفذ الشبكة الذي يستمع لاتصالات سطح المكتب البعيد قد تم تغييره من الافتراضي 3389 المسار الرئيسي: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: غير قابل للتطبيق تعيينات التوافق القياسية:	= 3389 _(السجل)	هام
تعطيل خدمة Windows Search _{(AZ-WIN-00176)}	الوصف: يقوم إعداد التسجيل هذا بتعطيل خدمة Windows Search المسار الرئيسي: System\CurrentControlSet\Services\Wsearch\Start OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: غير قابل للتطبيق تعيينات التوافق القياسية:	غير موجود أو = 4 _(السجل)	هام
عدم السماح بالتشغيل التلقائي للأجهزة غير المجمعة _{(CCE-37636-8)}	الوصف: لا يسمح إعداد النهج هذا بالتشغيل التلقائي لأجهزة MTP مثل الكاميرات أو الهواتف. في حال قمت بتمكين إعداد النهج هذا، فلا يسمح بالتشعب التلقائي لأجهزة MTP مثل الكاميرات أو الهواتف. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، يتم تمكين التشغيل التلقائي للأجهزة غير المجمعة. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\AutoPlay Policies\Disallow Autoplay for non-volume devices ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة "AutoPlay.admx/adml" المضمن مع قوالب Microsoft Windows 8.0 وServer 2012 (غير R2) الإدارية (أو الأحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.8.1	= 1 _(السجل)	هام
عدم السماح بمصادقة تشفير الرسالة _{(CCE-38318-2)}	الوصف: يسمح لك إعداد النهج هذا بإدارة ما إذا كان عميل Windows Remote Management (WinRM) لن يستخدم مصادقة تشفير الرسالة. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client\Disallow Digest authentication ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `WindowsRemoteManagement.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3	=0 _(السجل)	هام
عدم السماح لـ WinRM بتخزين بيانات اعتماد RunAs _{(CCE-36000-8)}	الوصف: يسمح لك إعداد النهج هذا بإدارة ما إذا كانت خدمة Windows Remote Management (WinRM) لن تسمح بتخزين بيانات اعتماد RunAs لأي مكونات إضافية. في حال قمت بتمكين إعداد النهج هذا، فلن تسمح خدمة WinRM بتعيين قيم تكوين RunAsUser أو RunAsPassword لأي مكونات إضافية. إذا كان المكون الإضافي قد قام بالفعل بتعيين قيم تكوين RunAsUser وRunAsPassword، فسيتم مسح قيمة تكوين RunAsPassword من مخزن بيانات الاعتماد على هذا الكمبيوتر. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فستسمح خدمة WinRM بتعيين قيم تكوين RunAsUser وRunAsPassword للمكونات الإضافية وسيتم تخزين قيمة RunAsPassword بشكل آمن. في حال قمت بتمكين إعداد النهج هذا ثم تعطيله، فستحتاج أي قيم تم تكوينها مسبقا ل RunAsPassword إلى إعادة تعيين. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Disallow WinRM من تخزين بيانات اعتماد RunAs ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'WindowsRemoteManagement.admx/adml' المضمن مع القوالب الإدارية ل Microsoft Windows 8.0 وServer 2012 (غير R2) (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.102.2.4	= 1 _(السجل)	هام
عدم السماح لكلمات المرور بالحفظ _{(CCE-36223-6)}	الوصف: يتيح إعداد النهج هذا منع عملاء الخدمات الطرفية من حفظ كلمات المرور على جهاز كمبيوتر. يُرجى ملاحظة أنه إذا تم تكوين إعداد النهج هذا مسبقًا على أنه معطل أو غير مكون، فسيتم حذف أي كلمات مرور محفوظة مسبقًا في المرة الأولى التي يقطع فيها عميل الخدمات الطرفية الاتصال بأي خادم. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client\Do not allow passwords to be saved ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'TerminalServer.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.65.2.2	= 1 _(السجل)	هام
