Sdílet prostřednictvím


Standardní hodnoty zabezpečení Windows

Tento článek podrobně popisuje nastavení konfigurace pro hosty Systému Windows, jak je možné použít v následujících implementacích:

  • [Preview]: Počítače s Windows by měly splňovat požadavky na definici konfigurace hosta Azure Policy podle standardních hodnot zabezpečení služby Azure Compute.
  • V Azure Security Center by se měla napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích.

Další informace najdete v tématu Konfigurace počítače Azure Automanage.

Důležité

Konfigurace hosta Azure Policy se vztahuje pouze na skladovou položku Windows Serveru a skladovou položku Azure Stack. Nevztahuje se na výpočetní prostředky koncového uživatele, jako jsou SKU Windows 10 a Windows 11.

Zásady účtu – zásady hesel

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Doba trvání uzamčení účtu
(AZ-WIN-73312)
Popis: Toto nastavení zásad určuje dobu, po kterou musí proběhnout před odemknutím uzamčeného účtu a uživatel se může pokusit znovu přihlásit. Toto nastavení provede zadáním počtu minut, po které uzamčený účet zůstane nedostupný. Pokud je hodnota pro toto nastavení zásad nakonfigurovaná na 0, uzamčené účty zůstanou uzamčené, dokud je správce ručně odemkne. I když se může zdát, že je vhodné nakonfigurovat hodnotu tohoto nastavení zásad na vysokou hodnotu, taková konfigurace pravděpodobně zvýší počet hovorů, které helpdesk obdrží k odemknutí účtů zamknutých omylem. Uživatelé by si měli být vědomi doby, po kterou zámek zůstane na místě, aby si uvědomili, že potřebují zavolat na helpdesk pouze v případě, že mají mimořádně naléhavé potřeby znovu získat přístup ke svému počítači. Doporučený stav pro toto nastavení je: 15 or more minute(s). Poznámka: Nastavení zásad hesel (oddíl 1.1) a nastavení zásad uzamčení účtu (oddíl 1.2) se musí použít prostřednictvím objektu zásad skupiny výchozích zásad domény, aby se jako výchozí chování globálně projevily uživatelské účty domény . Pokud jsou tato nastavení nakonfigurovaná v jiném objektu zásad skupiny, ovlivní pouze místní uživatelské účty v počítačích, které objekt zásad skupiny obdrží. Vlastní výjimky výchozích zásad hesel a pravidel zásad uzamčení účtu pro konkrétní uživatele domény nebo skupiny se ale dají definovat pomocí objektů nastavení hesel (PSO), které jsou zcela oddělené od zásad skupiny a nejsnápadnější konfigurací pomocí Centra správy služby Active Directory.
Cesta ke klíči: [Systémový přístup]LockoutDuration
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Doba trvání uzamčení účtu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 1.2.1
        CIS WS2019 1.2.1
>= 15
(Zásady)
Upozorňující

Šablona pro správu – Windows Defender

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Konfigurace detekce potenciálně nežádoucích aplikací
(AZ-WIN-202219)
Popis: Toto nastavení zásad řídí detekci a akci pro potenciálně nežádoucí aplikace (PUA), které jsou záludnými nežádoucími sadami aplikací nebo jejich sbalenými aplikacemi, které mohou dodávat adware nebo malware. Doporučený stav pro toto nastavení je: Enabled: Block. Další informace najdete na tomto odkazu: Blokování potenciálně nežádoucích aplikací pomocí Antivirová ochrana v programu Microsoft Defender | Microsoft Docs
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Konfigurace detekce pro potenciálně nežádoucí aplikace
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.47.15
        CIS WS2019 18.9.47.15
= 1
(Registr)
Kritické
Prohledat všechny stažené soubory a přílohy
(AZ-WIN-202221)
Popis: Toto nastavení zásad konfiguruje vyhledávání všech stažených souborů a příloh. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: Software\Policies\Microsoft\Windows Defender\Ochrana v reálném čase\DisableIOAVProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana v reálném čase\Kontrolovat všechny stažené soubory a přílohy
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.47.9.1
        CIS WS2019 18.9.47.9.1
= 0
(Registr)
Upozorňující
Vypnutí antiviru v programu Microsoft Defender
(AZ-WIN-202220)
Popis: Toto nastavení zásad vypne Antivirová ochrana v programu Microsoft Defender. Pokud je toto nastavení nakonfigurováno na Zakázáno, Antivirová ochrana v programu Microsoft Defender spustí a počítače zkontrolují malware a další potenciálně nežádoucí software. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Vypnout AntiVirus v programu Microsoft Defender
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.47.16
        CIS WS2019 18.9.47.16
= 0
(Registr)
Kritické
Vypnutí ochrany v reálném čase
(AZ-WIN-202222)
Popis: Toto nastavení zásad konfiguruje výzvy ochrany v reálném čase ke zjištění známého malwaru. Antivirová ochrana v programu Microsoft Defender vás upozorní, když se malware nebo potenciálně nežádoucí software pokusí nainstalovat nebo spustit na vašem počítači. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: Software\Policies\Microsoft\Windows Defender\Ochrana v reálném čase\DisableRealtimeMonitoring
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana v reálném čase\Vypnout ochranu v reálném čase
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.47.9.2
        CIS WS2019 18.9.47.9.2
= 0
(Registr)
Upozorňující
Zapnutí kontroly e-mailů
(AZ-WIN-202218)
Popis: Toto nastavení zásad umožňuje konfigurovat kontrolu e-mailů. Když je povolená kontrola e-mailů, modul analyzuje poštovní schránku a poštovní soubory podle jejich konkrétního formátu, aby analyzoval poštovní schránky a přílohy. V současné době se podporuje několik formátů e-mailu, například pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Skenování\Zapnout kontrolu e-mailů
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.47.12.2
        CIS WS2019 18.9.47.12.2
= 0
(Registr)
Upozorňující
Zapnutí kontroly skriptů
(AZ-WIN-202223)
Popis: Toto nastavení zásad umožňuje zapnout nebo vypnout kontrolu skriptů. Kontrola skriptů zachytí skripty a pak je zkontroluje před spuštěním v systému. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: Software\Policies\Microsoft\Windows Defender\Ochrana v reálném čase\DisableScriptScanning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana v reálném čase\Zapnout kontrolu skriptů
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.47.9.4
        CIS WS2019 18.9.47.9.4
= 0
(Registr)
Upozorňující

Šablony pro správu – Ovládací panely

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Povolit přizpůsobení vstupu
(AZ-WIN-00168)
Popis: Tato zásada umožňuje automatickou výukovou komponentu přizpůsobení vstupu, která zahrnuje řeč, rukopis a psaní. Automatické učení umožňuje shromažďování vzorů řeči a rukopisu, historie psaní, kontaktů a nedávných informací kalendáře. Vyžaduje se pro použití Cortany. Některé z těchto shromážděných informací mohou být uloženy na OneDrivu uživatele v případě rukopisu a psaní; některé z těchto informací se nahrají do Microsoftu, aby se přizpůsobila řeč. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní naDisabled: Konfigurace počítače\Zásady\Šablony pro správu\Ovládací panely\Místní a jazykové možnosti\Povolit uživatelům povolit online služby rozpoznávání řeči Poznámka: Tato cesta zásad skupiny ve výchozím nastavení neexistuje. Poskytuje ji šablona zásad skupiny Globalization.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 10 RTM (verze 1507) (nebo novější). Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Povolit přizpůsobení vstupu, ale bylo přejmenováno na Povolit uživatelům povolit online služby rozpoznávání řeči počínaje šablonami pro správu Systému Windows 10 R1809 a Server 2019.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.1.2.2
= 0
(Registr)
Upozorňující

Šablony pro správu – Průvodce zabezpečením MS

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Zakázání klienta SMB v1 (odebrání závislosti na lanmanWorkstation)
(AZ-WIN-00122)
Popis: SMBv1 je starší protokol, který používá algoritmus MD5 jako součást protokolu SMB. MD5 je známo, že je zranitelná vůči řadě útoků, jako jsou kolize a předběžné útoky a také nedodržování standardu FIPS.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService
Operační systém: WS2008, WS2008R2, WS2012
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Šablony pro správu\Průvodce zabezpečením MS\Konfigurace klientského ovladače SMBv1
Standardní mapování dodržování předpisů:
Neexistuje nebo = Bowser\0MRxSmb20\0NSI\0\0\0
(Registr)
Kritické
Ověřování WDigest
(AZ-WIN-73497)
Popis: Pokud je povolené ověřování WDigest, Lsass.exe zachová kopii hesla uživatele ve formátu prostého textu v paměti, kde může být ohroženo krádeží. Pokud toto nastavení není nakonfigurované, ověřování WDigest je zakázané ve Windows 8.1 a v systému Windows Server 2012 R2; ve výchozím nastavení je povolen ve starších verzích Windows a Windows Serveru. Další informace o místníchúčtech Další informace o službě Microsoft Knowledge Base naleznete v UseLogonCredentialčlánku 2871997: Aktualizace poradce pro zabezpečení společnosti Microsoft ke zlepšení ochrany a správy přihlašovacích údajů 13. května 2014. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential
Operační systém: WS2016, WS2019
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Průvodce zabezpečením MS\Ověřování WDigest (zakázání může vyžadovat KB2871997)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.3.7
        CIS WS2019 18.3.7
= 0
(Registr)
Důležité

Šablony pro správu – MSS

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
MSS: (DisableIPSourceRouting IPv6) Úroveň ochrany zdrojového směrování IP adres (chrání před falšováním identity paketů)
(AZ-WIN-202213)
Popis: Směrování zdroje IP adres je mechanismus, který odesílateli umožňuje určit trasu PROTOKOLU IP, kterou má datagram sledovat přes síť. Doporučený stav pro toto nastavení je: Enabled: Highest protection, source routing is completely disabled.
Cesta ke klíči: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (DisableIPSourceRouting IPv6) Úroveň ochrany zdrojového směrování ip adres (chrání před falšováním identity paketů)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.4.2
        CIS WS2019 18.4.2
= 2
(Registr)
Informační
MSS: (DisableIPSourceRouting) Úroveň ochrany zdrojového směrování IP (chrání před falšováním identity paketů)
(AZ-WIN-202244)
Popis: Směrování zdroje IP adres je mechanismus, který odesílateli umožňuje určit trasu PROTOKOLU IP, kterou má datagram projít sítí. Doporučujeme nakonfigurovat toto nastavení tak, aby nebylo definováno pro podniková prostředí a na nejvyšší ochranu pro prostředí s vysokým zabezpečením, aby bylo možné zcela zakázat směrování zdroje. Doporučený stav pro toto nastavení je: Enabled: Highest protection, source routing is completely disabled.
Cesta ke klíči: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (DisableIPSourceRouting) Úroveň ochrany zdrojového směrování ip adres (chrání před falšováním identity paketů)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.4.3
        CIS WS2019 18.4.3
= 2
(Registr)
Informační
MSS: (NoNameReleaseOnDemand) Umožňuje počítači ignorovat požadavky na vydání názvu Rozhraní NetBIOS s výjimkou serverů WINS.
(AZ-WIN-202214)
Popis: Rozhraní NetBIOS přes PROTOKOL TCP/IP je síťový protokol, který mimo jiné poskytuje způsob, jak snadno přeložit názvy rozhraní NetBIOS zaregistrované v systémech Windows na IP adresy nakonfigurované v těchto systémech. Toto nastavení určuje, jestli počítač vydá název rozhraní NetBIOS, když obdrží požadavek na vydání verze. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (NoNameReleaseOnDemand) Umožňuje počítači ignorovat požadavky na vydání názvu NetBIOS s výjimkou serverů WINS.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.4.6
        CIS WS2019 18.4.6
= 1
(Registr)
Informační
MSS: (SafeDllSearchMode) Povolení režimu bezpečného vyhledávání DLL (doporučeno)
(AZ-WIN-202215)
Popis: Pořadí hledání knihovny DLL lze nakonfigurovat tak, aby hledaly knihovny DLL, které jsou požadovány spuštěním procesů jedním ze dvou způsobů: - Složky vyhledávání zadané v systémové cestě nejprve a pak prohledávat aktuální pracovní složku. - Nejprve vyhledejte aktuální pracovní složku a pak vyhledejte složky zadané v systémové cestě. Pokud je tato možnost povolená, hodnota registru je nastavená na hodnotu 1. Při nastavení 1 systém nejprve prohledá složky zadané v systémové cestě a pak prohledá aktuální pracovní složku. Pokud je zakázaná hodnota registru nastavena na hodnotu 0 a systém nejprve prohledá aktuální pracovní složku a pak prohledá složky zadané v systémové cestě. Aplikace budou nejprve nuceny hledat knihovny DLL v systémové cestě. U aplikací, které vyžadují jedinečné verze těchto knihoven DLL, které jsou součástí aplikace, by tato položka mohla způsobit problémy s výkonem nebo stabilitou. Doporučený stav pro toto nastavení je: Enabled. Poznámka: Další informace o tom, jak funguje režim bezpečného vyhledávání DLL, je k dispozici na tomto odkazu: Pořadí hledání knihovny Dynamic-Link - Aplikace systému Windows | Microsoft Docs
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (SafeDllSearchMode) Povolit režim bezpečného vyhledávání DLL (doporučeno)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.4.8
        CIS WS2019 18.4.8
= 1
(Registr)
Upozorňující
MSS: (WarningLevel) Procentuální prahová hodnota pro protokol událostí zabezpečení, ve kterém systém vygeneruje upozornění
(AZ-WIN-202212)
Popis: Toto nastavení může vygenerovat audit zabezpečení v protokolu událostí zabezpečení, když protokol dosáhne prahové hodnoty definované uživatelem. Doporučený stav pro toto nastavení je: Enabled: 90% or less. Poznámka: Pokud jsou nastavení protokolu nakonfigurována tak, aby přepsala události podle potřeby nebo přepsat události starší než x dní, tato událost se nevygeneruje.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (WarningLevel) Procentuální prahová hodnota pro protokol událostí zabezpečení, ve kterém systém vygeneruje upozornění
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.4.12
        CIS WS2019 18.4.12
<= 90
(Registr)
Informační
Systém Windows Server musí být nakonfigurovaný tak, aby zabránil přesměrování protokolu ICMP (Internet Control Message Protocol) v přepsání tras generovaných protokolem OSPF (Open Shortest Path First).
(AZ-WIN-73503)
Popis: Přesměrování protokolu ICMP (Internet Control Message Protocol) způsobí, že zásobník IPv4 přepíná na trasy hostitele. Tyto trasy přepisují generované trasy Open Shortest Path First (OSPF). Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\MSS (starší verze)\MSS: (EnableICMPRedirect) Povolit přesměrování PROTOKOLU ICMP k přepsání generovaných tras OSPF
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.4.4
        CIS WS2019 18.4.4
= 0
(Registr)
Informační

Šablony pro správu – síť

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Povolení nezabezpečených přihlášení hostů
(AZ-WIN-00171)
Popis: Toto nastavení zásad určuje, jestli klient SMB povolí nezabezpečené přihlášení hosta k serveru SMB. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu
etwork\Lanman Workstation\Enable insecure guest logons
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona zásad skupiny LanmanWorkstation.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 10 Release 1511 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93239
        STIG WS2016 V-73507
        CIS WS2019 18.5.8.1
        CIS WS2022 18.5.8.1
= 0
(Registr)
Kritické
Posílené cesty UNC – NETLOGON
(AZ_WIN_202250)
Popis: Toto nastavení zásad konfiguruje zabezpečený přístup k cestám UNC.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\NETLOGON
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Šablony pro správu\Síť\Poskytovatel sítě\Posílené cesty UNC
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Registr)
Upozorňující
Posílené cesty UNC – SYSVOL
(AZ_WIN_202251)
Popis: Toto nastavení zásad konfiguruje zabezpečený přístup k cestám UNC.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\SYSVOL
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Šablony pro správu\Síť\Poskytovatel sítě\Posílené cesty UNC
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Registr)
Upozorňující
Minimalizace počtu souběžných připojení k internetu nebo doméně Windows
(CCE-38338-0)
Popis: Toto nastavení zásad brání počítačům v připojení k síti založené na doméně i k síti bez domény současně. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: 3 = Prevent Wi-Fi when on Ethernet:
Konfigurace počítače\Zásady\Šablony pro správu
etwork\Windows Správce připojení\Minimalizovat počet souběžných připojení k internetu nebo doméně Systému Windows
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny WCM.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2). Aktualizoval se pomocí nového dílčího nastavení Minimalizovat možnosti zásad od šablon pro správu ve Windows 10 Release 1903.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.5.21.1
Neexistuje nebo = 1
(Registr)
Upozorňující
Zakázání instalace a konfigurace síťového mostu v síti domény DNS
(CCE-38002-2)
Popis: Pomocí tohoto postupu můžete řídit schopnost uživatele instalovat a konfigurovat síťový most. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Síťová připojení\NC_AllowNetBridge_NLA
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Síť\Síťová připojení\Zakázat instalaci a konfiguraci síťového mostu v síti domény DNS
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou NetworkConnections.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.5.11.2
        CIS WS2022 18.5.11.2
= 0
(Registr)
Upozorňující
Zakázání používání sdílení připojení k internetu v síti domény DNS
(AZ-WIN-00172)
Popis: I když se toto "starší" nastavení tradičně používá pro použití sdílení připojení k internetu (ICS) ve Windows 2000, Windows XP & Server 2003, toto nastavení se nyní nově nově vztahuje na funkci Mobilní hotspot ve Windows 10 & Server 2016. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Síťová připojení\NC_ShowSharedAccessUI
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu
etwork
etwork Connections\Prohibit use of Internet Connection Sharing on your DNS domain network
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny NetworkConnections.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.5.11.3
= 0
(Registr)
Upozorňující
Vypnutí překladu názvů vícesměrového vysílání
(AZ-WIN-00145)
Popis: LLMNR je sekundární protokol překladu ip adres. S LLMNR se dotazy odesílají pomocí vícesměrového vysílání přes propojení místní sítě v jedné podsíti z klientského počítače do jiného klientského počítače ve stejné podsíti, která má také povolenou funkci LLMNR. LLMNR nevyžaduje konfiguraci serveru DNS nebo klienta DNS a poskytuje překlad názvů ve scénářích, ve kterých není možné konvenční překlad názvů DNS. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\DNSClient\EnableMulticast
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu
etwork\DNS Client\Turn off multicast name resolution
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny DnsClient.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.5.4.2
= 0
(Registr)
Upozorňující

Šablony pro správu – Průvodce zabezpečením

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Povolení ochrany proti přepsání strukturovaného zpracování výjimek (SEHOP)
(AZ-WIN-202210)
Popis: Systém Windows obsahuje podporu pro ochranu proti přepsání strukturovaného zpracování výjimek (SEHOP). Doporučujeme povolit tuto funkci, aby se zlepšil profil zabezpečení počítače. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Průvodce zabezpečením MS\Povolení ochrany proti přepsání strukturovaného zpracování výjimek (SEHOP)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.3.4
        CIS WS2019 18.3.4
= 0
(Registr)
Kritické
Konfigurace NetBT NodeType
(AZ-WIN-202211)
Popis: Toto nastavení určuje, která metoda NetBIOS přes PROTOKOL TCP/IP (NetBT) používá k registraci a překladu názvů. Dostupné metody jsou: – Metoda B-node (všesměrové vysílání) používá pouze všesměrové vysílání. – Metoda P-node (point-to-point) používá pouze názvové dotazy na názvový server (WINS). – Nejprve se vysílala metoda M-node (smíšený) a potom se dotazuje názvového serveru (WINS), pokud se vysílání nezdařilo. – H-node (hybridní) metoda nejprve dotazuje názvový server (WINS), pak se vysílaje, pokud dotaz selhal. Doporučený stav pro toto nastavení je: Enabled: P-node (recommended) (point-to-point). Poznámka: Překlad prostřednictvím LMHOSTS nebo DNS se řídí těmito metodami. NodeType Pokud existuje hodnota registru, přepíše všechny DhcpNodeType hodnoty registru. NodeType DhcpNodeType Pokud ani není k dispozici, počítač použije B-node (všesměrové vysílání), pokud pro síť nejsou nakonfigurované žádné servery WINS, nebo H-node (hybridní), pokud je nakonfigurovaný alespoň jeden server WINS.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Průvodce zabezpečením MS\Konfigurace NetBT NodeType
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.3.6
        CIS WS2019 18.3.6
= 2
(Registr)
Upozorňující

Šablony pro správu – systém

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Blokování zobrazování podrobností o účtu při přihlášení
(AZ-WIN-00138)
Popis: Tato zásada brání uživateli v zobrazení podrobností účtu (e-mailová adresa nebo uživatelské jméno) na přihlašovací obrazovce. Pokud toto nastavení zásad povolíte, uživatel se nemůže rozhodnout zobrazit podrobnosti účtu na přihlašovací obrazovce. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, uživatel se může rozhodnout zobrazit podrobnosti účtu na přihlašovací obrazovce.
Cesta ke klíči: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Blokovat zobrazení podrobností o účtu při přihlášení
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny Logon.admx/adml, která je součástí microsoft Windows 10 Release 1607 & Server 2016 Šablony pro správu (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.28.1
= 1
(Registr)
Upozorňující
Zásady inicializace ovladačů spouštění
(CCE-37912-3)
Popis: Toto nastavení zásad umožňuje určit, které ovladače spouštění jsou inicializovány na základě klasifikace určené ovladačem spuštění antimalwarového spuštění systému Early Launch. Ovladač spuštění antimalwarového spuštění systému Early Launch může vrátit následující klasifikace pro každý spouštěcí ovladač: - Dobré: Ovladač byl podepsán a nebyl manipulován. - Chybný: Ovladač byl identifikován jako malware. Doporučujeme nepovolit inicializaci známých chybných ovladačů. - Špatná, ale požadovaná pro spuštění: Ovladač byl identifikován jako malware, ale počítač nelze úspěšně spustit bez načtení tohoto ovladače. - Neznámý: Tento ovladač nebyl potvrzen vaší aplikací pro detekci malwaru a nebyl klasifikován ovladačem Early Launch Antimalware boot-start. Pokud povolíte toto nastavení zásad, budete moct zvolit, které spouštěcí ovladače se mají inicializovat při příštím spuštění počítače. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, spouštěcí ovladače se určí jako Dobré, Neznámé nebo Chybné, ale inicializace ovladačů, které jsou určené jako Chybná, se přeskočí. Pokud vaše aplikace pro detekci malwaru neobsahuje ovladač spuštění antimalwarového spuštění systému Early Launch nebo pokud je váš ovladač early Launch Antimalware boot-start zakázán, toto nastavení nemá žádný vliv a všechny ovladače spouštění jsou inicializovány.
Cesta ke klíči: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: Good, unknown and bad but critical:
Konfigurace počítače\Zásady\Šablony pro správu\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou Zásad skupiny EarlyLaunchAM.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.14.1
Neexistuje nebo = 3
(Registr)
Upozorňující
Konfigurace vzdálené pomoci nabídky
(CCE-36388-7)
Popis: Toto nastavení zásad umožňuje zapnout nebo vypnout nabídku (nevyžádanou) vzdálenou pomoc na tomto počítači. Pracovníci helpdesku a podpory nebudou moct proaktivně nabídnout pomoc, i když můžou dál reagovat na žádosti o pomoc uživatelů. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fAllowUnsolicited
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Vzdálená pomoc\Konfigurace nabídky Vzdálená pomoc
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou RemoteAssistance.admx/adml Zásad skupiny, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.36.1
        CIS WS2022 18.8.36.1
Neexistuje nebo = 0
(Registr)
Upozorňující
Konfigurace vyžádané vzdálené pomoci
(CCE-37281-3)
Popis: Toto nastavení zásad umožňuje zapnout nebo vypnout na tomto počítači vzdálenou pomoc (Požádat o pomoc). Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fAllowToGetHelp
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Vzdálená pomoc\Konfigurace vyžádané vzdálené pomoci
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou RemoteAssistance.admx/adml Zásad skupiny, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.36.2
        CIS WS2022 18.8.36.2
= 0
(Registr)
Kritické
Nezobrazovat uživatelské rozhraní pro výběr sítě
(CCE-38353-9)
Popis: Toto nastavení zásad umožňuje řídit, jestli kdokoli může pracovat s dostupným uživatelským rozhraním sítí na přihlašovací obrazovce. Pokud povolíte toto nastavení zásad, stav síťového připojení počítače se nedá změnit bez přihlášení k Windows. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, každý uživatel může počítač odpojit od sítě nebo může počítač připojit k jiným dostupným sítím bez přihlášení k Windows.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Nezobrazovat uživatelské rozhraní pro výběr sítě
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny Logon.admx/adml, která je součástí microsoft Windows 8.1 & Server 2012 R2 Šablony pro správu (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.28.2
= 1
(Registr)
Upozorňující
Nevyčtujte připojené uživatele na počítačích připojených k doméně
(AZ-WIN-202216)
Popis: Toto nastavení zásad zabraňuje zobrazení výčtu připojených uživatelů na počítačích připojených k doméně. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Nevyčtujte připojené uživatele na počítačích připojených k doméně
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.8.28.3
        CIS WS2019 18.8.28.3
= 1
(Registr)
Upozorňující
Povolení ověřování klienta mapovače koncového bodu RPC
(CCE-37346-4)
Popis: Toto nastavení zásad určuje, jestli se klienti RPC ověřují ve službě Endpoint Mapper, když volání, které provádí, obsahuje ověřovací informace. Služba Mapování koncového bodu na počítačích se systémem systém Windows NT 4 (všechny aktualizace Service Pack) nemůže tímto způsobem zpracovávat ověřovací informace. Pokud toto nastavení zásad zakážete, klienti RPC se nebudou ověřovat ve službě Endpoint Mapper, ale budou moct komunikovat se službou Endpoint Mapper na systém Windows NT 4 Serveru. Pokud povolíte toto nastavení zásad, klienti RPC se budou ověřovat ve službě Endpoint Mapper pro volání, která obsahují ověřovací informace. Klienti provádějící taková volání nebudou moct komunikovat se službou mapovače koncového bodu serveru systém Windows NT 4. Pokud toto nastavení zásad nenakonfigurujete, zůstane zakázané. Klienti RPC se nebudou ověřovat ve službě Mapper koncového bodu, ale budou moct komunikovat se službou mapovače koncového bodu serveru systém Windows NT 4. Poznámka: Tato zásada se nepoužije, dokud se systém nerestartuje.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Rpc\EnableAuthEpResolution
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Vzdálené volání procedur\Povolení ověřování klienta mapovače koncových bodů RPC
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona zásad skupiny RPC.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.37.1
= 1
(Registr)
Kritické
Povolení klienta systém Windows NT P
(CCE-37843-0)
Popis: Toto nastavení zásady určuje, jestli je povolený klient systém Windows NT P. Povolení klienta systém Windows NT P umožňuje počítači synchronizovat hodiny počítače s jinými servery NTP. Tuto službu můžete chtít zakázat, pokud se rozhodnete použít jiného poskytovatele času. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\System\Windows Time Service\Time Providers\Enable systém Windows NT P Client
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny W32Time.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.53.1.1
= 1
(Registr)
Kritické
Šifrování Oracle Náprava pro protokol CredSSP
(AZ-WIN-201910)
Popis: Některé verze protokolu CredSSP používaného některými aplikacemi (například připojením ke vzdálené ploše) jsou ohroženy útokem oracle šifrování proti klientovi. Tato zásada řídí kompatibilitu s ohroženými klienty a servery a umožňuje nastavit požadovanou úroveň ochrany pro ohrožení zabezpečení šifrování oracle. Doporučený stav pro toto nastavení je: Enabled: Force Updated Clients.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle
Operační systém: WS2016, WS2019
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Delegování přihlašovacích údajů\Náprava Oracle šifrování
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.8.4.1
        CIS WS2019 18.8.4.1
= 0
(Registr)
Kritické
Ujistěte se, že je při pravidelném zpracování na pozadí nastavená možnost Konfigurovat zpracování zásad registru: Nepoužádejte se na hodnotu Povoleno: NEPRAVDA.
(CCE-36169-1)
Popis: Možnost "Nepoužívat během pravidelného zpracování na pozadí" brání systému v aktualizaci ovlivněných zásad na pozadí, když se počítač používá. Pokud jsou aktualizace na pozadí zakázané, změny zásad se projeví až po příštím přihlášení uživatele nebo restartování systému. Doporučený stav pro toto nastavení je: Enabled: FALSE (nezaškrtnuto).
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Zásady skupiny{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabledhodnotu a pak nastavte Process even if the Group Policy objects have not changed možnost TRUE (zaškrtnuto):
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Zásady skupiny\Konfigurace zpracování zásad registru
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou GroupPolicy.admx/adml Zásad skupiny, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.21.2
        CIS WS2022 18.8.21.2
= 0
(Registr)
Kritické
Ujistěte se, že konfigurace zpracování zásad registru: Proces i v případě, že se objekty zásad skupiny nezměnily, nastaveny na Povoleno: PRAVDA.
(CCE-36169-1a)
Popis: Možnost Zpracovat i v případě, že se objekty zásad skupiny nezměnily, aktualizuje a znovu zobrazí zásady, i když se zásady nezměnily. Doporučený stav pro toto nastavení je: Enabled: TRUE (zaškrtnuto).
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Zásady skupiny{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabledhodnotu , a pak nastavte možnost Proces, i když se objekty zásad skupiny nezměnily na hodnotu TRUE (zaškrtnuto):
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Zásady skupiny\Konfigurace zpracování zásad registru
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny GroupPolicy.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.21.3
= 0
(Registr)
Kritické
Ujistěte se, že je možnost Pokračovat v tomto zařízení nastavená na Zakázáno.
(AZ-WIN-00170)
Popis: Toto nastavení zásad určuje, jestli se zařízení s Windows může účastnit prostředí mezi zařízeními (pokračovat v prostředí). Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Zásady skupiny\Pokračovat v prostředí na tomto zařízení
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablona zásad skupiny GroupPolicy.admx/adml, která je součástí microsoft Windows 10 Release 1607 & Server 2016 Šablony pro správu (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.21.4
Neexistuje nebo = 0
(Registr)
Upozorňující
Zobrazení výčtu místních uživatelů na počítačích připojených k doméně
(AZ_WIN_202204)
Popis: Toto nastavení zásad umožňuje místním uživatelům vytvořit výčet na počítačích připojených k doméně. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Logon\Výčet místních uživatelů na počítačích připojených k doméně
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.8.28.4
        CIS WS2019 18.8.28.4
Neexistuje nebo = 0
(Registr)
Upozorňující
Zahrnutí příkazového řádku do událostí vytváření procesů
(CCE-36925-6)
Popis: Toto nastavení zásad určuje, jaké informace se protokolují v událostech auditu zabezpečení při vytvoření nového procesu. Toto nastavení platí jenom v případě, že je povolená zásada vytváření procesů auditu. Pokud tuto zásadu povolíte, budou informace příkazového řádku pro každý proces protokolovány ve formátu prostého textu v protokolu událostí zabezpečení jako součást události vytváření procesu auditování 4688, "byl vytvořen nový proces" na pracovních stanicích a serverech, na kterých je toto nastavení zásad použito. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nebudou informace příkazového řádku procesu zahrnuty do událostí vytváření procesu auditování. Výchozí: Nenakonfigurováno: Pokud je toto nastavení zásad povolené, bude moct každý uživatel s přístupem ke čtení událostí zabezpečení přečíst argumenty příkazového řádku pro jakýkoli úspěšně vytvořený proces. Argumenty příkazového řádku můžou obsahovat citlivé nebo soukromé informace, jako jsou hesla nebo uživatelská data.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled
Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Vytvoření procesu auditování\Zahrnout příkazový řádek do událostí vytváření procesů
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablona zásad skupiny AuditSettings.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.3.1
= 1
(Registr)
Kritické
Zabránění načítání metadat zařízení z internetu
(AZ-WIN-202251)
Popis: Toto nastavení zásad umožňuje zabránit systému Windows v načítání metadat zařízení z internetu. Doporučený stav pro toto nastavení je: Enabled. Poznámka: Tím nezabráníte instalaci základních hardwarových ovladačů, ale zabráníte tomu, aby se přidružený software nástroje třetích stran automaticky instaloval v kontextu SYSTEM účtu.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Instalace zařízení\Zabránit načítání metadat zařízení z internetu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.8.7.2
        CIS WS2019 18.8.7.2
= 1
(Registr)
Informační
Vzdálený hostitel umožňuje delegování neexportovatelných přihlašovacích údajů.
(AZ-WIN-20199)
Popis: Vzdálený hostitel umožňuje delegování neexportovatelných přihlašovacích údajů. Při použití delegování přihlašovacích údajů zařízení poskytují vzdálenému hostiteli exportovatelnou verzi přihlašovacích údajů. To zpřístupňuje uživatelům riziko krádeže přihlašovacích údajů útočníkům na vzdáleném hostiteli. Funkce Restricted Admin Mode a Windows Defender Remote Credential Guard jsou dvě možnosti, které pomáhají chránit před tímto rizikem. Doporučený stav pro toto nastavení je: Enabled. Poznámka: Podrobnější informace o vzdálené ochraně credential Guard v programu Windows Defender a jeho porovnání s režimem omezené správy najdete na tomto odkazu: Ochrana přihlašovacích údajů vzdálené plochy pomocí vzdálené ochrany přihlašovacích údajů v programu Windows Defender (Windows 10) | Microsoft Docs
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds
Operační systém: WS2016, WS2019
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Delegování přihlašovacích údajů\Vzdálený hostitel umožňuje delegování neexportovatelných přihlašovacích údajů.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.8.4.2
        CIS WS2019 18.8.4.2
= 1
(Registr)
Kritické
Vypnutí oznámení aplikací na zamykací obrazovce
(CCE-35893-7)
Popis: Toto nastavení zásad umožňuje zabránit zobrazování oznámení aplikací na zamykací obrazovce. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Vypnout oznámení aplikací na zamykací obrazovce
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny Logon.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.28.5
= 1
(Registr)
Upozorňující
Vypnutí aktualizace zásad skupiny na pozadí
(CCE-14437-8)
Popis: Toto nastavení zásad zabraňuje aktualizaci zásad skupiny v době, kdy se počítač používá. Toto nastavení zásad platí pro zásady skupiny pro počítače, uživatele a řadiče domény. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Systém\Zásady skupiny\Vypnout aktualizaci zásad skupiny na pozadí
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.8.21.5
        CIS WS2019 18.8.21.5
= 0
(Registr)
Upozorňující
Vypnutí stahování ovladačů tisku přes HTTP
(CCE-36625-2)
Popis: Toto nastavení zásad určuje, zda může počítač stahovat balíčky ovladačů tisku přes protokol HTTP. Chcete-li nastavit tisk HTTP, je možné, že ovladače tiskárny, které nejsou k dispozici ve standardní instalaci operačního systému, muset stáhnout přes protokol HTTP. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Printers\DisableWebPnPDownload
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Správa internetové komunikace\Nastavení internetové komunikace\Vypnutí stahování ovladačů tisku přes HTTP
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny ICM.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.22.1.1
= 1
(Registr)
Upozorňující
Pokud připojení URL odkazuje na Microsoft.com, vypněte Průvodce připojením k internetu.
(CCE-37163-3)
Popis: Toto nastavení zásad určuje, jestli se Průvodce připojením k internetu může připojit k Microsoftu a stáhnout seznam poskytovatelů internetových služeb (ISP). Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Průvodce připojením k internetu\ExitOnMSICW
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Správa internetové komunikace\Nastavení internetové komunikace\Vypnout Průvodce připojením k internetu, pokud připojení URL odkazuje na Microsoft.com
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny ICM.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.22.1.4
= 1
(Registr)
Upozorňující
Zapnutí usnadnění přihlašování pomocí PIN kódu
(CCE-37528-7)
Popis: Toto nastavení zásad umožňuje řídit, jestli se uživatel domény může přihlásit pomocí pohodlného KÓDU PIN. Ve Windows 10 byl kód PIN pro pohodlí nahrazen Passportem, který má silnější vlastnosti zabezpečení. Pokud chcete nakonfigurovat Passport pro uživatele domény, použijte zásady v části Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Microsoft Passport for Work. Poznámka: Heslo domény uživatele se při použití této funkce uloží do mezipaměti v trezoru systému. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Systém\Přihlášení\Zapnout usnadnění přihlašování pomocí PIN kódu
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou CredentialProviders.admx/adml Zásad skupiny, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).Poznámka 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zapnout přihlášení pomocí kódu PIN, ale bylo přejmenováno počínaje šablonami pro správu windows 10 release 1511.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.8.28.7
        CIS WS2022 18.8.28.7
Neexistuje nebo = 0
(Registr)
Upozorňující

Šablony pro správu – součást systému Windows

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Vypnutí obsahu stavu účtu příjemce cloudu
(AZ-WIN-202217)
Popis: Toto nastavení zásad určuje, jestli je ve všech prostředích s Windows povolený obsah stavu účtu příjemce cloudu. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Cloud Content\Vypnout obsah stavu účtu příjemce cloudu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.14.1
        CIS WS2019 18.9.14.1
= 1
(Registr)
Upozorňující

Šablony pro správu – Součásti systému Windows

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Nepovolit přesměrování jednotky
(AZ-WIN-73569)
Popis: Toto nastavení zásad brání uživatelům ve sdílení místních jednotek na klientských počítačích se servery vzdálené plochy, ke kterým přistupují. Mapované jednotky se zobrazují ve stromu složek relace v Průzkumníku Windows v následujícím formátu: \\TSClient\<driveletter>$ Pokud jsou místní jednotky sdíleny, jsou ohroženy útočníky, kteří chtějí zneužít data uložená na nich. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fDisableCdm
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Přesměrování zařízení a prostředků\Nepovolit přesměrování jednotky
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.65.3.3.3
        CIS WS2019 18.9.65.3.3.2
= 1
(Registr)
Upozorňující
Zapnutí přepisu PowerShellu
(AZ-WIN-202208)
Popis: Toto nastavení zásad umožňuje zachytit vstup a výstup příkazů Windows PowerShellu do textových přepisů. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Přepis\EnableTranscripting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Windows PowerShell\Zapnutí přepisu PowerShellu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.100.2
        CIS WS2019 18.9.100.2
= 0
(Registr)
Upozorňující

Šablony pro správu – Zabezpečení Windows

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Zabránit uživatelům v úpravě nastavení
(AZ-WIN-202209)
Popis: Toto nastavení zásad brání uživatelům v provádění změn v oblasti nastavení ochrany Exploit v nastavení Zabezpečení Windows. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Ochrana aplikací a prohlížečů\DisallowExploitProtectionOverride
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Zabezpečení Windows\Ochrana aplikací a prohlížečů\Zabránit uživatelům v úpravách nastavení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.105.2.1
        CIS WS2019 18.9.105.2.1
= 1
(Registr)
Upozorňující

Šablona pro správu – Windows Defender

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Konfigurace pravidel redukce prostoru pro útoky
(AZ_WIN_202205)
Popis: Toto nastavení zásad řídí stav pravidel asR (Attack Surface Reduction). Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana Exploit Guard v programu Microsoft Defender\Omezení prostoru útoku\Konfigurace pravidel snížení počtu možností útoku
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.47.5.1.1
        CIS WS2019 18.9.47.5.1.1
= 1
(Registr)
Upozorňující
Zabránění uživatelům a aplikacím v přístupu k nebezpečným webům
(AZ_WIN_202207)
Popis: Toto nastavení zásad řídí Ochrana Exploit Guard v programu Microsoft Defender ochranu sítě. Doporučený stav pro toto nastavení je: Enabled: Block.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Ochrana Exploit Guard v programu Microsoft Defender\Ochrana sítě\Zabránění uživatelům a aplikacím v přístupu k nebezpečným weby
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.47.5.3.1
        CIS WS2019 18.9.47.5.3.1
= 1
(Registr)
Upozorňující

Auditovat správu účtů počítače

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditovat správu účtů počítače
(CCE-38004-8)
Popis: Tato podkategorie hlásí každou událost správy účtů počítače, například při vytvoření, změně, odstranění, přejmenování, zakázání nebo povolení. Události pro tuto podkategorii zahrnují: - 4741: Byl vytvořen účet počítače. - 4742: Účet počítače byl změněn. - 4743: Účet počítače byl odstraněn. Doporučeným stavem tohoto nastavení je: Success.
Cesta klíče: {0CCE9236-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Správa účtů účtu auditování počítače
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.2.2
        CIS WS2019 17.2.2
= Úspěch
(Audit)
Kritické

Zabezpečené jádro

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Povolení ochrany DMA při spouštění
(AZ-WIN-202250)
Popis: Servery podporující zabezpečené jádro podporují systémový firmware, který zajišťuje ochranu proti škodlivým a nezamýšleným útokům s přímým přístupem do paměti (DMA) pro všechna zařízení podporující DMA během procesu spouštění.
Cesta ke klíči: BootDMAProtection
OSEx: WSASHCI22H2
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: NA
Standardní mapování dodržování předpisů:
= 1
(OsConfig)
Kritické
Povolení integrity kódu vynucené hypervisorem
(AZ-WIN-202246)
Popis: HVCI a VBS zlepšují model hrozeb systému Windows a poskytují silnější ochranu před malwarem, který se snaží zneužít jádro Systému Windows. HVCI je kritická komponenta, která chrání a chrání izolované virtuální prostředí vytvořené službou VBS spuštěním integrity kódu režimu jádra a omezením přidělení paměti jádra, která by mohla být použita k ohrožení systému.
Klíčová cesta: HypervisorEnforcedCodeIntegrityStatus
OSEx: WSASHCI22H2
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: NA
Standardní mapování dodržování předpisů:
= 0
(OsConfig)
Kritické
Povolení zabezpečeného spouštění
(AZ-WIN-202248)
Popis: Zabezpečené spouštění je standard zabezpečení vyvinutý členy počítačového průmyslu, aby bylo zajištěno, že zařízení spouští pouze software, který je důvěryhodný výrobcem OEM (Original Equipment Manufacturer).
Cesta ke klíči: SecureBootState
OSEx: WSASHCI22H2
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: NA
Standardní mapování dodržování předpisů:
= 1
(OsConfig)
Kritické
Povolení ochrany systému
(AZ-WIN-202247)
Popis: Použití podpory procesoru pro technologii DRTM (Dynamic Root of Trust of Measurement) Ochrana System Guard umístit firmware do hardwarového sandboxu, který pomáhá omezit dopad ohrožení zabezpečení v milionech řádků vysoce privilegovaného kódu firmwaru.
Cesta ke klíči: SystemGuardStatus
OSEx: WSASHCI22H2
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: NA
Standardní mapování dodržování předpisů:
= 0
(OsConfig)
Kritické
Povolení zabezpečení na základě virtualizace
(AZ-WIN-202245)
Popis: Zabezpečení na základě virtualizace nebo VBS používá funkce virtualizace hardwaru k vytvoření a izolaci zabezpečené oblasti paměti od normálního operačního systému. To pomáhá zajistit, aby servery zůstaly věnované spouštění kritických úloh a chránily související aplikace a data před útoky a exfiltrací. Služba VBS je ve výchozím nastavení povolená a uzamčená ve službě Azure Stack HCI.
Cesta ke klíči: VirtualizationBasedSecurityStatus
OSEx: WSASHCI22H2
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: NA
Standardní mapování dodržování předpisů:
= 0
(OsConfig)
Kritické
Nastavení verze TPM
(AZ-WIN-202249)
Popis: Technologie TPM (Trusted Platform Module) je navržená tak, aby poskytovala hardwarové funkce související se zabezpečením. Čip TPM2.0 se vyžaduje pro zabezpečené základní funkce.
Cesta ke klíči: TPMVersion
OSEx: WSASHCI22H2
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: NA
Standardní mapování dodržování předpisů:
Obsahuje hodnotu 2.0.
(OsConfig)
Kritické

Možnosti zabezpečení – Účty

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Účty: Blokovat účty Microsoft
(AZ-WIN-202201)
Popis: Toto nastavení zásad brání uživatelům v přidávání nových účtů Microsoft do tohoto počítače. Doporučený stav pro toto nastavení je: Users can't add or log on with Microsoft accounts.
Cesta ke klíči: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Blokovat účty Microsoft
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.1.2
        CIS WS2019 2.3.1.2
= 3
(Registr)
Upozorňující
Účty: Stav účtu hosta
(CCE-37432-2)
Popis: Toto nastavení zásad určuje, jestli je účet hosta povolený nebo zakázaný. Účet Host umožňuje neověřeným uživatelům sítě získat přístup k systému. Doporučený stav pro toto nastavení je: Disabled. Poznámka: Toto nastavení nebude mít žádný vliv při použití na organizační jednotku řadiče domény prostřednictvím zásad skupiny, protože řadiče domény nemají žádnou databázi místního účtu. Dá se nakonfigurovat na úrovni domény prostřednictvím zásad skupiny, podobně jako nastavení uzamčení účtu a zásad hesel.
Cesta ke klíči: [Systémový přístup]EnableGuestAccount
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Stav účtu hosta
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93497
        STIG WS2016 V-73809
        CIS WS2019 2.3.1.3
        CIS WS2022 2.3.1.3
= 0
(Zásady)
Kritické
Účty: Omezit použití prázdného hesla místního účtu pouze pro přihlášení ke konzole
(CCE-37615-2)
Popis: Toto nastavení zásad určuje, jestli se místní účty, které nejsou chráněné heslem, dají použít k přihlášení z jiných umístění než z konzoly fyzického počítače. Pokud povolíte toto nastavení zásad, místní účty s prázdnými hesly se nebudou moct přihlásit k síti ze vzdálených klientských počítačů. Tyto účty se budou moct přihlásit jenom na klávesnici počítače. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Omezení používání prázdných hesel pouze pro přihlášení ke konzole

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93279
        STIG WS2016 V-73621
        CIS WS2019 2.3.1.4
        CIS WS2022 2.3.1.4
Neexistuje nebo = 1
(Registr)
Kritické
Účty: Přejmenovat účet hosta
(AZ-WIN-202255)
Popis: Předdefinovaný místní účet hosta je dalším známým názvem útočníků. Doporučujeme tento účet přejmenovat na něco, co neuvádí jeho účel. I když tento účet zakážete, což se doporučuje, ujistěte se, že ho přejmenujete pro lepší zabezpečení. Na řadičích domény, protože nemají vlastní místní účty, toto pravidlo odkazuje na předdefinovaný účet hosta, který byl vytvořen při prvním vytvoření domény.
Cesta ke klíči: [Systémový přístup]NewGuestName
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Přejmenování účtu hosta
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.1.6
        CIS WS2019 2.3.1.6
!= Host
(Zásady)
Upozorňující
Přístup k síti: Povolení anonymního překladu identifikátorů SID nebo názvu
(CCE-10024-8)
Popis: Toto nastavení zásad určuje, zda anonymní uživatel může požadovat atributy identifikátoru zabezpečení (SID) pro jiného uživatele, nebo pomocí identifikátoru SID získat odpovídající uživatelské jméno. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: [Přístup k systému]LSAAnonymousNameLookup
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Povolit anonymní překlad SID/Název
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.10.1
        CIS WS2019 2.3.10.1
= 0
(Zásady)
Upozorňující

Možnosti zabezpečení – Audit

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Audit: Vynutit přednost nastavení podkategorie zásad auditu (Windows Vista nebo novější) před nastavením kategorie zásad auditu
(CCE-37850-5)
Popis: Toto nastavení zásad umožňuje správcům povolit přesnější možnosti auditování v systému Windows Vista. Nastavení zásad auditu dostupná ve službě Active Directory systému Windows Server 2003 ještě neobsahuje nastavení pro správu nových podkategorií auditování. Aby bylo možné správně použít zásady auditování předepsané v tomto směrném plánu, musí být nastavení podkategorie zásad auditu (Windows Vista nebo novější) vynuceno tak, aby se nastavení kategorií zásad auditu přepsaly na Povoleno.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Audit: Vynucení nastavení podkategorie zásad auditu (Windows Vista nebo novější) pro přepsání nastavení kategorií zásad auditu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.2.1
Neexistuje nebo = 1
(Registr)
Kritické
Audit: Není-li možno protokolovat audity zabezpečení, vypnout okamžitě systém
(CCE-35907-5)
Popis: Toto nastavení zásad určuje, jestli se systém vypne, pokud nemůže protokolovat události zabezpečení. Je to požadavek na kritéria hodnocení důvěryhodného počítačového systému (TCSEC)-C2 a certifikace společných kritérií, aby se zabránilo auditovatelným událostem, pokud je systém auditu nemůže protokolovat. Společnost Microsoft se rozhodla tento požadavek splnit zastavením systému a zobrazením zprávy stop, pokud systém auditování dojde k selhání. Pokud je toto nastavení zásad povolené, systém se vypne, pokud se z nějakého důvodu nedá protokolovat audit zabezpečení. Pokud je povolená možnost Audit: Okamžitě vypněte systém, pokud není možné protokolovat nastavení auditů zabezpečení, může dojít k neplánovaným selháním systému. Administrativní zátěž může být významná, zejména pokud také nakonfigurujete metodu uchovávání pro protokol zabezpečení tak, aby nepřepisoval události (vymazat protokol ručně). Tato konfigurace způsobí, že se ohrožení zabezpečení v podobě odepření služby (doS) může operátor zálohování odepřít, že zálohovaná nebo obnovená data, protože server může být nucen vypnout, pokud je zahlcený událostmi přihlášení a dalšími událostmi zabezpečení, které se zapisují do protokolu zabezpečení. Vzhledem k tomu, že vypnutí není řádné, je také možné, že by mohlo dojít k nenapravitelnému poškození operačního systému, aplikací nebo dat. I když systém souborů NTFS zaručuje jeho integritu, když dojde k nepřístupnému vypnutí počítače, nemůže zaručit, že každý datový soubor pro každou aplikaci bude při restartování počítače stále v použitelné podobě. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Audit: Okamžitě vypněte systém, pokud nelze protokolovat audity zabezpečení

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.2.2
        CIS WS2022 2.3.2.2
Neexistuje nebo = 0
(Registr)
Kritické

Možnosti zabezpečení – Zařízení

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Zařízení: Povoleno formátování a vysunutí vyměnitelných médií
(CCE-37701-0)
Popis: Toto nastavení zásad určuje, kdo smí formátovat a vysunout vyměnitelné médium. Pomocí tohoto nastavení zásad můžete zabránit neoprávněným uživatelům v odebrání dat na jednom počítači, aby k nim měli přístup na jiném počítači, na kterém mají oprávnění místního správce.
Cesta ke klíči: SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Winlogon\AllocateDASD
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zařízení: Povoleno formátovat a vysunout vyměnitelné médium
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.4.1
Neexistuje nebo = 0
(Registr)
Upozorňující
Zařízení: Zabránit uživatelům instalovat ovladače tiskáren
(CCE-37942-0)
Popis: Aby se počítač vytiskl na sdílenou tiskárnu, musí být na místním počítači nainstalován ovladač pro danou sdílenou tiskárnu. Toto nastavení zabezpečení určuje, kdo může nainstalovat ovladač tiskárny jako součást připojení ke sdílené tiskárně. Doporučený stav pro toto nastavení je: Enabled. Poznámka: Toto nastavení nemá vliv na možnost přidat místní tiskárnu. Toto nastavení nemá vliv na správce.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zařízení: Zabránit uživatelům v instalaci ovladačů tiskárny

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.4.2
        CIS WS2022 2.3.4.2
Neexistuje nebo = 1
(Registr)
Upozorňující
Omezení instalace ovladače tisku na správce
(AZ_WIN_202202)
Popis: Toto nastavení zásad určuje, jestli uživatelé, kteří nejsou správci, mohou v systému instalovat ovladače tisku. Doporučený stav pro toto nastavení je: Enabled. Poznámka: 10. srpna 2021 společnost Microsoft oznámila změnu výchozího chování point and print, která upraví výchozí nastavení instalace a ovladače tisku a chování aktualizace tak, aby vyžadovalo oprávnění správce. Toto je popsané v tématu KB5005652 Správa chování při instalaci výchozího ovladače typu Point and Print (CVE-2021-34481).
Cesta ke klíči: Software\Policies\Microsoft\systém Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Průvodce zabezpečením MS\Omezení instalace ovladače tisku na správce
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.3.5
        CIS WS2019 18.3.5
= 1
(Registr)
Upozorňující

Možnosti zabezpečení – člen domény

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Ujistěte se, že člen domény: Digitálně šifrovat nebo podepsat data zabezpečeného kanálu (vždy) je nastavená na Povoleno.
(CCE-36142-8)
Popis: Toto nastavení zásad určuje, jestli musí být podepsaný nebo zašifrovaný veškerý provoz zabezpečeného kanálu iniciovaný členem domény. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Digitální šifrování nebo podepisování dat zabezpečeného kanálu (vždy)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.6.1
        CIS WS2019 2.3.6.1
Neexistuje nebo = 1
(Registr)
Kritické
Ujistěte se, že člen domény: Digitální šifrování dat zabezpečeného kanálu (pokud je to možné) je nastavené na Povoleno.
(CCE-37130-2)
Popis: Toto nastavení zásad určuje, jestli se člen domény má pokusit vyjednat šifrování pro veškerý provoz zabezpečeného kanálu, který zahájí. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Digitální šifrování dat zabezpečených kanálů (pokud je to možné)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.6.2
        CIS WS2019 2.3.6.2
Neexistuje nebo = 1
(Registr)
Kritické
Ujistěte se, že člen domény: Digitálně podepsat data zabezpečeného kanálu (pokud je to možné) je nastaveno na Povoleno.
(CCE-37222-7)
Popis:

Toto nastavení zásad určuje, jestli se člen domény má pokusit vyjednat, jestli musí být digitálně podepsán veškerý provoz zabezpečeného kanálu, který iniciuje. Digitální podpisy chrání provoz před tím, aby ho upravoval každý, kdo při procházení sítě zachytává data. Doporučený stav pro toto nastavení je: Povoleno.


Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Digitálně podepsat data zabezpečeného kanálu (pokud je to možné)

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93551
        STIG WS2016 V-73637
        CIS WS2019 2.3.6.3
        CIS WS2022 2.3.6.3
Neexistuje nebo = 1
(Registr)
Kritické
Ujistěte se, že je u člena domény: Zakázání změn hesla účtu počítače nastaveno na Zakázáno.
(CCE-37508-9)
Popis:

Toto nastavení zásad určuje, jestli člen domény může pravidelně měnit heslo účtu počítače. Počítače, které nemůžou automaticky měnit hesla účtu, mohou být ohroženy, protože útočník může zjistit heslo pro účet domény systému. Doporučený stav pro toto nastavení je: Zakázáno.


Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Zakázání změn hesla účtu počítače

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93273
        STIG WS2016 V-73631
        CIS WS2019 2.3.6.4
        CIS WS2022 2.3.6.4
Neexistuje nebo = 0
(Registr)
Kritické
Ujistěte se, že člen domény: Maximální stáří hesla účtu počítače je nastavené na 30 nebo méně dní, ale ne na 0.
(CCE-37431-4)
Popis: Toto nastavení zásad určuje maximální povolený věk hesla účtu počítače. Ve výchozím nastavení členové domény automaticky mění hesla k doméně každých 30 dnů. Pokud tento interval výrazně zvýšíte tak, aby počítače přestaly měnit hesla, útočník by měl více času na provedení útoku hrubou silou na jeden z účtů počítače. Doporučený stav pro toto nastavení je: 30 or fewer days, but not 0. Poznámka: Hodnota 0 neodpovídá srovnávacímu testu, protože zakazuje maximální stáří hesla.
Cesta ke klíči: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na 30 or fewer days, but not 0:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Maximální stáří hesla účtu počítače

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93285
        STIG WS2016 V-73641
        CIS WS2019 2.3.6.5
        CIS WS2022 2.3.6.5
V 1–30
(Registr)
Kritické
Ujistěte se, že je pro člena domény nastaven silný klíč relace (Windows 2000 nebo novější) nastaven na Povoleno.
(CCE-37614-5)
Popis: Pokud je toto nastavení zásad povolené, je možné vytvořit zabezpečený kanál pouze s řadiči domény, které můžou šifrovat data zabezpečeného kanálu pomocí silného (128bitového) klíče relace. Chcete-li povolit toto nastavení zásad, musí být všechny řadiče domény v doméně schopné šifrovat zabezpečená data kanálu silným klíčem, což znamená, že všechny řadiče domény musí používat systém Microsoft Windows 2000 nebo novější. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo novější)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.6.6
        CIS WS2019 2.3.6.6
Neexistuje nebo = 1
(Registr)
Kritické

Možnosti zabezpečení – Interaktivní přihlášení

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Ukládání přihlašovacích údajů do mezipaměti musí být omezené.
(AZ-WIN-73651)
Popis: Toto nastavení zásad určuje, jestli se uživatel může přihlásit k doméně Windows pomocí informací o účtu uloženém v mezipaměti. Přihlašovací informace pro účty domény se dají ukládat do mezipaměti místně, aby se uživatelé mohli přihlásit, i když se řadič domény nedá kontaktovat. Toto nastavení zásad určuje počet jedinečných uživatelů, pro které se přihlašovací informace ukládají místně do mezipaměti. Pokud je tato hodnota nastavená na hodnotu 0, je funkce mezipaměti přihlášení zakázaná. Útočník, který má přístup k systému souborů serveru, může najít tyto informace uložené v mezipaměti a pomocí útoku hrubou silou určit hesla uživatelů. Doporučený stav pro toto nastavení je: 4 or fewer logon(s).
Cesta ke klíči: SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Počet předchozích přihlášení do mezipaměti (v případě, že řadič domény není k dispozici)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.7.6
        CIS WS2019 2.3.7.6
V 1-4
(Registr)
Informační
Interaktivní přihlašování: Nezobrazovat naposledy použité uživatelské jméno
(CCE-36056-0)
Popis: Toto nastavení zásad určuje, jestli se název účtu posledního uživatele, který se má přihlásit k klientským počítačům ve vaší organizaci, se zobrazí na příslušné přihlašovací obrazovce každého počítače. Povolte toto nastavení zásad, abyste zabránili útočníkům vizuálně shromažďovat názvy účtů z obrazovek stolních nebo přenosných počítačů ve vaší organizaci. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Nezobrazovat poslední přihlášení
Poznámka: Ve starších verzích Systému Microsoft Windows bylo toto nastavení pojmenováno Interaktivní přihlášení: Nezobrazovat příjmení, ale bylo přejmenováno od Windows Serveru 2019.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.7.2
        CIS WS2022 2.3.7.2
= 1
(Registr)
Kritické
Interaktivní přihlašování: Nevyžadovat stisknutí kláves Ctrl+Alt+Del
(CCE-37637-6)
Popis: Toto nastavení zásad určuje, jestli uživatelé musí před přihlášením stisknout kombinaci kláves CTRL+ALT+DEL. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Nevyžadují kombinaci kláves CTRL+ALT+DEL

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.7.1
        CIS WS2022 2.3.7.1
Neexistuje nebo = 0
(Registr)
Kritické
Interaktivní přihlášení: Limit pro nečinnost počítače
(AZ-WIN-73645)
Popis: Systém Windows si všimne nečinnosti přihlašovací relace a pokud doba nečinnosti překročí limit nečinnosti, spustí se spořič obrazovky a zamkne relaci. Doporučený stav pro toto nastavení je: 900 or fewer second(s), but not 0. Poznámka: Hodnota 0 neodpovídá srovnávacímu testu, protože zakazuje limit nečinnosti počítače.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Limit nečinnosti počítače
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.7.3
        CIS WS2019 2.3.7.3
V 1-900
(Registr)
Důležité
Interaktivní přihlašování: Text zprávy pro uživatele pokoušející se přihlásit
(AZ-WIN-202253)
Popis: Toto nastavení zásad určuje textovou zprávu, která se uživatelům zobrazí při přihlášení. Toto nastavení nakonfigurujte způsobem, který je konzistentní se zabezpečením a provozními požadavky vaší organizace.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Text zprávy pro uživatele, kteří se pokoušejí přihlásit
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.7.4
        CIS WS2019 2.3.7.4
!=
(Registr)
Upozorňující
Interaktivní přihlašování: Nadpis zprávy pro uživatele pokoušející se přihlásit
(AZ-WIN-202254)
Popis: Toto nastavení zásad určuje text zobrazený v záhlaví okna, které uživatelé uvidí při přihlášení k systému. Toto nastavení nakonfigurujte způsobem, který je konzistentní se zabezpečením a provozními požadavky vaší organizace.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Název zprávy pro uživatele, kteří se pokoušejí přihlásit
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.7.5
        CIS WS2019 2.3.7.5
!=
(Registr)
Upozorňující
Interaktivní přihlašování: Vyzvat uživatele ke změně hesla před jeho vypršením
(CCE-10930-6)
Popis: Toto nastavení zásad určuje, jak daleko budou uživatelé upozorněni, že platnost hesla vyprší. Doporučujeme nakonfigurovat toto nastavení zásad na nejméně 5 dní, ale ne více než 14 dní, aby uživatelé dostatečně upozorňovali, kdy jejich hesla vyprší. Doporučený stav pro toto nastavení je: between 5 and 14 days.
Cesta ke klíči: Software\Microsoft\systém Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Interaktivní přihlášení: Před vypršením platnosti výzvy uživatele ke změně hesla
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.7.7
        CIS WS2019 2.3.7.7
V 5-14
(Registr)
Informační

Možnosti zabezpečení – Klient sítě Microsoft

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Klient sítě Microsoft: Vždy digitálně podepsat komunikaci
(CCE-36325-9)
Popis:

Toto nastavení zásad určuje, jestli je podepisování paketů vyžadováno komponentou klienta SMB. Poznámka: Pokud mají počítače se systémem Windows Vista povolené toto nastavení zásad a připojují se k souborům nebo tiskovým sdíleným složkám na vzdálených serverech, je důležité, aby se nastavení synchronizovalo s doprovodným nastavením, síťový server Společnosti Microsoft: Digitálně podepsat komunikaci (vždy) na těchto serverech. Další informace o těchtonastaveních Doporučený stav pro toto nastavení je: Povoleno.


Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Klient sítě Microsoft: Digitálně podepsat komunikaci (vždy)

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93555
        STIG WS2016 V-73653
        CIS WS2019 2.3.8.1
        CIS WS2022 2.3.8.1
= 1
(Registr)
Kritické
Klient sítě Microsoft: Digitálně podepsat komunikaci (pokud server souhlasí)
(CCE-36269-9)
Popis: Toto nastavení zásad určuje, jestli se klient SMB pokusí vyjednat podepisování paketů SMB. Poznámka: Povolením tohoto nastavení zásad pro klienty SMB ve vaší síti je plně efektivní pro podepisování paketů se všemi klienty a servery ve vašem prostředí. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Klient sítě Microsoft: Digitálně podepsat komunikaci (pokud server souhlasí)

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93557
        STIG WS2016 V-73655
        CIS WS2019 2.3.8.2
        CIS WS2022 2.3.8.2
Neexistuje nebo = 1
(Registr)
Kritické
Klient sítě Microsoft: Serverům SMB třetích stran odesílat nezašifrované heslo
(CCE-37863-8)
Popis:

Toto nastavení zásad určuje, jestli bude přesměrovač SMB odesílat hesla ve formátu prostého textu během ověřování na servery SMB třetích stran, které nepodporují šifrování hesla. Toto nastavení zásad se doporučuje zakázat, pokud není k dispozici silný obchodní případ, který ho povolí. Pokud je toto nastavení zásad povolené, budou v síti povolena nešifrovaná hesla. Doporučený stav pro toto nastavení je: Zakázáno.


Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový klient Microsoftu: Odesílání nešifrovaného hesla serverům SMB třetích stran

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93469
        STIG WS2016 V-73657
        CIS WS2019 2.3.8.3
        CIS WS2022 2.3.8.3
Neexistuje nebo = 0
(Registr)
Kritické
Server sítě Microsoft: Doba nečinnosti před přechodem relace do režimu spánku
(CCE-38046-9)
Popis: Toto nastavení zásad umožňuje určit dobu nepřetržité nečinnosti, která musí předat relaci SMB před pozastavením relace kvůli nečinnosti. Správci můžou toto nastavení zásad použít k řízení, kdy počítač pozastaví neaktivní relaci SMB. Pokud se aktivita klienta obnoví, relace se automaticky znovu obnoví. Zdá se, že hodnota 0 umožňuje, aby relace trvaly neomezeně dlouho. Maximální hodnota je 99999, což je více než 69 dnů; tato hodnota zakáže nastavení. Doporučený stav pro toto nastavení je: 15 or fewer minute(s), but not 0.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na 15 or fewer minute(s):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoftu: Doba nečinnosti požadovaná před pozastavením relace
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.9.1
V 1-15
(Registr)
Kritické
Server sítě Microsoft: Vždy digitálně podepsat komunikaci
(CCE-37864-6)
Popis: Toto nastavení zásad určuje, jestli je podepisování paketů vyžadováno komponentou serveru SMB. Povolte toto nastavení zásad ve smíšeném prostředí, aby podřízení klienti nemohli pracovní stanici používat jako síťový server. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoft: Digitálně podepsat komunikaci (vždy)

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93559
        STIG WS2016 V-73661
        CIS WS2019 2.3.9.2
        CIS WS2022 2.3.9.2
= 1
(Registr)
Kritické
Server sítě Microsoft: Digitálně podepsat komunikaci (pokud klient souhlasí)
(CCE-35988-5)
Popis: Toto nastavení zásad určuje, jestli server SMB vyjedná podepisování paketů SMB s klienty, kteří ji požadují. Pokud z klienta nepochází žádná žádost o podepsání, připojení se povolí bez podpisu, pokud síťový server Microsoftu : Nastavení digitálně podepsat komunikaci (vždy) není povolené. Poznámka: Povolte toto nastavení zásad pro klienty SMB ve vaší síti, aby byly plně efektivní pro podepisování paketů se všemi klienty a servery ve vašem prostředí. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoftu: Digitálně podepsat komunikaci (pokud klient souhlasí)

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93561
        STIG WS2016 V-73663
        CIS WS2019 2.3.9.3
        CIS WS2022 2.3.9.3
= 1
(Registr)
Kritické
Server sítě Microsoft: Po vypršení doby přihlášení odpojit klienty
(CCE-37972-7)
Popis: Toto nastavení zabezpečení určuje, jestli se mají odpojit uživatele, kteří jsou připojení k místnímu počítači mimo platnou dobu přihlášení svého uživatelského účtu. Toto nastavení má vliv na komponentu SMB (Server Message Block). Pokud povolíte toto nastavení zásad, měli byste také povolit zabezpečení sítě: Vynutit odhlášení při vypršení doby přihlášení (pravidlo 2.3.11.6). Pokud vaše organizace konfiguruje dobu přihlášení pro uživatele, je toto nastavení zásad nezbytné k zajištění jejich účinnosti. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoft: Odpojení klientů po vypršení doby přihlášení

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.9.4
        CIS WS2022 2.3.9.4
Neexistuje nebo = 1
(Registr)
Kritické
Server sítě Microsoft: Úroveň ověření cílového názvu hlavního názvu služby (SPN) serveru
(CCE-10617-9)
Popis: Toto nastavení zásad řídí úroveň ověřování počítače se sdílenými složkami nebo tiskárnami (server) s hlavním názvem služby (SPN), který poskytuje klientský počítač při vytváření relace pomocí protokolu SMB (Server Message Block). Protokol SMB (Server Message Block) poskytuje základ pro sdílení souborů a tisku a další síťové operace, jako je vzdálená správa systému Windows. Protokol SMB podporuje ověřování hlavního názvu služby serveru SMB (SPN) v objektu blob ověřování poskytovaném klientem SMB, aby se zabránilo třídě útoků na servery SMB, které se označují jako předávací útoky SMB. Toto nastavení ovlivní protokol SMB1 i SMB2. Doporučený stav pro toto nastavení je: Accept if provided by client. Konfigurace tohoto nastavení tak, aby Required from client odpovídala také srovnávacímu testu. Poznámka: Vzhledem k tomu, že vydání opravy zabezpečení MS KB3161561, může toto nastavení způsobit významné problémy (například problémy s replikací, problémy s úpravami zásad skupiny a chybové ukončení modré obrazovky) na řadičích domény při současném použití s posílením zabezpečení cesty UNC (tj. pravidlo 18.5.14.1). Cis proto doporučuje toto nastavení nasadit na řadiče domény.
Cesta ke klíči: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťový server Microsoftu: Úroveň ověření cílového názvu hlavního názvu služby serveru
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.9.5
        CIS WS2019 2.3.9.5
= 1
(Registr)
Upozorňující

Možnosti zabezpečení – Microsoft Network Server

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Zakázání serveru SMB v1
(AZ-WIN-00175)
Popis: Zakázání tohoto nastavení zakáže zpracování protokolu SMBv1 na straně serveru. (Doporučeno.) Povolením tohoto nastavení povolíte zpracování protokolu SMBv1 na straně serveru. (Výchozí.) Změny tohoto nastavení vyžadují, aby se projevilo restartování. Další informace viz https://support.microsoft.com/kb/2696547.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Nejde použít
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.3.3
Neexistuje nebo = 0
(Registr)
Kritické

Možnosti zabezpečení – Přístup k síti

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Účty: Přejmenovat účet správce
(CCE-10976-9)
Popis: Předdefinovaný účet místního správce je dobře známý název účtu, na který budou útočníci cílit. Doporučujeme zvolit pro tento účet jiný název a vyhnout se názvům, které označují účty pro správu nebo přístup se zvýšenými oprávněními. Nezapomeňte také změnit výchozí popis místního správce (prostřednictvím konzoly pro správu počítače). Na řadičích domény, protože nemají vlastní místní účty, toto pravidlo odkazuje na předdefinovaný účet správce, který byl vytvořen při prvním vytvoření domény.
Cesta ke klíči: [Přístup k systému]NewAdministratorName
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Účty: Přejmenování účtu správce
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.3.1.5
        CIS WS2019 2.3.1.5
!= Správce
(Zásady)
Upozorňující
Přístup k síti: Neumožnit anonymní výčet účtů SAM
(CCE-36316-8)
Popis: Toto nastavení zásad řídí schopnost anonymních uživatelů vytvořit výčet účtů ve Správci účtů zabezpečení (SAM). Pokud povolíte toto nastavení zásad, uživatelé s anonymními připojeními nebudou moct vytvořit výčet uživatelských jmen účtů domény v systémech ve vašem prostředí. Toto nastavení zásad také umožňuje další omezení anonymních připojení. Doporučený stav pro toto nastavení je: Enabled. Poznámka: Tato zásada nemá žádný vliv na řadiče domény.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení
etwork přístup: Nepovolit anonymní výčet účtů SAM
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.10.2
Neexistuje nebo = 1
(Registr)
Kritické
Přístup k síti: Neumožnit anonymní výčet účtů SAM a sdílení
(CCE-36077-6)
Popis: Toto nastavení zásad řídí schopnost anonymních uživatelů vytvořit výčet účtů SAM a sdílených složek. Pokud povolíte toto nastavení zásad, anonymní uživatelé nebudou moct vytvořit výčet uživatelských jmen účtů domény a názvů sdílených síťových složek v systémech ve vašem prostředí. Doporučený stav pro toto nastavení je: Enabled. Poznámka: Tato zásada nemá žádný vliv na řadiče domény.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení
Přístup pro etwork: Nepovolit anonymní výčet účtů SAM a sdílených složek
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.10.3
= 1
(Registr)
Kritické
Přístup k síti: Použít oprávnění účtu Everyone pro anonymní uživatele
(CCE-36148-5)
Popis: Toto nastavení zásad určuje, jaká další oprávnění jsou přiřazena pro anonymní připojení k počítači. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Povolit všem oprávnění pro anonymní uživatele

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93293
        STIG WS2016 V-73673
        CIS WS2019 2.3.10.5
        CIS WS2022 2.3.10.5
Neexistuje nebo = 0
(Registr)
Kritické
Přístup k síti: Vzdáleně přístupné cesty registru
(CCE-37194-8)
Popis: Toto nastavení zásad určuje, které cesty registru budou po odkazování na klíč WinReg přístupné, aby bylo možné určit přístupová oprávnění k cestám. Poznámka: Toto nastavení v systému Windows XP neexistuje. V systému Windows XP došlo k nastavení s tímto názvem, ale v systému Windows Server 2003, Windows Vista a Windows Server 2008 se nazývá Přístup k síti: Vzdáleně přístupné cesty registru a dílčí cesty. Poznámka: Při konfiguraci tohoto nastavení zadáte seznam jednoho nebo více objektů. Oddělovač použitý při zadávání seznamu je spojnicový kanál nebo návrat na začátek řádku, tj. zadejte první objekt v seznamu, stiskněte tlačítko Enter, zadejte další objekt, znovu stiskněte Enter atd. Hodnota nastavení se uloží jako seznam oddělený čárkami v šablonách zabezpečení zásad skupiny. Zobrazuje se také jako seznam oddělený čárkami v podokně zobrazení Editoru zásad skupiny a v konzole Výsledná sada zásad. Zaznamenává se v registru jako seznam oddělený odřádkování v REG_MULTI_SZ hodnotě.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na:
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\systém Windows NT\CurrentVersion

Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Cesty registru vzdálené dostupnosti
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.10.8
Neexistuje nebo = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\systém Windows NT\CurrentVersion\0\0
(Registr)
Kritické
Přístup k síti: Vzdáleně přístupné cesty registru a dílčí cesty
(CCE-36347-3)
Popis: Toto nastavení zásad určuje, které cesty registru a dílčí cesty budou přístupné, když aplikace nebo proces odkazuje na klíč WinReg k určení přístupových oprávnění. Poznámka: V systému Windows XP se toto nastavení nazývá "Přístup k síti: Vzdáleně přístupné cesty registru", nastavení se stejným názvem v systémech Windows Vista, Windows Server 2008 a Windows Server 2003 v systému Windows XP neexistuje. Poznámka: Při konfiguraci tohoto nastavení zadáte seznam jednoho nebo více objektů. Oddělovač použitý při zadávání seznamu je spojnicový kanál nebo návrat na začátek řádku, tj. zadejte první objekt v seznamu, stiskněte tlačítko Enter, zadejte další objekt, znovu stiskněte Enter atd. Hodnota nastavení se uloží jako seznam oddělený čárkami v šablonách zabezpečení zásad skupiny. Zobrazuje se také jako seznam oddělený čárkami v podokně zobrazení Editoru zásad skupiny a v konzole Výsledná sada zásad. Zaznamenává se v registru jako seznam oddělený odřádkování v REG_MULTI_SZ hodnotě.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\systém Windows NT\CurrentVersion\Print
Software\Microsoft\systém Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\systém Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog

Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení
Etwork přístup: Vzdáleně přístupné cesty registru a dílčí cesty

Pokud server obsahuje roli služby Active Directory Certificate Services se službou role Certifikační autorita , měl by obsahovat i výše uvedený seznam: System\CurrentControlSet\Services\CertSvc.

Pokud má server nainstalovanou funkci serveru WINS, měl by výše uvedený seznam obsahovat také:
System\CurrentControlSet\Services\WINS
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.10.9
Neexistuje nebo = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\systém Windows NT\CurrentVersion\Print\0Software\Microsoft\systém Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Control\Terminal Server\0System\ CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\systém Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0
(Registr)
Kritické
Přístup k síti: Omezení anonymního přístupu k pojmenovaným kanálům a sdíleným složkám
(CCE-36021-4)
Popis: Pokud je toto nastavení zásady povolené, omezuje anonymní přístup jenom na tyto sdílené složky a kanály, které jsou v Network access: Named pipes that can be accessed anonymously nastavení Network access: Shares that can be accessed anonymously pojmenované. Toto nastavení zásad řídí přístup relace null ke sdíleným složkám ve vašich počítačích přidáním RestrictNullSessAccess hodnoty 1 v klíči HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters registru. Tato hodnota registru přepíná sdílené složky relace s hodnotou null, aby bylo možné určit, jestli serverová služba omezuje neověřené klienty přístup k pojmenovaným prostředkům. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Omezení anonymního přístupu k pojmenovaným kanálům a sdíleným složkám

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93539
        STIG WS2016 V-73675
        CIS WS2019 2.3.10.10
        CIS WS2022 2.3.10.10
Neexistuje nebo = 1
(Registr)
Kritické
Přístup k síti: Omezení klientů provádět vzdálená volání SAM
(AZ-WIN-00142)
Popis: Toto nastavení zásad umožňuje omezit vzdálená připojení RPC k SAM. Pokud není vybraný, použije se výchozí popisovač zabezpečení. Tato zásada se podporuje alespoň ve Windows Serveru 2016.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators: Remote Access: Allow:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení
Etwork přístup: Omezení klientů, kteří mohou provádět vzdálená volání do SAM
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.10.11
Neexistuje nebo = O:BAG:BAD:(A;; RC;;; BA)
(Registr)
Kritické
Přístup k síti: Sdílené složky, ke kterým lze přistupovat anonymně
(CCE-38095-6)
Popis: Toto nastavení zásad určuje, ke kterým síťovým sdíleným složkám mají přístup anonymní uživatelé. Výchozí konfigurace tohoto nastavení zásad má malý vliv, protože všichni uživatelé musí být ověřeni předtím, než budou mít přístup ke sdíleným prostředkům na serveru. Poznámka: Přidání dalších sdílených složek do tohoto nastavení zásad skupiny může být velmi nebezpečné. Každý uživatel sítě má přístup ke všem uvedeným sdíleným složkám, které by mohly způsobit nebo poškodit citlivá data. Poznámka: Při konfiguraci tohoto nastavení zadáte seznam jednoho nebo více objektů. Oddělovač použitý při zadávání seznamu je spojnicový kanál nebo návrat na začátek řádku, tj. zadejte první objekt v seznamu, stiskněte tlačítko Enter, zadejte další objekt, znovu stiskněte Enter atd. Hodnota nastavení se uloží jako seznam oddělený čárkami v šablonách zabezpečení zásad skupiny. Zobrazuje se také jako seznam oddělený čárkami v podokně zobrazení Editoru zásad skupiny a v konzole Výsledná sada zásad. Zaznamenává se v registru jako seznam oddělený odřádkování v REG_MULTI_SZ hodnotě.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na <blank> hodnotu (tj. Žádná):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení
Etwork access: Sdílené složky, ke kterým je možné přistupovat anonymně
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.10.12
Neexistuje nebo =
(Registr)
Kritické
Přístup k síti: Model sdílení a zabezpečení místních účtů
(CCE-37623-6)
Popis: Toto nastavení zásad určuje, jak se ověřují přihlášení k síti, která používají místní účty. Možnost Classic umožňuje přesnou kontrolu nad přístupem k prostředkům, včetně možnosti přiřazovat různé typy přístupu různým uživatelům pro stejný prostředek. Možnost Pouze host vám umožňuje zacházet se všemi uživateli stejně. V tomto kontextu se všichni uživatelé ověřují jako host, aby obdrželi stejnou úroveň přístupu k danému prostředku. Doporučený stav pro toto nastavení je: Classic - local users authenticate as themselves. Poznámka: Toto nastavení nemá vliv na interaktivní přihlášení, která se provádějí vzdáleně pomocí takových služeb, jako je Telnet nebo Vzdálená plocha (dříve označovaná jako Terminálová služba).
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Classic - local users authenticate as themselves:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Přístup k síti: Sdílení a model zabezpečení pro místní účty

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.10.13
        CIS WS2022 2.3.10.13
Neexistuje nebo = 0
(Registr)
Kritické

Možnosti zabezpečení – Zabezpečení sítě

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Zabezpečení sítě: Povolit místnímu systému používat identitu počítače pro protokol NTLM
(CCE-38341-4)
Popis: Pokud je toto nastavení zásad povolené, způsobí to, že místní systémové služby, které používají negotiate používat identitu počítače, když je při vyjednávání vybráno ověřování NTLM. Tato zásada se podporuje alespoň ve Windows 7 nebo Windows Serveru 2008 R2.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId
Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení
zabezpečení etwork: Povolit místnímu systému používat identitu počítače pro NTLM
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.11.1
= 1
(Registr)
Kritické
Zabezpečení sítě: Povolit návrat k prázdné relaci místního systému
(CCE-37035-3)
Popis: Toto nastavení zásad určuje, zda má ntLM povoleno vrátit se k relaci NULL při použití s LocalSystem. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Povolit záložní relaci LocalSystem NULL

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93297
        STIG WS2016 V-73681
        CIS WS2019 2.3.11.2
        CIS WS2022 2.3.11.2
Neexistuje nebo = 0
(Registr)
Kritické
Zabezpečení sítě: Povolit žádostem o ověřování PKU2U odeslaným do tohoto počítače používat online identity
(CCE-38047-7)
Popis: Toto nastavení určuje, jestli se online identity můžou ověřit v tomto počítači. Kryptografický protokol PKU2U (Public Key Cryptography Based User-to-User) zavedený v systémech Windows 7 a Windows Server 2008 R2 je implementován jako zprostředkovatel podpory zabezpečení (SSP). Zprostředkovatel sdílených služeb umožňuje ověřování mezi dvěma účastníky, zejména prostřednictvím funkce sdílení médií a souborů systému Windows 7 s názvem Domácí skupina, která umožňuje sdílení mezi počítači, které nejsou členy domény. S PKU2U, nové rozšíření bylo zavedeno v negotiate ověřovací balíček , Spnego.dll. V předchozích verzích systému Windows se vyjednávat rozhodl, zda k ověřování použít Protokol Kerberos nebo NTLM. Zprostředkovatel sdílených služeb rozšíření pro Negotiate, Negoexts.dllkterý je považován za ověřovací protokol systému Windows, podporuje SSP společnosti Microsoft včetně PKU2U. Pokud jsou počítače nakonfigurované tak, aby přijímaly žádosti o ověření pomocí online ID, Negoexts.dll volá zprostředkovatel zabezpečení PKU2U na počítači, který se používá k přihlášení. Poskytovatel sdílených služeb PKU2U získá místní certifikát a vyměňuje zásady mezi partnerskými počítači. Po ověření na partnerském počítači se certifikát v metadatech odešle do přihlašovacího partnerského uzlu k ověření a přidruží certifikát uživatele k tokenu zabezpečení a proces přihlášení se dokončí. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Povolit žádostem o ověření PKU2U pro tento počítač používat online identity

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93299
        STIG WS2016 V-73683
        CIS WS2019 2.3.11.3
        CIS WS2022 2.3.11.3
Neexistuje nebo = 0
(Registr)
Upozorňující
Zabezpečení sítě: Konfigurace typů šifrování povolených pro Protokol Kerberos
(CCE-37755-6)
Popis: Toto nastavení zásad umožňuje nastavit typy šifrování, které smí protokol Kerberos používat. Tato zásada se podporuje alespoň ve Windows 7 nebo Windows Serveru 2008 R2.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Konfigurace typů šifrování povolených pro Protokol Kerberos
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.11.4
Neexistuje nebo = 2147483640
(Registr)
Kritické
Zabezpečení sítě: Neukládat hodnotu hash programu LAN Manager při příští změně hesla
(CCE-36326-7)
Popis: Toto nastavení zásad určuje, jestli se při změně hesla uloží hodnota hash LAN Manageru (LM) pro nové heslo. Hodnota hash LM je relativně slabá a náchylná k útoku v porovnání s kryptograficky silnější hodnotou hash microsoft systém Windows NT hash. Vzhledem k tomu, že hodnoty hash LM jsou uložené v místním počítači v databázi zabezpečení, může být hesla v případě útoku databáze snadno ohrožena. Poznámka: Pokud je toto nastavení zásad povolené, může dojít k selhání starších operačních systémů a některých aplikací třetích stran. Nezapomeňte také, že po povolení tohoto nastavení bude nutné změnit heslo pro všechny účty, abyste získali správnou výhodu. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Při příští změně hesla neukládejte hodnotu hash lan Manageru.

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93467
        STIG WS2016 V-73687
        CIS WS2019 2.3.11.5
        CIS WS2022 2.3.11.5
Neexistuje nebo = 1
(Registr)
Kritické
Zabezpečení sítě: Úroveň ověřování pro systém LAN Manager
(CCE-36173-3)
Popis: LAN Manager (LM) je řada raných klientských a serverových softwaru Microsoftu, který umožňuje uživatelům propojit osobní počítače v jedné síti. Mezi možnosti sítě patří transparentní sdílení souborů a tisku, funkce zabezpečení uživatelů a nástroje pro správu sítě. V doménách služby Active Directory je protokol Kerberos výchozím ověřovacím protokolem. Pokud však protokol Kerberos není z nějakého důvodu vyjednán, služba Active Directory bude používat protokol LM, NTLM nebo NTLMv2. Ověřování lan Manageru zahrnuje LM, Varianty NTLM a NTLM verze 2 (NTLMv2) a je protokol, který se používá k ověřování všech klientů Systému Windows při provádění následujících operací: – Připojení k doméně – Ověření mezi doménovými strukturami služby Active Directory – Ověřování domén na nižší úrovni – Ověřování na počítačích, na kterých není spuštěn systém Windows 2000, Windows Server 2003 nebo Windows XP) – Ověřte počítače, které nejsou v doméně, možné hodnoty zabezpečení sítě: Nastavení na úrovni ověřování LAN Manageru jsou: - Odesílání odpovědí LM &NTLM - Odeslat LM &NTLMM — použít zabezpečení relace NTLM2, pokud je vyjednáno - Odeslat pouze odpovědi NTLMv2 - Odeslat pouze odpovědi NTLMv2\odmítnout LM - Odeslat pouze odpovědi NTLMv2\odmítnout LM & NTLM - Nedefinované zabezpečení sítě: Nastavení úrovně ověřování LAN Manager určuje, který protokol ověřování výzvy a odpovědi se používá pro přihlášení k síti. Tato volba má vliv na úroveň ověřovacího protokolu, kterou klienti používají, úroveň zabezpečení relace, kterou počítače vyjednávají, a úroveň ověřování, kterou servery přijímají následujícím způsobem: – Odesílat odpovědi LM &NTLM. Klienti používají ověřování LM a NTLM a nikdy nepoužívají zabezpečení relace NTLMv2. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Odeslat LM & NTLM — použít zabezpečení relace NTLMv2, pokud je vyjednáno. Klienti používají ověřování LM a NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Odeslat pouze odpověď NTLM. Klienti používají pouze ověřování NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Odeslat pouze odpověď NTLMv2. Klienti používají pouze ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Odeslat odpověď NTLMv2 pouze\odmítnout LM. Klienti používají pouze ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou LM (přijímají pouze ověřování NTLM a NTLMv2). - Odeslat odpověď NTLMv2 pouze\odmítnout LM & NTLM. Klienti používají pouze ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou ověřování LM a NTLM (přijímají pouze ověřování NTLMv2). Tato nastavení odpovídají úrovním probíraným v jiných dokumentech Společnosti Microsoft následujícím způsobem: – úroveň 0 – odeslání LM a odpovědi NTLM; nikdy nepoužívejte zabezpečení relace NTLMv2. Klienti používají ověřování LM a NTLM a nikdy nepoužívají zabezpečení relace NTLMv2. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Úroveň 1 – Pokud je vyjednáno, použijte zabezpečení relace NTLMv2. Klienti používají ověřování LM a NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Úroveň 2 – Odeslat pouze odpověď NTLM. Klienti používají pouze ověřování NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Úroveň 3 – odeslat pouze odpověď NTLMv2. Klienti používají ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2. - Úroveň 4 – Řadiče domény odmítnou odpovědi LM. Klienti používají ověřování NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou ověřování LM, tj. přijímají protokoly NTLM a NTLMv2. - Úroveň 5 – Řadiče domény odmítnou odpovědi LM a NTLM (přijímají pouze protokol NTLMv2). Klienti používají ověřování NTLMv2, používají a zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou ověřování NTLM a LM (přijímají pouze protokol NTLMv2).
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta zásad skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím gp, nastavte následující cestu uživatelského rozhraní na: "Odeslat pouze odpověď NTLMv2. Odmítnout LM & NTLM':
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení
zabezpečení etwork: Úroveň ověřování LAN Manageru
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.11.7
= 5
(Registr)
Kritické
Zabezpečení sítě: Požadavky na podepisování klienta LDAP
(CCE-36858-9)
Popis: Toto nastavení zásad určuje úroveň podepisování dat, které je požadováno jménem klientů, kteří vydávají požadavky LDAP BIND. Poznámka: Toto nastavení zásad nemá žádný vliv na jednoduchou vazbuldap_simple_bind PROTOKOLU LDAP nebo jednoduchou vazbu protokolu LDAP prostřednictvím protokolu SSL (ldap_simple_bind_s). Žádní klienti Microsoft LDAP, kteří jsou součástí systému Windows XP Professional, používají ke komunikaci s řadičem domény ldap_simple_bind nebo ldap_simple_bind_s. Doporučený stav pro toto nastavení je: Negotiate signing. Konfigurace tohoto nastavení tak, aby Require signing odpovídala také srovnávacímu testu.
Cesta ke klíči: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní ( Negotiate signing nakonfigurujete tak, aby Require signing vyhovovala také srovnávacímu testu):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Požadavky na podepisování klientů LDAP

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93303
        STIG WS2016 V-73693
        CIS WS2019 2.3.11.8
        CIS WS2022 2.3.11.8
Neexistuje nebo = 1
(Registr)
Kritické
Zabezpečení sítě: Minimální zabezpečení relace pro klienty založené na NTLM SSP (včetně zabezpečeného vzdáleného volání procedur)
(CCE-37553-5)
Popis: Toto nastavení zásad určuje, které chování jsou klienty povoleny pro aplikace pomocí zprostředkovatele podpory zabezpečení NTLM (SSP). Rozhraní SSP (SSPI) používají aplikace, které potřebují ověřovací služby. Nastavení nemění způsob fungování sekvence ověřování, ale vyžaduje určité chování v aplikacích, které používají SSPI. Doporučený stav pro toto nastavení je: Require NTLMv2 session security, Require 128-bit encryption. Poznámka: Tyto hodnoty jsou závislé na zabezpečení sítě: Hodnota zabezpečení na úrovni ověřování LAN Manageru.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Require NTLMv2 session security, Require 128-bit encryption: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Minimální zabezpečení relace pro klienty založené na zprostředkovateli zabezpečení ntLM (včetně zabezpečeného RPC)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.11.9
= 537395200
(Registr)
Kritické
Zabezpečení sítě: Minimální zabezpečení relace pro servery založené na NTLM SSP (včetně zabezpečeného vzdáleného volání procedur)
(CCE-37835-6)
Popis: Toto nastavení zásad určuje, které chování jsou servery povoleny pro aplikace pomocí zprostředkovatele podpory zabezpečení NTLM (SSP). Rozhraní SSP (SSPI) používají aplikace, které potřebují ověřovací služby. Nastavení nemění způsob fungování sekvence ověřování, ale vyžaduje určité chování v aplikacích, které používají SSPI. Doporučený stav pro toto nastavení je: Require NTLMv2 session security, Require 128-bit encryption. Poznámka: Tyto hodnoty jsou závislé na zabezpečení sítě: Hodnota zabezpečení na úrovni ověřování LAN Manageru.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta zásad skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení sítě\Zabezpečení sítě: Minimální zabezpečení relace pro servery založené na zprostředkovateli zabezpečení protokolu NTLM (včetně zabezpečeného RPC) pro vyžadování zabezpečení relace NTLMv2 a vyžadování 128bitového šifrování (všechny vybrané možnosti).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.11.10
= 537395200
(Registr)
Kritické