عدم حذف المجلدات المؤقتة عند الخروج _{(CCE-37946-1)}	الوصف: يحدد إعداد النهج هذا ما إذا كانت خدمات سطح المكتب البعيد تحتفظ بالمجلدات المؤقتة لكل جلسة عمل للمستخدم عند تسجيل الخروج أم لا. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Temporary Folders\Do not delete temp folders عند الخروج ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'TerminalServer.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد عدم حذف المجلد المؤقت عند الإنهاء، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.65.3.11.1	غير موجود أو = 1 _(السجل)	تحذير
عدم عرض زر إظهار كلمة المرور _{(CCE-37534-5)}	الوصف: يتيح لك إعداد النهج هذا تكوين عرض زر إظهار كلمة المرور في تجارب المستخدم لإدخال كلمة المرور. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Credential User Interface\Do not display the password reveal button ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'CredUI.admx/adml' المضمن مع القوالب الإدارية ل Microsoft Windows 8.0 وServer 2012 (غير R2) (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.16.1	= 1 _(السجل)	تحذير
عدم إظهار إخطارات الملاحظات _{(AZ-WIN-00140)}	الوصف: يتيح إعداد النهج هذا للمؤسسة منع أجهزتها من عرض أسئلة الملاحظات من Microsoft. في حال قمت بتمكين إعداد النهج هذا، فلن يتمكن المستخدمون من رؤية إخطارات الملاحظات من خلال تطبيق Windows Feedback. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فقد يرى المستخدمون إخطارات من خلال تطبيق Windows Feedback تطلب من المستخدمين تقديم الملاحظات. ملاحظة: في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، يمكن للمستخدمين التحكم في عدد المرات التي يتلقون فيها أسئلة الملاحظات. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Data Collection and Preview Builds\Do not show feedback notifications ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'FeedbackNotifications.admx/adml' المضمن مع قوالب Microsoft Windows 10 الإدارية الإصدار 1511 (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.17.4	= 1 _(السجل)	هام
عدم استخدام مجلدات مؤقتة لكل جلسة عمل _{(CCE-38180-6)}	الوصف: بشكل افتراضي، تقوم خدمات سطح المكتب البعيد بإنشاء مجلد مؤقت منفصل على خادم مضيف جلسة عمل RD لكل جلسة عمل نشطة يحتفظ بها المستخدم على خادم مضيف جلسة عمل RD. يتم إنشاء المجلد المؤقت على خادم مضيف جلسة عمل RD في مجلد Temp ضمن مجلد ملف تعريف المستخدم وتتم تسميته بـ «sessionid». يستخدم هذا المجلد المؤقت لتخزين الملفات المؤقتة الفردية. لاستعادة مساحة القرص، يتم حذف المجلد المؤقت عندما يسجل المستخدم الخروج من جلسة عمل. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Temporary Folders\Do not use temporary folders per session ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'TerminalServer.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.65.3.11.2	غير موجود أو = 1 _(السجل)	هام
تعداد حسابات المسؤول على الرفع _{(CCE-36512-2)}	الوصف: يتحكم إعداد النهج هذا في إذا كانت حسابات المسؤول يتم عرضها عندما يحاول مستخدم رفع مستوى تطبيق قيد التشغيل. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Credential User Interface\Enumerate administrator accounts on elevation ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `CredUI.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2	غير موجود أو = 0 _(السجل)	تحذير
منع تنزيل المرفقات _{(CCE-37126-0)}	الوصف: يقوم إعداد النهج هذا بمنع المستخدم من تنزيل المرفقات (مرفقات الملفات) من موجز ويب إلى كمبيوتر المستخدم. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\RSS Feeds\Prevent downloading of enclosures ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'InetRes.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد بإيقاف تشغيل تنزيل المرفقات، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.66.1	= 1 _(السجل)	تحذير