Možnosti zabezpečení – Vypnutí

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Vypnutí: Povolit vypnutí systému bez nutnosti přihlášení
(CCE-36788-8)
Popis: Toto nastavení zásad určuje, jestli se počítač dá vypnout, když uživatel není přihlášený. Pokud je toto nastavení zásad povolené, je příkaz pro vypnutí k dispozici na přihlašovací obrazovce windows. Doporučujeme zakázat toto nastavení zásad, abyste omezili možnost vypnout počítač uživatelům s přihlašovacími údaji v systému. Doporučený stav pro toto nastavení je: Disabled. Poznámka: V serverech 2008 R2 a starších verzích toto nastavení nemělo žádný vliv na relace vzdálené plochy (RDP) / Terminálové služby – to ovlivnilo pouze místní konzolu. Společnost Microsoft však změnila chování v systému Windows Server 2012 (jiné než R2) a vyšší, kde pokud je nastavena na Povoleno, relace protokolu RDP mohou také vypnout nebo restartovat server.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Vypnutí: Povolit vypnutí systému bez nutnosti přihlášení

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.13.1
        CIS WS2022 2.3.13.1
Neexistuje nebo = 0
(Registr)
Upozorňující
Vypnutí: Vymazat stránkovací soubor virtuální paměti
(AZ-WIN-00181)
Popis: Toto nastavení zásad určuje, zda je stránkovací soubor virtuální paměti při vypnutí systému vymazán. Pokud je toto nastavení zásad povolené, systémový stránkovací soubor se vymaže pokaždé, když se systém správně vypne. Pokud povolíte toto nastavení zabezpečení, soubor hibernace (Hiberfil.sys) se při zakázání hibernace v přenosném počítači vynuluje. Vypnutí a restartování počítače bude trvat déle a bude zvlášť patrné na počítačích s velkými stránkovacími soubory.
Cesta ke klíči: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta zásad skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Vypnutí: Vymazání stránkovacího souboru virtuální paměti na Disabled.
Standardní mapování dodržování předpisů:
Neexistuje nebo = 0
(Registr)
Kritické

Možnosti zabezpečení – Kryptografie systému

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Uživatelé musí být povinni zadat heslo pro přístup k privátním klíčům uloženým v počítači.
(AZ-WIN-73699)
Popis: Pokud se privátní klíč zjistí, útočník ho může použít k ověření jako autorizovaný uživatel a získat přístup k síťové infrastruktuře. Základním kamenem infrastruktury veřejných klíčů je privátní klíč, který slouží k šifrování nebo digitálnímu podepisování informací. Pokud dojde k odcizení privátního klíče, povede to k ohrožení ověřování a neporušování identity získané prostřednictvím infrastruktury veřejných klíčů, protože útočník může pomocí privátního klíče digitálně podepsat dokumenty a předstírat, že je autorizovaným uživatelem. Držitelé digitálního certifikátu i vydávající autority musí chránit počítače, úložné zařízení nebo cokoli, co používají k uchovávání privátních klíčů.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta zásad skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Kryptografie systému: Vynucení silné ochrany klíčů pro uživatelské klíče uložené v počítači
Standardní mapování dodržování předpisů:
= 2
(Registr)
Důležité
Windows Server musí být nakonfigurovaný tak, aby používal algoritmy kompatibilní se standardem FIPS pro šifrování, hashování a podepisování.
(AZ-WIN-73701)
Popis: Toto nastavení zajišťuje, že systém používá algoritmy, které jsou kompatibilní se standardem FIPS pro šifrování, hashování a podepisování. Algoritmy kompatibilní se standardem FIPS splňují specifické standardy stanovené vládou USA a musí se jednat o algoritmy používané pro všechny funkce šifrování operačního systému.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Kryptografie systému: Použití algoritmů kompatibilních se standardem FIPS pro šifrování, hashování a podepisování
Standardní mapování dodržování předpisů:
= 1
(Registr)
Důležité

Možnosti zabezpečení – Systémové objekty

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Systémové objekty: Nevyžadovat rozlišování malých a velkých písmen pro podsystémy nepatřící pod systém Windows
(CCE-37885-1)
Popis: Toto nastavení zásad určuje, jestli se u všech subsystémů vynucuje rozlišování velkých a malých písmen. Subsystém Microsoft Win32 nerozlišuje velká a malá písmena. Jádro však podporuje citlivost malých a malých písmen pro jiné subsystémy, jako je přenosné rozhraní operačního systému pro UNIX (POSIX). Vzhledem k tomu, že systém Windows nerozlišuje velká a malá písmena (ale subsystém POSIX bude podporovat citlivost písmen), může uživatel subsystému POSIX vytvořit soubor se stejným názvem jako jiný soubor pomocí smíšeného případu, aby ho označil. Taková situace může blokovat přístup k těmto souborům jiným uživatelem, který používá typické nástroje Win32, protože bude k dispozici pouze jeden ze souborů. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Systémové objekty: Vyžadovat nerozlišování malých a malých písmen pro subsystémy mimo Systém Windows

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.15.1
        CIS WS2022 2.3.15.1
Neexistuje nebo = 1
(Registr)
Upozorňující
Systémové objekty: Posílit výchozí oprávnění interních systémových objektů (například symbolických odkazů)
(CCE-37644-2)
Popis: Toto nastavení zásad určuje sílu výchozího volitelného seznamu řízení přístupu (DACL) pro objekty. Služba Active Directory udržuje globální seznam sdílených systémových prostředků, jako jsou názvy zařízení SYSTÉMU DOS, mutexy a semafory. Tímto způsobem se objekty dají nacházet a sdílet mezi procesy. Každý typ objektu se vytvoří s výchozím seznamem DACL, který určuje, kdo má k objektům přístup a jaká oprávnění jsou udělena. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta zásad skupiny: Konfigurace zásady pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Systémové objekty: Posílení výchozích oprávnění interních systémových objektů (např. symbolické odkazy) na Enabled
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.3.15.2
= 1
(Registr)
Kritické

Možnosti zabezpečení – Nastavení systému

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Nastavení systému: Použít pravidla certifikátu u spustitelných souborů systému Windows pro zásady omezení softwaru
(AZ-WIN-00155)
Popis: Toto nastavení zásad určuje, jestli se digitální certifikáty zpracovávají, když jsou povolené zásady omezení softwaru, a uživatel nebo proces se pokusí spustit software s příponou názvu souboru .exe. Povolí nebo zakáže pravidla certifikátů (typ pravidla zásad omezení softwaru). Pomocí zásad omezení softwaru můžete vytvořit pravidlo certifikátu, které povolí nebo zakáže spuštění softwaru podepsaného službou Authenticode ® na základě digitálního certifikátu přidruženého k softwaru. Aby se pravidla certifikátů projevila v zásadách omezení softwaru, musíte toto nastavení zásad povolit.
Cesta ke klíči: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Nastavení systému: Použití pravidel certifikátů u spustitelných souborů systému Windows pro zásady omezení softwaru
Standardní mapování dodržování předpisů:
= 1
(Registr)
Upozorňující

Možnosti zabezpečení – Řízení uživatelských účtů

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Řízení uživatelských účtů: Režim schválení správce pro integrovaný účet správce
(CCE-36494-3)
Popis: Toto nastavení zásad řídí chování režimu schválení správcem pro předdefinovaný účet správce. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Režim schválení správce pro předdefinovaný účet správce

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93431
        STIG WS2016 V-73707
        CIS WS2019 2.3.17.1
        CIS WS2022 2.3.17.1
= 1
(Registr)
Kritické
Řízení uživatelských účtů: Povolit aplikacím UIAccess zobrazení výzvy ke zvýšení oprávnění bez použití zabezpečené plochy
(CCE-36863-9)
Popis: Toto nastavení zásad určuje, jestli programy usnadnění uživatelského rozhraní (UIAccess nebo UIA) můžou automaticky zakázat zabezpečenou plochu pro výzvy ke zvýšení oprávnění používané standardním uživatelem. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Povolit aplikacím UIAccess zobrazit výzvu ke zvýšení oprávnění bez použití zabezpečené plochy
Standardní mapování dodržování předpisů:
= 0
(Registr)
Kritické
Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro správce v Režimu schválení správce
(CCE-37029-6)
Popis: Toto nastavení zásad řídí chování výzvy ke zvýšení oprávnění pro správce. Doporučený stav pro toto nastavení je: Prompt for consent on the secure desktop.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Prompt for consent on the secure desktop:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro správce v režimu schválení správcem

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93523
        STIG WS2016 V-73711
        CIS WS2019 2.3.17.2
        CIS WS2022 2.3.17.2
= 2
(Registr)
Kritické
Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro standardní uživatele
(CCE-36864-7)
Popis: Toto nastavení zásad řídí chování výzvy ke zvýšení oprávnění pro standardní uživatele. Doporučený stav pro toto nastavení je: Automatically deny elevation requests.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Automatically deny elevation requests:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro standardní uživatele

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93433
        STIG WS2016 V-73713
        CIS WS2019 2.3.17.3
        CIS WS2022 2.3.17.3
= 0
(Registr)
Kritické
Řízení uživatelských účtů: Zjistit instalace aplikací a zobrazit výzvu ke zvýšení oprávnění
(CCE-36533-8)
Popis: Toto nastavení zásad řídí chování detekce instalace aplikace pro počítač. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Zjištění instalací aplikací a zobrazení výzvy ke zvýšení oprávnění

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93525
        STIG WS2016 V-73715
        CIS WS2019 2.3.17.4
        CIS WS2022 2.3.17.4
= 1
(Registr)
Kritické
Řízení uživatelských účtů: Zvýšit oprávnění pouze u aplikací UIAccess, které jsou nainstalovány v zabezpečených umístěních
(CCE-37057-7)
Popis: Toto nastavení zásad určuje, jestli se aplikace, které požadují spuštění s úrovní integrity uiAccess (User Interface Accessibility), musí nacházet v zabezpečeném umístění v systému souborů. Zabezpečená umístění jsou omezena na následující položky: – …\Program Files\včetně podsložek – …\Windows\system32\…\Program Files (x86)\ - včetně podsložek pro 64bitové verze Systému Windows Poznámka: Systém Windows vynucuje kontrolu podpisu infrastruktury veřejných klíčů (PKI) u jakékoli interaktivní aplikace, která požaduje spuštění s úrovní integrity UIAccess bez ohledu na stav tohoto nastavení zabezpečení. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Pouze zvýšit úroveň aplikací UIAccess nainstalovaných v zabezpečených umístěních

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93527
        STIG WS2016 V-73717
        CIS WS2019 2.3.17.5
        CIS WS2022 2.3.17.5
= 1
(Registr)
Kritické
Řízení uživatelských účtů: Spustit všechny správce v Režimu schválení správce
(CCE-36869-6)
Popis: Toto nastavení zásad řídí chování všech nastavení zásad řízení uživatelských účtů (UAC) pro počítač. Pokud toto nastavení zásad změníte, musíte restartovat počítač. Doporučený stav pro toto nastavení je: Enabled. Poznámka: Pokud je toto nastavení zásad zakázané, Security Center vás upozorní, že došlo ke snížení celkového zabezpečení operačního systému.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Spustit všechny správce v režimu schválení správcem

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93435
        STIG WS2016 V-73719
        CIS WS2019 2.3.17.6
        CIS WS2022 2.3.17.6
= 1
(Registr)
Kritické
Řízení uživatelských účtů: Při zobrazení výzvy ke zvýšení oprávnění přepnout na zabezpečenou plochu
(CCE-36866-2)
Popis: Toto nastavení zásad určuje, jestli se výzva k žádosti o zvýšení oprávnění zobrazí na ploše interaktivního uživatele nebo na zabezpečené ploše. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Při zobrazení výzvy ke zvýšení oprávnění přepněte na zabezpečenou plochu.

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93521
        STIG WS2016 V-73709
        CIS WS2019 2.3.17.7
        CIS WS2022 2.3.17.7
= 1
(Registr)
Kritické
Řízení uživatelských účtů: Virtualizovat chyby zápisu do souboru a registru do umístění jednotlivých uživatelů
(CCE-37064-3)
Popis: Toto nastavení zásad určuje, jestli se chyby zápisu aplikace přesměrují do definovaných umístění registru a systému souborů. Toto nastavení zásad zmírní aplikace, které běží jako správce, a zapisuje data aplikací za běhu do: , %ProgramFiles%- %Windir%, - , nebo %Windir%\system32- HKEY_LOCAL_MACHINE\Software. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Řízení uživatelských účtů: Virtualizace selhání zápisu souborů a registru do umístění pro jednotlivé uživatele

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93529
        STIG WS2016 V-73721
        CIS WS2019 2.3.17.8
        CIS WS2022 2.3.17.8
= 1
(Registr)
Kritické

Nastavení zabezpečení – Zásady účtu

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Prahová hodnota uzamčení účtu
(AZ-WIN-73311)
Popis: Toto nastavení zásad určuje počet neúspěšných pokusů o přihlášení před uzamčením účtu. Nastavení této zásady tak, aby 0 nevyhovuje srovnávacímu testu, protože tím zakáže prahovou hodnotu uzamčení účtu. Doporučený stav pro toto nastavení je: 5 or fewer invalid logon attempt(s), but not 0. Poznámka: Nastavení zásad hesel (oddíl 1.1) a nastavení zásad uzamčení účtu (oddíl 1.2) se musí použít prostřednictvím objektu zásad skupiny výchozích zásad domény, aby se jako výchozí chování globálně projevily uživatelské účty domény . Pokud jsou tato nastavení nakonfigurovaná v jiném objektu zásad skupiny, ovlivní pouze místní uživatelské účty v počítačích, které objekt zásad skupiny obdrží. Vlastní výjimky výchozích zásad hesel a pravidel zásad uzamčení účtu pro konkrétní uživatele domény nebo skupiny se ale dají definovat pomocí objektů nastavení hesel (PSO), které jsou zcela oddělené od zásad skupiny a nejsnápadnější konfigurací pomocí Centra správy služby Active Directory.
Cesta ke klíči: [Přístup k systému]LockoutBadCount
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Prahová hodnota uzamčení účtu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 1.2.2
        CIS WS2019 1.2.2
1–3
(Zásady)
Důležité
Vynucení historie hesel
(CCE-37166-6)
Popis:

Toto nastavení zásad určuje počet obnovených jedinečných hesel, která musí být přidružena k uživatelskému účtu, abyste mohli znovu použít staré heslo. Hodnota tohoto nastavení zásad musí být mezi 0 a 24 hesly. Výchozí hodnota pro Windows Vista je 0 hesel, ale výchozí nastavení v doméně je 24 hesel. Pokud chcete zachovat efektivitu tohoto nastavení zásad, použijte nastavení Minimální stáří hesla, abyste uživatelům zabránili v opakované změně hesla. Doporučený stav pro toto nastavení je: 24 nebo více hesel.


Cesta ke klíči: [Přístup k systému]PasswordHistorySize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na 24 or more password(s):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Vynutit historii hesel
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 1.1.1
>= 24
(Zásady)
Kritické
Maximální stáří hesla
(CCE-37167-4)
Popis: Toto nastavení zásad definuje, jak dlouho může uživatel použít heslo před vypršením jeho platnosti. Hodnoty pro toto nastavení zásad jsou v rozsahu od 0 do 999 dnů. Pokud nastavíte hodnotu na 0, heslo nikdy nevyprší. Vzhledem k tomu, že útočníci můžou prolomit hesla, tím častěji heslo změníte tím méně příležitostí, než bude útočník muset použít prolomené heslo. Čím nižší je ale tato hodnota nastavená, tím vyšší je potenciál pro zvýšení počtu hovorů na podporu helpdesku kvůli tomu, že uživatelé musí změnit heslo nebo zapomenout, které heslo je aktuální. Doporučený stav pro toto nastavení je 60 or fewer days, but not 0.
Cesta ke klíči: [Systémový přístup]MaximumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na 365 or fewer days, but not 0:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Maximální stáří hesla
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 1.1.2
V 1-70
(Zásady)
Kritické
Minimální stáří hesla
(CCE-37073-4)
Popis: Toto nastavení zásad určuje počet dní, po které musíte použít heslo, než ho budete moct změnit. Rozsah hodnot pro toto nastavení zásad je mezi 1 a 999 dny. (Můžete také nastavit hodnotu 0, aby se povolily okamžité změny hesla.) Výchozí hodnota tohoto nastavení je 0 dní. Doporučený stav pro toto nastavení je: 1 or more day(s).
Cesta ke klíči: [Přístup systému]MinimumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na 1 or more day(s):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Minimální stáří hesla
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 1.1.3
>= 1
(Zásady)
Kritické
Minimální délka hesla
(CCE-36534-6)
Popis: Toto nastavení zásad určuje nejmenší počet znaků, které tvoří heslo pro uživatelský účet. Existuje mnoho různých teorie o tom, jak určit nejlepší délku hesla pro organizaci, ale možná "pass phrase" je lepší termín než "heslo". V systému Microsoft Windows 2000 nebo novější můžou být předávací fráze poměrně dlouhé a můžou obsahovat mezery. Proto fráze jako "Chci pít $5 milkshake" je platná heslo; je to výrazně silnější heslo než 8 nebo 10místný řetězec náhodných čísel a písmen, a přesto je jednodušší si zapamatovat. Uživatelé musí být poučit o správném výběru a údržbě hesel, zejména pokud jde o délku hesla. V podnikových prostředích je ideální hodnota pro nastavení minimální délky hesla 14 znaků, ale tuto hodnotu byste měli upravit tak, aby vyhovovala obchodním požadavkům vaší organizace. Doporučený stav pro toto nastavení je: 14 or more character(s).
Cesta ke klíči: [Systémový přístup]MinimumPasswordLength
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na 14 or more character(s):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Minimální délka hesla
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 1.1.4
>= 14
(Zásady)
Kritické
Heslo musí splňovat požadavky na složitost.
(CCE-37063-5)
Popis: Toto nastavení zásad kontroluje všechna nová hesla, aby zajistila, že splňují základní požadavky na silná hesla. Pokud je tato zásada povolená, musí hesla splňovat následující minimální požadavky: – Neobsahuje název účtu uživatele nebo části celého jména uživatele, které překračují dva po sobě jdoucí znaky – Musí obsahovat alespoň šest znaků – obsahují znaky ze tří z následujících čtyř kategorií: – anglické velké znaky (A až Z) – Anglické malá písmena (a až z) – Základní 10 číslice (0 až 9) – Jiné než abecední znaky (například !, $, #, %) – kategorie zachytávání všech znaků Unicode, která nepatří do předchozích čtyř kategorií. Tato pátá kategorie může být specifická pro jednotlivé oblasti. Každý další znak v hesle zvyšuje jeho složitost exponenciálně. Například sedmiznakové, všechna malá písmena abecední heslo by měla 267 (přibližně 8 x 109 nebo 8 miliard) možných kombinací. Při 1 000 000 pokusech za sekundu (schopnost mnoha nástrojů pro prolomení hesla) by to trvalo jen 133 minut. Sedmiznakové abecední heslo s citlivostí písmen má 527 kombinací. Alfanumerické heslo s rozlišováním sedmi znaků bez interpunkce má 627 kombinací. Heslo s osmi znaky má možné kombinace 268 (nebo 2 x 1011). I když se může zdát, že se jedná o velké číslo, při 1 000 000 pokusech za sekundu může trvat jen 59 hodin, než zkusí všechna možná hesla. Mějte na paměti, že tyto časy se výrazně zvýší pro hesla, která používají znaky ALT a další speciální znaky klávesnice, například "!" nebo "@". Správné použití nastavení hesla může pomoct ztížit připojení útoku hrubou silou. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: [Systémový přístup]Složitost hesla
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Heslo musí splňovat požadavky na složitost.

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93459
        STIG WS2016 V-73323
        CIS WS2019 1.1.5
        CIS WS2022 1.1.5
= 1
(Zásady)
Kritické
Resetování čítače uzamčení účtu po
(AZ-WIN-73309)
Popis: Toto nastavení zásad určuje dobu, po kterou se prahová hodnota uzamčení účtu resetuje na nulu. Výchozí hodnota pro toto nastavení zásad není definována. Pokud je definována prahová hodnota uzamčení účtu, musí být tento čas resetování menší nebo roven hodnotě pro nastavení doby trvání uzamčení účtu. Pokud toto nastavení zásad ponecháte na výchozí hodnotě nebo nakonfigurujete hodnotu na interval, který je příliš dlouhý, může být vaše prostředí ohroženo útokem DoS. Útočník může se zlými úmysly provést řadu neúspěšných pokusů o přihlášení u všech uživatelů v organizaci, což zamkne jejich účty. Pokud nebyly stanoveny žádné zásady pro resetování uzamčení účtu, jednalo by se o ruční úlohu pro správce. Naopak pokud je pro toto nastavení zásad nakonfigurovaná přiměřenou časovou hodnotu, budou uživatelé uzamčeni po nastavené období, dokud nebudou všechny účty automaticky odemknuty. Doporučený stav pro toto nastavení je: 15 or more minute(s). Poznámka: Nastavení zásad hesel (oddíl 1.1) a nastavení zásad uzamčení účtu (oddíl 1.2) se musí použít prostřednictvím objektu zásad skupiny výchozích zásad domény, aby se jako výchozí chování globálně projevily uživatelské účty domény . Pokud jsou tato nastavení nakonfigurovaná v jiném objektu zásad skupiny, ovlivní pouze místní uživatelské účty v počítačích, které objekt zásad skupiny obdrží. Vlastní výjimky výchozích zásad hesel a pravidel zásad uzamčení účtu pro konkrétní uživatele domény nebo skupiny se ale dají definovat pomocí objektů nastavení hesel (PSO), které jsou zcela oddělené od zásad skupiny a nejsnápadnější konfigurací pomocí Centra správy služby Active Directory.
Cesta ke klíči: [Systémový přístup]ResetLockoutCount
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Resetování čítače uzamčení účtu po
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 1.2.3
        CIS WS2019 1.2.3
>= 15
(Zásady)
Důležité
Ukládání hesel pomocí reverzibilního šifrování
(CCE-36286-3)
Popis: Toto nastavení zásad určuje, zda operační systém ukládá hesla způsobem, který používá reverzibilní šifrování, což poskytuje podporu aplikačních protokolů, které vyžadují znalosti hesla uživatele pro účely ověřování. Hesla uložená s reverzibilním šifrováním jsou v podstatě stejná jako verze hesel ve formátu prostého textu. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: [Systémový přístup]ClearTextPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel\Ukládání hesel pomocí reverzibilního šifrování

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93465
        STIG WS2016 V-73325
        CIS WS2019 1.1.7
        CIS WS2022 1.1.7
= 0
(Zásady)
Kritické

Nastavení zabezpečení – Brána Windows Firewall

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Brána Windows Firewall: Doména: Povolit odpověď jednosměrového vysílání
(AZ-WIN-00088)
Popis:

Tato možnost je užitečná, pokud potřebujete řídit, zda tento počítač přijímá jednosměrové odpovědi na odchozí zprávy vícesměrového vysílání nebo všesměrové vysílání.  

Pro profily privátních a domén doporučujeme toto nastavení nastavit na ano. Tím se nastaví hodnota registru na hodnotu 0.


Cesta ke klíči: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Domain Profile Tab\Settings (vyberte Přizpůsobit)\Odpověď jednosměrového vysílání, Povolit odpověď jednosměrového vysílání
Standardní mapování dodržování předpisů:
= 0
(Registr)
Upozorňující
Brána Windows Firewall: Doména: Stav brány firewall
(CCE-36062-8)
Popis: Pokud chcete, aby brána Windows Firewall s pokročilým zabezpečením používala nastavení pro tento profil k filtrování síťového provozu, vyberte zapnuto (doporučeno). Pokud vyberete Možnost Vypnuto, brána Windows Firewall s pokročilým zabezpečením nebude pro tento profil používat žádná pravidla brány firewall ani pravidla zabezpečení připojení.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na On (recommended):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Stav brány firewall
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.1.1
= 1
(Registr)
Kritické
Brána Windows Firewall: Doména: Příchozí připojení
(AZ-WIN-202252)
Popis: Toto nastavení určuje chování příchozích připojení, která neodpovídají pravidlu příchozí brány firewall. Doporučený stav pro toto nastavení je: Block (default).
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Příchozí připojení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.1.2
        CIS WS2019 9.1.2
= 1
(Registr)
Kritické
Brána Windows Firewall: Doména: Protokolování: Zahozené pakety protokolu
(AZ-WIN-202226)
Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením z jakéhokoli důvodu zahodí příchozí paket. Protokol zaznamenává důvod a ukončení paketu. Vyhledejte položky se slovem DROP ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: Yes.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Protokolování Přizpůsobení\Vynechané pakety protokolu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.1.7
        CIS WS2019 9.1.7
= 1
(Registr)
Informační
Brána Windows Firewall: Doména: Protokolování: Protokolování úspěšných připojení
(AZ-WIN-202227)
Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením umožňuje příchozí připojení. Protokol zaznamenává, proč a kdy bylo připojení vytvořeno. Vyhledejte položky se slovem ALLOW ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: Yes.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Protokolování Přizpůsobení\Úspěšné připojení protokolu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.1.8
        CIS WS2019 9.1.8
= 1
(Registr)
Upozorňující
Brána Windows Firewall: Doména: Protokolování: Název
(AZ-WIN-202224)
Popis: Tuto možnost použijte k určení cesty a názvu souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: %SystemRoot%\System32\logfiles\firewall\domainfw.log.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Doménový profil\Logging Customize\Name
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.1.5
        CIS WS2019 9.1.5
= %SystemRoot%\System32\logfiles\firewall\domainfw.log
(Registr)
Informační
Brána Windows Firewall: Doména: Protokolování: Limit velikosti (KB)
(AZ-WIN-202225)
Popis: Tuto možnost použijte k určení limitu velikosti souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: 16,384 KB or greater.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Protokolování Přizpůsobení\Limit velikosti (KB)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.1.6
        CIS WS2019 9.1.6
>= 16384
(Registr)
Upozorňující
Brána Windows Firewall: Doména: Odchozí připojení
(CCE-36146-9)
Popis: Toto nastavení určuje chování odchozích připojení, která neodpovídají pravidlu odchozí brány firewall. Ve Windows Vista je výchozím chováním povolit připojení, pokud neexistují pravidla brány firewall, která blokují připojení.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Allow (default):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Profil domény\Odchozí připojení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.1.3
= 0
(Registr)
Kritické
Brána Windows Firewall: Doména: Nastavení: Použití pravidel zabezpečení místního připojení
(CCE-38040-2)
Popis:

Toto nastavení určuje, jestli mohou místní správci vytvářet pravidla místního připojení, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny. Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1.


Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Domain Profile Tab\Settings (vyberte Přizpůsobit)\Slučování pravidel, Použití pravidel zabezpečení místního připojení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.3.6
= 1
(Registr)
Kritické
Brána Windows Firewall: Doména: Nastavení: Použití místních pravidel brány firewall
(CCE-37860-4)
Popis:

Toto nastavení určuje, jestli můžou místní správci vytvářet místní pravidla brány firewall, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny.

Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1.


Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Profil domény\Nastavení (vyberte Přizpůsobit)\Slučování pravidel pravidla, Použít místní pravidla brány firewall
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.3.5
Neexistuje nebo = 1
(Registr)
Kritické
Brána Windows Firewall: Doména: Nastavení: Zobrazení oznámení
(CCE-38041-0)
Popis:

Výběrem této možnosti se uživateli nezobrazí žádné oznámení, pokud je program blokován příjmem příchozích připojení. V serverovém prostředí nejsou automaticky otevírané okno užitečné, protože uživatelé nejsou přihlášení, automaticky otevírané okno není nutné a může správce zaměňovat.  

Nakonfigurujte toto nastavení zásad na Hodnotu Ne. Tím se nastaví hodnota registru na hodnotu 1.  Brána Windows Firewall nezobrazí oznámení, pokud je program blokován příjmem příchozích připojení.


Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Domain Profile\Settings Customize\Display a notification
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.1.4
= 1
(Registr)
Upozorňující
Brána Windows Firewall: Privátní: Povolit odpověď jednosměrového vysílání
(AZ-WIN-00089)
Popis:

Tato možnost je užitečná, pokud potřebujete řídit, zda tento počítač přijímá jednosměrové odpovědi na odchozí zprávy vícesměrového vysílání nebo všesměrové vysílání.  

Pro profily privátních a domén doporučujeme toto nastavení nastavit na ano. Tím se nastaví hodnota registru na hodnotu 0.


Cesta ke klíči: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Privátní profil\Nastavení (vyberte Přizpůsobit)\Odpověď jednosměrového vysílání, Povolit odpověď jednosměrového vysílání
Standardní mapování dodržování předpisů:
= 0
(Registr)
Upozorňující
Brána Windows Firewall: Privátní: Stav brány firewall
(CCE-38239-0)
Popis: Pokud chcete, aby brána Windows Firewall s pokročilým zabezpečením používala nastavení pro tento profil k filtrování síťového provozu, vyberte zapnuto (doporučeno). Pokud vyberete Možnost Vypnuto, brána Windows Firewall s pokročilým zabezpečením nebude pro tento profil používat žádná pravidla brány firewall ani pravidla zabezpečení připojení.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na On (recommended):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Stav brány firewall
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.2.1
= 1
(Registr)
Kritické
Brána Windows Firewall: Privátní: Příchozí připojení
(AZ-WIN-202228)
Popis: Toto nastavení určuje chování příchozích připojení, která neodpovídají pravidlu příchozí brány firewall. Doporučený stav pro toto nastavení je: Block (default).
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Privátní profil\Příchozí připojení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.2.2
        CIS WS2019 9.2.2
= 1
(Registr)
Kritické
Brána Windows Firewall: Privátní: Protokolování: Zahozené pakety protokolu
(AZ-WIN-202231)
Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením z jakéhokoli důvodu zahodí příchozí paket. Protokol zaznamenává důvod a ukončení paketu. Vyhledejte položky se slovem DROP ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: Yes.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Protokolování Přizpůsobení\Vynechané pakety protokolu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.2.7
        CIS WS2019 9.2.7
= 1
(Registr)
Informační
Brána Windows Firewall: Privátní: Protokolování: Protokolování úspěšných připojení
(AZ-WIN-202232)
Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením umožňuje příchozí připojení. Protokol zaznamenává, proč a kdy bylo připojení vytvořeno. Vyhledejte položky se slovem ALLOW ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: Yes.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Protokolování Přizpůsobení\Úspěšné připojení protokolu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.2.8
        CIS WS2019 9.2.8
= 1
(Registr)
Upozorňující
Brána Windows Firewall: Privátní: Protokolování: Název
(AZ-WIN-202229)
Popis: Tuto možnost použijte k určení cesty a názvu souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: %SystemRoot%\System32\logfiles\firewall\privatefw.log.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Logging Customize\Name
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.2.5
        CIS WS2019 9.2.5
= %SystemRoot%\System32\logfiles\firewall\privatefw.log
(Registr)
Informační
Brána Windows Firewall: Privátní: Protokolování: Limit velikosti (KB)
(AZ-WIN-202230)
Popis: Tuto možnost použijte k určení limitu velikosti souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: 16,384 KB or greater.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Soukromý profil\Logging Customize\Size limit (KB)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.2.6
        CIS WS2019 9.2.6
>= 16384
(Registr)
Upozorňující
Brána Windows Firewall: Privátní: Odchozí připojení
(CCE-38332-3)
Popis: Toto nastavení určuje chování odchozích připojení, která neodpovídají pravidlu odchozí brány firewall. Výchozí chování je povolit připojení, pokud neexistují pravidla brány firewall, která blokují připojení. Důležité: Pokud nastavíte odchozí připojení na Blokovat a pak nasadíte zásadu brány firewall pomocí objektu zásad skupiny, počítače, které obdrží nastavení objektu zásad skupiny, nemůžou přijímat další aktualizace zásad skupiny, pokud nevytváříte a nasadíte odchozí pravidlo, které umožňuje fungování zásad skupiny. Předdefinovaná pravidla pro základní sítě zahrnují odchozí pravidla, která umožňují fungování zásad skupiny. Před nasazením se ujistěte, že jsou tato odchozí pravidla aktivní, a důkladně otestujte profily brány firewall.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Allow (default):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Privátní profil\Odchozí připojení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.2.3
= 0
(Registr)
Kritické
Brána Windows Firewall: Privátní: Nastavení: Použití pravidel zabezpečení místního připojení
(CCE-36063-6)
Popis:

Toto nastavení určuje, jestli mohou místní správci vytvářet pravidla místního připojení, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny. Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1.


Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Privátní profil\Nastavení (vyberte Přizpůsobit)\Slučování pravidel, Použít pravidla zabezpečení místního připojení
Standardní mapování dodržování předpisů:
= 1
(Registr)
Kritické
Brána Windows Firewall: Privátní: Nastavení: Použití místních pravidel brány firewall
(CCE-37438-9)
Popis:

Toto nastavení určuje, jestli můžou místní správci vytvářet místní pravidla brány firewall, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny.

Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1.


Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Privátní profil\Nastavení (vyberte Přizpůsobit)\Slučování pravidel, Použití místních pravidel brány firewall
Standardní mapování dodržování předpisů:
Neexistuje nebo = 1
(Registr)
Kritické
Brána Windows Firewall: Privátní: Nastavení: Zobrazení oznámení
(CCE-37621-0)
Popis:

Výběrem této možnosti se uživateli nezobrazí žádné oznámení, pokud je program blokován příjmem příchozích připojení. V serverovém prostředí nejsou automaticky otevírané okno užitečné, protože uživatelé nejsou přihlášení, automaticky otevírané okno není nutné a může správce zaměňovat.  

 Nakonfigurujte toto nastavení zásad na Hodnotu Ne. Tím se nastaví hodnota registru na hodnotu 1.  Brána Windows Firewall nezobrazí oznámení, pokud je program blokován příjmem příchozích připojení.


Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Private Profile\Settings Customize\Display a notification
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.2.4
= 1
(Registr)
Upozorňující
Brána Windows Firewall: Veřejná: Povolit odpověď jednosměrového vysílání
(AZ-WIN-00090)
Popis:

Tato možnost je užitečná, pokud potřebujete řídit, zda tento počítač přijímá jednosměrové odpovědi na odchozí zprávy vícesměrového vysílání nebo všesměrové vysílání. To lze provést změnou stavu tohoto nastavení na Ne. Tím se nastaví hodnota registru na hodnotu 1.


Cesta ke klíči: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall (tento odkaz bude v pravém podokně)\Karta Veřejného profilu\Nastavení (vyberte Přizpůsobit)\Odpověď jednosměrového vysílání, Povolit odpověď jednosměrového vysílání
Standardní mapování dodržování předpisů:
= 1
(Registr)
Upozorňující
Brána Windows Firewall: Veřejný: Stav brány firewall
(CCE-37862-0)
Popis: Pokud chcete, aby brána Windows Firewall s pokročilým zabezpečením používala nastavení pro tento profil k filtrování síťového provozu, vyberte zapnuto (doporučeno). Pokud vyberete Možnost Vypnuto, brána Windows Firewall s pokročilým zabezpečením nebude pro tento profil používat žádná pravidla brány firewall ani pravidla zabezpečení připojení.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na On (recommended):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Stav brány firewall
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.3.1
= 1
(Registr)
Kritické
Brána Windows Firewall: Veřejná: Příchozí připojení
(AZ-WIN-202234)
Popis: Toto nastavení určuje chování příchozích připojení, která neodpovídají pravidlu příchozí brány firewall. Doporučený stav pro toto nastavení je: Block (default).
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Příchozí připojení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.3.2
        CIS WS2019 9.3.2
= 1
(Registr)
Kritické
Brána Windows Firewall: Veřejné: Protokolování: Zahozené pakety protokolu
(AZ-WIN-202237)
Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením z jakéhokoli důvodu zahodí příchozí paket. Protokol zaznamenává důvod a ukončení paketu. Vyhledejte položky se slovem DROP ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: Yes.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Protokolování Přizpůsobení\Vynechané pakety protokolu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.3.9
        CIS WS2019 9.3.9
= 1
(Registr)
Informační
Brána Windows Firewall: Veřejné: Protokolování: Protokolování: Protokolování úspěšných připojení
(AZ-WIN-202233)
Popis: Tuto možnost použijte k protokolování, když brána Windows Firewall s pokročilým zabezpečením umožňuje příchozí připojení. Protokol zaznamenává, proč a kdy bylo připojení vytvořeno. Vyhledejte položky se slovem ALLOW ve sloupci akce protokolu. Doporučený stav pro toto nastavení je: Yes.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Protokolování Přizpůsobení\Úspěšné připojení protokolu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.3.10
        CIS WS2019 9.3.10
= 1
(Registr)
Upozorňující
Brána Windows Firewall: Veřejné: Protokolování: Název
(AZ-WIN-202235)
Popis: Tuto možnost použijte k určení cesty a názvu souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: %SystemRoot%\System32\logfiles\firewall\publicfw.log.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Logging Customize\Name
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.3.7
        CIS WS2019 9.3.7
= %SystemRoot%\System32\logfiles\firewall\publicfw.log
(Registr)
Informační
Brána Windows Firewall: Veřejné: Protokolování: Limit velikosti (KB)
(AZ-WIN-202236)
Popis: Tuto možnost použijte k určení limitu velikosti souboru, do kterého brána Windows Firewall zapíše informace o protokolu. Doporučený stav pro toto nastavení je: 16,384 KB or greater.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Protokolování Přizpůsobení\Omezení velikosti (KB)
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 9.3.8
        CIS WS2019 9.3.8
>= 16384
(Registr)
Informační
Brána Windows Firewall: Veřejná: Odchozí připojení
(CCE-37434-8)
Popis: Toto nastavení určuje chování odchozích připojení, která neodpovídají pravidlu odchozí brány firewall. Výchozí chování je povolit připojení, pokud neexistují pravidla brány firewall, která blokují připojení. Důležité: Pokud nastavíte odchozí připojení na Blokovat a pak nasadíte zásadu brány firewall pomocí objektu zásad skupiny, počítače, které obdrží nastavení objektu zásad skupiny, nemůžou přijímat další aktualizace zásad skupiny, pokud nevytváříte a nasadíte odchozí pravidlo, které umožňuje fungování zásad skupiny. Předdefinovaná pravidla pro základní sítě zahrnují odchozí pravidla, která umožňují fungování zásad skupiny. Před nasazením se ujistěte, že jsou tato odchozí pravidla aktivní, a důkladně otestujte profily brány firewall.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Allow (default):
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Odchozí připojení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.3.3
= 0
(Registr)
Kritické
Brána Windows Firewall: Veřejné: Nastavení: Použití pravidel zabezpečení místního připojení
(CCE-36268-1)
Popis:

Toto nastavení určuje, jestli mohou místní správci vytvářet pravidla místního připojení, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny. Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1.


Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Přizpůsobení\Použití pravidel zabezpečení místního připojení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.3.6
= 1
(Registr)
Kritické
Brána Windows Firewall: Veřejné: Nastavení: Použití místních pravidel brány firewall
(CCE-37861-2)
Popis:

Toto nastavení určuje, jestli můžou místní správci vytvářet místní pravidla brány firewall, která se vztahují společně s pravidly brány firewall nakonfigurovanými zásadami skupiny.

Doporučený stav pro toto nastavení je Ano, nastaví se hodnota registru na hodnotu 1.


Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Přizpůsobení\Použití místních pravidel brány firewall
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.3.5
Neexistuje nebo = 1
(Registr)
Kritické
Brána Windows Firewall: Veřejné: Nastavení: Zobrazení oznámení
(CCE-38043-6)
Popis:

Výběrem této možnosti se uživateli nezobrazí žádné oznámení, pokud je program blokován příjmem příchozích připojení. V serverovém prostředí nejsou automaticky otevírané okno užitečné, protože uživatelé nejsou přihlášení, automaticky otevírané okno není nutné a může správce zaměňovat.  

Nakonfigurujte toto nastavení zásad na Hodnotu Ne. Tím se nastaví hodnota registru na hodnotu 1.  Brána Windows Firewall nezobrazí oznámení, pokud je program blokován příjmem příchozích připojení.


Cesta ke klíči: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Brána Windows Firewall s pokročilým zabezpečením\Brána Windows Firewall s pokročilým zabezpečením\Vlastnosti brány Windows Firewall\Veřejný profil\Nastavení Přizpůsobení\Zobrazení oznámení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 9.3.4
= 1
(Registr)
Upozorňující

Zásady auditu systému – Přihlášení k účtu

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditovat ověřování pověření
(CCE-37741-6)
Popis:

Tato podkategorie hlásí výsledky ověřovacích testů na přihlašovacích údajích odeslaných pro žádost o přihlášení k uživatelskému účtu. K těmto událostem dochází v počítači, který je autoritativní pro přihlašovací údaje. U účtů domény je řadič domény autoritativní, zatímco pro místní účty je místní počítač autoritativní. V doménových prostředích dochází k většině událostí přihlášení k účtu v protokolu zabezpečení řadičů domény, které jsou autoritativní pro účty domény. Tyto události ale můžou nastat v jiných počítačích v organizaci, když se k přihlášení používají místní účty. Události pro tuto podkategorii zahrnují: - 4774: Účet byl namapován pro přihlášení. - 4775: Účet nelze namapovat pro přihlášení. - 4776: Řadič domény se pokusil ověřit přihlašovací údaje pro účet. - 4777: Řadič domény se nepodařilo ověřit přihlašovací údaje pro účet. Doporučený stav pro toto nastavení je: Úspěch a selhání.


Cesta ke klíči: {0CCE923F-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Success and Failure:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení účtu\Audit ověření přihlašovacích údajů

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93153
        STIG WS2016 V-73413
        CIS WS2019 17.1.1
        CIS WS2022 17.1.1
= Úspěch a selhání
(Audit)
Kritické
Auditovat ověřovací službu protokolu Kerberos
(AZ-WIN-00004)
Popis: Tato podkategorie hlásí výsledky událostí vygenerovaných po požadavku TGT ověřování kerberos. Kerberos je distribuovaná ověřovací služba, která umožňuje klientovi spuštěným jménem uživatele prokázat svou identitu serveru bez odesílání dat přes síť. To pomáhá zmírnit útočníka nebo server zosobnění uživatele. - 4768: Byl požadován lístek ověřování Kerberos (TGT). – 4771: Předběžné ověřování protokolu Kerberos se nezdařilo. – 4772: Žádost o lístek ověřování Kerberos se nezdařila. Doporučený stav pro toto nastavení je: Success and Failure.
Cesta klíče: {0CCE9242-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Přihlášení účtu\Audit ověřovací služby Kerberos
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.1.2
        CIS WS2019 17.1.2
>= Úspěch a selhání
(Audit)
Kritické

Zásady auditu systému – Správa účtů

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditovat správu skupin distribuce
(CCE-36265-7)
Popis: Tato podkategorie hlásí každou událost správy distribuční skupiny, například při vytvoření, změně nebo odstranění distribuční skupiny nebo při přidání nebo odebrání člena z distribuční skupiny. Pokud povolíte toto nastavení zásad auditu, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření skupinových účtů. Události pro tuto podkategorii zahrnují: - 4744: Byla vytvořena místní skupina zakázaná zabezpečením. - 4745: Místní skupina zakázaná zabezpečení se změnila. - 4746: Člen byl přidán do místní skupiny se zakázaným zabezpečením. - 4747: Člen byl odebrán z místní skupiny se zakázaným zabezpečením. - 4748: Místní skupina zakázaná zabezpečení byla odstraněna. - 4749: Byla vytvořena globální skupina zakázaná zabezpečením. - 4750: Globální skupina zakázaná zabezpečení se změnila. - 4751: Člen byl přidán do globální skupiny se zakázaným zabezpečením. - 4752: Člen byl odebrán z globální skupiny zakázané zabezpečení. - 4753: Byla odstraněna globální skupina zakázaná zabezpečením. - 4759: Byla vytvořena univerzální skupina zakázaná zabezpečením. - 4760: Byla změněna univerzální skupina zakázaná zabezpečením. - 4761: Člen byl přidán do univerzální skupiny se zakázaným zabezpečením. - 4762: Člen byl odebrán z univerzální skupiny se zakázaným zabezpečením. - 4763: Byla odstraněna univerzální skupina se zakázaným zabezpečením. Doporučeným stavem tohoto nastavení je: Success.
Cesta ke klíči: {0CCE9238-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Správa účtů\Správa distribuční skupiny auditování
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.2.3
        CIS WS2019 17.2.3
>= Úspěch
(Audit)
Kritické
Auditovat jiné události správy účtu
(CCE-37855-4)
Popis: Tato podkategorie hlásí další události správy účtů. Události pro tuto podkategorii zahrnují: — 4782: Hodnota hash hesla, ke které byl účet přistupovat. — 4793: Bylo volána rozhraní API pro kontrolu zásad hesel. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta ke klíči: {0CCE923A-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Success:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Správa účtů\Auditovat další události správy účtů
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.2.4
>= Úspěch
(Audit)
Kritické
Auditovat správu skupiny zabezpečení
(CCE-38034-5)
Popis: Tato podkategorie hlásí každou událost správy skupin zabezpečení, například při vytvoření, změně nebo odstranění skupiny zabezpečení nebo při přidání nebo odebrání člena ze skupiny zabezpečení. Pokud povolíte toto nastavení zásad auditu, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření účtů skupin zabezpečení. Události pro tuto podkategorii zahrnují: - 4727: Byla vytvořena globální skupina s povoleným zabezpečením. - 4728: Člen byl přidán do globální skupiny s podporou zabezpečení. - 4729: Člen byl odebrán z globální skupiny s povoleným zabezpečením. - 4730: Byla odstraněna globální skupina s podporou zabezpečení. - 4731: Byla vytvořena místní skupina s povoleným zabezpečením. - 4732: Člen byl přidán do místní skupiny s povoleným zabezpečením. - 4733: Člen byl odebrán z místní skupiny s povoleným zabezpečením. - 4734: Byla odstraněna místní skupina s povoleným zabezpečením. - 4735: Místní skupina s povoleným zabezpečením byla změněna. - 4737: Globální skupina s podporou zabezpečení byla změněna. - 4754: Byla vytvořena univerzální skupina s podporou zabezpečení. - 4755: Byla změněna univerzální skupina s podporou zabezpečení. - 4756: Člen byl přidán do univerzální skupiny s podporou zabezpečení. - 4757: Člen byl odebrán z univerzální skupiny s podporou zabezpečení. - 4758: Byla odstraněna univerzální skupina s podporou zabezpečení. - 4764: Typ skupiny byl změněn. Doporučený stav pro toto nastavení je: Success and Failure.
Cesta klíče: {0CCE9237-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Success:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Správa účtů\Správa skupin zabezpečení auditování
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.2.5
>= Úspěch
(Audit)
Kritické
Auditovat správu účtů uživatelů
(CCE-37856-2)
Popis: Tato podkategorie hlásí každou událost správy uživatelských účtů, například při vytvoření, změně nebo odstranění uživatelského účtu, přejmenování, zakázání nebo povolení uživatelského účtu nebo nastavení nebo změna hesla. Pokud povolíte toto nastavení zásad auditu, můžou správci sledovat události, které detekují škodlivé, náhodné a autorizované vytváření uživatelských účtů. Události pro tuto podkategorii zahrnují: - 4720: Byl vytvořen uživatelský účet. - 4722: Byl povolen uživatelský účet. - 4723: Došlo k pokusu o změnu hesla účtu. - 4724: Došlo k pokusu o resetování hesla účtu. - 4725: Uživatelský účet byl zakázán. - 4726: Byl odstraněn uživatelský účet. - 4738: Uživatelský účet byl změněn. - 4740: Uživatelský účet byl uzamčen. - 4765: Historie identifikátorů SID byla přidána do účtu. - 4766: Pokus o přidání historie identifikátorů SID do účtu se nezdařil. - 4767: Uživatelský účet byl odemknut. - 4780: Seznam ACL byl nastaven na účty, které jsou členy skupin správců. - 4781: Název účtu byl změněn: - 4794: Došlo k pokusu o nastavení režimu obnovení adresářových služeb. - 5376: Přihlašovací údaje správce přihlašovacích údajů byly zálohovány. - 5377: Přihlašovací údaje Správce přihlašovacích údajů byly obnoveny ze zálohy. Doporučený stav pro toto nastavení je: Success and Failure.
Cesta ke klíči: {0CCE9235-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Success and Failure:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Správa účtů\Audit správy uživatelských účtů

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-92981
        STIG WS2016 V-73427
        CIS WS2019 17.2.6
        CIS WS2022 17.2.6
= Úspěch a selhání
(Audit)
Kritické

Zásady auditu systému – podrobné sledování

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditování aktivity PNP
(AZ-WIN-00182)
Popis: Toto nastavení zásad umožňuje auditovat, když modul plug and play detekuje externí zařízení. Doporučený stav pro toto nastavení je: Success. Poznámka: Pro přístup a nastavení této hodnoty v zásadách skupiny se vyžaduje operační systém Windows 10, Server 2016 nebo vyšší.
Cesta klíče: {0CCE9248-69AE-11D9-BED3-505054503030}
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Audit: Vynucení nastavení podkategorie zásad auditu (Windows Vista nebo novější) pro přepsání nastavení kategorií zásad auditu

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.3.1
        CIS WS2022 17.3.1
>= Úspěch
(Audit)
Kritické
Auditovat vytvoření procesu
(CCE-36059-4)
Popis: Tato podkategorie hlásí vytvoření procesu a název programu nebo uživatele, který ho vytvořil. Události pro tuto podkategorii zahrnují: - 4688: Byl vytvořen nový proces. – 4696: Proces byl přiřazen primární token. Nejnovější informace o tomto nastavení najdete v článku znalostní báze Microsoft Knowledge Base 947226. Doporučený stav pro toto nastavení je: Success.
Cesta ke klíči: {0CCE922B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Success:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Podrobné sledování\Vytvoření procesu auditování

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93173
        STIG WS2016 V-73433
        CIS WS2019 17.3.2
        CIS WS2022 17.3.2
>= Úspěch
(Audit)
Kritické

Zásady auditu systému – Přístup k ds

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditovat přístup k adresářové službě
(CCE-37433-0)
Popis: Tato podkategorie sestavy při přístupu k objektu AD DS. Generování událostí auditu způsobují pouze objekty s seznamy SACLs, a to pouze v případě, že se k nim přistupuje způsobem, který odpovídá jejich SACL. Tyto události jsou podobné událostem přístupu k adresářové službě v předchozích verzích Windows Serveru. Tato podkategorie se vztahuje pouze na řadiče domény. Události pro tuto podkategorii zahrnují: - 4662: Operace byla provedena u objektu. Doporučeným stavem tohoto nastavení je: Failure.
Cesta ke klíči: {0CCE923B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Přístup k adresářové službě DS\Audit Directory Service
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.4.1
        CIS WS2019 17.4.1
>= Selhání
(Audit)
Kritické
Auditovat změny adresářové služby
(CCE-37616-0)
Popis: Tato podkategorie hlásí změny objektů ve službě Doména služby Active Directory Services (AD DS). Typy ohlášených změn jsou operace vytvoření, úpravy, přesunutí a odstranění, které se provádějí u objektu. Auditování změn DS tam, kde je to vhodné, označuje staré a nové hodnoty změněných vlastností objektů, které byly změněny. Generování událostí auditu způsobují pouze objekty s seznamy SACLs, a to pouze v případě, že se k nim přistupuje způsobem, který odpovídá jejich SACL. Některé objekty a vlastnosti nezpůsobí generování událostí auditu z důvodu nastavení třídy objektu ve schématu. Tato podkategorie se vztahuje pouze na řadiče domény. Události pro tuto podkategorii zahrnují: - 5136: Objekt adresářové služby byl změněn. - 5137: Byl vytvořen objekt adresářové služby. - 5138 : Objekt adresářové služby nebyl zrušen. - 5139: Objekt adresářové služby byl přesunut. Doporučeným stavem tohoto nastavení je: Success.
Cesta klíče: {0CCE923C-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup DS\Audit změn adresářové služby
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.4.2
        CIS WS2019 17.4.2
>= Úspěch
(Audit)
Kritické
Auditovat replikaci adresářové služby
(AZ-WIN-00093)
Popis: Tato podkategorie hlásí, když začne a končí replikace mezi dvěma řadiči domény. Mezi události této podkategorie patří: - 4932: Synchronizace repliky kontextu pojmenování služby Active Directory začala. – 4933: Synchronizace repliky kontextu pojmenování služby Active Directory skončila. Nejnovější informace o tomto nastavení najdete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: http:--support.microsoft.com-default.aspx-kb-947226
Cesta ke klíči: {0CCE923D-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup DS\Audit Replikace adresářové služby
Standardní mapování dodržování předpisů:
>= Bez auditování
(Audit)
Kritické

Zásady auditu systému – Přihlášení – Odhlášení

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditovat uzamčení účtu
(CCE-37133-6)
Popis: Tato podkategorie hlásí, když je účet uživatele uzamčen v důsledku příliš mnoha neúspěšných pokusů o přihlášení. Události pro tuto podkategorii zahrnují: — 4625: Účet se nepodařilo přihlásit. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta klíče: {0CCE9217-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Failure:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logff\AuditOvat uzamčení účtu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.5.1
>= Selhání
(Audit)
Kritické
Auditovat členství ve skupině
(AZ-WIN-00026)
Popis: Auditování členství ve skupině umožňuje auditovat členství ve skupinách při jejich vytváření v klientském počítači. Tato zásada umožňuje auditovat informace o členství ve skupině v přihlašovacím tokenu uživatele. Události v této podkategorii se generují v počítači, na kterém je vytvořena přihlašovací relace. Pro interaktivní přihlášení se vygeneruje událost auditu zabezpečení v počítači, ke kterému se uživatel přihlásil. Pro přihlášení k síti, jako je například přístup ke sdílené složce v síti, se vygeneruje událost auditu zabezpečení v počítači, který je hostitelem prostředku. Musíte také povolit podkategorii auditování přihlášení. Pokud se informace o členství ve skupině nevejdou do jedné události auditu zabezpečení, vygeneruje se více událostí. Mezi auditované události patří: - 4627(S): Informace o členství ve skupině.
Cesta ke klíči: {0CCE9249-69AE-11D9-BED3-505054503030}
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Success:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logoff\Audit členství ve skupině
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.5.2
>= Úspěch
(Audit)
Kritické
Auditovat odhlášení
(CCE-38237-4)
Popis:

Tato podkategorie hlásí, když se uživatel odhlásí ze systému. K těmto událostem dochází na přístupovém počítači. U interaktivních přihlášení dojde k generování těchto událostí v počítači, ke kterému je přihlášen. Pokud se pro přístup ke sdílené složce provede přihlášení k síti, vygenerují se tyto události v počítači, který je hostitelem přístupového prostředku. Pokud toto nastavení nakonfigurujete na žádné auditování, je obtížné nebo nemožné určit, ke kterému uživateli došlo nebo se pokusil o přístup k počítačům organizace. Události pro tuto podkategorii zahrnují: - 4634: Účet byl odhlášený. - 4647: Přihlášení iniciované uživatelem. Doporučený stav pro toto nastavení je: Úspěch.


Cesta ke klíči: {0CCE9216-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Success:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logoff\Audit Logoff

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93171
        STIG WS2016 V-73449
        CIS WS2019 17.5.3
        CIS WS2022 17.5.3
>= Úspěch
(Audit)
Kritické
Auditovat přihlášení
(CCE-38036-0)
Popis:

Tato podkategorie hlásí, když se uživatel pokusí přihlásit k systému. K těmto událostem dochází na přístupovém počítači. U interaktivních přihlášení dojde k generování těchto událostí v počítači, ke kterému je přihlášen. Pokud se pro přístup ke sdílené složce provede přihlášení k síti, vygenerují se tyto události v počítači, který je hostitelem přístupového prostředku. Pokud toto nastavení nakonfigurujete na žádné auditování, je obtížné nebo nemožné určit, ke kterému uživateli došlo nebo se pokusil o přístup k počítačům organizace. Události pro tuto podkategorii zahrnují: - 4624: Účet byl úspěšně přihlášen. - 4625: Účet se nepodařilo přihlásit. - 4648: Došlo k pokusu o přihlášení pomocí explicitních přihlašovacích údajů. - 4675: Identifikátory SID byly filtrovány. Doporučený stav pro toto nastavení je: Úspěch a selhání.