طلب اتصال استدعاء إجراء عن بُعد آمن _{(CCE-37567-5)}	الوصف: يحدد ما إذا كان خادم مضيف جلسة عمل سطح المكتب البعيد يتطلب اتصال استدعاء إجراء عن بُعد آمنًا مع جميع العملاء أو يسمح بالاتصال غير الآمن. يمكنك استخدام هذا الإعداد لتعزيز أمان اتصال استدعاء إجراء عن بُعد مع العملاء من خلال السماح فقط بالطلبات المصادق عليها والمشفرة. إذا تم تعيين الحالة إلى ممكن، تقبل خدمات سطح المكتب البعيد طلبات من عملاء استدعاء إجراء عن بُعد التي تدعم الطلبات الآمنة، ولا تسمح بالاتصال غير الآمن مع العملاء غير الموثوقين. إذا تم تعيين الحالة إلى معطل، فإن خدمات سطح المكتب البعيد تطلب دائمًا الأمان لجميع نسب استخدام الشبكة لاستدعاء إجراء عن بُعد. ومع ذلك، يسمح بالاتصال غير الآمن لعملاء استدعاء إجراء عن بُعد الذين لا يستجيبون للطلب. في حال تم تعيين الحالة إلى غير مكونة، يسمح بالاتصال غير الآمن. ملاحظة: يتم استخدام واجهة استدعاء إجراء عن بُعد لإدارة خدمات سطح المكتب البعيد وتكوينها. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Require secure RPC communication ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'TerminalServer.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.65.3.9.2	= 1 _(السجل)	هام
يتطلب مصادقة المستخدم للاتصالات عن بعد باستخدام مصادقة مستوى الشبكة _{(AZ-WIN-00149)}	الوصف: يتطلب مصادقة المستخدم للاتصالات عن بعد باستخدام مصادقة مستوى الشبكة المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Require user authentication for remote connections by using Network Level Authentication ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'TerminalServer.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في القوالب الإدارية ل Microsoft Windows Vista، تمت تسمية هذا الإعداد في البداية طلب مصادقة المستخدم باستخدام RDP 6.0 للاتصالات البعيدة، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows Server 2008 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.65.3.9.4	غير موجود أو = 1 _(السجل)	هام
فحص محركات الأقراص القابلة للإزالة _{(AZ-WIN-00177)}	الوصف: يتيح لك إعداد النهج هذا إدارة ما إذا كان يجب فحص البرامج الضارة والبرامج غير المرغوب فيها في محتويات محركات الأقراص القابلة للإزالة مثل محركات أقراص USB المحمولة عند تشغيل فحص كامل أم لا. في حال قمت بتمكين هذا الإعداد، فسيتم فحص محركات الأقراص القابلة للإزالة أثناء أي نوع من الفحص. في حال قمت بتعطيل أو لم تقم بتكوين هذا الإعداد، فلن يتم مسح محركات الأقراص القابلة للإزالة ضوئيًا في أثناء الفحص الكامل. ربما تظل محركات الأقراص القابلة للإزالة ممسوحة ضوئيًا في أثناء الفحص السريع والمسح الضوئي المخصص. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\Windows Defender Antivirus\Scan\Scan محركات الأقراص القابلة للإزالة ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب `WindowsDefender.admx/adml` نهج المجموعة المضمن مع Microsoft Windows 8.1 وServer 2012 R2 Administrative Templates (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1	=0 _(السجل)	هام
التطبيق: التحكم في سلوك سجل الأحداث عند وصول ملف السجل للحد الأقصى لحجمه _{(CCE-37145-0)}	الوصف: يتحكم إعداد النهج هذا في سلوك سجل الأحداث عند وصول ملف السجل إلى الحد الأقصى لحجمه. في حال قمت بتمكين إعداد النهج هذا ووصل ملف السجل إلى الحد الأقصى لحجمه، فلن تتم كتابة الأحداث الجديدة في السجل ويتم فقدانها. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه ووصل ملف السجل إلى الحد الأقصى لحجمه، فستقوم الأحداث الجديدة بالكتابة فوق الأحداث القديمة. ملاحظة: قد يتم الاحتفاظ بالأحداث القديمة أو لا يتم الاحتفاظ بها وفقا لإعداد النهج "سجل النسخ الاحتياطي تلقائيا عند امتلاءه". المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Security\Control Event Log behavior عندما يصل ملف السجل إلى الحد الأقصى لحجمه ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'EventLog.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية باسم الاحتفاظ بالأحداث القديمة، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.27.2.1	غير موجود أو = 0 _(السجل)	هام