Cesta ke klíči: {0CCE9215-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Success and Failure:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logff\Audit Logon

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-92967
        STIG WS2016 V-73451
        CIS WS2019 17.5.4
        CIS WS2022 17.5.4
= Úspěch a selhání
(Audit)
Kritické
Auditovat další události přihlášení nebo odhlášení
(CCE-36322-6)
Popis: Tato podkategorie hlásí další události související s přihlášením nebo logffem, jako je například relace terminálové služby, odpojí a znovu připojí, pomocí RunAs spustí procesy pod jiným účtem a uzamkne a odemkne pracovní stanici. Události pro tuto podkategorii zahrnují: — 4649: Byl zjištěn útok přehrání. — 4778: Relace byla znovu připojena k stanici okna. — 4779: Relace byla odpojena od stanice Windows. — 4800: Pracovní stanice byla uzamčena. — 4801: Pracovní stanice byla odemknutá. — 4802: Spořič obrazovky byl vyvolán. — 4803: Spořič obrazovky byl zamítnut. — 5378: Požadovaná delegování přihlašovacích údajů byla zakázána zásadami. — 5632: Byla provedena žádost o ověření v bezdrátové síti. — 5633: Byla provedena žádost o ověření v kabelové síti. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta ke klíči: {0CCE921C-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Success and Failure:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logoff\Auditovat další události přihlášení/odhlášení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.5.5
= Úspěch a selhání
(Audit)
Kritické
Auditovat zvláštní přihlášení
(CCE-36266-5)
Popis: Tato podkategorie hlásí, když se použije speciální přihlášení. Speciální přihlášení je přihlášení, které má oprávnění ekvivalentní správci a lze ho použít ke zvýšení úrovně procesu na vyšší úroveň. Události pro tuto podkategorii zahrnují: - 4964: Zvláštní skupiny byly přiřazeny k novému přihlášení. Doporučený stav pro toto nastavení je: Success.
Cesta klíče: {0CCE921B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Success:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logoff\AuditOvat zvláštní přihlášení

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93161
        STIG WS2016 V-73455
        CIS WS2019 17.5.6
        CIS WS2022 17.5.6
>= Úspěch
(Audit)
Kritické

Zásady auditu systému – Přístup k objektům

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditovat podrobnou sdílenou složku
(AZ-WIN-00100)
Popis: Tato podkategorie umožňuje auditovat pokusy o přístup k souborům a složkám ve sdílené složce. Události pro tuto podkategorii zahrnují: - 5145: objekt sdílené síťové složky byl zkontrolován, abyste zjistili, zda lze klientovi udělit požadovaný přístup. Doporučeným stavem tohoto nastavení je zahrnout: Failure
Cesta klíče: {0CCE9244-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Auditovat podrobnou sdílenou složku
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.6.1
        CIS WS2019 17.6.1
>= Selhání
(Audit)
Kritické
Auditovat sdílenou složku
(AZ-WIN-00102)
Popis: Toto nastavení zásad umožňuje auditovat pokusy o přístup ke sdílené složce. Doporučený stav pro toto nastavení je: Success and Failure. Poznámka: Pro sdílené složky neexistují žádné seznamy řízení přístupu (SACLs) systému. Pokud je toto nastavení zásad povolené, je auditován přístup ke všem sdíleným složkám v systému.
Cesta ke klíči: {0CCE9224-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Audit sdílené složky
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.6.2
        CIS WS2019 17.6.2
= Úspěch a selhání
(Audit)
Kritické
Auditovat jiné události přístupu k objektu
(AZ-WIN-00113)
Popis: Tato podkategorie hlásí další události související s přístupem k objektům, jako jsou úlohy plánovače úloh a objekty MODELU COM+. Události pro tuto podkategorii zahrnují: — 4671: Aplikace se pokusila získat přístup k blokované řadové sadě prostřednictvím tbS. — 4691: Byl požadován nepřímý přístup k objektu. — 4698: Byl vytvořen naplánovaný úkol. — 4699: Byl odstraněn naplánovaný úkol. — 4700: Byl povolen naplánovaný úkol. — 4701: Naplánovaný úkol byl zakázán. — 4702: Byl aktualizován naplánovaný úkol. — 5888: Objekt v katalogu COM+ byl změněn. — 5889: Objekt byl odstraněn z katalogu COM+. — 5890: Objekt byl přidán do katalogu COM+. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta ke klíči: {0CCE9227-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Success and Failure:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Auditovat další události přístupu k objektům
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.6.3
= Úspěch a selhání
(Audit)
Kritické
Auditovat vyměnitelné úložiště
(CCE-37617-8)
Popis: Toto nastavení zásad umožňuje auditovat pokusy uživatelů o přístup k objektům systému souborů na vyměnitelném úložném zařízení. Událost auditu zabezpečení se generuje pouze pro všechny objekty pro všechny typy požadovaných přístupů. Pokud toto nastavení zásad nakonfigurujete, vygeneruje se událost auditu pokaždé, když účet přistupuje k objektu systému souborů v vyměnitelném úložišti. Úspěšné audity zaznamenávají úspěšné pokusy a neúspěšné pokusy o auditování záznamů. Pokud toto nastavení zásad nenakonfigurujete, nevygeneruje se žádná událost auditu, když účet přistupuje k objektu systému souborů v vyměnitelném úložišti. Doporučený stav pro toto nastavení je: Success and Failure. Poznámka: Pro přístup a nastavení této hodnoty v zásadách skupiny se vyžaduje operační systém Windows 8, Server 2012 (jiný než R2) nebo novější.
Cesta klíče: {0CCE9245-69AE-11D9-BED3-505054503030}
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Success and Failure:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Audit vyměnitelného úložiště

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93167
        STIG WS2016 V-73457
        CIS WS2019 17.6.4
        CIS WS2022 17.6.4
= Úspěch a selhání
(Audit)
Kritické

Zásady auditu systému – Změna zásad

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditovat změnu zásad ověřování
(CCE-38327-3)
Popis: Tato podkategorie hlásí změny v zásadách ověřování. Události pro tuto podkategorii zahrnují: — 4706: Byl vytvořen nový vztah důvěryhodnosti pro doménu. — 4707: Byl odebrán vztah důvěryhodnosti k doméně. — 4713: Došlo ke změně zásad protokolu Kerberos. — 4716: Informace o důvěryhodné doméně byly změněny. — 4717: Přístup k zabezpečení systému byl udělen účtu. — 4718: Přístup k zabezpečení systému byl odebrán z účtu. — 4739: Zásady domény byly změněny. — 4864: Byla zjištěna kolize oboru názvů. — 4865: Byla přidána položka informací o důvěryhodné doménové struktuře. — 4866: Byla odebrána položka informací o důvěryhodné doménové struktuře. — 4867: Byla změněna položka informací o důvěryhodné doménové struktuře. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta klíče: {0CCE9230-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Success:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Změna zásad auditu\Změna zásad ověřování auditování
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.7.2
>= Úspěch
(Audit)
Kritické
Auditovat změnu zásad autorizace
(CCE-36320-0)
Popis: Tato podkategorie hlásí změny v zásadách autorizace. Události pro tuto podkategorii zahrnují: - 4704: Bylo přiřazeno právo uživatele. - 4705: Byla odebrána práva uživatele. - 4706: Pro doménu byl vytvořen nový vztah důvěryhodnosti. - 4707: Byl odebrán vztah důvěryhodnosti k doméně. - 4714: Byly změněny zásady obnovení šifrovaných dat. Doporučeným stavem tohoto nastavení je: Success.
Cesta ke klíči: {0CCE9231-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Změna zásad autorizace auditování\Změna zásad autorizace auditování
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.7.3
        CIS WS2019 17.7.3
>= Úspěch
(Audit)
Kritické
Auditovat změnu zásad úrovně pravidla MPSSVC
(AZ-WIN-00111)
Popis: Tato podkategorie hlásí změny v pravidlech zásad používaných službou Microsoft Protection Service (MPSSVC.exe). Tuto službu používá brána Windows Firewall a Microsoft OneCare. Mezi události pro tuto podkategorii patří: — 4944: Při spuštění brány Windows Firewall byla aktivní následující zásada. — 4945: Pravidlo bylo uvedeno při spuštění brány Windows Firewall. — 4946: V seznamu výjimek brány Windows Firewall byla provedena změna. Bylo přidáno pravidlo. — 4947: V seznamu výjimek brány Windows Firewall byla provedena změna. Pravidlo bylo změněno. — 4948: V seznamu výjimek brány Windows Firewall byla provedena změna. Pravidlo bylo odstraněno. — 4949: Nastavení brány Windows Firewall bylo obnoveno na výchozí hodnoty. — 4950: Nastavení brány Windows Firewall se změnilo. — 4951: Pravidlo bylo ignorováno, protože brána Windows Firewall nerozpoznala jeho hlavní číslo verze. — 4952: Části pravidla byly ignorovány, protože brána Windows Firewall nerozpoznala číslo podverze. Ostatní části pravidla se vynutí. — 4953: Brána Windows Firewall ignorovala pravidlo, protože pravidlo nebylo možné analyzovat. — 4954: Nastavení zásad skupiny brány Windows Firewall se změnilo. Použili jsme nová nastavení. — 4956: Brána Windows Firewall změnila aktivní profil. — 4957: Brána Windows Firewall nepoužila následující pravidlo: — 4958: Brána Windows Firewall nepoužila následující pravidlo, protože pravidlo odkazované na položky nenakonfigurované v tomto počítači: Přečtěte si článek znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008 pro nejnovější informace o tomto nastavení: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta klíče: {0CCE9232-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Success and Failure:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Změna zásad\Audit zásad na úrovni pravidel MPSSVC
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.7.4
= Úspěch a selhání
(Audit)
Kritické
Auditovat jiné události změny zásad
(AZ-WIN-00114)
Popis: Tato podkategorie obsahuje události týkající se změn zásad agenta obnovení dat EFS, změny ve filtru platformy Filtrování systému Windows, stav aktualizací nastavení zásad zabezpečení pro místní nastavení zásad skupiny, změny zásad centrálního přístupu a podrobné události řešení potíží s operacemi kryptografické další generace (CNG). - 5063: Došlo k pokusu o operaci kryptografického zprostředkovatele. - 5064: Došlo k pokusu o operaci kryptografického kontextu. - 5065: Došlo k pokusu o změnu kryptografického kontextu. - 5066: Došlo k pokusu o operaci kryptografické funkce. - 5067: Došlo k pokusu o úpravu kryptografické funkce. - 5068: Došlo k pokusu o operaci zprostředkovatele kryptografických funkcí. - 5069: Došlo k pokusu o operaci vlastnosti kryptografické funkce. - 5070: Došlo k pokusu o změnu vlastnosti kryptografické funkce. - 6145: Při zpracování zásad zabezpečení v objektech zásad skupiny došlo k jedné nebo více chybám. Doporučeným stavem tohoto nastavení je: Failure.
Cesta ke klíči: {0CCE9234-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta zásad skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Změna zásad\Auditovat jiné události změn zásad
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.7.5
        CIS WS2019 17.7.5
>= Selhání
(Audit)
Kritické
Změna zásad auditu
(CCE-38028-7)
Popis: Tato podkategorie hlásí změny v zásadách auditu, včetně změn SACL. Události pro tuto podkategorii zahrnují: — 4715: Zásady auditu (SACL) u objektu byly změněny. — 4719: Zásady auditu systému byly změněny. — 4902: Byla vytvořena tabulka zásad auditu pro jednotlivé uživatele. — 4904: Došlo k pokusu o registraci zdroje událostí zabezpečení. — 4905: Došlo k pokusu o zrušení registrace zdroje událostí zabezpečení. — 4906: Hodnota CrashOnAuditFail se změnila. — 4907: Nastavení auditování objektu bylo změněno. — 4908: Změněna tabulka Pro přihlášení ke speciálním skupinám. — 4912: Zásady auditu jednotlivých uživatelů byly změněny. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta ke klíči: {0CCE922F-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Změna zásad auditu\Auditovat změnu zásad auditu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.7.1
>= Úspěch
(Audit)
Kritické

Zásady auditu systému – Použití oprávnění

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditovat použití citlivých oprávnění
(CCE-36267-3)
Popis: Tato podkategorie hlásí, když uživatelský účet nebo služba používá citlivé oprávnění. Citlivá oprávnění zahrnují následující uživatelská práva: Jednat jako součást operačního systému, záložních souborů a adresářů, vytvořit objekt tokenu, Ladicí programy, Povolit, aby byly uživatelské účty důvěryhodné pro delegování, Generovat audity zabezpečení, zosobnit klienta po ověření, Načíst a uvolnit ovladače zařízení, Spravovat auditování a protokol zabezpečení, Upravit hodnoty prostředí firmwaru, Nahraďte token na úrovni procesu, obnovte soubory a adresáře a převezmejte vlastnictví souborů nebo jiných objektů. Auditování této podkategorie vytvoří velký objem událostí. Události pro tuto podkategorii zahrnují: — 4672: Zvláštní oprávnění přiřazená k novému přihlášení. — 4673: Byla volána privilegovaná služba. — 4674: Došlo k pokusu o operaci u privilegovaného objektu. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta ke klíči: {0CCE9228-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Success and Failure:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Použití oprávnění\Auditovat citlivé oprávnění
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.8.1
= Úspěch a selhání
(Audit)
Kritické

Zásady auditu systému – Systém

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Auditovat ovladač IPsec
(CCE-37853-9)
Popis: Tato podkategorie hlásí aktivity ovladače IPsec (Internet Protocol Security). Události pro tuto podkategorii zahrnují: - 4960: Protokol IPsec zahodil příchozí paket, který selhal při kontrole integrity. Pokud tento problém přetrvává, může to znamenat problém se sítí nebo že se pakety upravují při přenosu do tohoto počítače. Ověřte, že pakety odeslané ze vzdáleného počítače jsou stejné jako pakety přijaté tímto počítačem. Tato chyba může také znamenat problémy s interoperabilitou s jinými implementacemi protokolu IPsec. - 4961: Protokol IPsec zahodil příchozí paket, který selhal při kontrole přehrávání. Pokud tento problém přetrvává, může to znamenat útok na přehrání proti tomuto počítači. - 4962: Protokol IPsec zahodil příchozí paket, který selhal při kontrole přehrání. Příchozí paket měl příliš nízké pořadové číslo, aby se zajistilo, že se nepřehrává. - 4963: Protokol IPsec zahodil příchozí nesmazatelný textový paket, který by měl být zabezpečený. Důvodem je obvykle změna zásad protokolu IPsec vzdáleného počítače bez informování tohoto počítače. Může to být také pokus o falšování identity útoku. - 4965: Protokol IPsec přijal paket ze vzdáleného počítače s nesprávným indexem parametrů zabezpečení (SPI). Příčinou je obvykle selhání hardwaru, který způsobuje poškození paketů. Pokud tyto chyby potrvají, ověřte, zda jsou pakety odeslané ze vzdáleného počítače stejné jako pakety přijaté tímto počítačem. Tato chyba může také znamenat problémy s interoperabilitou s jinými implementacemi protokolu IPsec. V takovém případě je možné tyto události ignorovat, pokud se připojení neohrožuje. - 5478: Služba IPsec byla úspěšně spuštěna. - 5479: Služba IPsec byla úspěšně vypnuta. Vypnutí služeb IPsec může počítač vystavit většímu riziku síťového útoku nebo vystavit počítač potenciálním bezpečnostním rizikům. - 5480: Službě IPsec se nepodařilo získat úplný seznam síťových rozhraní v počítači. To představuje potenciální bezpečnostní riziko, protože některá síťová rozhraní nemusí získat ochranu poskytovanou použitými filtry IPsec. K diagnostice problému použijte modul snap-in Monitorování zabezpečení protokolu IP. – 5483: Službě IPsec se nepodařilo inicializovat server RPC. Služby IPsec nelze spustit. - 5484: U služeb IPsec došlo k kritické chybě a byla vypnuta. Vypnutí služeb IPsec může počítač vystavit většímu riziku síťového útoku nebo vystavit počítač potenciálním bezpečnostním rizikům. - 5485: Službě IPsec se nepodařilo zpracovat některé filtry IPsec v události plug-and-play pro síťová rozhraní. To představuje potenciální bezpečnostní riziko, protože některá síťová rozhraní nemusí získat ochranu poskytovanou použitými filtry IPsec. K diagnostice problému použijte modul snap-in Monitorování zabezpečení protokolu IP. Doporučený stav pro toto nastavení je: Success and Failure.
Cesta ke klíči: {0CCE9213-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Systém\Auditovat ovladač IPsec
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.9.1
        CIS WS2019 17.9.1
>= Úspěch a selhání
(Audit)
Kritické
Auditovat jiné systémové události
(CCE-38030-3)
Popis: Tato podkategorie hlásí jiné systémové události. Události pro tuto podkategorii zahrnují: - 5024: Služba Brána Windows Firewall byla úspěšně spuštěna. - 5025: Služba Windows Firewall byla zastavena. - 5027: Služba Brány Windows Firewall nemohla načíst zásady zabezpečení z místního úložiště. Služba bude dál vynucovat aktuální zásady. - 5028: Služba Brány Windows Firewall nemohla analyzovat nové zásady zabezpečení. Služba bude pokračovat s aktuálně vynucenými zásadami. - 5029: Službě Windows Firewall se nepodařilo inicializovat ovladač. Služba bude dál vynucovat aktuální zásady. - 5030: Službu brány Windows Firewall se nepodařilo spustit. - 5032: Brána Windows Firewall nemohla uživatele upozornit, že aplikace nemohla přijímat příchozí připojení v síti. - 5033: Ovladač brány Windows Firewall byl úspěšně spuštěn. - 5034: Ovladač brány Windows Firewall byl zastaven. - 5035: Ovladač brány Windows Firewall se nepodařilo spustit. - 5037: Ovladač brány Windows Firewall zjistil kritickou chybu za běhu. Ukončující. - 5058: Operace souboru klíče. - 5059: Klíčová operace migrace. Doporučený stav pro toto nastavení je: Success and Failure.
Cesta klíče: {0CCE9214-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Systém\Auditovat další systémové události
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 17.9.2
        CIS WS2019 17.9.2
= Úspěch a selhání
(Audit)
Kritické
Auditovat změnu stavu zabezpečení
(CCE-38114-5)
Popis: Tato podkategorie hlásí změny ve stavu zabezpečení systému, například při spuštění a zastavení subsystému zabezpečení. Události pro tuto podkategorii zahrnují: — 4608: Windows se spouští. — 4609: Systém Windows se vypíná. — 4616: Systémový čas byl změněn. — 4621: Správce obnovil systém z CrashOnAuditFail. Uživatelé, kteří nejsou správci, se teď budou moct přihlásit. Některá auditovatelná aktivita se možná nezaznamenala. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta ke klíči: {0CCE9210-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Success:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Systém\AuditOvat změnu stavu zabezpečení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.9.3
>= Úspěch
(Audit)
Kritické
Auditovat rozšíření systému zabezpečení
(CCE-36144-4)
Popis: Tato podkategorie hlásí načítání kódu rozšíření, jako jsou ověřovací balíčky subsystému zabezpečení. Události pro tuto podkategorii zahrnují: — 4610: Ověřovací balíček byl načten místní autoritou zabezpečení. — 4611: Důvěryhodný proces přihlášení byl registrován u místní bezpečnostní autority. — 4614: Správce účtu zabezpečení načetl balíček oznámení. — 4622: Místní úřad zabezpečení načetl balíček zabezpečení. — 4697: V systému byla nainstalována služba. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta klíče: {0CCE9211-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Success:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\System\Audit Security System Extension
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.9.4
>= Úspěch
(Audit)
Kritické
Auditovat integritu systému
(CCE-37132-8)
Popis: Tato podkategorie hlásí porušení integrity subsystému zabezpečení. Mezi události pro tuto podkategorii patří: — 4612: Interní zdroje přidělené ke frontě zpráv auditu byly vyčerpány, což vede ke ztrátě některých auditů. — 4615: Neplatné použití portu LPC. — 4618: Došlo k monitorovanému vzoru událostí zabezpečení. — 4816 : RPC zjistilo porušení integrity při dešifrování příchozí zprávy. — 5038: Integrita kódu zjistila, že hodnota hash obrázku souboru není platná. Soubor může být poškozený kvůli neoprávněné úpravě nebo neplatná hodnota hash může značit možnou chybu diskového zařízení. — 5056: Provedl se kryptografický samoobslužný test. — 5057: Kryptografická primitivní operace selhala. — 5060: Operace ověření selhala. — 5061: Kryptografická operace. — 5062: Byl proveden kryptografický samoobslužný test v režimu jádra. Nejnovější informace o tomto nastavení naleznete v článku znalostní báze Microsoft KnowledgeBase Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Cesta ke klíči: {0CCE9212-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Úspěch a selhání:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Systém\Audit Integrity systému
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 17.9.5
= Úspěch a selhání
(Audit)
Kritické

Přiřazení uživatelských práv

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Získat přístup ke Správci pověření jako k důvěryhodnému volajícímu
(CCE-37056-9)
Popis: Toto nastavení zabezpečení používá Správce přihlašovacích údajů během zálohování a obnovení. Žádné účty by neměly mít toto uživatelské právo, protože je přiřazeno pouze k Winlogonu. Uložené přihlašovací údaje uživatelů můžou být ohroženy, pokud je toto uživatelské právo přiřazené jiným entitě. Doporučený stav pro toto nastavení je: No One.
Cesta ke klíči: [Práva oprávnění]SeTrustedCredManAccessPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No One:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Správce přihlašovacích údajů přístupu jako důvěryhodný volající

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93049
        STIG WS2016 V-73729
        CIS WS2019 2.2.1
        CIS WS2022 2.2.1
= Nikdo
(Zásady)
Upozorňující
Přistupovat k tomuto počítači přes síť
(CCE-35818-4)
Popis:

Toto nastavení zásad umožňuje ostatním uživatelům v síti připojit se k počítači a je vyžadováno různými síťovými protokoly, které zahrnují protokoly založené na protokolu SMB (Server Message Block), NetBIOS, Common Internet File System (CIFS) a component Object Model Plus (COM+). - Úroveň 1 – řadič domény Doporučený stav pro toto nastavení je: Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS. - Úroveň 1 – členský server. Doporučený stav pro toto nastavení je: Administrators, Authenticated Users.


Cesta ke klíči: [Práva oprávnění]SeNetworkLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Přístup k tomuto počítači ze sítě

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-92995
        STIG WS2016 V-73731
        CIS WS2019 2.2.3
        CIS WS2022 2.2.3
<= Administrators, Authenticated Users
(Zásady)
Kritické
Slouží jako součást operačního systému
(CCE-36876-1)
Popis: Toto nastavení zásad umožňuje procesu předpokládat identitu libovolného uživatele a získat tak přístup k prostředkům, ke kterým má uživatel oprávnění přistupovat. Doporučený stav pro toto nastavení je: No One.
Cesta ke klíči: [Práva oprávnění]SeTcbPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No One:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Jednat jako součást operačního systému

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93051
        STIG WS2016 V-73735
        CIS WS2019 2.2.4
        CIS WS2022 2.2.4
= Nikdo
(Zásady)
Kritické
Povolit místní přihlášení
(CCE-37659-0)
Popis: Toto nastavení zásad určuje, kteří uživatelé se můžou interaktivně přihlásit k počítačům ve vašem prostředí. Přihlášení iniciovaná stisknutím kombinace kláves CTRL+ALT+DEL na klávesnici klientského počítače vyžadují toto uživatelské právo. Uživatelé, kteří se pokusí přihlásit přes Terminálovou službu nebo službu IIS, vyžadují také toto uživatelské právo. Účet hosta je ve výchozím nastavení přiřazený tomuto uživateli. I když je tento účet ve výchozím nastavení zakázaný, Společnost Microsoft doporučuje toto nastavení povolit prostřednictvím zásad skupiny. Tato uživatelská práva by však měla být obecně omezena na skupiny Administrators a Users. Pokud vaše organizace vyžaduje, aby měla tuto funkci, přiřaďte toto uživatelské právo skupině Backup Operators. Při konfiguraci uživatelského práva v SCM zadejte čárkami oddělený seznam účtů. Účty můžou být buď místní, nebo umístěné ve službě Active Directory, můžou to být skupiny, uživatelé nebo počítače.
Cesta ke klíči: [Oprávnění Rights]SeInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Povolit místní přihlášení
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.2.7
= Správci
(Zásady)
Kritické
Povolit přihlášení prostřednictvím Vzdálené plochy
(CCE-37072-6)
Popis:

Toto nastavení zásad určuje, kteří uživatelé nebo skupiny mají právo se přihlásit jako klient terminálové služby. Uživatelé vzdálené plochy vyžadují toto uživatelské právo. Pokud vaše organizace používá vzdálenou pomoc jako součást strategie helpdesku, vytvořte skupinu a přiřaďte ji přímo prostřednictvím zásad skupiny. Pokud helpdesk ve vaší organizaci nepoužívá vzdálenou pomoc, přiřaďte toto uživatelské právo pouze skupině Administrators nebo použijte funkci skupiny s omezeným přístupem, aby se zajistilo, že žádné uživatelské účty nejsou součástí skupiny Uživatelé vzdálené plochy. Omezte toto uživatelské právo na skupinu Administrators a případně skupinu Uživatelé vzdálené plochy, abyste zabránili nežádoucím uživatelům v získání přístupu k počítačům ve vaší síti pomocí funkce Vzdálená pomoc. - Úroveň 1 – řadič domény Doporučený stav pro toto nastavení je: Správci. - Úroveň 1 – členský server. Doporučený stav pro toto nastavení je: Administrators, Remote Desktop Users. Poznámka: Členský server, který obsahuje roli Vzdálená plocha se službou role Zprostředkovatele připojení ke vzdálené ploše, bude vyžadovat zvláštní výjimku tohoto doporučení, aby byla této skupině "Ověření uživatelé" udělena tato uživatelská práva. Poznámka 2: Výše uvedené seznamy se považují za seznamy povolených, což znamená, že výše uvedené objekty zabezpečení nemusí být k posouzení tohoto doporučení k dispozici.


Cesta ke klíči: [Práva oprávnění]SeRemoteInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Povolit přihlášení prostřednictvím služby Vzdálená plocha

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-92997
        STIG WS2016 V-73741
        CIS WS2019 2.2.8
        CIS WS2022 2.2.8
        CIS WS2019 2.2.9
        CIS WS2022 2.2.9
<= Správci, uživatelé vzdálené plochy
(Zásady)
Kritické
Zálohovat soubory a adresáře
(CCE-35912-5)
Popis: Toto nastavení zásad umožňuje uživatelům obejít oprávnění k souborům a adresářům pro zálohování systému. Toto uživatelské právo je povoleno pouze v případě, že se aplikace (například NTBACKUP) pokusí získat přístup k souboru nebo adresáři prostřednictvím rozhraní API (File System Backup Application Programming Interface). V opačném případě se použijí přiřazená oprávnění k souboru a adresáři. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeBackupPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administratorshodnotu .
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Zálohování souborů a adresářů

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93053
        STIG WS2016 V-73743
        CIS WS2019 2.2.10
        CIS WS2022 2.2.10
<= Administrators, Backup Operators, Server Operators
(Zásady)
Kritické
Vynechat kontrolu přecházení
(AZ-WIN-00184)
Popis: Toto nastavení zásad umožňuje uživatelům, kteří nemají přístup ke složce procházet složky při procházení cesty k objektu v systému souborů NTFS nebo registru. Toto uživatelské právo neumožňuje uživatelům vypsat obsah složky. Při konfiguraci uživatelského práva v SCM zadejte čárkami oddělený seznam účtů. Účty můžou být buď místní, nebo umístěné ve službě Active Directory, můžou to být skupiny, uživatelé nebo počítače.
Cesta ke klíči: [Práva oprávnění]SeChangeNotifyPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Nakonfigurujte hodnotu zásad pro konfiguraci počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Obejít kontrolu procházení tak, aby zahrnovala pouze následující účty nebo skupiny: Administrators, Authenticated Users, Backup Operators, Local Service, Network Service
Standardní mapování dodržování předpisů:
<= Administrators, Authenticated Users, Backup Operators, Local Service, Network Service
(Zásady)
Kritické
Změnit systémový čas
(CCE-37452-0)
Popis: Toto nastavení zásad určuje, kteří uživatelé a skupiny můžou změnit čas a datum v interních hodinách počítačů ve vašem prostředí. Uživatelé, kteří mají přiřazená tato uživatelská práva, můžou ovlivnit vzhled protokolů událostí. Když se změní nastavení času počítače, zaprotokolované události odrážejí nový čas, nikoli skutečný čas, kdy došlo k událostem. Při konfiguraci uživatelského práva v SCM zadejte čárkami oddělený seznam účtů. Účty můžou být buď místní, nebo umístěné ve službě Active Directory, můžou to být skupiny, uživatelé nebo počítače. Poznámka: Nesrovnalosti mezi časem místního počítače a řadiči domény ve vašem prostředí můžou způsobovat problémy s ověřovacím protokolem Kerberos, což může uživatelům znemožnit přihlášení k doméně nebo získání autorizace pro přístup k prostředkům domény po přihlášení. Při použití zásad skupiny na klientské počítače dojde také k problémům, pokud systémový čas není synchronizován s řadiči domény. Doporučený stav pro toto nastavení je: Administrators, LOCAL SERVICE.
Cesta ke klíči: [Práva oprávnění]SeSystemtimePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators, LOCAL SERVICE:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Změna systémového času

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.2.11
        CIS WS2022 2.2.11
<= Administrators, Server Operators, LOCAL SERVICE
(Zásady)
Kritické
Změnit časové pásmo
(CCE-37700-2)
Popis: Toto nastavení určuje, kteří uživatelé mohou změnit časové pásmo počítače. Tato schopnost nemá pro počítač žádné velké nebezpečí a může být užitečná pro mobilní pracovníky. Doporučený stav pro toto nastavení je: Administrators, LOCAL SERVICE.
Cesta ke klíči: [Práva oprávnění]SeTimeZonePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators, LOCAL SERVICE:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Změna časového pásma

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.2.12
        CIS WS2022 2.2.12
<= Správci, MÍSTNÍ SLUŽBA
(Zásady)
Kritické
Vytvořit stránkovací soubor
(CCE-35821-8)
Popis: Toto nastavení zásad umožňuje uživatelům změnit velikost stránkovacího souboru. Když vytvoří stránkovací soubor extrémně velký nebo extrémně malý, útočník by mohl snadno ovlivnit výkon ohroženého počítače. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Oprávnění Rights]SeCreatePagefilePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvoření stránkovacího souboru

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93055
        STIG WS2016 V-73745
        CIS WS2019 2.2.13
        CIS WS2022 2.2.13
= Správci
(Zásady)
Kritické
Vytvořit objekt tokenu
(CCE-36861-3)
Popis: Toto nastavení zásad umožňuje procesu vytvořit přístupový token, který může poskytovat zvýšená práva pro přístup k citlivým datům. Doporučený stav pro toto nastavení je: No One.
Cesta ke klíči: [Práva oprávnění]SeCreateTokenPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No One:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvoření objektu tokenu

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93057
        STIG WS2016 V-73747
        CIS WS2019 2.2.14
        CIS WS2022 2.2.14
= Nikdo
(Zásady)
Upozorňující
Vytvořit globální objekty
(CCE-37453-8)
Popis: Toto nastavení zásad určuje, jestli uživatelé mohou vytvářet globální objekty, které jsou k dispozici pro všechny relace. Uživatelé můžou i nadále vytvářet objekty specifické pro vlastní relaci, pokud nemají tato uživatelská práva. Uživatelé, kteří mohou vytvářet globální objekty, můžou ovlivnit procesy spuštěné v rámci relací jiných uživatelů. Tato funkce může vést k různým problémům, jako je selhání aplikace nebo poškození dat. Doporučený stav pro toto nastavení je: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Poznámka: Členský server s Microsoft SQL Serverem a nainstalovanou volitelnou komponentou Integrační služby bude vyžadovat zvláštní výjimku tohoto doporučení pro další položky generované SQL, které mají být uděleny tomuto uživatelskému právu.
Cesta ke klíči: [Práva oprávnění]SeCreateGlobalPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvoření globálních objektů

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93059
        STIG WS2016 V-73749
        CIS WS2019 2.2.15
        CIS WS2022 2.2.15
<= Administrators, SERVICE, LOCAL SERVICE, NETWORK SERVICE
(Zásady)
Upozorňující
Vytvořit trvale sdílené objekty
(CCE-36532-0)
Popis: Toto uživatelské právo je užitečné pro komponenty režimu jádra, které rozšiřují obor názvů objektů. Komponenty, které běží v režimu jádra, však mají tento uživatel právo své podstaty. Proto obvykle není nutné přiřadit toto uživatelské právo. Doporučený stav pro toto nastavení je: No One.
Cesta ke klíči: [Práva oprávnění]SeCreatePermanentPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No One:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvořit trvalé sdílené objekty

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93061
        STIG WS2016 V-73751
        CIS WS2019 2.2.16
        CIS WS2022 2.2.16
= Nikdo
(Zásady)
Upozorňující
Vytvořit symbolické odkazy
(CCE-35823-4)
Popis:

Toto nastavení zásad určuje, kteří uživatelé mohou vytvářet symbolické odkazy. V systému Windows Vista lze k existujícím objektům systému souborů NTFS, jako jsou soubory a složky, přistupovat odkazem na nový typ objektu systému souborů označovaného jako symbolický odkaz. Symbolický odkaz je ukazatel (podobně jako zástupce nebo .lnk soubor) na jiný objekt systému souborů, což může být soubor, složka, zástupce nebo jiný symbolický odkaz. Rozdíl mezi zástupcem a symbolickým odkazem spočívá v tom, že zástupce funguje jenom v prostředí Windows. Pro jiné programy a aplikace jsou zkratky jen další soubor, zatímco s symbolickými odkazy je koncept zástupce implementován jako funkce systému souborů NTFS. Symbolické odkazy můžou potenciálně vystavit ohrožení zabezpečení v aplikacích, které nejsou určené k jejich použití. Z tohoto důvodu by se oprávnění k vytváření symbolických odkazů mělo přiřadit jenom důvěryhodným uživatelům. Ve výchozím nastavení můžou symbolické odkazy vytvářet jenom správci. - Úroveň 1 – řadič domény Doporučený stav pro toto nastavení je: Správci. - Úroveň 1 – členský server. Doporučený stav pro toto nastavení je: Správci a (při instalaci role Hyper-V ) NT VIRTUAL MACHINE\Virtual Machines.