الأمان: تحديد الحد الأقصى لحجم ملف السجل (بالكيلوبايت) _{(CCE-37695-4)}	الوصف: يحدد إعداد النهج هذا الحد الأقصى لحجم ملف السجل بالكيلوبايت. في حال قمت بتمكين إعداد النهج هذا، يمكنك تكوين الحد الأقصى لحجم ملف السجل ليكون بين 1 ميغابايت (1024 كيلوبايت) و2 تيرابايت (2,147,483,647 كيلوبايت) بزيادات كيلوبايت. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فسيتم تعيين الحد الأقصى لحجم ملف السجل إلى القيمة المكونة محليًا. يمكن تغيير هذه القيمة من قِبل المسؤول المحلي باستخدام مربع الحوار خصائص السجل وتعين افتراضيًا إلى 20 ميغابايت. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled: 196,608 or greater`: Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Security\Specify the maximum log file size (KB) ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'EventLog.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية الحد الأقصى لحجم السجل (KB)، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.27.2.2	>= 196608 _(السجل)	هام
إرسال عينات الملفات عند الحاجة إلى مزيد من التحليل _{(AZ-WIN-00126)}	الوصف: يكون إعداد النهج هذا سلوك إرسال العينات عند تعيين الاشتراك في بيانات تتبع الاستخدام MAPS. الخيارات المحتملة هي: (0x0) المطالبة دائما (0x1) إرسال عينات آمنة تلقائيا (0x2) عدم الإرسال (0x3) إرسال جميع العينات تلقائيا المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\MAPS\إرسال عينات الملفات عند الحاجة إلى إجراء مزيد من التحليل تعيينات التوافق القياسية:	= 1 _(السجل)	تحذير
تعيين مستوى تشفير اتصال عميل _{(CCE-36627-8)}	الوصف: يحدد إعداد النهج هذا ما إذا كان الكمبيوتر الذي على وشك استضافة الاتصال البعيد سيفرض مستوى تشفير لكافة البيانات المرسلة بينه وبين كمبيوتر العميل لجلسة العمل البعيدة. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled: High Level`: Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Set client connection encryption level ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'TerminalServer.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.65.3.9.5	غير موجود أو = 3 _(السجل)	هام
تعيين السلوك الافتراضي للتشغيل التلقائي _{(CCE-38217-6)}	الوصف: يقوم إعداد النهج هذا بتعيين السلوك الافتراضي لأوامر التشغيل التلقائي. يتم تخزين أوامر التشغيل التلقائي بشكل عام في ملفات autorun.inf. وغالبًا ما تقوم بتشغيل برنامج التثبيت أو إجراءات أخرى. قبل Windows Vista، عند إدراج الوسائط التي تحتوي على أمر التشغيل التلقائي، يقوم النظام تلقائيًا بتنفيذ البرنامج دون تدخل المستخدم. ويؤدي هذا إلى إنشاء مصدر قلق أمني رئيسي حيث يمكن تنفيذ التعليمات البرمجية دون معرفة المستخدم. يعد السلوك الافتراضي الذي يبدأ بـ Windows Vista هو مطالبة المستخدم بما إذا كان أمر التشغيل التلقائي سيتم تشغيله. ويتم تمثيل أمر التشغيل التلقائي كمعالج في مربع حوار التشغيل التلقائي. في حال قمت بتمكين إعداد النهج هذا، يمكن للمسؤول تغيير سلوك Windows Vista الافتراضي أو السلوك الأحدث للتشغيل التلقائي إلى: أ) تعطيل أوامر التشغيل التلقائي تماما، أو ب) العودة إلى سلوك ما قبل Windows Vista لتنفيذ أمر التشغيل التلقائي تلقائيًا. في حال قمت بتعطيل إعداد النهج هذا أو عدم تكوينه، فسيطالب Windows Vista أو الإصدار الأحدث المستخدم بما إذا كان سيتم تشغيل أمر التشغيل التلقائي. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled: Do not execute any autorun commands`: Computer Configuration\Policies\Administrative Templates\Windows Components\AutoPlay Policies\Set the default behavior for AutoRun ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة "AutoPlay.admx/adml" المضمن مع قوالب Microsoft Windows 8.0 وServer 2012 (غير R2) الإدارية (أو الأحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.8.2	= 1 _(السجل)	هام
الإعداد: التحكم في سلوك سجل الأحداث عندما يصل ملف السجل للحد الأقصى لحجمه _{(CCE-38276-2)}	الوصف: يتحكم إعداد النهج هذا في سلوك سجل الأحداث عند وصول ملف السجل إلى الحد الأقصى لحجمه. في حال قمت بتمكين إعداد النهج هذا ووصل ملف السجل إلى الحد الأقصى لحجمه، فلن تتم كتابة الأحداث الجديدة في السجل ويتم فقدانها. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه ووصل ملف السجل إلى الحد الأقصى لحجمه، فستقوم الأحداث الجديدة بالكتابة فوق الأحداث القديمة. ملاحظة: قد يتم الاحتفاظ بالأحداث القديمة أو لا يتم الاحتفاظ بها وفقا لإعداد النهج "سجل النسخ الاحتياطي تلقائيا عند امتلاءه". المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Setup\Control Event Log behavior عندما يصل ملف السجل إلى الحد الأقصى لحجمه ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'EventLog.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية باسم الاحتفاظ بالأحداث القديمة، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.27.3.1	غير موجود أو = 0 _(السجل)	هام
الإعداد: حدد الحد الأقصى لحجم ملف السجل (بالكيلوبايت) _{(CCE-37526-1)}	الوصف: يحدد إعداد النهج هذا الحد الأقصى لحجم ملف السجل بالكيلوبايت. في حال قمت بتمكين إعداد النهج هذا، يمكنك تكوين الحد الأقصى لحجم ملف السجل ليكون بين 1 ميغابايت (1024 كيلوبايت) و2 تيرابايت (2,147,483,647 كيلوبايت) بزيادات كيلوبايت. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فسيتم تعيين الحد الأقصى لحجم ملف السجل إلى القيمة المكونة محليًا. يمكن تغيير هذه القيمة من قِبل المسؤول المحلي باستخدام مربع الحوار خصائص السجل وتعين افتراضيًا إلى 20 ميغابايت. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled: 32,768 or greater`: Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Setup\Specify the maximum log file size (KB) ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'EventLog.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية الحد الأقصى لحجم السجل (KB)، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.27.3.2	>= 32768 _(السجل)	هام
تسجيل الدخول تلقائيًا إلى آخر مستخدم تفاعلي بعد إعادة تشغيل بدأها النظام _{(CCE-36977-7)}	الوصف: يتحكم إعداد النهج هذا في ما إذا كان الجهاز سيسجل دخوله إلى آخر مستخدم تفاعلي تلقائيًا بعد أن يقوم Windows Update بإعادة تشغيل النظام أم لا. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn نظام التشغيل: WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled:` Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Logon Options\Sign-in last interactive user automatically after a system-initiated restart ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب `WinLogon.admx/adml` نهج المجموعة المضمن مع Microsoft Windows 8.1 وServer 2012 R2 Administrative Templates (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1	= 1 _(السجل)	هام
تحديد الفاصل الزمني للتحقق من تحديثات التعريف _{(AZ-WIN-00152)}	الوصف: يتيح لك إعداد النهج هذا تحديد فاصل زمني للتحقق من تحديثات التعريف. يتم تمثيل قيمة الوقت باعتبارها عدد الساعات بين عمليات التحقق من التحديث. وتتراوح القيم الصالحة من 1 (كل ساعة) إلى 24 (مرة واحدة في اليوم). في حال قمت بتمكين هذا الإعداد، فسيتم التحقق من وجود تحديثات التعريف في الفاصل الزمني المحدد. في حال قمت بتعطيل هذا الإعداد أو لم تقم بتكوينه، فسيحدث التحقق من وجود تحديثات التعريف في الفاصل الزمني الافتراضي. المسار الرئيسي: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval OS: WS2008, WS2008R2, WS2012, WS2012R2 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\القوالب الإدارية\مكونات Windows\برنامج الحماية من الفيروسات من Microsoft Defender\تحديثات تحليل معلومات الأمان\تحديد الفاصل الزمني للتحقق من وجود تحديثات تحليل ذكي للأمان تعيينات التوافق القياسية:	= 8 _(السجل)	هام
النظام: التحكم في سلوك سجل الأحداث عند وصول ملف السجل إلى الحد الأقصى لحجمه _{(CCE-36160-0)}	الوصف: يتحكم إعداد النهج هذا في سلوك سجل الأحداث عند وصول ملف السجل إلى الحد الأقصى لحجمه. في حال قمت بتمكين إعداد النهج هذا ووصل ملف السجل إلى الحد الأقصى لحجمه، فلن تتم كتابة الأحداث الجديدة في السجل ويتم فقدانها. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه ووصل ملف السجل إلى الحد الأقصى لحجمه، فستقوم الأحداث الجديدة بالكتابة فوق الأحداث القديمة. ملاحظة: قد يتم الاحتفاظ بالأحداث القديمة أو لا يتم الاحتفاظ بها وفقا لإعداد النهج "سجل النسخ الاحتياطي تلقائيا عند امتلاءه". المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\System\Control Event Log behavior عندما يصل ملف السجل إلى الحد الأقصى لحجمه ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'EventLog.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية باسم الاحتفاظ بالأحداث القديمة، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.27.4.1	غير موجود أو = 0 _(السجل)	هام
النظام: حدد الحد الأقصى لحجم ملف السجل (بالكيلوبايت) _{(CCE-36092-5)}	الوصف: يحدد إعداد النهج هذا الحد الأقصى لحجم ملف السجل بالكيلوبايت. في حال قمت بتمكين إعداد النهج هذا، يمكنك تكوين الحد الأقصى لحجم ملف السجل ليكون بين 1 ميغابايت (1024 كيلوبايت) و2 تيرابايت (2,147,483,647 كيلوبايت) بزيادات كيلوبايت. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فسيتم تعيين الحد الأقصى لحجم ملف السجل إلى القيمة المكونة محليًا. يمكن تغيير هذه القيمة من قِبل المسؤول المحلي باستخدام مربع الحوار خصائص السجل وتعين افتراضيًا إلى 20 ميغابايت. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled: 32,768 or greater`: Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\System\Specify the maximum log file size (KB) ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'EventLog.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. ملاحظة رقم 2: في قوالب Microsoft Windows الإدارية القديمة، تمت تسمية هذا الإعداد في البداية الحد الأقصى لحجم السجل (KB)، ولكن تمت إعادة تسميته بدءا من القوالب الإدارية ل Windows 8.0 وServer 2012 (غير R2). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.27.4.2	>= 32768 _(السجل)	هام
يجب منع مخزون برنامج توافق التطبيقات من جمع البيانات وإرسال المعلومات إلى Microsoft. _{(AZ-WIN-73543)}	الوصف: قد تتواصل بعض الميزات مع المورد أو ترسل معلومات النظام أو تقوم بتنزيل البيانات أو المكونات الخاصة بالميزة. سيؤدي إيقاف تشغيل هذه الإمكانية إلى منع إرسال المعلومات الحساسة المحتملة خارج المؤسسة وسيمنع التحديثات غير الخاضعة للرقابة للنظام. سيمنع هذا الإعداد "مخزون البرنامج" من جمع بيانات حول نظام وإرسال المعلومات إلى Microsoft. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: عضو المجال مسار نهج المجموعة: تكوين الكمبيوتر\القوالب الإدارية\مكونات Windows\توافق التطبيق\إيقاف تشغيل جامع المخزون تعيينات التوافق القياسية:	= 1 _(السجل)	معلوماتي
إيقاف التشغيل التلقائي _{(CCE-36875-3)}	الوصف: يبدأ التشغيل التلقائي في القراءة من محرك أقراص بمجرد إدراج الوسائط في محرك الأقراص، ما يؤدي إلى بدء تشغيل ملف الإعداد للبرامج أو الوسائط الصوتية على الفور. من الممكن للمهاجم استخدام هذه الميزة لتشغيل برنامج لإتلاف الكمبيوتر أو البيانات الموجودة على الكمبيوتر. بإمكانك تمكين إعداد إيقاف تشغيل التشغيل التلقائي لتعطيل ميزة التشغيل التلقائي. يعطل التشغيل التلقائي بشكل افتراضي على بعض أنواع محركات الأقراص القابلة للإزالة، مثل محركات الأقراص المرنة ومحركات أقراص الشبكة، ولكن ليس على محركات الأقراص المضغوطة. يُرجى ملاحظة أنه لا يمكنك استخدام إعداد النهج هذا لتمكين التشغيل التلقائي على محركات أقراص الكمبيوتر التي يتم تعطيله فيها بشكل افتراضي، مثل محركات الأقراص المرنة ومحركات أقراص الشبكة. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled: All drives`: تكوين الكمبيوتر\النهج\القوالب الإدارية\مكونات Windows\سياسات التشغيل التلقائي\إيقاف تشغيل التشغيل التلقائي ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب نهج المجموعة 'AutoPlay.admx/adml' المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.8.3	= 255 _(السجل)	هام
إيقاف تشغيل منع تنفيذ التعليمات البرمجية للمستكشف _{(CCE-37809-1)}	الوصف: يمكن أن يسمح تعطيل منع تنفيذ البيانات لبعض تطبيقات المكونات الإضافية القديمة بالعمل دون إنهاء Explorer. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. ملاحظة: قد لا تعمل بعض تطبيقات المكونات الإضافية القديمة والبرامج الأخرى مع منع تنفيذ البيانات وستتطلب استثناءً لتعريف هذا المكون الإضافي/البرنامج المحدد. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\مستكشف الملفات\إيقاف تشغيل منع تنفيذ البيانات للمستكشف ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب `Explorer.admx/adml` نهج المجموعة المضمن مع قوالب Microsoft Windows 7 وServer 2008 R2 الإدارية (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2	غير موجود أو = 0 _(السجل)	هام
إيقاف تشغيل إنهاء كومة الذاكرة المؤقتة عند فسادها _{(CCE-36660-9)}	الوصف: من دون إنهاء كومة الذاكرة المؤقتة عند فسادها، قد تستمر تطبيقات المكون الإضافي القديمة في العمل عندما تصبح جلسة مستكشف الملفات تالفة. كما أن التأكد من أن إنهاء كومة الذاكرة المؤقتة عندما يكون الفساد نشطًا سيمنع ذلك. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\مستكشف الملفات\إيقاف تشغيل إنهاء كومة الذاكرة المؤقتة عند التلف ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `Explorer.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3	غير موجود أو = 0 _(السجل)	هام
إيقاف تجارب مستهلك Microsoft _{(AZ-WIN-00144)}	الوصف: يؤدي إعداد النهج هذا إلى إيقاف التجارب التي تساعد المستهلكين على تحقيق أقصى استفادة من أجهزتهم وحساب Microsoft. في حال قمت بتمكين إعداد النهج هذا، فلن يرى المستخدمون بعد الآن توصيات مخصصة من Microsoft وإخطارات حول حساب Microsoft الخاص بهم. في حال قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فقد يرى المستخدمون اقتراحات من Microsoft وإخطارات حول حساب Microsoft الخاص بهم. ملاحظة: ينطبق هذا الإعداد فقط على وحدات حفظ المخزون للمؤسسات والتعليم. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\محتوى السحابة\إيقاف تشغيل تجارب مستهلك Microsoft ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب نهج المجموعة 'CloudContent.admx/adml' المضمن مع قوالب Microsoft Windows 10 الإدارية الإصدار 1511 (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.14.2	غير موجود أو = 1 _(السجل)	تحذير
إيقاف الوضع المحمي لبروتوكول shell _{(CCE-36809-2)}	الوصف: يسمح لك إعداد النهج هذا بتكوين مقدار الوظائف التي من الممكن أن يحتويها بروتوكول shell. يمكن فتح المجلدات وتشغيل الملفات، عند استخدام الوظائف الكاملة لتطبيقات البروتوكول هذه. يقلل الوضع المحمي من وظائف هذا البروتوكول، ما يتيح للتطبيقات فتح مجموعة محدودة فقط من المجلدات. ليس من الممكن للتطبيقات فتح الملفات باستخدام هذا البروتوكول عندما يكون في الوضع المحمي. يُوصى أن تترك هذا البروتوكول في الوضع المحمي لزيادة أمان Windows. الحالة الموصى بها لهذا الإعداد هي: `Disabled`. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Disabled`: تكوين الكمبيوتر\السياسات\القوالب الإدارية\مكونات Windows\مستكشف الملفات\إيقاف تشغيل الوضع المحمي لبروتوكول shell ملاحظة: يتم توفير مسار نهج المجموعة هذا بواسطة قالب `WindowsExplorer.admx/adml` نهج المجموعة المضمن مع جميع إصدارات قوالب Microsoft Windows الإدارية. تعيينات التوافق القياسية: معرف النظام الأساسيللاسم STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4	غير موجود أو = 0 _(السجل)	تحذير
تشغيل مراقبة السلوك _{(AZ-WIN-00178)}	الوصف: يتيح لك إعداد النهج هذا تكوين مراقبة السلوك. في حال قمت بتمكين أو لم تقم بتكوين هذا الإعداد، فسيتم تمكين مراقبة سلوك الإعداد. في حال قمت بتعطيل مراقبة سلوك الإعداد هذا، فسيتم تعطيلها. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: لإنشاء التكوين الموصى به عبر GP، قم بتعيين مسار واجهة المستخدم التالي إلى `Enabled`: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender Antivirus\Real-Time Protection\Turn on behavior monitoring ملاحظة: قد لا يكون مسار نهج المجموعة هذا موجودا بشكل افتراضي. يتم توفيره بواسطة قالب `WindowsDefender.admx/adml` نهج المجموعة المضمن مع Microsoft Windows 8.1 وServer 2012 R2 Administrative Templates (أو أحدث). تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3	غير موجود أو = 0 _(السجل)	تحذير
تشغيل تسجيل كتلة البرنامج النصي PowerShell _{(AZ-WIN-73591)}	الوصف: يتيح إعداد النهج هذا تسجيل جميع إدخالات البرنامج النصي PowerShell إلى `Applications and Services Logs\Microsoft\Windows\PowerShell\Operational` قناة سجل الأحداث. الحالة الموصى بها لهذا الإعداد هي: `Enabled`. ملاحظة: إذا تم تمكين تسجيل استدعاء كتلة البرنامج النصي بدء/إيقاف الأحداث (تحديد خانة الاختيار)، فسيسجل PowerShell أحداثا إضافية عند استدعاء أمر أو كتلة برنامج نصي أو وظيفة أو برنامج نصي يبدأ أو يتوقف. يؤدي تمكين هذا الخيار إلى إنشاء حجم كبير من سجلات الأحداث. وقد اختارت CIS عن قصد عدم تقديم توصية لهذا الخيار، لأنها تولد حجما كبيرا من الأحداث. إذا اختارت إحدى المؤسسات تمكين الإعداد الاختياري (محدد)، فإن هذا يتوافق أيضا مع المعيار. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم بالمجال، عضو المجال، عضو مجموعة عمل مسار نهج المجموعة: تكوين الكمبيوتر\النهج\القوالب الإدارية\مكونات Windows\Windows PowerShell\Turn on PowerShell Script Block Logging تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1	= 1 _(السجل)	هام

إعدادات Windows - إعدادات الأمان

الاسم _{المعرّف}	التفاصيل	القيمة المتوقعة _(النوع)	الأهمية
ضبط حصص الذاكرة النسبية لعملية _{(CCE-10849-8)}	الوصف: يسمح إعداد النهج هذا للمستخدم بضبط الحد الأقصى لمقدار الذاكرة المتوفر لعملية ما. تعد القدرة على ضبط حصص الذاكرة النسبية مفيدة لضبط النظام، ولكن يمكن إساءة استخدامها. في الأيدي الخطأ، يمكن استخدامه لإطلاق هجوم رفض الخدمة (DoS). الحالة الموصى بها لهذا الإعداد هي: `Administrators, LOCAL SERVICE, NETWORK SERVICE`. ملاحظة: سيتطلب خادم العضو الذي يحتفظ بدور خادم ويب (خدمات معلومات الإنترنت) مع خدمة دور خادم الويب استثناء خاصًا لهذه التوصية، للسماح بمنح تجمع (تجمعات) تطبيقات خدمات معلومات الإنترنت هذا المستخدم الحق. ملاحظة رقم 2: يتطلب خادم عضو مثبت عليه Microsoft SQL Server استثناء خاصًا لهذه التوصية لمنح هذا المستخدم حق الإدخالات الإضافية التي تم إنشاؤها بواسطة لغة الاستعلامات المركبة. المسار الرئيسي: [Privilege Rights]SeIncreaseQuotaPrivilege نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة التحكم بالمجال، عضو مجال مسار نهج المجموعة: تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\السياسات المحلية\تعيين حقوق المستخدم\ضبط الحصص النسبية للذاكرة لعملية تعيينات التوافق القياسية: معرف النظام الأساسيللاسم CIS WS2022 2.2.6 CIS WS2019 2.2.6	<= المسؤولون، الخدمة المحلية، خدمة الشبكة _(نهج)	تحذير

إشعار

قد يختلف توفر إعدادات تكوين الضيف الخاصة بـ Azure Policy في Azure Government والسحب الوطنية الأخرى.

الخطوات التالية

مقالات إضافية حول نهج Azure وتكوين الضيف:

تكوين ضيف نهج Azure.
نظرة عامة على التوافق التنظيمي.
مراجعة أمثلة أخرى في ⁧نماذج Azure Policy.
راجع فهم تأثيرات النهج.
تعرف على كيفية إصلاح الموارد غير المتوافقة.