Cesta ke klíči: [Práva oprávnění]SeCreateSymbolicLinkPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete implementovat doporučený stav konfigurace, nakonfigurujte následující cestu uživatelského rozhraní:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vytvořit symbolické odkazy

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93063
        STIG WS2016 V-73753
        CIS WS2019 2.2.17
        CIS WS2022 2.2.17
        CIS WS2019 2.2.18
        CIS WS2022 2.2.18
<= Administrators, NT VIRTUAL MACHINE\Virtual Machines
(Zásady)
Kritické
Ladit programy
(AZ-WIN-73755)
Popis: Toto nastavení zásad určuje, které uživatelské účty budou mít právo připojit ladicí program k jakémukoli procesu nebo jádru, což poskytuje úplný přístup k citlivým a kritickým komponentám operačního systému. Vývojáři, kteří ladí své vlastní aplikace, nemusí být přiřazeno toto uživatelské právo; vývojáři, kteří ladí nové systémové komponenty, je však budou potřebovat. Doporučený stav pro toto nastavení je: Administrators. Poznámka: Toto uživatelské právo se považuje za "citlivé oprávnění" pro účely auditování.
Cesta ke klíči: [Práva oprávnění]SeDebugPrivilege
Operační systém: WS2016, WS2019
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Ladicí programy
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.2.19
        CIS WS2019 2.2.19
= Správci
(Zásady)
Kritické
Odepřít přístup k tomuto počítači ze sítě
(CCE-37954-5)
Popis:

Toto nastavení zásad zakazuje uživatelům připojovat se k počítači z celé sítě, což by uživatelům umožnilo vzdálený přístup k datům a jejich případnou úpravu. V prostředích s vysokým zabezpečením by nemělo být nutné, aby vzdálení uživatelé měli přístup k datům v počítači. Místo toho by mělo být sdílení souborů provedeno pomocí síťových serverů. - Úroveň 1 – řadič domény Doporučeným stavem tohoto nastavení je: Hosté, místní účet. - Úroveň 1 – členský server. Doporučeným stavem tohoto nastavení je: Hosté, místní účet a člen skupiny Administrators. Upozornění: Konfigurace samostatného serveru (bez připojení k doméně), jak je popsáno výše, může vést k nemožnosti vzdáleně spravovat server. Poznámka: Konfigurace členového serveru nebo samostatného serveru, jak je popsáno výše, může nepříznivě ovlivnit aplikace, které vytvoří místní účet služby a umístí ho do skupiny Administrators – v takovém případě musíte aplikaci převést na použití účtu služby hostované v doméně nebo odebrat místní účet a člena skupiny Administrators z tohoto přiřazení práv uživatele. Pokud je to možné, je použití účtu služby hostované v doméně důrazně upřednostňované před provedením výjimky z tohoto pravidla.


Cesta ke klíči: [Práva oprávnění]SeDenyNetworkLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Odepřít přístup k tomuto počítači ze sítě

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-92999
        STIG WS2016 V-73757
        CIS WS2019 2.2.20
        CIS WS2022 2.2.20
        CIS WS2019 2.2.21
        CIS WS2022 2.2.21
>= Hosté
(Zásady)
Kritické
Odepřít přihlášení se jako dávková úloha
(CCE-36923-1)
Popis: Toto nastavení zásad určuje, které účty se nebudou moct přihlásit k počítači jako dávková úloha. Dávková úloha není dávkový soubor (.bat), ale spíše dávkové fronty. Účty, které používají plánovač úloh k naplánování úloh, potřebují toto uživatelské právo. Přihlášení jako uživatel dávkové úlohy má přednost před právem uživatele dávkové úlohy , které by bylo možné použít k tomu, aby účty mohly plánovat úlohy, které spotřebovávají nadměrné systémové prostředky. Takový výskyt by mohl způsobit podmínku DoS. Selháním přiřazení tohoto uživatelského práva k doporučeným účtům může být bezpečnostní riziko. Doporučeným stavem tohoto nastavení je: Guests.
Cesta ke klíči: [Práva oprávnění]SeDenyBatchLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Guests:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Odepřít přihlášení jako dávková úloha

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93001
        STIG WS2016 V-73761
        CIS WS2019 2.2.22
        CIS WS2022 2.2.22
>= Hosté
(Zásady)
Kritické
Odepřít přihlášení se jako služba
(CCE-36877-9)
Popis: Toto nastavení zabezpečení určuje, které účty služeb se brání v registraci procesu jako služby. Toto nastavení zásad nahrazuje nastavení zásad přihlášení jako služby , pokud se na účet vztahují obě zásady. Doporučeným stavem tohoto nastavení je: Guests. Poznámka: Toto nastavení zabezpečení se nevztahuje na účty systému, místní služby nebo síťové služby.
Cesta ke klíči: [Práva oprávnění]SeDenyServiceLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Guests:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Odepřít přihlášení jako služba

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93003
        STIG WS2016 V-73765
        CIS WS2019 2.2.23
        CIS WS2022 2.2.23
>= Hosté
(Zásady)
Kritické
Odepřít místní přihlášení
(CCE-37146-8)
Popis: Toto nastavení zabezpečení určuje, kteří uživatelé nebudou přihlášení k počítači. Toto nastavení zásad nahrazuje nastavení Povolit přihlášení místně , pokud se na účet vztahují obě zásady. Důležité: Pokud tuto zásadu zabezpečení použijete pro skupinu Všichni, nikdo se nebude moct přihlásit místně. Doporučeným stavem tohoto nastavení je: Guests.
Cesta ke klíči: [Práva oprávnění]SeDenyInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní tak, aby zahrnovala Guests:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Místní přihlášení

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93017
        STIG WS2016 V-73739
        CIS WS2019 2.2.24
        CIS WS2022 2.2.24
>= Hosté
(Zásady)
Kritické
Zakázat přihlášení prostřednictvím Vzdálené plochy
(CCE-36867-0)
Popis: Toto nastavení zásad určuje, jestli se uživatelé můžou přihlásit jako klienti Terminálové služby. Jakmile je členský server směrného plánu připojený k doménovému prostředí, není nutné pro přístup k serveru ze sítě používat místní účty. Účty domény mají přístup k serveru pro správu a zpracování koncových uživatelů. Doporučeným stavem tohoto nastavení je: Guests, Local account. Upozornění: Konfigurace samostatného serveru (bez připojení k doméně), jak je popsáno výše, může vést k nemožnosti vzdáleně spravovat server.
Cesta ke klíči: [Práva oprávnění]SeDenyRemoteInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Odepřít přihlášení prostřednictvím služby Vzdálená plocha
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.2.26
>= Hosté
(Zásady)
Kritické
Povolit nastavení důvěryhodnosti pro delegování pro účty počítačů a uživatelů
(CCE-36860-5)
Popis:

Toto nastavení zásad umožňuje uživatelům změnit nastavení Důvěryhodné pro delegování na objektu počítače ve službě Active Directory. Zneužití tohoto oprávnění by mohlo umožnit neoprávněným uživatelům zosobnit ostatní uživatele v síti. - Úroveň 1 – řadič domény Doporučeným stavem tohoto nastavení je: Administrators - Level 1 - Member Server. Doporučeným stavem tohoto nastavení je: Nikdo.


Cesta ke klíči: [Práva oprávnění]SeEnableDelegationPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Povolení důvěryhodnosti počítačů a uživatelských účtů pro delegování

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93041
        STIG WS2016 V-73777
        CIS WS2019 2.2.28
        CIS WS2022 2.2.28
= Nikdo
(Zásady)
Kritické
Vynutit vypnutí ze vzdáleného systému
(CCE-37877-8)
Popis: Toto nastavení zásad umožňuje uživatelům vypnout počítače se systémem Windows Vista ze vzdálených umístění v síti. Každý, kdo má toto uživatelské právo přiřazené, může způsobit podmínku odepření služby (DoS), která by způsobila nedostupnost počítače pro žádosti uživatelů služby. Proto se doporučuje přiřadit toto uživatelské právo pouze vysoce důvěryhodným správcům. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeRemoteShutdownPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vynucení vypnutí ze vzdáleného systému

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93067
        STIG WS2016 V-73781
        CIS WS2019 2.2.29
        CIS WS2022 2.2.29
= Správci
(Zásady)
Kritické
Generovat audity zabezpečení
(CCE-37639-2)
Popis: Toto nastavení zásad určuje, kteří uživatelé nebo procesy mohou generovat záznamy auditu v protokolu zabezpečení. Doporučený stav pro toto nastavení je: LOCAL SERVICE, NETWORK SERVICE. Poznámka: Členský server, který obsahuje roli webového serveru (IIS) se službou rolí webového serveru , bude vyžadovat zvláštní výjimku tohoto doporučení, aby bylo povoleno udělení tohoto uživatelského práva fondu aplikací služby IIS. Poznámka č. 2: Členský server, který obsahuje roli Active Directory Federation Services (AD FS), bude vyžadovat zvláštní výjimku tohoto doporučení, povolit a NT SERVICE\ADFSSrv služby a NT SERVICE\DRS také přidružené Active Directory Federation Services (AD FS) účet služby, který má být uděleno tomuto uživatelskému právu.
Cesta ke klíči: [Práva oprávnění]SeAuditPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na LOCAL SERVICE, NETWORK SERVICE:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Generování auditů zabezpečení

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93069
        STIG WS2016 V-73783
        CIS WS2019 2.2.30
        CIS WS2022 2.2.30
<= Local Service, Network Service, IIS APPPOOL\DefaultAppPool
(Zásady)
Kritické
Zvýšit pracovní sadu procesu
(AZ-WIN-00185)
Popis: Toto oprávnění určuje, které uživatelské účty mohou zvětšit nebo zmenšit velikost pracovní sady procesu. Pracovní sada procesu je sada paměťových stránek, které jsou aktuálně viditelné pro proces ve fyzické paměti RAM. Tyto stránky jsou rezidentní a jsou k dispozici pro aplikaci, která se má použít bez aktivace chyby stránky. Minimální a maximální velikost pracovní sady ovlivňuje chování stránkování virtuální paměti procesu. Při konfiguraci uživatelského práva v SCM zadejte čárkami oddělený seznam účtů. Účty můžou být buď místní, nebo umístěné ve službě Active Directory, můžou to být skupiny, uživatelé nebo počítače.
Cesta ke klíči: [Práva oprávnění]SeIncreaseWorkingSetPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Zvýšení pracovní sady procesů
Standardní mapování dodržování předpisů:
<= Administrators, Local Service
(Zásady)
Upozorňující
Zvýšit prioritu plánování
(CCE-38326-5)
Popis: Toto nastavení zásad určuje, zda uživatelé mohou zvýšit základní třídu priority procesu. (Nejedná se o privilegovanou operaci ke zvýšení relativní priority v rámci třídy priority.) Tato uživatelská práva nevyžadují nástroje pro správu, které jsou dodávány s operačním systémem, ale mohou být vyžadovány nástroji pro vývoj softwaru. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeIncreaseBasePriorityPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators, Window Manager\Window Manager Group:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Zvýšit prioritu plánování

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93073
        STIG WS2016 V-73787
        CIS WS2019 2.2.33
        CIS WS2022 2.2.33
= Správci
(Zásady)
Upozorňující
Načíst a odstranit z paměti ovladače zařízení
(CCE-36318-4)
Popis: Toto nastavení zásad umožňuje uživatelům dynamicky načítat nový ovladač zařízení v systému. Útočník by mohl tuto funkci použít k instalaci škodlivého kódu, který vypadá jako ovladač zařízení. Toto uživatelské právo je vyžadováno, aby uživatelé přidali místní tiskárny nebo ovladače tiskárny v systému Windows Vista. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeLoadDriverPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Načtení a uvolnění ovladačů zařízení

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93075
        STIG WS2016 V-73789
        CIS WS2019 2.2.34
        CIS WS2022 2.2.34
<= Správci, operátory tisku
(Zásady)
Upozorňující
Uzamknout stránky v paměti
(CCE-36495-0)
Popis: Toto nastavení zásad umožňuje procesu uchovávat data ve fyzické paměti, což systému brání stránkování dat do virtuální paměti na disku. Pokud je toto uživatelské právo přiřazeno, může dojít k významnému snížení výkonu systému. Doporučený stav pro toto nastavení je: No One.
Cesta ke klíči: [Práva oprávnění]SeLockMemoryPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No One:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Zamknout stránky v paměti

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93077
        STIG WS2016 V-73791
        CIS WS2019 2.2.35
        CIS WS2022 2.2.35
= Nikdo
(Zásady)
Upozorňující
Spravovat auditování a protokol zabezpečení
(CCE-35906-7)
Popis:

Toto nastavení zásad určuje, kteří uživatelé můžou změnit možnosti auditování souborů a adresářů a vymazat protokol zabezpečení. V prostředích se systémem Microsoft Exchange Server musí mít skupina Exchange Servers toto oprávnění pro řadiče domény, aby správně fungovala. V takovém případě řadiče domény udělující skupině Exchange Servers toto oprávnění vyhovují tomuto srovnávacímu testu. Pokud prostředí nepoužívá Microsoft Exchange Server, mělo by být toto oprávnění omezeno pouze na správce na řadičích domény. - Úroveň 1 – řadič domény Doporučený stav pro toto nastavení je: Správci a (když exchange běží v prostředí) Exchange Servers. - Úroveň 1 – členský server. Doporučený stav pro toto nastavení je: Správci.


Cesta ke klíči: [Práva oprávnění]SeSecurityPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nakonfigurujte následující cestu uživatelského rozhraní:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Správa auditování a protokolu zabezpečení

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93197
        STIG WS2016 V-73793
        CIS WS2019 2.2.37
        CIS WS2022 2.2.37
        CIS WS2019 2.2.38
        CIS WS2022 2.2.38
= Správci
(Zásady)
Kritické
Změnit označení objektu
(CCE-36054-5)
Popis: Toto oprávnění určuje, které uživatelské účty mohou upravovat popisek integrity objektů, jako jsou soubory, klíče registru nebo procesy vlastněné jinými uživateli. Procesy spuštěné pod uživatelským účtem mohou upravit popisek objektu vlastněného tímto uživatelem na nižší úroveň bez tohoto oprávnění. Doporučený stav pro toto nastavení je: No One.
Cesta ke klíči: [Práva oprávnění]SeRelabelPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na No One:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Úprava popisku objektu

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.2.39
        CIS WS2022 2.2.39
= Nikdo
(Zásady)
Upozorňující
Změnit hodnoty prostředí firmwaru
(CCE-38113-7)
Popis: Toto nastavení zásad umožňuje uživatelům konfigurovat proměnné prostředí pro celý systém, které ovlivňují konfiguraci hardwaru. Tyto informace jsou obvykle uloženy v poslední známé dobré konfiguraci. Změna těchto hodnot a může vést k selhání hardwaru, které by vedlo k odepření stavu služby. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeSystemEnvironmentPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Změna hodnot prostředí firmwaru

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93079
        STIG WS2016 V-73795
        CIS WS2019 2.2.40
        CIS WS2022 2.2.40
= Správci
(Zásady)
Upozorňující
Provést úlohy údržby svazku
(CCE-36143-6)
Popis: Toto nastavení zásad umožňuje uživatelům spravovat konfiguraci svazku nebo disku systému, což může uživateli umožnit odstranit svazek a způsobit ztrátu dat a také podmínku odepření služby. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeManageVolumePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Provádění úloh údržby svazků

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93081
        STIG WS2016 V-73797
        CIS WS2019 2.2.41
        CIS WS2022 2.2.41
= Správci
(Zásady)
Upozorňující
Profilovat jediný proces
(CCE-37131-0)
Popis: Toto nastavení zásad určuje, kteří uživatelé můžou používat nástroje ke sledování výkonu nesystémových procesů. Obvykle není nutné konfigurovat toto uživatelské právo pro použití modulu snap-in Výkon konzoly MMC (Microsoft Management Console). Toto uživatelské právo však potřebujete, pokud je nástroj Sledování systému nakonfigurovaný tak, aby shromažďoval data pomocí rozhraní WMI (Windows Management Instrumentation). Omezení uživatelského práva s jedním procesem profilu brání útočníkům v získání dalších informací, které by bylo možné použít k připojení útoku na systém. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeProfileSingleProcessPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Profil – jeden proces

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93083
        STIG WS2016 V-73799
        CIS WS2019 2.2.42
        CIS WS2022 2.2.42
= Správci
(Zásady)
Upozorňující
Profilovat výkon systému
(CCE-36052-9)
Popis: Toto nastavení zásad umožňuje uživatelům používat nástroje k zobrazení výkonu různých systémových procesů, které by mohly být zneužity, aby útočníci mohli určit aktivní procesy systému a poskytnout přehled o potenciálním prostoru pro útok na počítač. Doporučený stav pro toto nastavení je: Administrators, NT SERVICE\WdiServiceHost.
Cesta ke klíči: [Práva oprávnění]SeSystemProfilePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators, NT SERVICE\WdiServiceHost:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Výkon systému profilu

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.2.43
        CIS WS2022 2.2.43
<= Administrators, NT SERVICE\WdiServiceHost
(Zásady)
Upozorňující
Nahradit token úrovně procesu
(CCE-37430-6)
Popis: Toto nastavení zásad umožňuje jednomu procesu nebo službě spustit jinou službu nebo proces s jiným přístupovým tokenem zabezpečení, který lze použít k úpravě přístupového tokenu zabezpečení tohoto dílčího procesu a k eskalaci oprávnění. Doporučený stav pro toto nastavení je: LOCAL SERVICE, NETWORK SERVICE. Poznámka: Členský server, který obsahuje roli webového serveru (IIS) se službou rolí webového serveru , bude vyžadovat zvláštní výjimku tohoto doporučení, aby bylo povoleno udělení tohoto uživatelského práva fondu aplikací služby IIS. Poznámka č. 2: Členský server s nainstalovaným Microsoft SQL Serverem bude vyžadovat zvláštní výjimku tohoto doporučení pro udělení tohoto uživatelského práva dalším položkám vygenerovaným systémem SQL.
Cesta ke klíči: [Práva oprávnění]SeAssignPrimaryTokenPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na LOCAL SERVICE, NETWORK SERVICE:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Nahrazení tokenu na úrovni procesu

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.2.44
        CIS WS2022 2.2.44
<= MÍSTNÍ SLUŽBA, SÍŤOVÁ SLUŽBA
(Zásady)
Upozorňující
Obnovit soubory a adresáře
(CCE-37613-7)
Popis: Toto nastavení zásad určuje, kteří uživatelé mohou obejít oprávnění k souborům, adresáři, registru a dalším trvalým objektům při obnovování zálohovaných souborů a adresářů v počítačích se systémem Windows Vista ve vašem prostředí. Toto uživatelské právo také určuje, kteří uživatelé mohou nastavit platné objekty zabezpečení jako vlastníci objektů; podobá se uživatelskému právu Zálohovat soubory a adresáře. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeRestorePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Obnovení souborů a adresářů
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.2.45
<= Administrators, Backup Operators
(Zásady)
Upozorňující
Vypnout systém
(CCE-38328-1)
Popis: Toto nastavení zásad určuje, kteří uživatelé jsou přihlášeni místně k počítačům ve vašem prostředí, mohou vypnout operační systém pomocí příkazu Vypnout. Zneužití tohoto práva uživatele může mít za následek odepření služby. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeShutdownPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Vypnout systém

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 2.2.46
        CIS WS2022 2.2.46
<= Administrators, Backup Operators
(Zásady)
Upozorňující
Převzít vlastnictví souborů a dalších objektů
(CCE-38325-7)
Popis: Toto nastavení zásad umožňuje uživatelům převzít vlastnictví souborů, složek, klíčů registru, procesů nebo vláken. Toto uživatelské právo obchází všechna oprávnění, která jsou nastavená k ochraně objektů za účelem udělení vlastnictví zadanému uživateli. Doporučený stav pro toto nastavení je: Administrators.
Cesta ke klíči: [Práva oprávnění]SeTakeOwnershipPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Administrators:
Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Převzetí vlastnictví souborů nebo jiných objektů

Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93087
        STIG WS2016 V-73803
        CIS WS2019 2.2.48
        CIS WS2022 2.2.48
= Správci
(Zásady)
Kritické
Zosobnění klienta po ověření musí být přiřazeno pouze správcům, službám, místní službě a síťové službě.
(AZ-WIN-73785)
Popis: Nastavení zásad umožňuje programům, které běží jménem uživatele, zosobnit daného uživatele (nebo jiný zadaný účet), aby mohly jednat jménem uživatele. Pokud je pro tento druh zosobnění vyžadováno toto uživatelské právo, neoprávněný uživatel nebude moct přesvědčit klienta, aby se mohl připojit například vzdáleným voláním procedur (RPC) nebo pojmenovanými kanály do služby, kterou vytvořili k zosobnění tohoto klienta, což by mohlo zvýšit oprávnění neoprávněného uživatele na úroveň správy nebo systému. Služby, které spouští Správce řízení služeb, mají do přístupových tokenů ve výchozím nastavení přidanou integrovanou skupinu služeb. Servery com, které spouští infrastruktura modelu COM a jsou nakonfigurované tak, aby běžely v rámci konkrétního účtu, mají také přidanou skupinu služeb do svých přístupových tokenů. V důsledku toho se těmto procesům přiřazují tato uživatelská práva při spuštění. Uživatel může také zosobnit přístupový token, pokud existují některé z následujících podmínek: – přístupový token, který se zosobní, je pro tohoto uživatele. - Uživatel, v této přihlašovací relaci, přihlášen k síti s explicitními přihlašovacími údaji pro vytvoření přístupového tokenu. – Požadovaná úroveň je menší než zosobnění, například Anonymní nebo Identifikovat. Útočník s zosobněním klienta po ověření práva uživatele může vytvořit službu, zkomplikovat klienta, aby se připojil ke službě, a pak zosobnit tohoto klienta, aby zvýšil úroveň přístupu útočníka na úroveň přístupu klienta. Doporučený stav pro toto nastavení je: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Poznámka: Toto uživatelské právo se považuje za "citlivé oprávnění" pro účely auditování. Poznámka č. 2: Členský server s microsoft SQL Serverem a nainstalovanou volitelnou komponentou Integrační služby bude vyžadovat zvláštní výjimku z tohoto doporučení, aby se dalším položkám vygenerovaným jazykem SQL udělilo toto uživatelské právo.
Cesta ke klíči: [Práva oprávnění]SeImpersonatePrivilege
Operační systém: WS2016, WS2019
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Po ověření zosobnit klienta
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.2.31
        CIS WS2019 2.2.31
<= Administrators,Service,Local Service,Network Service
(Zásady)
Důležité

Součásti systému Windows

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Povolit základní ověřování
(CCE-36254-1)
Popis: Toto nastavení zásad umožňuje spravovat, jestli služba Vzdálená správa systému Windows (WinRM) přijímá základní ověřování ze vzdáleného klienta. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená správa systému Windows (WinRM)\Služba WinRM\Povolit základní ověřování
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou WindowsRemoteManagement.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93507
        STIG WS2016 V-73599
        CIS WS2019 18.9.102.1.1
        CIS WS2022 18.9.102.2.1
Neexistuje nebo = 0
(Registr)
Kritické
Povolit diagnostická data
(AZ-WIN-00169)
Popis: Toto nastavení zásad určuje množství diagnostických dat a dat o využití hlášených Microsoftu. Hodnota 0 odešle Microsoftu minimální data. Tato data zahrnují nástroj pro odebrání škodlivého softwaru (MSRT) a data programu Windows Defender, pokud jsou povolená, a nastavení klienta telemetrie. Nastavení hodnoty 0 se vztahuje pouze na podniková, EDU, IoT a serverová zařízení. Nastavení hodnoty 0 pro jiná zařízení odpovídá výběru hodnoty 1. Hodnota 1 odesílá pouze základní množství diagnostických dat a dat o využití. Všimněte si, že nastavení hodnot 0 nebo 1 sníží určité možnosti na zařízení. Hodnota 2 odesílá rozšířená diagnostická data a data o využití. Hodnota 3 odesílá stejná data jako hodnota 2 a navíc další diagnostická data, včetně souborů a obsahu, které mohly způsobit problém. Nastavení telemetrie Windows 10 platí pro operační systém Windows a některé aplikace první strany. Toto nastavení se nevztahuje na aplikace třetích stran běžící ve Windows 10. Doporučený stav pro toto nastavení je: Enabled: 0 - Security [Enterprise Only]. Poznámka: Pokud je nastavení Povolit telemetrii nakonfigurované na hodnotu 0 – Zabezpečení [Jenom enterprise], nebudou mít možnosti v služba Windows Update odložení upgradů a aktualizací žádný vliv.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: Diagnostic data off (not recommended) hodnotu nebo Enabled: Send required diagnostic data:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Shromažďování dat a buildy verze Preview\Povolit diagnostická data
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytována šablonou zásad skupiny DataCollection.admx/adml, která je součástí microsoft Windows 11 Release 21H2 šablon pro správu (nebo novější).
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Povolit telemetrii, ale bylo přejmenováno na Povolit diagnostická data počínaje šablonami pro správu windows 11 verze 21H2.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93257
        STIG WS2016 V-73551
        CIS WS2019 18.9.17.1
        CIS WS2022 18.9.17.1
>= 1
(Registr)
Upozorňující
Povolit indexování šifrovaných souborů
(CCE-38277-0)
Popis: Toto nastavení zásad určuje, zda mají být šifrované položky indexovány. Po změně tohoto nastavení se index zcela znovu sestaví. Pro umístění indexu musí být použito úplné šifrování svazku (například BitLocker Drive Encryption nebo jiné řešení než Microsoft), aby se zachovalo zabezpečení šifrovaných souborů. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Search\Povolit indexování šifrovaných souborů
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou Search.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93415
        STIG WS2016 V-73581
        CIS WS2019 18.9.67.3
        CIS WS2022 18.9.67.3
Neexistuje nebo = 0
(Registr)
Upozorňující
Povolit, aby účty Microsoft byly volitelné
(CCE-38354-7)
Popis: Toto nastavení zásad umožňuje určit, jestli jsou účty Microsoft volitelné pro aplikace pro Windows Store, které vyžadují přihlášení k účtu. Tato zásada má vliv jenom na aplikace pro Windows Store, které ji podporují. Pokud povolíte toto nastavení zásad, aplikace pro Windows Store, které obvykle vyžadují přihlášení k účtu Microsoft, umožní uživatelům přihlásit se pomocí podnikového účtu. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, uživatelé se budou muset přihlásit pomocí účtu Microsoft.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional
Operační systém: WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Modul runtime aplikace\Povolit, aby účty Microsoft byly volitelné
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje se šablonou zásad skupiny AppXRuntime.admx/adml, která je součástí šablon pro správu Systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.6.1
= 1
(Registr)
Upozorňující
Povolit nešifrovaný provoz
(CCE-38223-4)
Popis: Toto nastavení zásad umožňuje spravovat, jestli služba Vzdálená správa systému Windows (WinRM) odesílá a přijímá nešifrované zprávy přes síť. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená správa systému Windows (WinRM)\Služba WinRM\Povolit nešifrovaný provoz
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou WindowsRemoteManagement.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93499
        STIG WS2016 V-73601
        CIS WS2019 18.9.102.1.2
        CIS WS2022 18.9.102.1.2
        CIS WS2019 18.9.102.2.3
        CIS WS2022 18.9.102.2.3
Neexistuje nebo = 0
(Registr)
Kritické
Povolit uživatelskou kontrolu nad instalacemi
(CCE-36400-0)
Popis: Umožňuje uživatelům změnit možnosti instalace, které jsou obvykle k dispozici pouze správcům systému. Funkce zabezpečení Instalační služby systému Windows brání uživatelům měnit možnosti instalace, které jsou obvykle vyhrazeny pro správce systému, například určit adresář, do kterého jsou soubory nainstalovány. Pokud Instalační služba systému Windows zjistí, že instalační balíček povolil uživateli změnit chráněnou možnost, zastaví instalaci a zobrazí zprávu. Tyto funkce zabezpečení fungují pouze v případech, kdy instalační program běží v privilegovaném kontextu zabezpečení, ve kterém má přístup k adresářům odepřen uživateli. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Instalační služba systému Windows\Povolit uživatelskou kontrolu nad instalacemi
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou MSI.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows. Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows bylo toto nastavení pojmenováno Povolit uživatelskou kontrolu nad instalacemi, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 a Server 2012 (ne R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93199
        STIG WS2016 V-73583
        CIS WS2019 18.9.90.1
        CIS WS2022 18.9.90.1
Neexistuje nebo = 0
(Registr)
Kritické
Vždy instalovat se zvýšenými oprávněními
(CCE-37490-0)
Popis: Toto nastavení určuje, jestli má instalační služba systému Windows používat systémová oprávnění při instalaci libovolného programu v systému. Poznámka: Toto nastavení se zobrazí ve složkách Konfigurace počítače i Konfigurace uživatele. Pokud chcete toto nastavení nastavit jako efektivní, musíte toto nastavení povolit v obou složkách. Upozornění: Pokud je tato možnost povolená, můžou zkušení uživatelé využít oprávnění, která toto nastavení udělí, změnit svá oprávnění a získat trvalý přístup k souborům a složkám s omezeným přístupem. Všimněte si, že verze konfigurace uživatele tohoto nastavení není zaručená, že je zabezpečená. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace uživatele\Zásady\Šablony pro správu\Součásti systému Windows\Instalační služba systému Windows\Vždy nainstalovat se zvýšenými oprávněními
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou MSI.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93201
        STIG WS2016 V-73585
        CIS WS2019 18.9.90.2
        CIS WS2022 18.9.90.2
Neexistuje nebo = 0
(Registr)
Upozorňující
Vždy se při připojení zobrazovat výzva k zadání hesla
(CCE-37929-7)
Popis: Toto nastavení zásad určuje, jestli terminálová služba při připojení vždy vyzve klientský počítač k zadání hesla. Toto nastavení zásad můžete použít k vynucení výzvy k zadání hesla pro uživatele, kteří se přihlašují k Terminálové službě, i když už zadali heslo v klientovi připojení ke vzdálené ploše. Terminálové služby ve výchozím nastavení umožňují uživatelům, aby se automaticky přihlásili, pokud zadají heslo v klientovi připojení ke vzdálené ploše. Poznámka: Pokud toto nastavení zásad nenakonfigurujete, může správce místního počítače pomocí nástroje Konfigurace terminálové služby povolit nebo zabránit automatickému odesílání hesel.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fPromptForPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Zabezpečení\Při připojení vždy vyzvat k zadání hesla
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: V šablonách pro správu systému Microsoft Windows Vista bylo toto nastavení pojmenováno Vždy vyzvat klienta k zadání hesla při připojení, ale bylo přejmenováno počínaje šablonami pro správu systému Windows Server 2008 (jiné než R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.65.3.9.1
= 1
(Registr)
Kritické
Aplikace: Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti
(CCE-37775-4)
Popis: Toto nastavení zásad řídí chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti. Pokud povolíte toto nastavení zásad a soubor protokolu dosáhne maximální velikosti, nebudou do protokolu zapsány nové události a budou ztraceny. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete a soubor protokolu dosáhne maximální velikosti, nové události přepíší staré události. Poznámka: Staré události mohou nebo nemusí být zachovány v závislosti na nastavení zásad "Protokol zálohování automaticky při úplném" nastavení.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Aplikace\Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zachovat staré události, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (jiné než R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.27.1.1
Neexistuje nebo = 0
(Registr)
Kritické
Aplikace: Zadejte maximální velikost souboru protokolu (kB).
(CCE-37948-7)
Popis: Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud povolíte toto nastavení zásad, můžete v přírůstcích kilobajtů nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2147483647 kilobajtů). Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: 32,768 or greater:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Aplikace\Zadejte maximální velikost souboru protokolu (KB)
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Maximální velikost protokolu (KB), ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.27.1.2
>= 32768
(Registr)
Kritické
Blokování veškerého ověřování uživatelů účtu Microsoft pro uživatele
(AZ-WIN-20198)
Popis: Toto nastavení určuje, jestli aplikace a služby v zařízení můžou využívat ověřování nového účtu Microsoft pro uživatele prostřednictvím rozhraní Windows OnlineID a WebAccountManager rozhraní API. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth
Operační systém: WS2016, WS2019
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Účty Microsoft\Blokovat ověřování uživatelů uživatelských účtů Microsoft
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.46.1
        CIS WS2019 18.9.46.1
= 1
(Registr)
Kritické
Konfigurace přepsání místního nastavení pro generování sestav do Microsoft MAPS
(AZ-WIN-00173)
Popis: Toto nastavení zásad konfiguruje místní přepsání konfigurace pro připojení k Microsoft MAPS. Toto nastavení lze nastavit pouze podle zásad skupiny. Pokud toto nastavení povolíte, nastavení místní předvolby bude mít přednost před zásadami skupiny. Pokud toto nastavení zakážete nebo nenakonfigurujete, budou mít zásady skupiny přednost před místním nastavením předvoleb.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Windows Defender\MAPS\Konfigurace přepsání místního nastavení pro generování sestav do služby Microsoft MAPS
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona WindowsDefender.admx/adml zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.47.4.1
        CIS WS2022 18.9.47.4.1
Neexistuje nebo = 0
(Registr)
Upozorňující
Konfigurace filtru SmartScreen pro Windows
(CCE-35859-8)
Popis: Toto nastavení zásad umožňuje spravovat chování filtru Windows SmartScreen. Filtr Windows SmartScreen pomáhá udržovat počítače v bezpečí tím, že uživatele upozorní před spuštěním nerozpoznaných programů stažených z internetu. Některé informace se odesílají do Microsoftu o souborech a programech spuštěných na počítačích s povolenou funkcí. Pokud povolíte toto nastavení zásad, chování filtru Windows SmartScreen může být řízeno nastavením jedné z následujících možností: * Před spuštěním staženého neznámého softwaru upozorněte uživatele * Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, chování filtru Windows SmartScreen spravuje správci na počítači pomocí nastavení filtru Windows SmartScreen v nastavení zabezpečení a údržby. Možnosti: * Dát uživateli upozornění před spuštěním staženého neznámého softwaru * Vypnout Filtr SmartScreen
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: Upozornit a zabránit obejití: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Filtr SmartScreen v programu Windows Defender\Explorer\Konfigurovat filtr SmartScreen v programu Windows Defender: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Je poskytován šablonou zásad skupiny WindowsExplorer.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější). Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Konfigurovat filtr SmartScreen systému Windows, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 10 verze 1703.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.85.1.1
= 1
(Registr)
Upozorňující
Zjištění změny z výchozího portu RDP
(AZ-WIN-00156)
Popis: Toto nastavení určuje, jestli byl síťový port, který naslouchá připojení ke vzdálené ploše, změněn z výchozí verze 3389.
Cesta ke klíči: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Nejde použít
Standardní mapování dodržování předpisů:
= 3389
(Registr)
Kritické
Zakázání služby Windows Search
(AZ-WIN-00176)
Popis: Toto nastavení registru zakáže službu Windows Search.
Cesta ke klíči: System\CurrentControlSet\Services\Wsearch\Start
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Nejde použít
Standardní mapování dodržování předpisů:
Neexistuje nebo = 4
(Registr)
Kritické
Zakázat automatické přehrání pro zařízení bez svazků
(CCE-37636-8)
Popis: Toto nastavení zásad zakáže automatické přehrávání pro zařízení MTP, jako jsou kamery nebo telefony. Pokud povolíte toto nastavení zásad, automatické přehrání není povolené pro zařízení MTP, jako jsou kamery nebo telefony. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, povolí se automatické přehrání pro zařízení bez svazků.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume
Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Zásady automatického přehrávání\Zakázat automatické přehrání pro zařízení bez svazků
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny AutoPlay.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.8.1
= 1
(Registr)
Kritické
Zakázat ověřování hodnotou hash
(CCE-38318-2)
Popis: Toto nastavení zásad umožňuje spravovat, jestli klient vzdálené správy systému Windows (WinRM) nebude používat ověřování hodnotou hash. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená správa systému Windows (WinRM)\Klient WinRM\Disallow Ověřování hodnotou hash
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou WindowsRemoteManagement.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93505
        STIG WS2016 V-73597
        CIS WS2019 18.9.102.1.3
        CIS WS2022 18.9.102.1.3
= 0
(Registr)
Kritické
Zákaz ukládání přihlašovacích údajů Spustit jako pro WinRM
(CCE-36000-8)
Popis: Toto nastavení zásad umožňuje spravovat, jestli služba Vzdálená správa systému Windows (WinRM) neumožňuje ukládání přihlašovacích údajů Spustit jako pro žádné moduly plug-in. Pokud toto nastavení zásad povolíte, služba WinRM nepovolí nastavení konfiguračních hodnot RunAsUser ani RunAsPassword pro všechny moduly plug-in. Pokud modul plug-in již nastavil konfigurační hodnoty RunAsUser a RunAsPassword, hodnota konfigurace RunAsPassword se vymaže z úložiště přihlašovacích údajů v tomto počítači. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, služba WinRM povolí nastavení konfiguračních hodnot RunAsUser a RunAsPassword pro moduly plug-in a hodnota RunAsPassword se bezpečně uloží. Pokud toto nastavení zásad povolíte a potom zakážete, bude potřeba resetovat všechny hodnoty, které byly dříve nakonfigurované pro RunAsPassword.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená správa systému Windows (WinRM)\Služba WinRM\Zakázat ukládání přihlašovacích údajů Spustit jako
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny WindowsRemoteManagement.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.102.2.4
= 1
(Registr)
Kritické
Nepovolit ukládání hesel
(CCE-36223-6)
Popis: Toto nastavení zásad pomáhá zabránit klientům Terminálové služby v ukládání hesel do počítače. Poznámka: Pokud bylo toto nastavení zásad dříve nakonfigurováno jako Zakázáno nebo Nenakonfigurováno, odstraní se všechna dříve uložená hesla při prvním odpojení klienta Terminálové služby od jakéhokoli serveru.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\DisablePasswordSaving
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Klient připojení ke vzdálené ploše\Nepovolit ukládání hesel
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.65.2.2
= 1
(Registr)
Kritické
Při ukončení neodstraňovat dočasné složky
(CCE-37946-1)
Popis: Toto nastavení zásad určuje, jestli služba Vzdálená plocha uchovává dočasné složky uživatele pro relaci při odhlášení. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\DeleteTempDirsOnExit
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Dočasné složky\Při ukončení neodstraňovat dočasné složky
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows bylo toto nastavení pojmenováno Neodstraňovat dočasnou složku při ukončení, ale byla přejmenována počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.65.3.11.1
Neexistuje nebo = 1
(Registr)
Upozorňující
Nezobrazovat tlačítko pro zobrazení hesla
(CCE-37534-5)
Popis: Toto nastavení zásad umožňuje konfigurovat zobrazení tlačítka pro zobrazení hesla v uživatelských prostředích pro zadávání hesel. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal
Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Uživatelské rozhraní pověření\Nezobrazovat tlačítko pro zobrazení hesla
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny CredUI.admx/adml, která je součástí šablony pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.16.1
= 1
(Registr)
Upozorňující
Nezobrazovat oznámení zpětné vazby
(AZ-WIN-00140)
Popis: Toto nastavení zásad umožňuje organizaci zabránit v zobrazování dotazů na zpětnou vazbu od Microsoftu. Pokud toto nastavení zásad povolíte, nebudou se uživatelům zobrazovat oznámení zpětné vazby prostřednictvím aplikace Windows Feedback. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžou se uživatelům zobrazovat oznámení prostřednictvím aplikace Windows Feedback, která uživatele požádá o zpětnou vazbu. Poznámka: Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžou uživatelé řídit, jak často můžou dostávat otázky ke zpětné vazbě.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Shromažďování dat a buildy verze Preview\Nezobrazovat oznámení zpětné vazby
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona zásad skupiny FeedbackNotifications.admx/adml, která je součástí šablon pro správu Microsoft Windows 10 Release 1511 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.17.4
= 1
(Registr)
Kritické
Nepoužívejte dočasné složky na relaci.
(CCE-38180-6)
Popis: Služba Vzdálená plocha ve výchozím nastavení vytvoří samostatnou dočasnou složku na serveru hostitele relace VP pro každou aktivní relaci, kterou uživatel udržuje na serveru hostitele relace VP. Dočasná složka se vytvoří na serveru hostitele relace VP ve složce Temp ve složce profilu uživatele a má název "sessionid". Tato dočasná složka se používá k ukládání jednotlivých dočasných souborů. Pokud chcete uvolnit místo na disku, dočasná složka se odstraní, když se uživatel odhlásí z relace. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\PerSessionTempDir
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Dočasné složky\Nepoužívat dočasné složky na relaci
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.65.3.11.2
Neexistuje nebo = 1
(Registr)
Kritické
Vytvoření výčtu účtů správce při zvýšení oprávnění
(CCE-36512-2)
Popis: Toto nastavení zásad určuje, jestli se účty správců zobrazí, když se uživatel pokusí zvýšit úroveň spuštěné aplikace. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Uživatelské rozhraní Credential\Výčet účtů správce při zvýšení oprávnění
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou CredUI.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93517
        STIG WS2016 V-73487
        CIS WS2019 18.9.16.2
        CIS WS2022 18.9.16.2
Neexistuje nebo = 0
(Registr)
Upozorňující
Zabránit stahování skříní
(CCE-37126-0)
Popis: Toto nastavení zásad brání uživateli ve stahování příloh (příloh souborů) z informačního kanálu do počítače uživatele. Doporučený stav pro toto nastavení je: Enabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Informační kanály RSS\Zabránit stahování skříní
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny InetRes.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení jmenovalo Vypnout stahování skříní, ale bylo přejmenováno od šablon pro správu systému Windows 8.0 a Server 2012 (jiné než R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.66.1
= 1
(Registr)
Upozorňující
Vyžadovat zabezpečenou komunikaci RPC
(CCE-37567-5)
Popis: Určuje, jestli server hostitele relace vzdálené plochy vyžaduje zabezpečenou komunikaci RPC se všemi klienty nebo umožňuje nezabezpečenou komunikaci. Toto nastavení můžete použít k posílení zabezpečení komunikace RPC s klienty tím, že povolíte pouze ověřené a šifrované požadavky. Pokud je stav nastaven na Povoleno, vzdálená plocha přijímá požadavky od klientů RPC, které podporují zabezpečené požadavky, a neumožňuje nezabezpečenou komunikaci s nedůvěryhodnými klienty. Pokud je stav vypnutý, Služba Vzdálená plocha vždy požaduje zabezpečení pro veškerý provoz RPC. Nezabezpečená komunikace je však povolená pro klienty RPC, kteří na požadavek nereagují. Pokud je stav nastaven na Nenakonfigurováno, je povolená nezabezpečená komunikace. Poznámka: Rozhraní RPC slouží ke správě a konfiguraci služby Vzdálená plocha.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\fEncryptRPCTraffic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Zabezpečení\Vyžadovat zabezpečenou komunikaci RPC
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.65.3.9.2
= 1
(Registr)
Kritické
Vyžadování ověřování uživatelů pro vzdálená připojení pomocí ověřování na úrovni sítě
(AZ-WIN-00149)
Popis: Vyžadování ověřování uživatelů pro vzdálená připojení pomocí ověřování na úrovni sítě
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\UserAuthentication
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Zabezpečení\Vyžadovat ověřování uživatelů pro vzdálená připojení pomocí ověřování na úrovni sítě
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: V šablonách pro správu systému Microsoft Windows Vista bylo toto nastavení původně pojmenováno Vyžadovat ověření uživatele pomocí protokolu RDP 6.0 pro vzdálená připojení, ale bylo přejmenováno od šablon pro správu systému Windows Server 2008 (jiné než R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.65.3.9.4
Neexistuje nebo = 1
(Registr)
Kritické
Skenování vyměnitelných jednotek
(AZ-WIN-00177)
Popis: Toto nastavení zásad umožňuje spravovat, zda při spuštění úplné kontroly prohledávat škodlivý software a nežádoucí software v obsahu vyměnitelných disků, jako jsou usb flash disky. Pokud povolíte toto nastavení vyměnitelných jednotek, zkontroluje se během jakéhokoli typu kontroly. Pokud toto nastavení zakážete nebo nenakonfigurujete, nebudou při úplné kontrole zkontrolovány vyměnitelné jednotky. Vyměnitelné jednotky se můžou během rychlé kontroly a vlastní kontroly stále kontrolovat.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Windows Defender\Scan\Skenování vyměnitelných jednotek
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona WindowsDefender.admx/adml zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.47.12.1
        CIS WS2022 18.9.47.12.1
= 0
(Registr)
Kritické
Zabezpečení: Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti
(CCE-37145-0)
Popis: Toto nastavení zásad řídí chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti. Pokud povolíte toto nastavení zásad a soubor protokolu dosáhne maximální velikosti, nebudou do protokolu zapsány nové události a budou ztraceny. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete a soubor protokolu dosáhne maximální velikosti, nové události přepíší staré události. Poznámka: Staré události mohou nebo nemusí být zachovány v závislosti na nastavení zásad "Protokol zálohování automaticky při úplném" nastavení.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Zabezpečení\Řízení chování protokolu událostí při dosažení maximální velikosti souboru protokolu
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zachovat staré události, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (jiné než R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.27.2.1
Neexistuje nebo = 0
(Registr)
Kritické
Zabezpečení: Zadejte maximální velikost souboru protokolu (KB)
(CCE-37695-4)
Popis: Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud povolíte toto nastavení zásad, můžete nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2 147 483 647 kilobajtů) v přírůstcích kilobajtů. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: 196,608 or greater:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Zabezpečení\Zadejte maximální velikost souboru protokolu (KB)
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Maximální velikost protokolu (KB), ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.27.2.2
>= 196608
(Registr)
Kritické
Odeslání ukázek souborů v případě, že je vyžadována další analýza
(AZ-WIN-00126)
Popis: Toto nastavení zásad konfiguruje chování odesílání ukázek při nastavení výslovného souhlasu s telemetrií MAPS. Možné možnosti jsou: (0x0) Vždy zobrazit výzvu (0x1) Automaticky odesílat bezpečné vzorky (0x2) Nikdy neodesílat (0x3) Automaticky odesílat všechny vzorky
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\MAPS\Odeslat ukázky souborů, pokud je vyžadována další analýza
Standardní mapování dodržování předpisů:
= 1
(Registr)
Upozorňující
Nastavení úrovně šifrování připojení klienta
(CCE-36627-8)
Popis: Toto nastavení zásad určuje, jestli počítač, který se chystá hostovat vzdálené připojení, bude vynucovat úroveň šifrování pro všechna data odesílaná mezi ním a klientským počítačem pro vzdálenou relaci.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\systém Windows NT\Terminal Services\MinEncryptionLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: High Level:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relace vzdálené plochy\Zabezpečení\Nastavení úrovně šifrování připojení klienta
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny TerminalServer.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.65.3.9.5
Neexistuje nebo = 3
(Registr)
Kritické
Nastavení výchozího chování automatického spuštění
(CCE-38217-6)
Popis: Toto nastavení zásad nastavuje výchozí chování pro příkazy Autorun. Příkazy autorun jsou obecně uložené v souborech autorun.inf. Často spouští instalační program nebo jiné rutiny. Před systémem Windows Vista se při vložení média obsahujícího příkaz autorun automaticky spustí program bez zásahu uživatele. Tím se vytvoří velký problém se zabezpečením, protože kód se může spustit bez znalostí uživatele. Výchozí chování začínající systémem Windows Vista je vyzvat uživatele, zda má být spuštěn příkaz autorun. Příkaz autorun je reprezentován jako obslužná rutina v dialogovém okně automatického přehrávání. Pokud povolíte toto nastavení zásad, správce může změnit výchozí chování systému Windows Vista nebo novější pro autorun na: a) Zcela zakázat příkazy automatického spuštění nebo b) Vrátit zpět k chování systému Windows Vista automatického spuštění příkazu autorun. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, systém Windows Vista nebo novější zobrazí výzvu uživateli, zda má být spuštěn příkaz autorun.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: Do not execute any autorun commands:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Zásady automatického přehrávání\Nastavení výchozího chování pro automatické spuštění
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny AutoPlay.admx/adml, která je součástí šablon pro správu systému Microsoft Windows 8.0 &Server 2012 (jiné než R2) (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.8.2
= 1
(Registr)
Kritické
Nastavení: Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti
(CCE-38276-2)
Popis: Toto nastavení zásad řídí chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti. Pokud povolíte toto nastavení zásad a soubor protokolu dosáhne maximální velikosti, nebudou do protokolu zapsány nové události a budou ztraceny. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete a soubor protokolu dosáhne maximální velikosti, nové události přepíší staré události. Poznámka: Staré události mohou nebo nemusí být zachovány v závislosti na nastavení zásad "Protokol zálohování automaticky při úplném" nastavení.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Nastavení\Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zachovat staré události, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (jiné než R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.27.3.1
Neexistuje nebo = 0
(Registr)
Kritické
Nastavení: Zadejte maximální velikost souboru protokolu (KB)
(CCE-37526-1)
Popis: Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud povolíte toto nastavení zásad, můžete nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2 147 483 647 kilobajtů) v přírůstcích kilobajtů. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: 32,768 or greater:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Nastavení\Zadejte maximální velikost souboru protokolu (KB)
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Maximální velikost protokolu (KB), ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.27.3.2
>= 32768
(Registr)
Kritické
Přihlášení posledního interaktivního uživatele automaticky po restartování zahájeném systémem
(CCE-36977-7)
Popis: Toto nastavení zásad určuje, jestli se zařízení po služba Windows Update restartuje systém automaticky při přihlášení posledního interaktivního uživatele. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn
Operační systém: WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Pokud chcete vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Možnosti přihlášení systému Windows\Přihlášení poslední interaktivní uživatel automaticky po restartování zahájeném systémem
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona WinLogon.admx/adml zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93269
        STIG WS2016 V-73589
        CIS WS2019 18.9.86.1
        CIS WS2022 18.9.86.1
= 1
(Registr)
Kritické
Zadejte interval pro kontrolu aktualizací definic.
(AZ-WIN-00152)
Popis: Toto nastavení zásad umožňuje zadat interval, ve kterém se mají kontrolovat aktualizace definic. Hodnota času je reprezentována jako počet hodin mezi kontrolami aktualizace. Platné hodnoty jsou v rozsahu od 1 (každou hodinu) do 24 (jednou za den). Pokud toto nastavení povolíte, bude kontrola aktualizací definic probíhat v zadaném intervalu. Pokud toto nastavení zakážete nebo nenakonfigurujete, bude kontrola aktualizací definic probíhat ve výchozím intervalu.
Cesta ke klíči: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval
Operační systém: WS2008, WS2008R2, WS2012, WS2012R2
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Microsoft Defender\Aktualizace security intelligence\Zadejte interval pro kontrolu aktualizací security intelligence.
Standardní mapování dodržování předpisů:
8=
(Registr)
Kritické
Systém: Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti
(CCE-36160-0)
Popis: Toto nastavení zásad řídí chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti. Pokud povolíte toto nastavení zásad a soubor protokolu dosáhne maximální velikosti, nebudou do protokolu zapsány nové události a budou ztraceny. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete a soubor protokolu dosáhne maximální velikosti, nové události přepíší staré události. Poznámka: Staré události mohou nebo nemusí být zachovány v závislosti na nastavení zásad "Protokol zálohování automaticky při úplném" nastavení.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Systém\Řízení chování protokolu událostí, když soubor protokolu dosáhne maximální velikosti
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Zachovat staré události, ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (jiné než R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.27.4.1
Neexistuje nebo = 0
(Registr)
Kritické
Systém: Zadejte maximální velikost souboru protokolu (KB)
(CCE-36092-5)
Popis: Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud povolíte toto nastavení zásad, můžete nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2 147 483 647 kilobajtů) v přírůstcích kilobajtů. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: 32,768 or greater:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba protokolu událostí\Systém\Zadejte maximální velikost souboru protokolu (KB)
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona zásad skupiny EventLog.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Poznámka č. 2: Ve starších šablonách pro správu systému Microsoft Windows se toto nastavení původně jmenovalo Maximální velikost protokolu (KB), ale bylo přejmenováno počínaje šablonami pro správu systému Windows 8.0 & Server 2012 (ne R2).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.27.4.2
>= 32768
(Registr)
Kritické
Inventář programu kompatibility aplikací musí být znemožněno shromažďování dat a odesílání informací společnosti Microsoft.
(AZ-WIN-73543)
Popis: Některé funkce můžou komunikovat s dodavatelem, odesílat informace o systému nebo stahovat data nebo komponenty pro tuto funkci. Vypnutím této funkce zabráníte odesílání potenciálně citlivých informací mimo podnik a zabráníte nekontrolovatelným aktualizacím systému. Toto nastavení zabrání inventarizaci programu ve shromažďování dat o systému a odesílání informací společnosti Microsoft.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Kompatibilita aplikací\Vypnout kolekci inventáře
Standardní mapování dodržování předpisů:
= 1
(Registr)
Informační
Vypnutí automatického přehrávání
(CCE-36875-3)
Popis: Automatické přehrávání začne číst z jednotky hned po vložení média do jednotky, což způsobí okamžité spuštění instalačního souboru pro programy nebo zvukové médium. Útočník by tuto funkci mohl použít ke spuštění programu, který by poškodil počítač nebo data v počítači. Pokud chcete funkci automatického přehrávání zakázat, můžete povolit nastavení Vypnout automatické přehrávání. Automatické přehrání je ve výchozím nastavení zakázané u některých vyměnitelných typů jednotek, například diskety a síťových jednotek, ale ne na jednotkách CD-ROM. Poznámka: Toto nastavení zásad nelze použít k povolení automatického přehrávání na počítačových jednotkách, ve kterých je ve výchozím nastavení zakázána, například diskety a síťové jednotky.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled: All drives:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Zásady automatického přehrávání\Vypnout automatické přehrání
Poznámka: Tuto cestu k zásadám skupiny poskytuje šablona Zásad skupiny AutoPlay.admx/adml, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.8.3
= 255
(Registr)
Kritické
Vypnutí prevence spouštění dat pro Průzkumníka
(CCE-37809-1)
Popis: Zakázání prevence spuštění dat může určitým starším aplikacím plug-in umožnit fungování bez ukončení Průzkumníka. Doporučený stav pro toto nastavení je: Disabled. Poznámka: Některé starší aplikace modulů plug-in a jiný software nemusí fungovat s zabráněním spuštění dat a budou vyžadovat výjimku, která se má definovat pro tento konkrétní modul plug-in nebo software.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention
Operační systém: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Průzkumník souborů\Vypnout ochranu před spuštěním dat pro Průzkumníka
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona Explorer.admx/adml zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 7 &Server 2008 R2 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93563
        STIG WS2016 V-73561
        CIS WS2019 18.9.31.2
        CIS WS2022 18.9.31.2
Neexistuje nebo = 0
(Registr)
Kritické
Vypnutí ukončení haldy při poškození
(CCE-36660-9)
Popis: Bez ukončení haldy při poškození můžou starší aplikace plug-in nadále fungovat, když dojde k poškození Průzkumník souborů relace. Zajistěte, aby ukončení haldy při poškození bylo aktivní, zabrání tomu. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Průzkumník souborů\Vypnutí ukončení haldy při poškození
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou Explorer.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93261
        STIG WS2016 V-73563
        CIS WS2019 18.9.31.3
        CIS WS2022 18.9.31.3
Neexistuje nebo = 0
(Registr)
Kritické
Vypnutí uživatelských prostředí Microsoftu
(AZ-WIN-00144)
Popis: Toto nastavení zásad vypne možnosti, které uživatelům pomůžou využívat zařízení a účet Microsoft na maximum. Pokud toto nastavení zásad povolíte, uživatelé už neuvidí přizpůsobená doporučení od Microsoftu a oznámení o svém účtu Microsoft. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžou se uživatelům zobrazovat návrhy od Microsoftu a oznámení o svém účtu Microsoft. Poznámka: Toto nastavení platí jenom pro skladové položky Enterprise a Education.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\CloudOvý obsah\Vypnout uživatelské prostředí Microsoftu
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje šablonu zásad skupiny CloudContent.admx/adml, která je součástí šablon pro správu Microsoft Windows 10 Release 1511 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.14.2
Neexistuje nebo = 1
(Registr)
Upozorňující
Vypnutí režimu chráněného protokolem prostředí
(CCE-36809-2)
Popis: Toto nastavení zásad umožňuje nakonfigurovat množství funkcí, které může mít protokol prostředí. Při použití úplné funkce této aplikace protokolu mohou otevírat složky a spouštět soubory. Chráněný režim snižuje funkčnost tohoto protokolu, což umožňuje aplikacím otevírat pouze omezenou sadu složek. Aplikace nemůžou otevírat soubory s tímto protokolem, pokud jsou v chráněném režimu. Doporučujeme nechat tento protokol v chráněném režimu, aby se zvýšilo zabezpečení Systému Windows. Doporučený stav pro toto nastavení je: Disabled.
Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Disabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Průzkumník souborů\Vypnutí režimu chráněného protokolem prostředí
Poznámka: Tato cesta k zásadám skupiny je poskytována šablonou WindowsExplorer.admx/adml zásad skupiny, která je součástí všech verzí šablon pro správu systému Microsoft Windows.
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        STIG WS2019 V-93263
        STIG WS2016 V-73565
        CIS WS2019 18.9.31.4
        CIS WS2022 18.9.31.4
Neexistuje nebo = 0
(Registr)
Upozorňující
Zapnutí monitorování chování
(AZ-WIN-00178)
Popis: Toto nastavení zásad umožňuje konfigurovat monitorování chování. Pokud povolíte nebo nenakonfigurujete toto monitorování chování nastavení, bude povoleno. Pokud toto nastavení zakážete, bude monitorování chování zakázané.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows Defender\Ochrana v reálném čase\DisableBehaviorMonitoring
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Chcete-li vytvořit doporučenou konfiguraci prostřednictvím zásad skupiny, nastavte následující cestu uživatelského rozhraní na Enabled:
Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Antivirová ochrana v programu Windows Defender\Ochrana v reálném čase\Zapnout monitorování chování
Poznámka: Tato cesta zásad skupiny nemusí ve výchozím nastavení existovat. Poskytuje ji šablona WindowsDefender.admx/adml zásad skupiny, která je součástí šablony pro správu systému Microsoft Windows 8.1 & Server 2012 R2 (nebo novější).
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2019 18.9.47.9.3
        CIS WS2022 18.9.47.9.3
Neexistuje nebo = 0
(Registr)
Upozorňující
Zapnutí protokolování bloku skriptu PowerShellu
(AZ-WIN-73591)
Popis: Toto nastavení zásad umožňuje protokolování veškerého vstupu skriptu PowerShellu Applications and Services Logs\Microsoft\Windows\PowerShell\Operational do kanálu protokolu událostí. Doporučený stav pro toto nastavení je: Enabled. Poznámka: Pokud je protokolování událostí spuštění/zastavení bloku skriptu povolené (zaškrtnuto políčko s možností), PowerShell zaznamená další události při vyvolání příkazu, bloku skriptu, funkce nebo spuštění nebo zastavení skriptu. Povolením této možnosti se vygeneruje velký objem protokolů událostí. CIS záměrně nevyvolila doporučení pro tuto možnost, protože generuje velký objem událostí. Pokud se organizace rozhodne povolit volitelné (zaškrtnuté) nastavení, odpovídá také srovnávacímu testu.
Cesta ke klíči: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging
Operační systém: WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény, člen pracovní skupiny
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Windows PowerShell\Zapnutí protokolování bloku skriptu PowerShellu
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 18.9.100.1
        CIS WS2019 18.9.100.1
= 1
(Registr)
Důležité

Nastavení Windows – Nastavení zabezpečení

Název
(ID)
Detaily Očekávaná hodnota
(Typ)
Závažnost
Upravit kvóty paměti pro proces
(CCE-10849-8)
Popis: Toto nastavení zásad umožňuje uživateli upravit maximální velikost paměti, která je k dispozici pro proces. Schopnost upravit kvóty paměti je užitečná pro ladění systému, ale může být zneužita. V nesprávných rukou by se dal použít ke spuštění útoku doS (DoS). Doporučený stav pro toto nastavení je: Administrators, LOCAL SERVICE, NETWORK SERVICE. Poznámka: Členský server, který obsahuje roli webového serveru (IIS) se službou rolí webového serveru , bude vyžadovat zvláštní výjimku tohoto doporučení, aby bylo povoleno udělení tohoto uživatelského práva fondu aplikací služby IIS. Poznámka č. 2: Členský server s nainstalovaným Microsoft SQL Serverem bude vyžadovat zvláštní výjimku tohoto doporučení pro udělení tohoto uživatelského práva dalším položkám vygenerovaným systémem SQL.
Cesta ke klíči: [Práva oprávnění]SeIncreaseQuotaPrivilege
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serveru: Řadič domény, člen domény
Cesta k zásadám skupiny: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv\Úprava kvót paměti pro proces
Standardní mapování dodržování předpisů:
        ID názvovéplatformy
        CIS WS2022 2.2.6
        CIS WS2019 2.2.6
<= Administrators, Local Service, Network Service
(Zásady)
Upozorňující

Poznámka:

Dostupnost konkrétních nastavení konfigurace hosta služby Azure Policy se může lišit v Azure Government a dalších národních cloudech.

Další kroky

Další články o službě Azure Policy a konfiguraci hosta: