Freigeben über


Windows-Sicherheitsbaseline

In diesem Artikel werden die jeweils anwendbaren Konfigurationseinstellungen für Windows-Gäste in den folgenden Implementierungen beschrieben:

  • [Vorschau]: Windows-Computer müssen die Anforderungen für die Azure Compute-Sicherheitsbaseline erfüllen (Azure Policy-Gastkonfigurationsdefinition)
  • Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Computern müssen entschärft werden in Azure Security Center

Weitere Informationen finden Sie unter Azure Automanage-Computerkonfiguration.

Wichtig

Azure Policy-Gastkonfiguration gilt nur für Windows Server-SKU und Azure Stack-SKU. Sie gilt nicht für endbenutzergestützte Berechnungen wie Windows 10- und Windows 11-SKUs.

Kontorichtlinien – Kennwortrichtlinie

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Kontosperrungsdauer
(AZ-WIN-73312)
Beschreibung: Über diese Richtlinieneinstellung wird die Zeit bestimmt, die vergehen muss, bevor die Sperrung eines gesperrten Kontos aufgehoben wird und ein Benutzer versuchen kann, sich erneut anzumelden. Zu diesem Zweck wird in der Einstellung angegeben, wie viele Minuten ein gesperrtes Konto nicht verfügbar ist. Wenn der Wert für diese Richtlinieneinstellung auf 0 konfiguriert ist, bleiben gesperrte Konten gesperrt, bis ein Administrator sie manuell entsperrt. Obwohl es möglicherweise eine gute Idee ist, den Wert für diese Richtlinieneinstellung auf einen hohen Wert zu konfigurieren, führt eine solche Konfiguration wahrscheinlich zu mehr Anrufen beim Helpdesk, der dann versehentlich gesperrte Konten entsperren muss. Benutzer sollten sich der Dauer bewusst sein, während der eine Sperre gilt, damit sie wissen, dass sie den Helpdesk nur anrufen müssen, wenn sie äußerst dringend wieder auf ihren Computer zugreifen müssen. Der empfohlene Status für diese Einstellung ist 15 or more minute(s). Hinweis: Kennwortrichtlinieneinstellungen (Abschnitt 1.1) und Kontosperrrichtlinieneinstellungen (Abschnitt 1.2) müssen über das GPO der Standarddomänenrichtlinie angewendet werden, um global als Standardverhalten für Domänenbenutzerkonten zu gelten. Wenn diese Einstellungen in einem anderen Gruppenrichtlinienobjekt konfiguriert sind, wirken sie sich nur auf lokale Benutzerkonten auf den Computern aus, auf denen das Gruppenrichtlinienobjekt empfangen wird. Benutzerdefinierte Ausnahmen für Regeln im Zusammenhang mit der Standardkennwortrichtlinie und der Kontosperrrichtlinie für bestimmte Domänenbenutzer und/oder Gruppen können jedoch mithilfe von Kennworteinstellungsobjekten (Password Settings Objects, PSOs) definiert werden. Diese sind vollständig separat von der Gruppenrichtlinie und werden am einfachsten über das Active Directory-Verwaltungscenter konfiguriert.
Schlüsselpfad: [System Access]LockoutDuration
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Richtlinie für Kontosperrung\Dauer der Kontosperrung
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 1.2.1
        CIS WS2019 1.2.1
>= 15
(Richtlinie)
Warnung

Administrative Vorlage – Windows Defender

name
(ID)
Details Erwarteter Wert
(Typ)
severity
Erkennung potenziell unerwünschter Anwendungen konfigurieren
(AZ-WIN-202219)
Beschreibung: Mit dieser Richtlinieneinstellung werden die Erkennung und Maßnahmen für potenziell unerwünschte Anwendungen (Potentially Unwanted Applications, PUA) gesteuert, bei denen es sich um unerwünschte, irreführende Anwendungsbundles oder ihre gebündelten Anwendungen handelt, die Adware oder Schadsoftware beinhalten können. Der empfohlene Status für diese Einstellung ist Enabled: Block. Weitere Informationen finden Sie unter dem folgenden Link: Blockieren potenziell unerwünschter Anwendungen mit Microsoft Defender Antivirus | Microsoft-Dokumentation
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Erkennung für potenziell unerwünschte Anwendungen konfigurieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.47.15
        CIS WS2019 18.9.47.15
= 1
(Registrierung)
Kritisch
Alle heruntergeladenen Dateien und Anlagen überprüfen
(AZ-WIN-202221)
Beschreibung: Mithilfe dieser Richtlinieneinstellung wird die Überprüfung aller heruntergeladenen Dateien und Anhänge konfiguriert. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows Components\Microsoft Defender Antivirus\Echtzeitschutz\Alle heruntergeladenen Dateien und Anlagen überprüfen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.47.9.1
        CIS WS2019 18.9.47.9.1
= 0
(Registrierung)
Warnung
Microsoft Defender Antivirus deaktivieren
(AZ-WIN-202220)
Beschreibung: Mit dieser Richtlinieneinstellung wird Microsoft Defender Antivirus deaktiviert. Wenn die Einstellung auf „Deaktiviert“ gesetzt ist, wird Microsoft Defender Antivirus ausgeführt, und Computer werden auf Schadsoftware und andere potenziell unerwünschte Software gescannt. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows Components\Microsoft Defender Antivirus\Deaktivieren Microsoft Defender AntiVirus
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.47.16
        CIS WS2019 18.9.47.16
= 0
(Registrierung)
Kritisch
Echtzeitschutz deaktivieren
(AZ-WIN-202222)
Beschreibung: Mit dieser Richtlinieneinstellung werden Echtzeitschutzaufforderungen für die Erkennung bekannter Schadsoftware konfiguriert. Sie werden von Microsoft Defender Antivirus benachrichtigt, wenn versucht wird, Schadsoftware und potenziell unerwünschte Software auf dem Computer zu installieren oder auszuführen. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows Components\Microsoft Defender Antivirus\Echtzeitschutz\Echtzeitschutz deaktivieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.47.9.2
        CIS WS2019 18.9.47.9.2
= 0
(Registrierung)
Warnung
E-Mail-Überprüfung aktivieren
(AZ-WIN-202218)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie die Überprüfung von E-Mails konfigurieren. Wenn die Überprüfung von E-Mail aktiviert ist, analysiert die Engine das Postfach und die E-Mail-Dateien entsprechend ihrem spezifischen Format, um die E-Mail-Nachrichtentexte und die Anlagen zu analysieren. Mehrere E-Mail-Formate werden zurzeit unterstützt, zum Beispiel pst (Outlook), dbx, mbx, mime (Outlook Express) und BinHex (Mac). Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows Components\Microsoft Defender Antivirus\Überprüfung\E-Mail-Überprüfung aktivieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.47.12.2
        CIS WS2019 18.9.47.12.2
= 0
(Registrierung)
Warnung
Skriptüberprüfung aktivieren
(AZ-WIN-202223)
Beschreibung: Mit dieser Richtlinieneinstellung kann die Skriptüberprüfung aktiviert/deaktiviert werden. Bei der Skriptüberprüfung werden Skripts abgefangen und überprüft, bevor sie auf dem System ausgeführt werden. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows Components\Microsoft Defender Antivirus\Echtzeitschutz\Skriptüberprüfung aktivieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.47.9.4
        CIS WS2019 18.9.47.9.4
= 0
(Registrierung)
Warnung

Administrative Vorlagen – Systemsteuerung

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Eingabepersonalisierung ermöglichen
(AZ-WIN-00168)
Beschreibung: Diese Richtlinie aktiviert die automatische Lernkomponente der Eingabepersonalisierung, die Spracheingaben, Freihandeingaben und Schreibeingaben einschließt. Das automatische Lernen ermöglicht das Sammeln von Sprach- und Handschriftmustern, Eingabeverlauf, Kontakten und aktuellen Kalenderinformationen. Dies ist für die Verwendung von Cortana erforderlich. Einige dieser gesammelten Freihandeingabe- und Schreibeingabeinformationen werden möglicherweise in der OneDrive-Instanz des Benutzers gespeichert; einige der Informationen werden zu Microsoft hochgeladen, um die Sprache zu personalisieren. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabledfest: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Systemsteuerung\Regionale und Sprachoptionen\Benutzern das Aktivieren von Online-Spracherkennungsdiensten gestatten Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise standardmäßig nicht vorhanden. Er wird von der Gruppenrichtlinienvorlage Globalization.admx/adml bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 10 RTM (Release 1507) (oder höher) enthalten ist. Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung anfangs mit dem Namen "Eingabeanpassung zulassen" benannt, wurde jedoch umbenannt, um Benutzern die Aktivierung von Online-Spracherkennungsdiensten zu ermöglichen, beginnend mit den administrativen Vorlagen für Windows 10 R1809 & Server 2019.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.1.2.2
= 0
(Registrierung)
Warnung

Administrative Vorlagen – MS-Sicherheitshandbuch

name
(ID)
Details Erwarteter Wert
(Typ)
severity
SMB v1-Client deaktivieren (Abhängigkeit von LanmanWorkstation entfernen)
(AZ-WIN-00122)
Beschreibung: SMBv1 ist ein Legacyprotokoll, das den MD5-Algorithmus als Teil von SMB verwendet. MD5 ist bekanntermaßen anfällig für eine Reihe von Angriffen, z. B. Kollisions- und Preimageangriffe, und ist außerdem nicht FIPS-konform.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService
OS: WS2008, WS2008R2, WS2012
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Administrative Vorlagen\MS-Sicherheitshandbuch\SMBv1-Clienttreiber konfigurieren
Konformitätsstandardzuordnungen:
Nicht vorhanden oder = Bowser\0MRxSmb20\0NSI\0\0\0
(Registrierung)
Kritisch
WDigest-Authentifizierung
(AZ-WIN-73497)
Beschreibung: Wenn die WDigest-Authentifizierung aktiviert ist, speichert Lsass.exe eine Kopie des Klartextkennworts des Benutzers im Arbeitsspeicher. Hier kann es gestohlen werden. Wenn diese Einstellung nicht konfiguriert ist, ist die WDigest-Authentifizierung in Windows 8.1 und in Windows Server 2012 R2 deaktiviert. Sie ist standardmäßig in früheren Versionen von Windows und Windows Server aktiviert. Weitere Informationen zum Diebstahl lokaler Konten und Anmeldeinformationen erhalten Sie in den Dokumenten Abschwächen von Pass-the-Hash-Angriffen (PtH) und anderen Techniken zum Diebstahl von Anmeldeinformationen. Weitere Informationen über UseLogonCredential finden Sie im Microsoft Knowledge Base-Artikel 2871997: Update der Microsoft-Sicherheitsempfehlung zum Verbessern des Schutzes und der Verwaltung von Anmeldeinformationen vom 13. Mai 2014. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential
OS: WS2016, WS2019
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MS-Sicherheitshandbuch\WDigest-Authentifizierung (für die Deaktivierung ist möglicherweise KB2871997 erforderlich)
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.3.7
        CIS WS2019 18.3.7
= 0
(Registrierung)
Wichtig

Administrative Vorlagen – MSS

name
(ID)
Details Erwarteter Wert
(Typ)
severity
MSS: (DisableIPSourceRouting IPv6) IP-Quellrouting-Schutzebene (schützt vor Paketspoofing)
(AZ-WIN-202213)
Beschreibung: Das IP-Quellrouting ist ein Mechanismus, mit dem der Absender die IP-Route bestimmen kann, der ein Datagramm über das Netzwerk folgen sollte. Der empfohlene Status für diese Einstellung ist Enabled: Highest protection, source routing is completely disabled.
Schlüsselpfad: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MSS (Legacy)\MSS: (DisableIPSourceRouting IPv6) IP-Quellrouting-Schutzebene (Schutz vor Paketspoofing)
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.4.2
        CIS WS2019 18.4.2
= 2
(Registrierung)
Informational
MSS: (DisableIPSourceRouting) IP-Quellrouting-Schutzebene (schützt vor Paketspoofing)
(AZ-WIN-202244)
Beschreibung: Das IP-Quellrouting ist ein Mechanismus, mit dem der Absender die IP-Route bestimmen kann, die ein Datagramm über das Netzwerk verwenden sollte. Es wird empfohlen, diese Einstellung für Unternehmensumgebungen auf „Nicht definiert“ und für Hochsicherheitsumgebungen auf „Höchster Schutz“ zu konfigurieren, um das Quellrouting vollständig zu deaktivieren. Der empfohlene Status für diese Einstellung ist Enabled: Highest protection, source routing is completely disabled.
Schlüsselpfad: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MSS (Legacy)\MSS: (DisableIPSourceRouting) IP-Quellrouting-Schutzebene (Schutz vor Paketspoofing)
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.4.3
        CIS WS2019 18.4.3
= 2
(Registrierung)
Informational
MSS: (NoNameReleaseOnDemand) Zulassen, dass der Computer NetBIOS-Namensfreigabeanforderungen (außer von WINS-Servern) ignoriert
(AZ-WIN-202214)
Beschreibung: NetBIOS over TCP/IP ist ein Netzwerkprotokoll, das unter anderem eine Möglichkeit bietet, NetBIOS-Namen, die auf Windows-basierten Systemen registriert sind, in die IP-Adressen aufzulösen, die auf diesen Systemen konfiguriert sind. Diese Einstellung bestimmt, ob der Computer seinen NetBIOS-Namen veröffentlicht, wenn er eine Name-Release-Anforderung erhält. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MSS (Legacy)\MSS: (NoNameReleaseOnDemand) Zulassen, dass der Computer NetBIOS-Namensfreigabeanforderungen außer von WINS-Servern ignorieren kann
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.4.6
        CIS WS2019 18.4.6
= 1
(Registrierung)
Informational
MSS: (SafeDllSearchMode) Safe DLL-Suchmodus aktivieren (empfohlen)
(AZ-WIN-202215)
Beschreibung: Die DLL-Suchreihenfolge kann auf zwei Arten für die Suche nach DLLs konfiguriert werden, die durch laufende Prozessen angefordert werden: - Zuerst Ordner durchsuchen, die im Systempfad angegeben sind, und dann den aktuellen Arbeitsordner durchsuchen. - Zuerst den aktuellen Arbeitsordner durchsuchen und dann die Ordner durchsuchen, die im Systempfad angegeben sind. Bei Aktivierung wird der Registrierungswert auf 1 festgelegt. Bei einer Einstellung auf 1 durchsucht das System zuerst die Ordner, die im Systempfad angegeben sind, und dann den aktuellen Arbeitsordner. Bei Deaktivierung wird der Registrierungswert auf 0 festgelegt und das System durchsucht zuerst den aktuellen Arbeitsordner und dann die Ordner, die im Systempfad angegeben sind. Anwendungen werden gezwungen, zuerst nach DLLs im Systempfad zu suchen. Bei Anwendungen, die eindeutige Versionen dieser in der Anwendung enthaltenen DLLs erfordern, kann dieser Eintrag zu Leistungs- oder Stabilitätsproblemen führen. Der empfohlene Status für diese Einstellung ist Enabled. Hinweis: Weitere Informationen dazu, wie der Modus für die sichere DLL-Suche funktioniert, finden Sie unter diesem Link: Suchreihenfolge der Dynamic Link Library – Windows-Anwendungen | Microsoft-Dokumentation
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MSS (Legacy)\MSS: (SafeDllSearchMode) Suchmodus für sichere DLL aktivieren (empfohlen)
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.4.8
        CIS WS2019 18.4.8
= 1
(Registrierung)
Warnung
MSS: (WarningLevel) Schwellenwert für Prozentsatz für das Sicherheitsereignisprotokoll, bei dem das System eine Warnung generiert
(AZ-WIN-202212)
Beschreibung: Über diese Einstellung kann eine Sicherheitsüberwachung im Sicherheitsereignisprotokoll generiert werden, wenn das Protokoll einen benutzerdefinierten Schwellenwert erreicht. Der empfohlene Status für diese Einstellung ist Enabled: 90% or less. Hinweis: Wenn Protokolleinstellungen so konfiguriert sind, dass Ereignisse nach Bedarf oder in Fällen, in denen sie älter als x Tage sind, überschrieben werden, wird dieses Ereignis nicht generiert.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MSS (Legacy)\MSS: (WarningLevel) Prozentualer Schwellenwert für das sicherheitsrelevante Ereignis, bei dem das System einen Warnhinweis generiert
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.4.12
        CIS WS2019 18.4.12
<= 90
(Registrierung)
Informational
Windows Server muss so konfiguriert werden, dass ICMP-Umleitungen (Internet Control Message Protocol) die von OSPF (Open Shortest Path First) generierten Routen nicht überschreiben können.
(AZ-WIN-73503)
Beschreibung: ICMP-Umleitungen (Internet Control Message Protocol) führen dazu, dass der IPv4-Stapel Hostrouten verbindet. Diese Routen überschreiben die generierten Routen für Open Shortest Path First (OSPF). Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MSS (Legacy)\MSS: (EnableICMPRedirect) Zulassen, dass ICMP-Umleitungen von OSPF generierte Routen außer Kraft setzen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.4.4
        CIS WS2019 18.4.4
= 0
(Registrierung)
Informational

Administrative Vorlagen – Netzwerk

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Unsichere Gastanmeldungen aktivieren
(AZ-WIN-00171)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob der SMB-Client unsichere Gastanmeldungen bei einem SMB-Server zulässt. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth
OS: WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen
Netzwerk\Lanman Workstation\Unsichere Gastanmeldungen aktivieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Er wird von der Gruppenrichtlinienvorlage „LanmanWorkstation.admx/adml“ bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 10 Release 1511 (oder höher) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93239
        STIG WS2016 V-73507
        CIS WS2019 18.5.8.1
        CIS WS2022 18.5.8.1
= 0
(Registrierung)
Kritisch
Gehärtete UNC-Pfade – NETLOGON
(AZ_WIN_202250)
Beschreibung: Über diese Richtlinieneinstellung wird der sichere Zugriff auf UNC-Pfade konfiguriert.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\NETLOGON
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Administrative Vorlagen\Network\Network Provider\Gehärtete UNC-Pfade
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Registrierung)
Warnung
Gehärtete UNC-Pfade – SYSVOL
(AZ_WIN_202251)
Beschreibung: Über diese Richtlinieneinstellung wird der sichere Zugriff auf UNC-Pfade konfiguriert.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\SYSVOL
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Administrative Vorlagen\Network\Network Provider\Gehärtete UNC-Pfade
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Registrierung)
Warnung
Anzahl gleichzeitiger Verbindungen mit dem Internet oder einer Windows-Domäne minimieren
(CCE-38338-0)
Beschreibung: Diese Richtlinieneinstellung hindert Computer daran, gleichzeitig eine domänenbasierte Netzwerkverbindung und eine nicht domänenbasierte Netzwerkverbindung herzustellen. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled: 3 = Prevent Wi-Fi when on Ethernet fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen
Netzwerk\Windows Verbindungs-Manager\Anzahl gleichzeitiger Verbindungen mit dem Internet oder einer Windows-Domäne minimieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "WCM.admx/adml" bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 8.0 & Server 2012 (nicht R2) enthalten ist. Es wurde mit einer neuen Untereinstellung Richtlinienoptionen minimieren aktualisiert, die mit Administrativen Vorlagen von Windows 10 Release 1903 beginnt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.5.21.1
Nicht vorhanden oder 1
(Registrierung)
Warnung
Installation und Konfiguration der Netzwerkbrücke in Ihrem DNS-Domänennetzwerk nicht zulassen
(CCE-38002-2)
Beschreibung: Sie können mit diesem Verfahren die Fähigkeit des Benutzers steuern, eine Netzwerkbrücke zu installieren und zu konfigurieren. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Installation und Konfiguration der Netzwerkbrücke auf Ihrem DNS-Domänennetzwerk von Network Bridge verhindern
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage NetworkConnections.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.5.11.2
        CIS WS2022 18.5.11.2
= 0
(Registrierung)
Warnung
Verwendung der Freigabe von Internetverbindungen in Ihrem DNS-Domänennetzwerk nicht zulassen
(AZ-WIN-00172)
Beschreibung: Obwohl diese „Legacy“-Einstellung traditionell auf die Verwendung von Internet Connection Sharing (ICS) in Windows 2000, Windows XP und Server 2003 angewendet wurde, gilt diese Einstellung jetzt auch für das Feature „Mobile Hotspot“ in Windows 10 und Server 2016. Der empfohlene Status für diese Einstellung ist Enabled.
Key Path: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen
Netzwerk
Netzwerkverbindungen\Verwendung der Gemeinsamen Nutzung der Internetverbindung auf Ihrem DNS-Domänennetzwerk verhindern
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „NetworkConnections.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.5.11.3
= 0
(Registrierung)
Warnung
Multicastnamensauflösung deaktivieren
(AZ-WIN-00145)
Beschreibung: LLMNR ist ein sekundäres Namensauflösungsprotokoll. Mit LLMNR werden Abfragen mithilfe von Multicast über eine lokale Netzwerkverbindung in einem einzelnen Subnetz von einem Clientcomputer zu einem anderen Clientcomputer in demselben Subnetz gesendet, in dem auch LLMNR aktiviert ist. LLMNR erfordert keine DNS-Server- oder DNS-Clientkonfiguration und bietet Namensauflösung in Szenarien, in denen die konventionelle DNS-Namensauflösung nicht möglich ist. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast
OS: WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen
Netzwerk\DNS-Client\Multicastnamenauflösung deaktivieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "DnsClient.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.5.4.2
= 0
(Registrierung)
Warnung

Administrative Vorlagen – Sicherheitshandbuch

name
(ID)
Details Erwarteter Wert
(Typ)
severity
SEHOP (Schutz vor Überschreiben der strukturierten Ausnahmebehandlung) aktivieren
(AZ-WIN-202210)
Beschreibung: Windows enthält Unterstützung für SEHOP (Structured Exception Handling Overwrite Protection, Schutz vor Überschreiben der strukturierten Ausnahmebehandlung). Es wird empfohlen, dieses Feature zu aktivieren, um das Sicherheitsprofil des Computers zu verbessern. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MS-Sicherheitsleitfaden\Schutz vor Überschreiben der strukturierten Ausnahmebehandlung (SEHOP) aktivieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.3.4
        CIS WS2019 18.3.4
= 0
(Registrierung)
Kritisch
NetBT NodeType-Konfiguration
(AZ-WIN-202211)
Beschreibung: Diese Einstellung bestimmt, welche Methode NetBIOS over TCP/IP (NetBT) zum Registrieren und Auflösen von Namen verwendet. Folgende Methoden sind verfügbar: - Die B-Knoten-Methode (Broadcast) verwendet nur Übertragungen. - Die P-Knoten-Methode (Point-to-Point) verwendet nur Namensabfragen an einen Namensserver (WINS). - Bei der M-Knoten-Methode (Mixed) erfolgt zuerst die Übertragung. Anschließend wird ein Namensserver (WINS) abgefragt, wenn die Übertragung fehlgeschlagen ist. - Die H-Knoten-Methode (Hybrid) fragt zuerst einen Namensserver (WINS) ab. Wenn die Abfrage fehlgeschlagen ist, erfolgt dann die Übertragung. Der empfohlene Status für diese Einstellung lautet: Enabled: P-node (recommended) (Point-to-Point). Hinweis: Die Auflösung durch LMHOSTS oder DNS folgt diesen Methoden. Wenn der Registrierungswert NodeType vorhanden ist, werden DhcpNodeType-Registrierungswerte außer Kraft gesetzt. Ist weder NodeType noch DhcpNodeType vorhanden, verwendet der Computer die B-Knoten-Methode (Broadcast), wenn keine WINS-Server für das Netzwerk konfiguriert sind, oder die H-Knoten-Methode (Hybrid), wenn mindestens ein WINS-Server konfiguriert ist.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MS-Sicherheitsleitfaden\NetBT NodeType-Konfiguration
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.3.6
        CIS WS2019 18.3.6
= 2
(Registrierung)
Warnung

Administrative Vorlagen – System

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Benutzer für die Anzeige von Kontodetails beim Anmelden sperren
(AZ-WIN-00138)
Beschreibung: Diese Richtlinie verhindert, dass der Benutzer auf dem Anmeldebildschirm Kontodetails (E-Mail-Adresse oder Benutzername) anzeigt. Wenn Sie diese Richtlinieneinstellung aktivieren, kann der Benutzer die Kontodetails nicht auf dem Anmeldebildschirm anzeigen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann der Benutzer Kontodetails auf dem Anmeldebildschirm anzeigen.
Schlüsselpfad: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Anmeldung\Benutzer hindern, bei Anmeldung Kontodaten anzuzeigen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "Logon.admx/adml" bereitgestellt, die in microsoft Windows 10 Release 1607 & Server 2016 Administrative Vorlagen (oder höher) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.28.1
= 1
(Registrierung)
Warnung
Richtlinie für Bootstarttreiber-Initialisierung
(CCE-37912-3)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie angeben, welche Bootstarttreiber initialisiert werden. Dies geschieht basierend auf einer durch den Bootstarttreiber für den Antischadsoftware-Frühstart festgelegten Klassifizierung. Der Bootstarttreiber für den Antischadsoftware-Frühstart kann für jeden Bootstarttreiber die folgenden Klassifizierungen zurückgeben: „Gut“: Der Treiber wurde signiert und nicht manipuliert. „Schlecht“: Der Treiber wurde als Schadsoftware identifiziert. Es wird empfohlen, die Initialisierung von bekannten schlechten Treibern nicht zuzulassen. „Schlecht, doch für den Bootvorgang erforderlich“: Der Treiber wurde als Schadsoftware identifiziert, doch der Computer kann nicht erfolgreich gestartet werden, ohne diesen Treiber zu laden. „Unbekannt“: Dieser Treiber wurde von Ihrer Anwendung zur Erkennung von Schadsoftware nicht bestätigt und vom Bootstarttreiber für den Antischadsoftware-Frühstart nicht klassifiziert. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie auswählen, welche Bootstarttreiber beim nächsten Start des Computers initialisiert werden sollen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die guten, unbekannten oder schlechten, aber für den Bootvorgang erforderlichen Bootstarttreiber initialisiert. Die Initialisierung von schlechten Treibern wird übersprungen. Falls Ihre Anwendung für die Erkennung von Schadsoftware keinen Bootstarttreiber für den Antischadsoftware-Frühstart enthält oder dieser Treiber deaktiviert wurde, ist diese Richtlinieneinstellung wirkungslos, und alle Bootstarttreiber werden initialisiert.
Schlüsselpfad: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden Benutzeroberflächenpfad auf Enabled: Good, unknown and bad but critical:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Frühstart-Antischadsoftware\Starttreiberinitialisierungsrichtlinie
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "EarlyLaunchAM.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.14.1
Nicht vorhanden oder 3
(Registrierung)
Warnung
Konfigurieren von „Remoteunterstützung anbieten“
(CCE-36388-7)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie die Einstellung „(Unerwünschte) Remoteunterstützung anbieten“ auf diesem Computer aktivieren bzw. deaktivieren. Helpdeskmitarbeiter und Supportmitarbeiter können Unterstützung nicht proaktiv anbieten, obwohl sie weiterhin auf Unterstützungsanforderungen von Benutzern reagieren können. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Remote Assist\„Remoteunterstützung anbieten“ konfigurieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage RemoteAssistance.admx/adml bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.36.1
        CIS WS2022 18.8.36.1
Nicht vorhanden oder 0
(Registrierung)
Warnung
Angeforderte Remoteunterstützung konfigurieren
(CCE-37281-3)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie die Einstellung „Angeforderte Remoteunterstützung“ auf diesem Computer aktivieren bzw. deaktivieren. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Remote Assist\Angeforderte Remoteunterstützung konfigurieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage RemoteAssistance.admx/adml bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.36.2
        CIS WS2022 18.8.36.2
= 0
(Registrierung)
Kritisch
Benutzeroberfläche zur Netzwerkauswahl nicht anzeigen
(CCE-38353-9)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie steuern, ob jemand mit der verfügbaren Netzwerkbenutzeroberfläche auf dem Anmeldebildschirm interagieren kann. Wenn Sie diese Richtlinieneinstellung aktivieren, kann der Netzwerkverbindungsstatus des PCs nicht geändert werden, ohne sich bei Windows anzumelden. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann jeder Benutzer den PC vom Netzwerk trennen oder den PC mit anderen verfügbaren Netzwerken verbinden, ohne sich bei Windows anzumelden.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Anmeldung\Netzwerkauswahl-Benutzeroberfläche nicht anzeigen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "Logon.admx/adml" bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 8.1 & Server 2012 R2 enthalten ist (oder höher).
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.28.2
= 1
(Registrierung)
Warnung
Verbundene Benutzer auf Computern, die der Domäne angehören, nicht auflisten
(AZ-WIN-202216)
Beschreibung: Mit dieser Richtlinieneinstellung wird verhindert, dass verbundene Benutzer auf in Domänen eingebundenen Computern aufgezählt werden. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Logon\Keine Aufzählung verbundener Benutzer auf Computern, die in die Domäne eingebunden sind
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.8.28.3
        CIS WS2019 18.8.28.3
= 1
(Registrierung)
Warnung
Clientauthentifizierung für RPC-Endpunktzuordnung aktivieren
(CCE-37346-4)
Beschreibung: Mit dieser Richtlinieneinstellung wird gesteuert, ob RPC-Clients sich beim Endpunktzuordnungs-Dienst authentifizieren, wenn der Aufruf, den sie durchführen, Authentifizierungsinformationen enthält. Der Endpunktzuordnungs-Dienst auf Computern, auf denen Windows NT4 (alle Service Packs) ausgeführt wird, kann die auf diese Weise bereitgestellten Authentifizierungsinformationen nicht verarbeiten. Wenn Sie diese Richtlinieneinstellung deaktivieren, authentifizieren die RPC-Clients sich nicht beim Endpunktzuordnungs-Dienst, doch sind sie in der Lage, mit dem Endpunktzuordnungs-Dienst auf dem Windows NT4-Server zu kommunizieren. Wenn Sie diese Richtlinieneinstellung aktivieren, authentifizieren sich die RPC-Clients beim Endpunktzuordnungs-Dienst für Aufrufe, die Authentifizierungsinformationen enthalten. Clients, die solche Aufrufe ausführen, können nicht mit dem Endpunktzuordnungs-Dienst auf dem Windows NT4-Server kommunizieren. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, bleibt sie deaktiviert. RPC-Clients können sich nicht beim Endpunktzuordnungs-Dienst authentifizieren, doch können sie mit dem Endpunktzuordnungs-Dienst auf dem Windows NT4-Server kommunizieren. Anmerkung: Diese Richtlinie wird erst angewendet, wenn das System neu gestartet wird.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Remoteprozeduraufruf\Clientauthentifizierung für RPC-Endpunktzuordnung aktivieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "RPC.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.37.1
= 1
(Registrierung)
Kritisch
Windows-NTP-Client aktivieren
(CCE-37843-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird angegeben, ob der Windows NTP-Client aktiviert ist. Wenn Sie den Windows NTP-Client aktivieren, kann der Computer seine Computeruhr mit anderen NTP-Servern synchronisieren. Möglicherweise möchten Sie diesen Dienst deaktivieren, wenn Sie sich für die Verwendung eines Drittanbieter-Zeitanbieters entscheiden. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Administrative Vorlagen\System\Windows-Zeitdienst\Zeitanbieter\Windows NTP-Client aktivieren
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „W32Time.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.53.1.1
= 1
(Registrierung)
Kritisch
Oracle-Wartung der Verschlüsselung für das CredSSP-Protokoll
(AZ-WIN-201910)
Beschreibung: Einige Versionen des CredSSP-Protokolls, das von einigen Anwendungen (z. B. Remotedesktopverbindung) verwendet wird, sind anfällig für einen Oracle-Verschlüsselungsangriff auf den Client. Mit dieser Richtlinie wird die Kompatibilität mit anfälligen Clients und Servern gesteuert. Außerdem können Sie den für das Oracle-Verschlüsselungssicherheitsrisiko gewünschten Schutzgrad festlegen. Der empfohlene Status für diese Einstellung ist Enabled: Force Updated Clients.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle
OS: WS2016, WS2019
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Delegierung von Anmeldeinformationen\Verschlüsselung der Oracle-Problembehandlung
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.8.4.1
        CIS WS2019 18.8.4.1
= 0
(Registrierung)
Kritisch
Stellen Sie sicher, dass „Registrierungsrichtlinienverarbeitung konfigurieren: Während regelmäßiger Hintergrundverarbeitung nicht übernehmen“ auf „Aktiviert: FALSE“ festgelegt ist.
(CCE-36169-1)
Beschreibung: Die Option „Während regelmäßiger Hintergrundverarbeitung nicht übernehmen“ verhindert, dass das System die betroffenen Richtlinien im Hintergrund aktualisiert, während der Computer in Betrieb ist. Wenn Hintergrundupdates deaktiviert sind, werden Richtlinienänderungen erst bei der nächsten Anmeldung des Benutzers oder beim Neustart des Systems wirksam. Der empfohlene Status für diese Einstellung ist Enabled: FALSE (deaktiviert).
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest und setzen Sie dann die Option Process even if the Group Policy objects have not changed auf TRUE (aktiviert):
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinie\Registrierungsrichtlinienverarbeitung konfigurieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage GroupPolicy.admx/adml bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.21.2
        CIS WS2022 18.8.21.2
= 0
(Registrierung)
Kritisch
Stellen Sie sicher, dass „Registrierungsrichtlinienverarbeitung konfigurieren: Gruppenrichtlinienobjekte auch ohne Änderungen verarbeiten“ auf „Aktiviert: TRUE“ festgelegt ist.
(CCE-36169-1a)
Beschreibung: Durch Verwendung der Option „Gruppenrichtlinienobjekte auch ohne Änderungen verarbeiten“ werden Richtlinien aktualisiert und erneut angewendet, selbst wenn sie sich nicht geändert haben. Der empfohlene Status für diese Einstellung ist Enabled: TRUE (aktiviert).
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabledfest, und legen Sie dann die Option „Prozess, auch wenn sich die Gruppenrichtlinienobjekte nicht geändert haben“ auf „TRUE“ (aktiviert) fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinie\Verarbeiten von Registrierungsrichtlinien konfigurieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "GroupPolicy.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.21.3
= 0
(Registrierung)
Kritisch
Sicherstellen, dass „Funktionen auf diesem Gerät fortsetzen“ auf „Deaktiviert“ festgelegt ist
(AZ-WIN-00170)
Beschreibung: Diese Richtlinieneinstellung bestimmt, ob das Windows-Gerät an geräteübergreifenden Funktionen beteiligt sein darf (Funktionen fortsetzen). Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinie\Benutzererfahrungen auf diesem Gerät fortsetzen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "GroupPolicy.admx/adml" bereitgestellt, die in microsoft Windows 10 Release 1607 & Server 2016 Administrative Vorlagen (oder höher) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.21.4
Nicht vorhanden oder 0
(Registrierung)
Warnung
Lokale Benutzer auf Computern, die der Domäne angehören, auflisten
(AZ_WIN_202204)
Beschreibung: Mit dieser Richtlinieneinstellung können lokale Benutzer auf in Domänen eingebundenen Computern aufgezählt werden. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Logon\Lokale Benutzer auf Computern, die in die Domäne eingebunden sind, aufzählen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.8.28.4
        CIS WS2019 18.8.28.4
Nicht vorhanden oder 0
(Registrierung)
Warnung
Befehlszeile in Prozesserstellungsereignisse einschließen
(CCE-36925-6)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welche Informationen in Sicherheitsüberwachungsereignissen protokolliert werden, wenn ein neuer Prozess erstellt wurde. Diese Einstellung gilt nur, wenn die Richtlinie „Prozesserstellung überwachen“ aktiviert ist. Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Befehlszeileninformationen für jeden Prozess im Rahmen des Ereignisses 4688, „Prozesserstellung überwachen“, auf den Arbeitsstationen und Servern, auf denen diese Richtlinieneinstellung angewendet wird, als Nur-Text im Sicherheitsereignisprotokoll protokolliert. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die Befehlszeileninformationen des Prozesses nicht in „Prozesserstellung überwachen“-Ereignisse eingeschlossen. Standard: Nicht konfiguriert Hinweis: Wenn diese Richtlinieneinstellung aktiviert ist, kann jeder Benutzer mit Lesezugriff für die Sicherheitsereignisse die Befehlszeilenargumente für jeden erfolgreich erstellten Prozess lesen. Befehlszeilenargumente können vertrauliche oder private Informationen (z. B. Kennwörter oder Benutzerdaten) enthalten.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Prozesserstellung überwachen\Befehlszeile in Prozesserstellungsereignisse einbeziehen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage 'AuditSettings.admx/adml' bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 8.1 & Server 2012 R2 enthalten ist (oder höher).
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.3.1
= 1
(Registrierung)
Kritisch
Abrufen von Gerätemetadaten aus dem Internet verhindern
(AZ-WIN-202251)
Beschreibung: Diese Richtlinieneinstellung ermöglicht es Ihnen, Windows davon abzuhalten, Gerätemetadaten aus dem Internet abzurufen. Der empfohlene Status für diese Einstellung ist Enabled. Hinweis: Dies verhindert nicht die Installation grundlegender Hardwaretreiber. Allerdings wird verhindert, dass die zugehörige Hilfsprogrammsoftware von Drittanbietern automatisch im Kontext des SYSTEM-Kontos installiert wird.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Geräteinstallation\Abrufen von Gerätemetadaten aus dem Internet verhindern
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.8.7.2
        CIS WS2019 18.8.7.2
= 1
(Registrierung)
Informational
Remotehost ermöglicht die Delegierung nicht exportierbarer Anmeldeinformationen
(AZ-WIN-20199)
Beschreibung: Der Remotehost ermöglicht die Delegierung nicht exportierbarer Anmeldeinformationen. Bei Verwendung der Delegierung von Anmeldeinformationen stellen Geräte eine exportierbare Version der Anmeldeinformationen für den Remotehost bereit. Dadurch laufen Benutzer Gefahr, dass ihre Anmeldeinformationen von Angreifern auf dem Remotehost gestohlen werden. Die Features „Eingeschränkter Administratormodus“ und „Windows Defender Remote Credential Guard“ sind zwei Optionen, um sich vor diesem Risiko zu schützen. Der empfohlene Status für diese Einstellung ist Enabled. Hinweis: Ausführlichere Informationen zu Windows Defender Remote Credential Guard und einen Vergleich mit dem eingeschränkten Administratormodus finden Sie unter diesem Link: Schützen von Remotedesktop-Anmeldeinformationen mit Windows Defender Remote Credential Guard (Windows 10) | Microsoft-Dokumentation
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds
OS: WS2016, WS2019
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Delegierung von Anmeldeinformationen\Remotehost ermöglicht die Delegierung nicht exportierbarer Anmeldeinformationen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.8.4.2
        CIS WS2019 18.8.4.2
= 1
(Registrierung)
Kritisch
Anwendungsbenachrichtigungen auf gesperrtem Bildschirm deaktivieren
(CCE-35893-7)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie das Anzeigen von App-Benachrichtigungen auf dem Sperrbildschirm verhindern. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Logon\App-Benachrichtigungen auf dem Sperrbildschirm deaktivieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "Logon.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.28.5
= 1
(Registrierung)
Warnung
Hintergrundaktualisierung der Gruppenrichtlinie deaktivieren
(CCE-14437-8)
Beschreibung: Mit dieser Richtlinieneinstellung wird verhindert, dass die Gruppenrichtlinie aktualisiert wird, während der Computer verwendet wird. Diese Richtlinieneinstellung gilt für Gruppenrichtlinien für Computer, Benutzer und Domänencontroller. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinie\Hintergrundaktualisierung der Gruppenrichtlinie deaktivieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.8.21.5
        CIS WS2019 18.8.21.5
= 0
(Registrierung)
Warnung
Download von Druckertreibern über HTTP deaktivieren
(CCE-36625-2)
Beschreibung: Mit dieser Richtlinieneinstellung wird gesteuert, ob der Computer Druckertreiberpakete über HTTP herunterladen kann. Um HTTP-Druck einzurichten, müssen Druckertreiber, die in der Standardinstallation des Betriebssystems nicht verfügbar sind, möglicherweise über HTTP heruntergeladen werden. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Internetkommunikationsverwaltung\Internetkommunikationseinstellungen\Herunterladen von Drucktreibern über HTTP deaktivieren
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „ICM.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.22.1.1
= 1
(Registrierung)
Warnung
Verbindungs-Assistenten deaktivieren, wenn sich die URL-Verbindung auf microsoft.com bezieht
(CCE-37163-3)
Beschreibung: Diese Richtlinieneinstellung gibt an, ob der Assistent für den Internetzugang eine Verbindung zu Microsoft herstellen kann, um eine Liste der Internetdienstanbieter (Internet Service Providers, ISPs) herunterzuladen. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Internetkommunikationsverwaltung\Internetkommunikationseinstellungen\Internetverbindungs-Assistent deaktivieren, wenn die URL-Verbindung auf Microsoft.com verweist
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „ICM.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.22.1.4
= 1
(Registrierung)
Warnung
Komfort-PIN-Anmeldung aktivieren
(CCE-37528-7)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie steuern, ob sich ein Domänenbenutzer mit einer benutzerfreundlichen PIN anmelden kann. In Windows 10 wurde die benutzerfreundliche PIN durch Passport ersetzt, was über strengere Sicherheitseigenschaften verfügt. Um Passport für Domänenbenutzer zu konfigurieren, verwenden Sie die Richtlinien unter „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Passport for Work“. Hinweis: Das Domänenkennwort des Benutzers wird im Systemtresor zwischengespeichert, wenn dieses Feature verwendet wird. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Anmeldung\Benutzer-PIN-Anmeldung aktivieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage CredentialProviders.admx/adml bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.Hinweis 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung zunächst mit dem Namen "PIN-Anmeldung aktivieren" benannt, wurde aber ab Windows 10 Release 1511 administrative Vorlagen umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.8.28.7
        CIS WS2022 18.8.28.7
Nicht vorhanden oder 0
(Registrierung)
Warnung

Administrative Vorlagen – Windows-Komponente

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Statusinhalt des Cloudconsumerkontos deaktivieren
(AZ-WIN-202217)
Beschreibung: Mit dieser Richtlinieneinstellung wird bestimmt, ob der Inhalt des Cloud-Consumer-Kontozustands in allen Windows-Umgebungen zulässig ist. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Inhalt des Cloudconsumerkontos deaktivieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.14.1
        CIS WS2019 18.9.14.1
= 1
(Registrierung)
Warnung

Administrative Vorlagen – Windows-Komponenten

name
(ID)
Details Erwarteter Wert
(Typ)
severity
Laufwerkumleitung nicht zulassen
(AZ-WIN-73569)
Beschreibung: Mit dieser Richtlinieneinstellung wird verhindert, dass Benutzer die lokalen Laufwerke auf ihren Clientcomputern für Remotedesktopserver freigeben, auf die sie zugreifen. Zugeordnete Laufwerke werden in der Sitzungsordnerstruktur im Windows Explorer im folgenden Format angezeigt: \\TSClient\<driveletter>$. Wenn lokale Laufwerke freigegeben werden, sind sie anfällig für Angreifer, die die darauf gespeicherten Daten ausnutzen möchten. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopsitzungshost\Geräte- und Ressourcenumleitung\Laufwerksumleitung nicht zulassen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.65.3.3.3
        CIS WS2019 18.9.65.3.3.2
= 1
(Registrierung)
Warnung
PowerShell-Transkription aktivieren
(AZ-WIN-202208)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie die Eingabe und Ausgabe von Windows PowerShell-Befehlen in textbasierte Transkripts erfassen. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows PowerShell\PowerShell-Transkription aktivieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.100.2
        CIS WS2019 18.9.100.2
= 0
(Registrierung)
Warnung

Administrative Vorlagen – Windows-Sicherheit

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Verhindern, dass Benutzer Einstellungen ändern
(AZ-WIN-202209)
Beschreibung: Diese Richtlinieneinstellung verhindert, dass Benutzer Änderungen an den Exploit-Schutzeinstellungen in den Windows-Sicherheitseinstellungen vornehmen. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Sicherheit\App- und Browserschutz\Benutzer daran hindern, Einstellungen zu ändern
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.105.2.1
        CIS WS2019 18.9.105.2.1
= 1
(Registrierung)
Warnung

Administrative Vorlage – Windows Defender

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Regeln zur Verringerung der Angriffsfläche konfigurieren
(AZ_WIN_202205)
Beschreibung: Diese Richtlinieneinstellung steuert den Status für die Regeln zur „Verringerung der Angriffsfläche“ (Attack Surface Reduction, ASR). Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Verringerung der Angriffsfläche\Regeln zur Verringerung der Angriffsfläche konfigurieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.47.5.1.1
        CIS WS2019 18.9.47.5.1.1
= 1
(Registrierung)
Warnung
Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen
(AZ_WIN_202207)
Beschreibung: Diese Richtlinieneinstellung steuert den Microsoft Defender Exploit Guard-Netzwerkschutz. Der empfohlene Status für diese Einstellung ist Enabled: Block.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Netzwerkschutz\Zugriff von Benutzern und Apps auf gefährliche Websites verhindern
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.47.5.3.1
        CIS WS2019 18.9.47.5.3.1
= 1
(Registrierung)
Warnung

Computerkontoverwaltung überwachen

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Computerkontoverwaltung überwachen
(CCE-38004-8)
Beschreibung: Diese Unterkategorie meldet jedes Ereignis der Computerkontenverwaltung, z. B. wenn ein Computerkonto erstellt, geändert, gelöscht, umbenannt, deaktiviert oder aktiviert wird. Zu den Ereignissen für diese Unterkategorie gehören: – 4741: Ein Computerkonto wurde erstellt. – 4742: Ein Computerkonto wurde geändert. – 4743: Ein Computerkonto wurde gelöscht. Der empfohlene Status für diese Einstellung ist Success.
Schlüsselpfad: {0CCE9236-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Kontoverwaltung\Computerkontoverwaltung überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.2.2
        CIS WS2019 17.2.2
= Erfolg
(Überwachung)
Kritisch

Gesicherter Kern

name
(ID)
Details Erwarteter Wert
(Typ)
severity
Start-DMA-Schutz aktivieren
(AZ-WIN-202250)
Beschreibung: Secured-Core-fähige Server unterstützen Systemfirmware, die Schutz vor böswilligen und unbeabsichtigten DMA-Angriffen (Direct Memory Access, direkter Speicherzugriff) für alle DMA-fähigen Geräte während des Startvorgangs bietet.
Schlüsselpfad: BootDMAProtection
OSEx: WSASHCI22H2
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: NA
Konformitätsstandardzuordnungen:
= 1
(OsConfig)
Kritisch
Erzwungene Codeintegrität des Hypervisors aktivieren
(AZ-WIN-202246)
Beschreibung: HVCI und VBS verbessern das Bedrohungsmodell von Windows und bieten einen stärkeren Schutz vor Schadsoftware, die versucht, den Windows-Kernel zu kompromittieren. HVCI ist eine essenzielle Komponente, die die isolierte virtuelle Umgebung, die von VBS erstellt wurde, schützt und härtet. Zu diesem Zweck wird die Kernelmodus-Codeintegrität darin ausgeführt und Kernelspeicherzuweisungen, die zum Kompromittieren des Systems verwendet werden können, werden einschränkt.
Schlüsselpfad: HypervisorEnforcedCodeIntegrityStatus
OSEx: WSASHCI22H2
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: NA
Konformitätsstandardzuordnungen:
= 0
(OsConfig)
Kritisch
Sicheren Start aktivieren
(AZ-WIN-202248)
Beschreibung: Sicherer Start ist ein Sicherheitsstandard, der von der PC-Branche entwickelt wurde, um sicherzustellen, dass ein Gerät nur mit Software startet, die der OEM (Original Equipment Manufacturer) als vertrauenswürdig eingestuft hat.
Schlüsselpfad: SecureBootState
OSEx: WSASHCI22H2
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: NA
Konformitätsstandardzuordnungen:
= 1
(OsConfig)
Kritisch
Systemschutz aktivieren
(AZ-WIN-202247)
Beschreibung: Der Systemschutz verwendet die Prozessorunterstützung für die DRTM-Technologie (Dynamic Root of Trust of Measurement) und legt Firmware in einer hardwarebasierten Sandbox ab. Dadurch werden die Auswirkungen von Sicherheitsrisiken in Millionen von Zeilen mit hoch privilegiertem Firmwarecode begrenzt.
Schlüsselpfad: SystemGuardStatus
OSEx: WSASHCI22H2
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: NA
Konformitätsstandardzuordnungen:
= 0
(OsConfig)
Kritisch
Virtualisierungsbasierte Sicherheit aktivieren
(AZ-WIN-202245)
Beschreibung: Virtualisierungsbasierte Sicherheit (VBS) verwendet Hardware-Virtualisierungsfunktionen, um einen sicheren Speicherbereich zu erstellen, der vom normalen Betriebssystem isoliert ist. Dadurch wird sichergestellt, dass Server weiterhin kritische Workloads ausführen und verknüpfte Anwendungen und Daten vor Angriffen und Exfiltration geschützt werden. VBS ist standardmäßig in Azure Stack HCI aktiviert und gesperrt.
Schlüsselpfad: VirtualizationBasedSecurityStatus
OSEx: WSASHCI22H2
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: NA
Konformitätsstandardzuordnungen:
= 0
(OsConfig)
Kritisch
TPM-Version festlegen
(AZ-WIN-202249)
Beschreibung: Die TPM-Technologie (Trusted Platform Module) stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. TPM 2.0 ist für die Secured-Core-Features erforderlich.
Schlüsselpfad: TPMVersion
OSEx: WSASHCI22H2
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: NA
Konformitätsstandardzuordnungen:
Enthält 2.0
(OsConfig)
Kritisch

Sicherheitsoptionen – Konten

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Konten: Blockieren von Microsoft-Konten
(AZ-WIN-202201)
Beschreibung: Mit dieser Richtlinieneinstellung wird verhindert, dass Benutzer neue Microsoft-Konten auf diesem Computer hinzufügen. Der empfohlene Status für diese Einstellung ist Users can't add or log on with Microsoft accounts.
Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Konten: Microsoft-Konten blockieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.1.2
        CIS WS2019 2.3.1.2
=3
(Registrierung)
Warnung
Konten: Gastkontenstatus
(CCE-37432-2)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob das Gastkonto aktiviert oder deaktiviert ist. Mit dem Gastkonto können nicht authentifizierte Netzwerkbenutzer Zugriff auf das System erhalten. Der empfohlene Status für diese Einstellung ist Disabled. Hinweis: Diese Einstellung hat keine Auswirkung, wenn sie über die Gruppenrichtlinie auf die Domänencontroller-Organisationseinheit angewendet wird, da Domänencontroller nicht über eine lokale Kontodatenbank verfügen. Sie kann ähnlich wie Einstellungen für Kontosperrung und Kennwortrichtlinien auf Domänenebene über eine Gruppenrichtlinie konfiguriert werden.
Schlüsselpfad: [System Access]EnableGuestAccount
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Konten: Gastkontostatus
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93497
        STIG WS2016 V-73809
        CIS WS2019 2.3.1.3
        CIS WS2022 2.3.1.3
= 0
(Richtlinie)
Kritisch
Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken
(CCE-37615-2)
Beschreibung: Diese Richtlinieneinstellung legt fest, ob lokale Konten, die nicht kennwortgeschützt sind, zum Anmelden von anderen Orten als der Konsole des physischen Computers aus verwendet werden können. Wenn Sie diese Richtlinieneinstellung aktivieren, sind Anmeldungen beim Netzwerk mit lokalen Konten mit leeren Kennwörtern von Remoteclientcomputern aus nicht möglich. Solche Konten können nur über die Tastatur des Computers angemeldet werden. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Konten: Verwendung von leeren Kennwörtern auf die Konsolenanmeldung beschränken

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93279
        STIG WS2016 V-73621
        CIS WS2019 2.3.1.4
        CIS WS2022 2.3.1.4
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Konten: Gastkonto umbenennen
(AZ-WIN-202255)
Beschreibung: Das integrierte lokale Gastkonto ist ein weiterer Name, der Angreifern bekannt ist. Es wird empfohlen, diesem Konto einen Namen zu geben, der nicht auf den Zweck schließen lässt. Auch wenn Sie dieses Konto deaktivieren (empfohlen), sollten Sie es umbenennen, um für zusätzliche Sicherheit zu sorgen. Da Domänencontroller keine eigenen lokalen Konten haben, bezieht sich diese Regel bei Domänencontrollern auf das integrierte Gastkonto, das beim ersten Erstellen der Domäne eingerichtet wurde.
Schlüsselpfad: [System Access]NewGuestName
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Konten: Gastkonto umbenennen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.1.6
        CIS WS2019 2.3.1.6
!= Gast
(Richtlinie)
Warnung
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen
(CCE-10024-8)
Beschreibung: Diese Richtlinieneinstellung bestimmt, ob ein anonymer Benutzer Sicherheits-ID-Attribute (SID) für einen anderen Benutzer anfordern oder eine SID zum Abrufen seines entsprechenden Benutzernamens verwenden kann. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: [System Access]LSAAnonymousNameLookup
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.10.1
        CIS WS2019 2.3.10.1
= 0
(Richtlinie)
Warnung

Sicherheitsoptionen – Überwachen

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen
(CCE-37850-5)
Beschreibung: Mit dieser Richtlinieneinstellung können Administratoren die präziseren Überwachungsfunktionen in Windows Vista aktivieren. Die in den Windows Server 2003-Active Directory verfügbaren Überwachungsrichtlinieneinstellungen enthalten noch keine Einstellungen zum Verwalten der neuen Überwachungsunterkategorien. Um die in dieser Baseline vorgeschriebenen Überwachungsrichtlinien ordnungsgemäß anzuwenden, muss die Einstellung „Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen“ mit „Aktiviert“ konfiguriert werden.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.2.1
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können
(CCE-35907-5)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob das System heruntergefahren wird, wenn Sicherheitsereignisse nicht protokolliert werden können. Es ist eine Voraussetzung für die Trusted Computer System Evaluation Criteria-C2-Zertifizierung (TCSEC) und Common Criteria-Zertifizierung, um zu verhindern, dass überwachbare Ereignisse auftreten, wenn das Überwachungssystem sie nicht protokollieren kann. Microsoft hat entschieden, diese Anforderung zu erfüllen, indem das System angehalten und eine Stoppmeldung angezeigt wird, wenn das Überwachungssystem einen Fehler feststellt. Wenn diese Richtlinieneinstellung aktiviert ist, wird das System heruntergefahren, wenn eine Sicherheitsüberprüfung aus beliebigem Grund nicht protokolliert werden kann. Wenn die Einstellung „Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können“ aktiviert ist, können keine ungeplanten Systemausfälle auftreten. Der administrative Aufwand kann erheblich sein, insbesondere dann, wenn Sie auch die Aufbewahrungsmethode für das Sicherheitsprotokoll so konfigurieren, dass Ereignisse nicht überschrieben werden (Protokoll manuell löschen). Diese Konfiguration führt dazu, das aus einer Nichtanerkennungsbedrohung (ein Sicherungsoperator könnte verneinen, dass Daten gesichert oder wiederhergestellt wurden) ein Denial-of-Service-Sicherheitsrisiko (DoS) wird, da ein Server zum Herunterfahren gezwungen sein könnte, wenn er mit Anmeldeereignissen und anderen Sicherheitsereignissen überflutet wird, die in das Sicherheitsprotokoll geschrieben werden. Da das Herunterfahren nicht ordnungsgemäß ausgeführt wird, kann es auch vorkommen, dass eine irreparable Beschädigung des Betriebssystems, der Anwendungen oder Daten auftritt. Obwohl die Integrität des NTFS-Dateisystems gewährleistet ist, wenn der Computer nicht ordnungsgemäß heruntergefahren wird, kann nicht garantiert werden, dass jede Datendatei für jede Anwendung weiterhin verwendbar ist, wenn der Computer neu gestartet wird. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Überwachung: System sofort herunterfahren, wenn Sicherheitsüberwachungen nicht protokolliert werden können

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.2.2
        CIS WS2022 2.3.2.2
Nicht vorhanden oder 0
(Registrierung)
Kritisch

Sicherheitsoptionen – Geräte

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Geräte: Formatieren und Auswerfen von Wechselmedien zulassen
(CCE-37701-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, wer zum Formatieren und Auswerfen von Wechselmedien berechtigt ist. Mit dieser Richtlinieneinstellung können Sie nicht autorisierte Benutzer daran hindern, Daten von einem Computer zu entfernen, um auf einem anderen Computer, auf dem sie über lokale Administratorberechtigungen verfügen, darauf zuzugreifen.
Schlüsselpfad: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Geräte: Darf Wechselmedien formatieren und auswerfen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.4.1
Nicht vorhanden oder 0
(Registrierung)
Warnung
Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben
(CCE-37942-0)
Beschreibung: Damit ein Computer auf einem freigegebenen Drucker drucken kann, muss der Treiber für den freigegebenen Drucker auf dem lokalen Computer installiert sein. Diese Sicherheitseinstellung legt fest, wer im Rahmen des Herstellens einer Verbindung mit einem freigegebenen Drucker einen Druckertreiber installieren darf. Der empfohlene Status für diese Einstellung ist Enabled. Hinweis: Diese Einstellung hat keine Auswirkung auf die Möglichkeit, einen lokalen Drucker hinzuzufügen. Diese Einstellung hat keine Auswirkungen auf Administratoren.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Geräte: Installation von Druckertreibern durch Benutzer verhindern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.4.2
        CIS WS2022 2.3.4.2
Nicht vorhanden oder 1
(Registrierung)
Warnung
Beschränkt die Drucktreiberinstallation auf Administratoren
(AZ_WIN_202202)
Beschreibung: Diese Richtlinieneinstellung steuert, ob Benutzer, die keine Administratoren sind, Drucktreiber im System installieren können. Der empfohlene Status für diese Einstellung ist Enabled. Hinweis: Am 10. August 2021 kündigte Microsoft eine Standardverhaltensänderung für Punkt und Druck an, die die Standardtreiberinstallation für Punkt und Druck dahingehend ändert, dass Administratorberechtigungen benötigt werden. Dies wird in KB5005652 – Verwalten des Installationsverhaltens für neuen Point- und Print-Treiber (CVE-2021-34481) dokumentiert.
Schlüsselpfad: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\MS-Sicherheitsleitfaden\Druckertreiberinstallation auf Administratoren beschränkt
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.3.5
        CIS WS2019 18.3.5
= 1
(Registrierung)
Warnung

Sicherheitsoptionen – Domänenmitglied

name
(ID)
Details Erwarteter Wert
(Typ)
severity
Stellen Sie sicher, dass „Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)“ auf „Aktiviert“ festgelegt ist.
(CCE-36142-8)
Beschreibung: Mit dieser Richtlinieneinstellung wird bestimmt, ob von Domänenmitgliedern gestarteter Datenverkehr über den sicheren Kanal signiert oder verschlüsselt sein muss. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Domänenmitglied: Sichere Kanaldaten digital verschlüsseln oder signieren (immer)
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.6.1
        CIS WS2019 2.3.6.1
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Stellen Sie sicher, dass „Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)“ auf „Aktiviert“ festgelegt ist.
(CCE-37130-2)
Beschreibung: Mit dieser Richtlinieneinstellung wird bestimmt, ob ein Domänenmitglied versuchen sollte, die Verschlüsselung für den gesamten initiierten Datenverkehr im sicheren Kanal auszuhandeln. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Domänenmitglied: Sichere Kanaldaten (wenn möglich) digital verschlüsseln
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.6.2
        CIS WS2019 2.3.6.2
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Stellen Sie sicher, dass „Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)“ auf „Aktiviert“ festgelegt ist.
(CCE-37222-7)
Beschreibung:

Diese Richtlinieneinstellung bestimmt, ob ein Domänenmitglied versuchen sollte auszuhandeln, ob der gesamte initiierte Datenverkehr im sicheren Kanal digital signiert werden muss. Digitale Signaturen schützen den Datenverkehr davor, von jemandem verändert zu werden, der die Daten auf ihrem Weg durch das Netz abfängt. Der empfohlene Status für diese Einstellung ist „Aktiviert“.


Schlüsselpfad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Domänenmitglied: Sichere Kanaldaten (wenn möglich) digital signieren

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93551
        STIG WS2016 V-73637
        CIS WS2019 2.3.6.3
        CIS WS2022 2.3.6.3
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Stellen Sie sicher, dass „Domänenmitglied: Änderungen des Computerkontokennworts deaktivieren“ auf „Deaktiviert“ festgelegt ist.
(CCE-37508-9)
Beschreibung:

Diese Richtlinieneinstellung bestimmt, ob ein Domänenmitglied das Kennwort des Computerkontos regelmäßig ändern kann. Computer, die ihre Kontokennwörter nicht automatisch ändern können, sind potenziell anfällig, da Angreifer möglicherweise in der Lage sind, das Kennwort für das Domänenkonto des Systems zu ermitteln. Der empfohlene Status für diese Einstellung ist „Deaktiviert“.


Schlüsselpfad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Domänenmitglied: Kennwortänderungen für Computerkonten deaktivieren

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93273
        STIG WS2016 V-73631
        CIS WS2019 2.3.6.4
        CIS WS2022 2.3.6.4
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Stellen Sie sicher, dass „Domänenmitglied: Maximalalter von Computerkontenkennwörtern“ auf „30 Tage oder weniger, aber nicht 0“ festgelegt ist.
(CCE-37431-4)
Beschreibung: Diese Richtlinieneinstellung bestimmt das zulässige Höchstalter für das Kennwort eines Computerkontos. In der Standardeinstellung ändern Domänenmitglieder ihre Domänenkennwörter automatisch alle 30 Tage. Wenn Sie dieses Intervall erheblich verlängern, sodass die Kennwörter von Computern nicht mehr geändert werden, erhalten Angreifer mehr Zeit für einen Brute-Force-Angriff zum Ermitteln des Kennworts für ein oder mehrere Computerkonten. Der empfohlene Status für diese Einstellung ist 30 or fewer days, but not 0. Hinweis: Der Wert 0 entspricht nicht der Benchmark, da er das Höchstalter für Kennwörter deaktiviert.
Schlüsselpfad: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf 30 or fewer days, but not 0 fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Domänenmitglied: Maximales Alter von Kennwörtern für Computerkonten

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93285
        STIG WS2016 V-73641
        CIS WS2019 2.3.6.5
        CIS WS2022 2.3.6.5
In 1–30
(Registrierung)
Kritisch
Stellen Sie sicher, dass „Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)“ auf „Aktiviert“ festgelegt ist.
(CCE-37614-5)
Beschreibung: Wenn diese Richtlinieneinstellung aktiviert ist, kann ein sicherer Kanal nur mit Domänencontrollern eingerichtet werden, die sichere Kanaldaten mit einem starken (128-Bit-)Sitzungsschlüssel verschlüsseln können. Um diese Richtlinieneinstellung zu aktivieren, müssen alle Domänencontroller in der Domäne Daten des sicheren Kanals mit einem starken Schlüssel verschlüsseln können. Das bedeutet, dass auf allen Domänencontrollern Microsoft Windows 2000 oder höher ausgeführt werden muss. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Domänenmitglied: Starken Sitzungsschlüssel für Windows 2000 oder höher anfordern
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.6.6
        CIS WS2019 2.3.6.6
Nicht vorhanden oder 1
(Registrierung)
Kritisch

Sicherheitsoptionen – Interaktive Anmeldung

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Zwischenspeichern von Anmeldeinformationen muss eingeschränkt sein
(AZ-WIN-73651)
Beschreibung: Mit dieser Richtlinieneinstellung wird bestimmt, ob sich ein Benutzer mit zwischengespeicherten Kontoinformationen bei einer Windows-Domäne anmelden kann. Anmeldeinformationen für Domänenkonten können lokal zwischengespeichert werden, damit Benutzer sich anmelden können, auch wenn ein Domänencontroller nicht kontaktiert werden kann. Mit dieser Richtlinieneinstellung wird die Anzahl an eindeutigen Benutzern festgelegt, deren Anmeldeinformationen lokal zwischengespeichert werden. Wenn dieser Wert auf 0 festgelegt ist, ist das Anmeldecachefeature deaktiviert. Ein Angreifer, der auf das Dateisystem des Servers zugreifen kann, ist in der Lage, in Besitz dieser zwischengespeicherten Informationen zu gelangen und mit einem Brute-Force-Angriff Benutzerkennwörter zu ermitteln. Der empfohlene Status für diese Einstellung ist 4 or fewer logon(s).
Schlüsselpfad: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Anzahl der vorherigen Anmeldungen, die zwischengespeichert werden sollen (falls der Domänencontroller nicht verfügbar ist)
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.7.6
        CIS WS2019 2.3.7.6
In 1–4
(Registrierung)
Informational
Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen
(CCE-36056-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob der Kontoname des letzten Benutzers, der sich bei den Clientcomputern in Ihrem Unternehmen angemeldet hat, auf dem Windows-Anmeldebildschirm des jeweiligen Computers angezeigt wird. Aktivieren Sie diese Richtlinieneinstellung, um zu verhindern, dass Eindringlinge Kontonamen visuell auf den Bildschirmen von Desktopcomputern oder Laptops in Ihrer Organisation erfassen. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Letzte Anmeldung nicht anzeigen
Hinweis: In älteren Versionen von Microsoft Windows hieß diese Einstellung Interaktive Anmeldung: Namen des letzten Benutzers nicht anzeigen, aber sie wurde ab Windows Server 2019 umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.7.2
        CIS WS2022 2.3.7.2
= 1
(Registrierung)
Kritisch
Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich
(CCE-37637-6)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob Benutzer vor der Anmeldung STRG+ALT+ ENTF drücken müssen. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Strg+ALT+ENTF nicht erforderlich

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.7.1
        CIS WS2022 2.3.7.1
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Interaktive Anmeldung: Inaktivitätsgrenze des Computers
(AZ-WIN-73645)
Beschreibung: Windows stellt die Inaktivität einer Anmeldesitzung fest. Wenn die Inaktivitätsdauer ihr Limit überschreitet, wird der Bildschirmschoner aktiviert, und die Sitzung wird gesperrt. Der empfohlene Status für diese Einstellung ist 900 or fewer second(s), but not 0. Hinweis: Der Wert 0 entspricht nicht der Benchmark, da er das Limit für die Computerinteraktivität deaktiviert.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Grenzwert für Computerinaktivität
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.7.3
        CIS WS2019 2.3.7.3
In 1–900
(Registrierung)
Wichtig
Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen
(AZ-WIN-202253)
Beschreibung: Diese Richtlinieneinstellung gibt eine Textnachricht an, die Benutzern angezeigt wird, wenn sie sich anmelden. Konfigurieren Sie diese Einstellung so, dass Sie den Sicherheits- und Betriebsanforderungen Ihrer Organisation entspricht.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Meldungstext für Benutzer, die versuchen, sich anzumelden
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.7.4
        CIS WS2019 2.3.7.4
!=
(Registrierung)
Warnung
Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen
(AZ-WIN-202254)
Beschreibung: Diese Richtlinieneinstellung gibt den Text an, der in der Titelleiste des Fensters angezeigt wird, das Benutzer sehen, wenn sie sich im System anmelden. Konfigurieren Sie diese Einstellung so, dass Sie den Sicherheits- und Betriebsanforderungen Ihrer Organisation entspricht.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Meldungstitel für Benutzer, die versuchen, sich anzumelden
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.7.5
        CIS WS2019 2.3.7.5
!=
(Registrierung)
Warnung
Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern
(CCE-10930-6)
Beschreibung: Mit dieser Richtlinieneinstellung wird bestimmt, wie weit im Voraus Benutzer gewarnt werden, dass ihr Kennwort abläuft. Es wird empfohlen, diese Richtlinieneinstellung auf mindestens 5 Tage, aber nicht mehr als 14 Tage zu konfigurieren, um Benutzer rechtzeitig zu warnen, wenn ihre Kennwörter ablaufen. Der empfohlene Status für diese Einstellung ist between 5 and 14 days.
Schlüsselpfad: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Benutzer zum Ändern des Kennworts auffordern, bevor es abläuft
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.7.7
        CIS WS2019 2.3.7.7
In 5–14
(Registrierung)
Informational

Sicherheitsoptionen – Microsoft-Netzwerk (Client)

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
(CCE-36325-9)
Beschreibung:

Mit dieser Richtlinieneinstellung wird angegeben, ob die SMB-Clientkomponente die Paketsignatur voraussetzt. Hinweis: Wenn auf Windows Vista-basierten Computern diese Richtlinieneinstellung aktiviert ist und sie eine Verbindung mit Datei- oder Druckfreigaben auf Remoteservern herstellen, ist es wichtig, dass die Einstellung auf diesen Servern mit der zugehörigen Einstellung Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) synchronisiert wird. Weitere Informationen zu diesen Einstellungen finden Sie im Abschnitt „Microsoft-Netzwerkclient und -server: Digitales Signieren von Kommunikation (vier zugehörige Einstellungen)“ in Kapitel 5 des Handbuchs zu Bedrohungen und Gegenmaßnahmen. Der empfohlene Status für diese Einstellung ist „Aktiviert“.


Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerkclient: Kommunikation digital signieren (immer)

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93555
        STIG WS2016 V-73653
        CIS WS2019 2.3.8.1
        CIS WS2022 2.3.8.1
= 1
(Registrierung)
Kritisch
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)
(CCE-36269-9)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob der SMB-Client versucht, die SMB-Paketsignierung auszuhandeln. Hinweis: Wenn Sie diese Richtlinieneinstellung auf SMB-Clients in Ihrem Netzwerk aktivieren, sind sie für die Paketsignierung mit allen Clients und Servern in Ihrer Umgebung voll wirksam. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerkclient: Kommunikation digital signieren (sofern der Server es zulässt)

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93557
        STIG WS2016 V-73655
        CIS WS2019 2.3.8.2
        CIS WS2022 2.3.8.2
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden
(CCE-37863-8)
Beschreibung:

Mit dieser Richtlinieneinstellung wird festgelegt, ob der SMB-Redirector bei der Authentifizierung bei SMB-Servern von Drittanbietern, die keine Kennwortverschlüsselung unterstützen, Nur-Text-Kennwörter sendet. Sie sollten diese Richtlinieneinstellung deaktivieren, sofern es keinen überzeugenden geschäftlichen Grund gibt, sie zu aktivieren. Wenn diese Richtlinieneinstellung aktiviert ist, werden unverschlüsselte Kennwörter im Netzwerk zugelassen. Der empfohlene Status für diese Einstellung ist „Deaktiviert“.


Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerkclient: Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93469
        STIG WS2016 V-73657
        CIS WS2019 2.3.8.3
        CIS WS2022 2.3.8.3
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung
(CCE-38046-9)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie die kontinuierliche Leerlaufzeit angeben, die in einer SMB-Sitzung vergehen muss, bevor die Sitzung aufgrund von Inaktivität angehalten wird. Administratoren können mit dieser Richtlinieneinstellung steuern, wann ein Computer eine inaktive SMB-Sitzung anhält. Wenn die Clientaktivität fortgesetzt wird, wird die Sitzung automatisch wieder hergestellt. Der Wert 0 (null) zeigt an, dass Sitzungen unbegrenzt persistent gespeichert werden. Der Höchstwert ist 99999, das sind über 69 Tage. Dieser Wert deaktiviert die Einstellung. Der empfohlene Status für diese Einstellung ist 15 or fewer minute(s), but not 0.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf 15 or fewer minute(s) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerkserver: Erforderliche Leerlaufzeit vor dem Anhalten der Sitzung
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.9.1
In 1-15
(Registrierung)
Kritisch
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
(CCE-37864-6)
Beschreibung: Mit dieser Richtlinieneinstellung wird angegeben, ob die SMB-Serverkomponente die Paketsignatur voraussetzt. Aktivieren Sie diese Richtlinieneinstellung in einer gemischten Umgebung, um zu verhindern, dass nachgeschaltete Clients die Arbeitsstation als Netzwerkserver verwenden. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93559
        STIG WS2016 V-73661
        CIS WS2019 2.3.9.2
        CIS WS2022 2.3.9.2
= 1
(Registrierung)
Kritisch
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)
(CCE-35988-5)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob der SMB-Server die SMB-Paketsignierung mit Clients aushandelt, die sie anfordern. Wenn keine Signierungsanforderung vom Client kommt, wird eine Verbindung ohne Signatur zugelassen, wenn die Einstellung Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) nicht aktiviert ist. Hinweis: Aktivieren Sie diese Richtlinieneinstellung auf SMB-Clients in Ihrem Netzwerk, damit sie für die Paketsignierung mit allen Clients und Servern in Ihrer Umgebung voll wirksam sind. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerkserver: Kommunikation digital signieren (sofern der Client einverstanden ist)

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93561
        STIG WS2016 V-73663
        CIS WS2019 2.3.9.3
        CIS WS2022 2.3.9.3
= 1
(Registrierung)
Kritisch
Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird
(CCE-37972-7)
Beschreibung: Diese Sicherheitseinstellung legt fest, ob Benutzer, die außerhalb der gültigen Anmeldezeiten Ihres Benutzerkontos mit dem lokalen Computer verbunden sind, getrennt werden sollen. Diese Einstellung betrifft die SMB (Server Message Block)-Komponente. Wenn Sie diese Richtlinieneinstellung aktivieren, sollten Sie auch Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen (Regel 2.3.11.6) aktivieren. Wenn Ihre Organisation Anmeldezeiten für Benutzer konfiguriert, ist diese Richtlinieneinstellung erforderlich, um sicherzustellen, dass sie wirksam sind. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerkserver: Clients nach Ablauf der Anmeldezeiten trennen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.9.4
        CIS WS2022 2.3.9.4
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Microsoft-Netzwerk (Server): SPN-Zielnamenüberprüfungsstufe für Server
(CCE-10617-9)
Beschreibung: Durch diese Richtlinieneinstellung wird die Stufe der Überprüfung gesteuert, die ein Computer mit freigegebenen Ordnern oder Druckern (der Server) bezüglich des Dienstprinzipalnamens (Server Principal Name, SPN) ausführt, der vom Clientcomputer beim Einrichten einer Sitzung mit dem SMB-Protokoll (Server Message Block) bereitgestellt wird. Das SMB-Protokoll (Server Message Block) stellt die Grundlage für Dateien und die Druckfreigabe sowie andere Netzwerkvorgänge dar, z. B. die Windows-Remoteverwaltung. Das SMB-Protokoll unterstützt die Überprüfung des Dienstprinzipalnamens (SPN) des SMB-Servers innerhalb des Authentifizierungsblobs, das von einem SMB-Client bereitgestellt wird, um eine bestimmte Art von Angriffen auf SMB-Server – sogenannte SMB-Relayangriffe – zu verhindern. Diese Einstellung wirkt sich auf SMB1 und SMB2 aus. Der empfohlene Status für diese Einstellung ist Accept if provided by client. Wenn diese Einstellung auf Required from client festgelegt wird, entspricht sie auch der Benchmark. Hinweis: Seit der Veröffentlichung des KB3161561-Sicherheitspatches von MS kann diese Einstellung erhebliche Probleme bei Domänencontrollern verursachen (z. B. Replikationsprobleme, Probleme bei der Bearbeitung von Gruppenrichtlinien und Bluescreen-Abstürzen), wenn sie gleichzeitig mit der UNC-Pfadhärtung (d. h. Regel 18.5.14.1) verwendet wird. Das CIS rät daher davon ab, diese Einstellung auf Domänencontrollern bereitzustellen.
Schlüsselpfad: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerkserver: Server-SPN-Zielnamenüberprüfungsebene
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.9.5
        CIS WS2019 2.3.9.5
= 1
(Registrierung)
Warnung

Sicherheitsoptionen – Microsoft-Netzwerk (Server)

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
SMB v1-Server deaktivieren
(AZ-WIN-00175)
Beschreibung: Wenn Sie diese Einstellung deaktivieren, wird die serverseitige Verarbeitung des SMBv1-Protokolls deaktiviert. (Empfohlen.) Durch Aktivieren dieser Einstellung wird die serverseitige Verarbeitung des SMBv1-Protokolls aktiviert. (Standard.) Änderungen an dieser Einstellung werden erst nach einem Neustart wirksam. Weitere Informationen finden Sie unter https://support.microsoft.com/kb/2696547.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Nicht zutreffend
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.3.3
Nicht vorhanden oder 0
(Registrierung)
Kritisch

Sicherheitsoptionen – Netzwerkzugriff

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Konten: Administrator umbenennen
(CCE-10976-9)
Beschreibung: Das integrierte lokale Administratorkonto ist ein bekannter Kontoname, auf den Angreifer abzielen. Es wird empfohlen, einen anderen Namen für dieses Konto auszuwählen und Namen zu vermeiden, die administrative Konten oder Konten mit erhöhten Zugriffsrechten kennzeichnen. Achten Sie darauf, auch die Standardbeschreibung für den lokalen Administrator (über die Computerverwaltungskonsole) zu ändern. Da Domänencontroller keine eigenen lokalen Konten haben, bezieht sich diese Regel bei Domänencontrollern auf das integrierte Administratorkonto, das beim ersten Erstellen der Domäne eingerichtet wurde.
Schlüsselpfad: [System Access]NewAdministratorName
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Konten: Administratorkonto umbenennen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.3.1.5
        CIS WS2019 2.3.1.5
!= Administrator
(Richtlinie)
Warnung
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben
(CCE-36316-8)
Beschreibung: Diese Richtlinieneinstellung steuert die Fähigkeit anonymer Benutzer, die Konten in der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) aufzulisten. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer mit anonymen Verbindungen keine Domänenkonto-Benutzernamen in den Systemen in Ihrer Umgebung auflisten. Diese Richtlinieneinstellung ermöglicht außerdem zusätzliche Einschränkungen für anonyme Verbindungen. Der empfohlene Status für diese Einstellung ist Enabled. Hinweis: Diese Richtlinie hat keine Auswirkung auf Domänencontroller.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.10.2
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben
(CCE-36077-6)
Beschreibung: Diese Richtlinieneinstellung steuert die Fähigkeit anonymer Benutzer, SAM-Konten und Freigaben aufzulisten. Wenn Sie diese Richtlinieneinstellung aktivieren, können anonyme Benutzer keine Domänenkonto-Benutzernamen und Netzwerkfreigabenamen in den Systemen in Ihrer Umgebung auflisten. Der empfohlene Status für diese Einstellung ist Enabled. Hinweis: Diese Richtlinie hat keine Auswirkung auf Domänencontroller.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.10.3
= 1
(Registrierung)
Kritisch
Netzwerkzugriff: Die Verwendung von „Jeder“-Berechtigungen für anonyme Benutzer ermöglichen
(CCE-36148-5)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welche zusätzlichen Berechtigungen anonymen Verbindungen mit dem Computer zugewiesen werden. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerkzugriff: „Jeder“-Berechtigungen auf anonyme Benutzer anwenden lassen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93293
        STIG WS2016 V-73673
        CIS WS2019 2.3.10.5
        CIS WS2022 2.3.10.5
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann
(CCE-37194-8)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, auf welche Registrierungspfade nach Verweis auf den WinReg-Schlüssel zugegriffen werden kann, um die Zugriffsberechtigungen für die Pfade zu ermitteln. Hinweis: Diese Einstellung ist in Windows XP nicht vorhanden. In Windows XP gab es eine Einstellung mit diesem Namen, aber in Windows Server 2003, Windows Vista und Windows Server 2008 lautet sie „Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann“. Hinweis: Wenn Sie diese Einstellung konfigurieren, geben Sie eine Liste mit einem oder mehreren Objekten an. Das bei der Eingabe der Liste verwendete Trennzeichen ist ein Zeilenvorschub oder ein Wagenrücklauf, d. h. Sie drücken nach jeder Eingabe eines Objekts die EINGABETASTE. Der Einstellungswert wird als durch Trennzeichen getrennte Liste in Gruppenrichtlinien-Sicherheitsvorlagen gespeichert. Er wird auch als durch Trennzeichen getrennte Liste im Anzeigebereich des Gruppenrichtlinien-Editors und in der Richtlinienergebnissatz-Konsole gerendert. Er wird in der Registrierung als durch Zeilenvorschub getrennte Liste in einem REG_MULTI_SZ-Wert aufgezeichnet.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden Benutzeroberflächenpfad auf:
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerkzugriff: Remotezugriff auf Registrierungspfade
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.10.8
Nicht vorhanden oder „System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0“
(Registrierung)
Kritisch
Netzwerkzugriff: Remote zugängliche Registrierungspfade und Unterpfade
(CCE-36347-3)
Beschreibung: Diese Richtlinieneinstellung bestimmt, auf welche Registrierungspfade und Unterpfade zugegriffen werden kann, wenn eine Anwendung oder ein Prozess auf den WinReg-Schlüssel verweist, um die Zugriffsberechtigungen zu bestimmen. Hinweis: In Windows XP wird diese Einstellung „Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann“ genannt. Die Einstellung mit demselben Namen in Windows Vista, Windows Server 2008 und Windows Server 2003 ist in Windows XP nicht vorhanden. Hinweis: Wenn Sie diese Einstellung konfigurieren, geben Sie eine Liste mit einem oder mehreren Objekten an. Das bei der Eingabe der Liste verwendete Trennzeichen ist ein Zeilenvorschub oder ein Wagenrücklauf, d. h. Sie drücken nach jeder Eingabe eines Objekts die EINGABETASTE. Der Einstellungswert wird als durch Trennzeichen getrennte Liste in Gruppenrichtlinien-Sicherheitsvorlagen gespeichert. Er wird auch als durch Trennzeichen getrennte Liste im Anzeigebereich des Gruppenrichtlinien-Editors und in der Richtlinienergebnissatz-Konsole gerendert. Er wird in der Registrierung als durch Zeilenvorschub getrennte Liste in einem REG_MULTI_SZ-Wert aufgezeichnet.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden Benutzeroberflächenpfad auf:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Netzwerkzugriff: Remote zugängliche Registrierungspfade und Unterpfade

Wenn ein Server die Rolle Active Directory-Zertifikatdienste mit dem Rollendienst Zertifizierungsstelle enthält, sollte die obige Liste auch folgendes enthalten: „System\CurrentControlSet\Services\CertSvc“.

Wenn auf einem Server das Feature WINS Server installiert ist, sollte die obige Liste auch Folgendes enthalten:
'System\CurrentControlSet\Services\WINS'
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.10.9
Nicht vorhanden oder „System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0“
(Registrierung)
Kritisch
Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken
(CCE-36021-4)
Beschreibung: Wenn diese Richtlinieneinstellung aktiviert ist, wird der anonyme Zugriff auf die Freigaben und Pipes beschränkt, die in den Einstellungen Network access: Named pipes that can be accessed anonymously und Network access: Shares that can be accessed anonymously benannt sind. Diese Richtlinieneinstellung steuert den NULL-Sitzungszugriff auf Freigaben auf ihren Computern durch Hinzufügen von RestrictNullSessAccess mit dem Wert 1 im HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters-Registrierungsschlüssel. Dieser Registrierungswert schaltet NULL-Sitzungsfreigaben ein oder aus, um zu steuern, ob der Serverdienst den Zugriff nicht authentifizierter Clients auf benannte Ressourcen einschränkt. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben beschränken

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93539
        STIG WS2016 V-73675
        CIS WS2019 2.3.10.10
        CIS WS2022 2.3.10.10
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen
(AZ-WIN-00142)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie Remote-RPC-Verbindungen mit SAM einschränken. Wenn diese Einstellung nicht festgelegt wurde, wird die Standardsicherheitsbeschreibung verwendet. Diese Richtlinie wird mindestens auf Windows Server 2016 unterstützt.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM
OS: WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators: Remote Access: Allow fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.10.11
Nicht vorhanden oder „O:BAG:BAD:(A;;RC;;;BA)“
(Registrierung)
Kritisch
Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann
(CCE-38095-6)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, auf welche Netzwerkfreigaben anonyme Benutzer zugreifen können. Die Standardkonfiguration für diese Richtlinieneinstellung hat nur eine geringe Auswirkung, weil alle Benutzer authentifiziert werden müssen, bevor sie auf freigegebene Ressourcen auf dem Server zugreifen können. Hinweis: Es kann sehr gefährlich sein, dieser Gruppenrichtlinieneinstellung andere Freigaben hinzuzufügen. Alle Netzwerkbenutzer können auf alle aufgelisteten Freigaben zugreifen, wodurch vertrauliche Daten verfügbar gemacht oder beschädigt werden könnten. Hinweis: Wenn Sie diese Einstellung konfigurieren, geben Sie eine Liste mit einem oder mehreren Objekten an. Das bei der Eingabe der Liste verwendete Trennzeichen ist ein Zeilenvorschub oder ein Wagenrücklauf, d. h. Sie drücken nach jeder Eingabe eines Objekts die EINGABETASTE. Der Einstellungswert wird als durch Trennzeichen getrennte Liste in Gruppenrichtlinien-Sicherheitsvorlagen gespeichert. Er wird auch als durch Trennzeichen getrennte Liste im Anzeigebereich des Gruppenrichtlinien-Editors und in der Richtlinienergebnissatz-Konsole gerendert. Er wird in der Registrierung als durch Zeilenvorschub getrennte Liste in einem REG_MULTI_SZ-Wert aufgezeichnet.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf <blank> fest (d. h. Keine):
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.10.12
Ist nicht vorhanden oder =
(Registrierung)
Kritisch
Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten
(CCE-37623-6)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, wie Netzwerkanmeldungen, die lokale Konten verwenden, authentifiziert werden. Die Option „Klassisch“ ermöglicht die genaue Steuerung des Zugriffs auf Ressourcen, einschließlich der Möglichkeit, unterschiedlichen Benutzern unterschiedliche Zugriffstypen für dieselbe Ressource zuzuweisen. Mit der Option „Nur Gast“ können alle Benutzer gleich behandelt werden. In diesem Kontext authentifizieren sich alle Benutzer als „Nur Gast“, um dieselbe Zugriffsebene für eine bestimmte Ressource zu erhalten. Der empfohlene Status für diese Einstellung ist Classic - local users authenticate as themselves. Hinweis: Diese Einstellung wirkt sich nicht auf interaktive Anmeldungen aus, die mithilfe von Diensten wie Telnet oder Remotedesktopdienste (früher als „Terminaldienste“ bezeichnet) remote ausgeführt werden.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Classic - local users authenticate as themselves fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerkzugriff: Freigabe- und Sicherheitsmodell für lokale Konten

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.10.13
        CIS WS2022 2.3.10.13
Nicht vorhanden oder 0
(Registrierung)
Kritisch

Sicherheitsoptionen – Netzwerksicherheit

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben
(CCE-38341-4)
Beschreibung: Wenn diese Richtlinieneinstellung aktiviert ist, bewirkt sie, dass lokale Systemdienste, die Negotiate verwenden, die Computeridentität verwenden, wenn die NTLM-Authentifizierung durch die Aushandlung ausgewählt wird. Diese Richtlinie wird mindestens auf Windows 7 oder Windows Server 2008 R2 unterstützt.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.11.1
= 1
(Registrierung)
Kritisch
Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen
(CCE-37035-3)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob NTLM bei Verwendung mit LocalSystem auf eine NULL-Sitzung zurückgreifen darf. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: LocalSystem NULL-Sitzungsfallback erlauben

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93297
        STIG WS2016 V-73681
        CIS WS2019 2.3.11.2
        CIS WS2022 2.3.11.2
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Netzwerksicherheit: Zulassen von an diesen Computer gerichteten PKU2U-Authentifizierungsanforderungen zur Verwendung von Onlineidentitäten
(CCE-38047-7)
Beschreibung: Mit dieser Einstellung wird festgelegt, ob Onlineidentitäten sich bei diesem Computer authentifizieren können. Das in Windows 7 und Windows Server 2008 R2 eingeführte PKU2U-Protokoll (Public Key Cryptography, Benutzer-zu-Benutzer) wird als Security Support Provider (SSP) implementiert. Der SSP ermöglicht die Peer-zu-Peer-Authentifizierung, insbesondere über das Windows 7-Feature zur Medien- und Dateifreigabe namens Homegroup, das die Freigabe zwischen Computern zulässt, die keine Mitglieder einer Domäne sind. Mit PKU2U wurde eine neue Erweiterung, Spnego.dll, im Negotiate-Authentifizierungspaket eingeführt. In früheren Versionen von Windows entschied Negotiate, ob Kerberos oder NTLM für die Authentifizierung verwendet werden sollte. Der Erweiterungs-SSP für Negotiate, Negoexts.dll, der von Windows als Authentifizierungsprotokoll behandelt wird, unterstützt Microsoft SSPs einschließlich PKU2U. Wenn Computer so konfiguriert sind, dass sie Authentifizierungsanforderungen mithilfe von Online-IDs akzeptieren, ruft Negoexts.dll den PKU2U-SSP auf dem Computer auf, der für die Anmeldung verwendet wird. Der PKU2U-SSP empfängt ein lokales Zertifikat und tauscht die Richtlinie zwischen den Peercomputern aus. Wenn das Zertifikat in den Metadaten auf dem Peercomputer überprüft wird, wird es zur Validierung an den Anmeldungspeer gesendet, ordnet das Zertifikat des Benutzers einem Sicherheitstoken zu, und der Anmeldevorgang wird abgeschlossen. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: An diesen Computer gerichtete PKU2U-Authentifizierungsanforderungen zulassen, um die Verwendung von Onlineidentitäten zu ermöglichen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93299
        STIG WS2016 V-73683
        CIS WS2019 2.3.11.3
        CIS WS2022 2.3.11.3
Nicht vorhanden oder 0
(Registrierung)
Warnung
Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren
(CCE-37755-6)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie die Verschlüsselungstypen festlegen, die Kerberos verwenden darf. Diese Richtlinie wird mindestens auf Windows 7 oder Windows Server 2008 R2 unterstützt.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.11.4
Nicht vorhanden oder 2147483640
(Registrierung)
Kritisch
Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern
(CCE-36326-7)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob der LAN Manager-Hashwert (LM) für das neue Kennwort gespeichert wird, wenn das Kennwort geändert wird. Der LM-Hash ist im Vergleich zum kryptografisch stärkeren Microsoft Windows NT-Hash relativ schwach und anfällig für Angriffe. Da LM-Hashes auf dem lokalen Computer in der Sicherheitsdatenbank gespeichert werden, können Kennwörter dann problemlos kompromittiert werden, wenn die Datenbank angegriffen wird. Hinweis: Bei älteren Betriebssystemen und einigen Anwendungen von Drittanbietern können Fehler auftreten, wenn diese Richtlinieneinstellung aktiviert ist. Beachten Sie außerdem, dass das Kennwort für alle Konten geändert werden muss, nachdem Sie diese Einstellung aktiviert haben, um den richtigen Vorteil zu erzielen. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht speichern.

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93467
        STIG WS2016 V-73687
        CIS WS2019 2.3.11.5
        CIS WS2022 2.3.11.5
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Netzwerksicherheit: LAN Manager-Authentifizierungsebene
(CCE-36173-3)
Beschreibung: Bei LAN-Manager (LM) handelt es sich um eine frühe Client/Server-Softwarefamilie von Microsoft, die Benutzern ermöglicht, PCs in einem einzigen Netzwerk zu verknüpfen. Zu den Netzwerkfunktionen zählen transparente Datei- und Druckerfreigabe, Benutzersicherheitsfeatures und Netzwerkverwaltungstools. In Active Directory-Domänen ist das Kerberos-Protokoll das Standardauthentifizierungsprotokoll. Wenn das Kerberos-Protokoll jedoch aus beliebigem Grund nicht ausgehandelt wird, verwendet Active Directory LM, NTLM oder NTLMv2. Die LAN-Manager-Authentifizierung umfasst die Varianten LM, NTLM und NTLM, Version 2 (NTLMv2) und ist das Protokoll, das zum Authentifizieren aller Windows-Clients verwendet wird, wenn sie die folgenden Vorgänge ausführen: - Verbinden einer Domäne – Authentifizieren zwischen Active Directory-Gesamtstrukturen – Authentifizieren bei Domänen auf Down-Level-Domänen – Authentifizieren bei Computern, die windows 2000, Windows Server 2003 oder Windows XP nicht ausführen: Authentifizieren sie sich bei Computern, die sich nicht in der Domäne befinden. Die möglichen Werte für die Netzwerksicherheit: Einstellungen für die LAN-Manager-Authentifizierungsebene sind: - Lm & NTLM-Antworten senden - LM & NTLM senden - NTLMv2 Sitzungssicherheit verwenden, wenn ausgehandelt - Nur NTLMv2-Antworten senden - Nur NTLMv2-Antworten senden\LM ablehnen - Nur NTLMv2-Antworten senden\LM& NTLM ablehnen - Nicht definiert Die Netzwerksicherheit: Einstellung der LAN Manager-Authentifizierungsebene bestimmt, welches Anforderungs-/Antwortauthentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl wirkt sich wie folgt auf die Authentifizierungsprotokollebene aus, die von den Clients verwendet wird, die Sitzungssicherheitsstufe, die von den Computern ausgehandelt wird, und die Authentifizierungsebene, die von Servern akzeptiert wird: – LM- und NTLM-Antworten senden. Clients verwenden LM- und NTLM-Authentifizierung und niemals NTLMv2-Sitzungssicherheit. Domänencontroller akzeptieren die LM-, die NTLM- und die NTLMv2-Authentifizierung. - LM & NTLM senden – Verwenden Sie bei Ausgehandelter Verhandlungen NTLMv2 Sitzungssicherheit. Clients verwenden die LM- und NTLM-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller akzeptieren die LM-, die NTLM- und die NTLMv2-Authentifizierung. – Nur NTLM-Antworten senden. Clients verwenden nur die NTLM-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller akzeptieren die LM-, die NTLM- und die NTLMv2-Authentifizierung. – Nur NTLMv2-Antworten senden. Clients verwenden nur die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller akzeptieren die LM-, die NTLM- und die NTLMv2-Authentifizierung. – Nur NTLMv2-Antworten senden/LM ablehnen. Clients verwenden nur die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller lehnen die LM-Authentifizierung ab und akzeptieren nur die NTLM- und die NTLMv2-Authentifizierung. – Nur NTLMv2-Antworten senden/LM und NTLM ablehnen. Clients verwenden nur die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller lehnen die LM- und die NTLM-Authentifizierung ab und akzeptieren nur die NTLMv2-Authentifizierung. Diese Einstellungen entsprechen wie folgt den in anderen Microsoft-Dokumenten behandelten Ebenen: – Ebene 0: LM- und NTLM-Antworten senden; niemals die NTLMv2-Sitzungssicherheit verwenden. Clients verwenden LM- und NTLM-Authentifizierung und niemals NTLMv2-Sitzungssicherheit. Domänencontroller akzeptieren die LM-, die NTLM- und die NTLMv2-Authentifizierung. – Ebene 1: NTLMv2-Sitzungssicherheit verwenden, sofern ausgehandelt. Clients verwenden die LM- und NTLM-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller akzeptieren die LM-, die NTLM- und die NTLMv2-Authentifizierung. – Ebene 2: Nur NTLM-Antworten senden. Clients verwenden nur die NTLM-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller akzeptieren die LM-, die NTLM- und die NTLMv2-Authentifizierung. – Ebene 3: Nur NTLMv2-Antworten senden. Clients verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller akzeptieren die LM-, die NTLM- und die NTLMv2-Authentifizierung. – Ebene 4: Domänencontroller lehnen LM-Antworten ab. Clients verwenden die NTLM-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller lehnen die LM-Authentifizierung ab, d. h., sie akzeptieren NTLM und NTLMv2. – Ebene 5: Domänencontroller lehnen LM- und NTLM-Antworten ab (akzeptieren nur NTLMv2). Clients verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Domänencontroller lehnen die NTLM- und LM-Authentifizierung ab (sie akzeptieren nur NTLMv2).
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad fest auf: „Nur NTLMv2-Antwort senden. LM & NTLM ablehnen':
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Netzwerksicherheit: LAN Manager-Authentifizierungsebene
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.11.7
= 5
(Registrierung)
Kritisch
Netzwerksicherheit: Signaturanforderungen für LDAP-Clients
(CCE-36858-9)
Beschreibung: Mit dieser Richtlinieneinstellung wird die Ebene der Datensignierung bestimmt, die im Auftrag von Clients angefordert wird, die LDAP-Bindungsanforderungen ausgeben. Hinweis: Diese Richtlinieneinstellung wirkt sich nicht auf die einfache LDAP-Bindung (ldap_simple_bind) oder die einfache LDAP-Bindung durch SSL (ldap_simple_bind_s) aus. Keine in Windows XP Professional enthaltenen Microsoft LDAP-Clients verwenden ldap_simple_bind oder ldap_simple_bind_s, um mit einem Domänencontroller zu kommunizieren. Der empfohlene Status für diese Einstellung ist Negotiate signing. Wenn diese Einstellung auf Require signing festgelegt wird, entspricht sie auch dem Vergleichstest.
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Negotiate signing fest (die Konfiguration auf Require signing entspricht ebenfalls dem Benchmark):
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: LDAP-Clientsignaturanforderungen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93303
        STIG WS2016 V-73693
        CIS WS2019 2.3.11.8
        CIS WS2022 2.3.11.8
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)
(CCE-37553-5)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welches Verhalten von Clients für Anwendungen zugelassen ist, die den NTLM-Security Support Provider (SSP) verwenden. Die SSP-Schnittstelle (SSP Interface, SSPI) wird von Anwendungen verwendet, die Authentifizierungsdienste benötigen. Die Einstellung ändert nicht die Funktionsweise der Authentifizierungssequenz, sondern setzt stattdessen bestimmte Verhaltensweisen in Anwendungen voraus, die die SSPI verwenden. Der empfohlene Status für diese Einstellung ist Require NTLMv2 session security, Require 128-bit encryption. Hinweis: Diese Werte hängen vom Sicherheitseinstellungswert Netzwerksicherheit: LAN Manager-Authentifizierungsebene ab.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Require NTLMv2 session security, Require 128-bit encryptionfest: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: Mindestsitzungssicherheit für NTLM SSP-basierte Clients (einschließlich sicherer RPC)-Clients
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.11.9
537395200
(Registrierung)
Kritisch
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)
(CCE-37835-6)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welches Verhalten von Servern für Anwendungen zugelassen ist, die den NTLM-Security Support Provider (SSP) verwenden. Die SSP-Schnittstelle (SSP Interface, SSPI) wird von Anwendungen verwendet, die Authentifizierungsdienste benötigen. Die Einstellung ändert nicht die Funktionsweise der Authentifizierungssequenz, sondern setzt stattdessen bestimmte Verhaltensweisen in Anwendungen voraus, die die SSPI verwenden. Der empfohlene Status für diese Einstellung ist Require NTLMv2 session security, Require 128-bit encryption. Hinweis: Diese Werte hängen vom Sicherheitseinstellungswert Netzwerksicherheit: LAN Manager-Authentifizierungsebene ab.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Konfigurieren Sie den Richtlinienwert für Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: Mindestsitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC)-Server für NTLMv2-Sitzungssicherheit und 128-Bit-Verschlüsselung erforderlich (alle Optionen ausgewählt).
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.11.10
537395200
(Registrierung)
Kritisch

Sicherheitsoptionen – Herunterfahren

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen
(CCE-36788-8)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob ein Computer heruntergefahren werden kann, wenn ein Benutzer nicht angemeldet ist. Wenn diese Richtlinieneinstellung aktiviert ist, ist der Befehl „Herunterfahren“ auf dem Windows-Anmeldebildschirm verfügbar. Es wird empfohlen, diese Richtlinieneinstellung zu deaktivieren, damit ausschließlich Benutzer, die auf dem System angemeldet sind, den Computer herunterfahren können. Der empfohlene Status für diese Einstellung ist Disabled. Hinweis: In Server 2008 R2 und älteren Versionen hatte diese Einstellung keine Auswirkung auf Remotedesktop-/Terminaldienstesitzungen (RDP), sondern nur auf die lokale Konsole. Microsoft hat jedoch das Verhalten in Windows Server 2012 (nicht R2) und höher geändert. Bei aktivierter Einstellung können RDP-Sitzungen auch den Server herunterfahren oder neu starten.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Herunterfahren: System ohne Anmeldung herunterfahren lassen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.13.1
        CIS WS2022 2.3.13.1
Nicht vorhanden oder 0
(Registrierung)
Warnung
Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen
(AZ-WIN-00181)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob die Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems gelöscht wird. Wenn diese Richtlinieneinstellung aktiviert ist, wird die Systemauslagerungsdatei jedes Mal gelöscht, wenn das System ordnungsgemäß heruntergefahren wird. Wenn Sie diese Sicherheitseinstellung aktivieren, wird die Ruhezustandsdatei (Hiberfil.sys) bei Deaktivierung des Ruhezustands auf einem tragbaren Computersystem zurückgesetzt. Das Herunterfahren und Neustarten des Computers dauert länger, und auf Computern mit großen Auslagerungsdateien macht sich dies besonders bemerkbar.
Schlüsselpfad: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Konfigurieren Sie den Richtlinienwert für Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Herunterfahren: Auslagerungsdatei des virtuellen Speichers in Disabled löschen.
Konformitätsstandardzuordnungen:
Nicht vorhanden oder 0
(Registrierung)
Kritisch

Sicherheitsoptionen – Systemkryptografie

name
(ID)
Details Erwarteter Wert
(Typ)
severity
Benutzer müssen ein Kennwort eingeben, um auf private Schlüssel zuzugreifen, die auf dem Computer gespeichert sind.
(AZ-WIN-73699)
Beschreibung: Wenn der private Schlüssel erkannt wird, kann ein Angreifer den Schlüssel verwenden, um sich als autorisierter Benutzer zu authentifizieren und Zugriff auf die Netzwerkinfrastruktur zu erhalten. Der Eckpfeiler der PKI ist der private Schlüssel, der zum Verschlüsseln oder digitalen Signieren von Informationen verwendet wird. Wenn der private Schlüssel gestohlen wird, wird die Authentifizierung kompromittiert und entsprechende Angaben durch PKI nicht anerkannt. Der Angreifer kann den privaten Schlüssel nämlich verwenden, um Dokumente digital zu signieren und vorzugeben, dass er der autorisierte Benutzer ist. Sowohl die Inhaber eines digitalen Zertifikats als auch die ausstellende Behörde müssen die Computer, Speichergeräte und alles, was sie zum Schutz der privaten Schlüssel verwenden, sichern.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen
Konformitätsstandardzuordnungen:
= 2
(Registrierung)
Wichtig
Windows Server muss so konfiguriert werden, dass für Verschlüsselung, Hashing und Signatur FIPS-kompatible Algorithmen verwendet werden.
(AZ-WIN-73701)
Beschreibung: Über diese Einstellung wird sichergestellt, dass das System Algorithmen verwendet, die FIPS-konform für Verschlüsselung, Hashing und Signatur sind. FIPS-kompatible Algorithmen erfüllen spezifische Standards der US-Regierung und müssen für alle Verschlüsselungsfunktionen des Betriebssystems verwendet werden.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
OS: WS2016, WS2019, WS2022
Servertyp: Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signatur verwenden
Konformitätsstandardzuordnungen:
= 1
(Registrierung)
Wichtig

Sicherheitsoptionen – Systemobjekte

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Systemobjekte: Groß- und Kleinschreibung für Nicht-Windows-Subsysteme ignorieren
(CCE-37885-1)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob die Groß-/Kleinschreibung für alle Subsysteme ignoriert wird. Beim Microsoft Win32-Subsystem wird die Groß-/Kleinschreibung unterschieden. Der Kernel unterstützt jedoch die Unterscheidung nach Groß-/Kleinschreibung für andere Subsysteme, z. B. die Portable Operating System Interface für UNIX (POSIX). Da Windows die Groß-/Kleinschreibung ignoriert (aber das POSIX-Subsystem unterstützt die Groß-/Kleinschreibung), kann ein Benutzer des POSIX-Subsystems eine Datei mit dem Namen einer bereits vorhandenen Datei erstellen, indem er bei ihrer Benennung entsprechend zwischen Groß-/Kleinschreibung unterscheidet, wenn diese Richtlinieneinstellung nicht erzwungen wird. Eine solche Situation kann den Zugriff auf diese Dateien durch einen anderen Benutzer blockieren, der typische Win32-Tools verwendet, da nur eine der Dateien verfügbar sein wird. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Systemobjekte: Verlangen, dass bei Nicht-Windows-Subsystemen die Groß-/Kleinschreibung nicht beachtet wird.

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.15.1
        CIS WS2022 2.3.15.1
Nicht vorhanden oder 1
(Registrierung)
Warnung
Systemobjekte: Standardberechtigungen interner Systemobjekte (z.B. symbolischer Verknüpfungen) verstärken
(CCE-37644-2)
Beschreibung: Mit dieser Richtlinieneinstellung wird die Stärke der standardmäßigen freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL) für Objekte bestimmt. Active Directory verwaltet eine globale Liste mit freigegebenen Systemressourcen wie DOS-Gerätenamen, Mutexen und Semaphoren. Auf diese Weise können Objekte gefunden und von Prozessen gemeinsam genutzt werden. Jeder Objekttyp wird mit einer Standard-DACL erstellt, die angibt, wer auf die Objekte zugreifen kann und welche Berechtigungen erteilt werden. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Richtlinienwert für Computerkonfiguration konfigurieren\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolische Links) für Enabled stärken
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.3.15.2
= 1
(Registrierung)
Kritisch

Sicherheitsoptionen – Systemeinstellungen

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Richtlinien für die Softwareeinschränkung auf Windows-Programme anwenden
(AZ-WIN-00155)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob digitale Zertifikate verarbeitet werden, wenn Richtlinien zur Softwareeinschränkung aktiviert werden und ein Benutzer oder Prozess versucht, Software mit der Dateinamenerweiterung „.exe“ auszuführen. Sie aktiviert oder deaktiviert Zertifikatregeln (ein Richtlinienregeltyp zur Softwareeinschränkung). Mit Richtlinien zur Softwareeinschränkung können Sie eine Zertifikatsregel erstellen, die die Ausführung von Authenticode®-signierter Software basierend auf dem digitalen Zertifikat, das der Software zugeordnet ist, gestattet oder verweigert. Damit Zertifikatregeln in Richtlinien zur Softwareeinschränkung wirksam werden, müssen Sie diese Richtlinieneinstellung aktivieren.
Schlüsselpfad: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Systemeinstellungen: Zertifikatregeln auf ausführbaren Windows-Dateien für Softwareeinschränkungsrichtlinien verwenden
Konformitätsstandardzuordnungen:
= 1
(Registrierung)
Warnung

Sicherheitsoptionen – Benutzerkontensteuerung

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto
(CCE-36494-3)
Beschreibung: Mit dieser Richtlinieneinstellung wird das Verhalten des Administratorbestätigungsmodus für das integrierte Administratorkonto gesteuert. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: Admin Genehmigungsmodus für das integrierte Administratorkonto

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93431
        STIG WS2016 V-73707
        CIS WS2019 2.3.17.1
        CIS WS2022 2.3.17.1
= 1
(Registrierung)
Kritisch
Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern
(CCE-36863-9)
Beschreibung: Mit dieser Sicherheitseinstellung können Sie bestimmen, ob Programme für Bedienungshilfen für die Benutzeroberfläche (UIAccess oder UIA) automatisch den sicheren Desktop für Eingabeaufforderungen mit erhöhten Rechten eines Standardbenutzers deaktivieren können. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: UIAccess-Anwendungen erlauben, ohne den sicheren Desktop zur Erhöhung aufzufordern
Konformitätsstandardzuordnungen:
= 0
(Registrierung)
Kritisch
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus
(CCE-37029-6)
Beschreibung: Mit dieser Richtlinieneinstellung wird das Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren gesteuert. Der empfohlene Status für diese Einstellung ist Prompt for consent on the secure desktop.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Prompt for consent on the secure desktop fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93523
        STIG WS2016 V-73711
        CIS WS2019 2.3.17.2
        CIS WS2022 2.3.17.2
= 2
(Registrierung)
Kritisch
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer
(CCE-36864-7)
Beschreibung: Mit dieser Richtlinieneinstellung wird das Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer gesteuert. Der empfohlene Status für diese Einstellung ist Automatically deny elevation requests.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Automatically deny elevation requests: fest.
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93433
        STIG WS2016 V-73713
        CIS WS2019 2.3.17.3
        CIS WS2022 2.3.17.3
= 0
(Registrierung)
Kritisch
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern
(CCE-36533-8)
Beschreibung: Mit dieser Richtlinieneinstellung wird das Verhalten der Anwendungsinstallationserkennung für den Computer gesteuert. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93525
        STIG WS2016 V-73715
        CIS WS2019 2.3.17.4
        CIS WS2022 2.3.17.4
= 1
(Registrierung)
Kritisch
Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind
(CCE-37057-7)
Beschreibung: Mit dieser Richtlinieneinstellung wird gesteuert, ob sich Anwendungen, die mit einer Integritätsebene für Bedienungshilfen für die Benutzeroberfläche (UIAccess) ausgeführt werden müssen, sich an einem sicheren Speicherort im Dateisystem befinden müssen. Sichere Speicherorte sind auf Folgendes beschränkt: – …\Program Files\, einschließlich Unterordner – …\Windows\system32\ - …\Program Files (x86)\, einschließlich Unterordner für 64-Bit-Versionen von Windows Hinweis: Windows erzwingt eine PKI-Signaturüberprüfung (Public Key-Infrastruktur) für jede interaktive Anwendung, die unabhängig vom Status dieser Sicherheitseinstellung die Ausführung mit einer UIAccess-Integritätsebene anfordert. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93527
        STIG WS2016 V-73717
        CIS WS2019 2.3.17.5
        CIS WS2022 2.3.17.5
= 1
(Registrierung)
Kritisch
Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen
(CCE-36869-6)
Beschreibung: Mit dieser Richtlinieneinstellung wird das Verhalten aller UAC-Richtlinieneinstellungen (User Account Control, Benutzerkontensteuerung) für den Computer gesteuert. Wenn Sie diese Richtlinieneinstellung ändern, müssen Sie den Computer neu starten. Der empfohlene Status für diese Einstellung ist Enabled. Hinweis: Wenn diese Richtlinieneinstellung deaktiviert ist, werden Sie vom Security Center darüber benachrichtigt, dass die allgemeine Sicherheit des Betriebssystems eingeschränkt ist.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93435
        STIG WS2016 V-73719
        CIS WS2019 2.3.17.6
        CIS WS2022 2.3.17.6
= 1
(Registrierung)
Kritisch
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln
(CCE-36866-2)
Beschreibung: Mit dieser Richtlinieneinstellung wird gesteuert, ob die Eingabeaufforderung für erhöhte Rechte auf dem Desktop des interaktiven Benutzers oder auf dem sicheren Desktop angezeigt wird. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93521
        STIG WS2016 V-73709
        CIS WS2019 2.3.17.7
        CIS WS2022 2.3.17.7
= 1
(Registrierung)
Kritisch
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren
(CCE-37064-3)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie bestimmen, ob Fehler bei Anwendungsschreibvorgängen an definierte Registrierungs- und Dateisystemspeicherorte weitergeleitet werden. Mit dieser Richtlinieneinstellung werden Anwendungen, die mit Administratorrechten ausgeführt werden und Laufzeitanwendungsdaten schreiben, zu folgenden Verzeichnissen weitergeleitet: %ProgramFiles%, %Windir%, %Windir%\system32 oder HKEY_LOCAL_MACHINE\Software. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an benutzerspezifischen Speicherorten virtualisieren

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93529
        STIG WS2016 V-73721
        CIS WS2019 2.3.17.8
        CIS WS2022 2.3.17.8
= 1
(Registrierung)
Kritisch

Sicherheitseinstellungen – Kontorichtlinien

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Kontensperrungsschwelle
(AZ-WIN-73311)
Beschreibung: Über diese Richtlinieneinstellung wird die Anzahl der fehlgeschlagenen Anmeldeversuche bestimmt, bevor das Konto gesperrt wird. Wenn Sie diese Richtlinie auf 0 festlegen, entspricht dies nicht der Benchmark, da der Schwellenwert für die Kontosperrung dadurch deaktiviert wird. Der empfohlene Status für diese Einstellung ist 5 or fewer invalid logon attempt(s), but not 0. Hinweis: Kennwortrichtlinieneinstellungen (Abschnitt 1.1) und Kontosperrrichtlinieneinstellungen (Abschnitt 1.2) müssen über das GPO der Standarddomänenrichtlinie angewendet werden, um global als Standardverhalten für Domänenbenutzerkonten zu gelten. Wenn diese Einstellungen in einem anderen Gruppenrichtlinienobjekt konfiguriert sind, wirken sie sich nur auf lokale Benutzerkonten auf den Computern aus, auf denen das Gruppenrichtlinienobjekt empfangen wird. Benutzerdefinierte Ausnahmen für Regeln im Zusammenhang mit der Standardkennwortrichtlinie und der Kontosperrrichtlinie für bestimmte Domänenbenutzer und/oder Gruppen können jedoch mithilfe von Kennworteinstellungsobjekten (Password Settings Objects, PSOs) definiert werden. Diese sind vollständig separat von der Gruppenrichtlinie und werden am einfachsten über das Active Directory-Verwaltungscenter konfiguriert.
Schlüsselpfad: [System Access]LockoutBadCount
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Richtlinie für Kontosperrung\Schwellenwert für die Kontosperrung
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 1.2.2
        CIS WS2019 1.2.2
In 1–3
(Richtlinie)
Wichtig
Kennwortchronik erzwingen
(CCE-37166-6)
Beschreibung:

Mit dieser Richtlinieneinstellung wird die Anzahl erneuerter, eindeutiger Kennwörter bestimmt, die einem Benutzerkonto zugeordnet sein müssen, bevor Sie ein altes Kennwort wiederverwenden können. Der Wert für diese Richtlinieneinstellung muss zwischen 0 und 24 Kennwörtern liegen. Der Standardwert für Windows Vista ist 0 Kennwörter, aber die Standardeinstellung in einer Domäne ist 24 Kennwörter. Um die Wirksamkeit dieser Richtlinieneinstellung aufrechtzuerhalten, verhindern Sie mit der Einstellung „Minimales Kennwortalter“, dass Benutzer ihr Kennwort wiederholt ändern. Der empfohlene Status für diese Einstellung ist „24 Kennwörter oder mehr“.


Schlüsselpfad: [System Access]PasswordHistorySize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf 24 or more password(s) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Kennwortverlauf erzwingen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 1.1.1
>= 24
(Richtlinie)
Kritisch
Maximales Kennwortalter
(CCE-37167-4)
Beschreibung: Mit dieser Richtlinieneinstellung wird definiert, wie lange ein Benutzer sein Kennwort verwenden kann, bevor es abläuft. Die Werte für diese Richtlinieneinstellung liegen zwischen 0 und 999 Tagen. Wenn Sie den Wert auf 0 festlegen, läuft das Kennwort nie ab. Angreifer können Kennwörter knacken, aber je häufiger Sie das Kennwort ändern, desto geringer werden die Chancen eines Angreifers, ein geknacktes Kennwort verwenden zu können. Je niedriger der Wert ist, desto höher ist jedoch die Wahrscheinlichkeit, dass mehr Benutzer um Helpdeskunterstützung bitten, da Benutzer ihr Kennwort ändern müssen oder das aktuelle Kennwort vergessen haben. Der empfohlene Status für diese Einstellung ist 60 or fewer days, but not 0.
Schlüsselpfad: [System Access]MaximumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf 365 or fewer days, but not 0 fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Maximales Kennwortalter
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 1.1.2
In 1-70
(Richtlinie)
Kritisch
Minimales Kennwortalter
(CCE-37073-4)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, wie viele Tage ein Kennwort verwendet werden muss, bevor es geändert werden kann. Der Wertebereich für diese Richtlinieneinstellung liegt zwischen 1 und 999 Tagen. (Sie können den Wert auch auf 0 setzen, um sofortige Kennwortänderungen zuzulassen). Der Standardwert für diese Einstellung ist 0 Tage. Der empfohlene Status für diese Einstellung ist 1 or more day(s).
Schlüsselpfad: [System Access]MinimumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf 1 or more day(s) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Mindestkennwortalter
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 1.1.3
>= 1
(Richtlinie)
Kritisch
Minimale Kennwortlänge
(CCE-36534-6)
Beschreibung: Die Richtlinieneinstellung bestimmt die Mindestanzahl von Zeichen eines Kennworts für ein Benutzerkonto. Es gibt viele verschiedene Theorien darüber, wie Sie die beste Kennwortlänge für eine Organisation ermitteln können, aber vielleicht ist „Passphrase“ ein besserer Begriff als „Kennwort“. Ab Microsoft Windows 2000 können Passphrasen recht lang sein und Leerzeichen enthalten. Daher ist ein Ausdruck wie „Ich möchte einen Milchshake für 5 € trinken“ eine gültige Passphrase. Sie ist ein deutlich stärkeres Kennwort als eine Folge von 8 oder 10 Zeichen, die zufällige Zahlen und Buchstaben sind, und noch einfacher zu merken. Benutzer müssen über die richtige Auswahl und Wartung von Kennwörtern informiert werden, insbesondere über die Kennwortlänge. In Unternehmensumgebungen beträgt der ideale Wert für die Einstellung „Minimale Kennwortlänge“ 14 Zeichen. Sie sollten diesen Wert jedoch den geschäftlichen Anforderungen Ihrer Organisation anpassen. Der empfohlene Status für diese Einstellung ist 14 or more character(s).
Schlüsselpfad: [System Access]MinimumPasswordLength
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf 14 or more character(s) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Mindestkennwortlänge
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 1.1.4
>= 14
(Richtlinie)
Kritisch
Das Kennwort muss den Komplexitätsanforderungen entsprechen
(CCE-37063-5)
Beschreibung: Diese Richtlinieneinstellung prüft alle neuen Kennwörter, um sicherzustellen, dass sie die grundlegenden Anforderungen für sichere Kennwörter erfüllen. Wenn diese Richtlinie aktiviert ist, müssen Kennwörter die folgenden Mindestanforderungen erfüllen: – Nicht den Kontonamen des Benutzers oder Teile des vollständigen Namens des Benutzers, die zwei aufeinander folgende Zeichen überschreiten, enthalten – Mindestens sechs Zeichen lang sein – Zeichen aus drei der folgenden vier Kategorien enthalten: – Englische Großbuchstaben (A bis Z) – Englische Kleinbuchstaben (a bis z) – 10 Ziffern (0 bis 9) – Nicht- alphabetische Zeichen (z. B. !, $, #, %) – Eine Catch-all-Kategorie eines beliebigen Unicode-Zeichens, das nicht unter die vorherigen vier Kategorien fällt. Diese fünfte Kategorie kann regionsspezifisch sein. Jedes zusätzliche Zeichen in einem Kennwort erhöht die Komplexität exponentiell. Beispielsweise würde ein Kennwort aus sieben Kleinbuchstaben 267 (ungefähr 8 x 109 oder 8 Milliarden) mögliche Kombinationen bieten. Bei 1 Million Versuchen pro Sekunde (was viele Programme zum Knacken von Kennwörtern leisten) wäre es nach nur 133 Minuten geknackt. Ein aus sieben Buchstaben bestehendes Kennwort mit Unterscheidung von Groß-/Kleinschreibung bietet 527 Kombinationen. Ein aus sieben Zeichen bestehendes alphanumerisches Kennwort mit Unterscheidung von Groß-/Kleinschreibung ohne Interpunktionszeichen bietet 627 Kombinationen. Ein 8 Zeichen langes Kennwort bietet 268 (oder 2 x 1011) mögliche Kombinationen. Diese Zahl erscheint zwar unvorstellbar groß, doch bei 1 Million Versuchen pro Sekunde würde es nur 59 Stunden dauern, bis alle möglichen Kennwörter ausprobiert sind. Beachten Sie, dass diese Zeiten bei Kennwörtern, die ALT-Zeichen und andere Tastatursonderzeichen (z. B. „!“ oder „@“) enthalten, erheblich zunehmen. Die richtige Verwendung der Kennworteinstellungen kann einen Brute-Force-Angriff erheblich erschweren. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: [System Access]PasswordComplexity
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Das Kennwort muss den Komplexitätsanforderungen entsprechen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93459
        STIG WS2016 V-73323
        CIS WS2019 1.1.5
        CIS WS2022 1.1.5
= 1
(Richtlinie)
Kritisch
Zurücksetzungsdauer des Kontosperrungszählers
(AZ-WIN-73309)
Beschreibung: Über diese Richtlinieneinstellung wird die Zeitdauer bestimmt, bevor der Schwellenwert für die Kontosperrung auf Null zurückgesetzt wird. Der Standardwert für diese Richtlinieneinstellung ist „Nicht definiert“. Wenn der Schwellenwert für die Kontosperrung definiert ist, muss diese Zeit zum Zurücksetzen kleiner oder gleich dem Wert für die Einstellung der Kontosperrdauer sein. Wenn Sie diese Richtlinieneinstellung bei ihrem Standardwert belassen oder den Wert auf ein zu langes Intervall konfigurieren, könnte Ihre Umgebung anfällig für einen DoS-Angriff sein. Ein Angreifer könnte eine Reihe fehlgeschlagener Anmeldeversuche für alle Benutzer in der Organisation ausführen, sodass ihre Konten gesperrt werden. Wenn keine Richtlinie zum Zurücksetzen der Kontosperre festgelegt wurde, wäre dies eine manuelle Aufgabe für Administratoren. Wenn hingegen ein angemessener Zeitwert für diese Richtlinieneinstellung konfiguriert ist, würden Benutzer für einen festgelegten Zeitraum gesperrt, bis alle Konten automatisch entsperrt werden. Der empfohlene Status für diese Einstellung ist 15 or more minute(s). Hinweis: Kennwortrichtlinieneinstellungen (Abschnitt 1.1) und Kontosperrrichtlinieneinstellungen (Abschnitt 1.2) müssen über das GPO der Standarddomänenrichtlinie angewendet werden, um global als Standardverhalten für Domänenbenutzerkonten zu gelten. Wenn diese Einstellungen in einem anderen Gruppenrichtlinienobjekt konfiguriert sind, wirken sie sich nur auf lokale Benutzerkonten auf den Computern aus, auf denen das Gruppenrichtlinienobjekt empfangen wird. Benutzerdefinierte Ausnahmen für Regeln im Zusammenhang mit der Standardkennwortrichtlinie und der Kontosperrrichtlinie für bestimmte Domänenbenutzer und/oder Gruppen können jedoch mithilfe von Kennworteinstellungsobjekten (Password Settings Objects, PSOs) definiert werden. Diese sind vollständig separat von der Gruppenrichtlinie und werden am einfachsten über das Active Directory-Verwaltungscenter konfiguriert.
Schlüsselpfad: [System Access]ResetLockoutCount
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Richtlinie für Kontosperrung\Zähler für Kontosperrung zurücksetzen nach
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 1.2.3
        CIS WS2019 1.2.3
>= 15
(Richtlinie)
Wichtig
Kennwörter mit umkehrbarer Verschlüsselung speichern
(CCE-36286-3)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob das Betriebssystem Kennwörter so speichert, dass eine umkehrbare Verschlüsselung verwendet wird. So werden Anwendungsprotokolle unterstützt, die zur Authentifizierung das Kennwort des Benutzers kennen müssen. Kennwörter, die mit umkehrbarer Verschlüsselung gespeichert werden, entsprechen im Wesentlichen den Nur-Text-Versionen der Kennwörter. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: [System Access]ClearTextPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Kennwörter mit reversibler Verschlüsselung speichern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93465
        STIG WS2016 V-73325
        CIS WS2019 1.1.7
        CIS WS2022 1.1.7
= 0
(Richtlinie)
Kritisch

Sicherheitseinstellungen – Windows-Firewall

name
(ID)
Details Erwarteter Wert
(Typ)
severity
Windows-Firewall: Domäne: Unicastantwort zulassen
(AZ-WIN-00088)
Beschreibung:

Diese Option ist nützlich, wenn Sie steuern müssen, ob dieser Computer Unicastantworten auf seine ausgehenden Multicast- oder Broadcastnachrichten empfängt.  

Es wird empfohlen, diese Einstellung für private und Domänenprofile auf „Ja“ festzulegen. Dadurch wird der Registrierungswert auf 0 festgelegt.


Schlüsselpfad: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Richtlinienwert für Computerkonfiguration konfigurieren\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewalleigenschaften (dieser Link befindet sich im Bereich rechts)\Registerkarte „Domänenprofil“\Einstellungen (wählen Sie Anpassen)\Unicastantwort, Unicastantwort zulassen
Konformitätsstandardzuordnungen:
= 0
(Registrierung)
Warnung
Windows-Firewall: Domäne: Firewallstatus
(CCE-36062-8)
Beschreibung: Wählen Sie „Ein“ (empfohlen) aus, damit die Windows-Firewall mit erweiterter Sicherheit die Einstellungen für dieses Profil verwendet, um den Netzwerkdatenverkehr zu filtern. Wenn diese Einstellung deaktiviert ist, verwendet „Windows-Firewall mit erweiterter Sicherheit“ keine der Firewallregeln oder Verbindungssicherheitsregeln für dieses Profil.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf On (recommended) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Domänenprofil\Firewallstatus
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.1.1
= 1
(Registrierung)
Kritisch
Windows-Firewall: Domäne: Eingehende Verbindungen
(AZ-WIN-202252)
Beschreibung: Mit dieser Einstellung wird das Verhalten für eingehende Verbindungen angegeben, wenn die Verbindung mit keiner Firewallregel für eingehenden Datenverkehr übereinstimmt. Der empfohlene Status für diese Einstellung ist Block (default).
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Group Policy Path: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Domänenprofil\Eingehende Verbindungen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.1.2
        CIS WS2019 9.1.2
= 1
(Registrierung)
Kritisch
Windows-Firewall: Domäne: Protokollierung: Gelöschte Pakete protokollieren
(AZ-WIN-202226)
Beschreibung: Verwenden Sie diese Option, um Ereignisse zu protokollieren, in denen die Windows-Firewall mit erweiterter Sicherheit ein eingehendes Paket aus einem beliebigen Grund verwirft. Das Protokoll erfasst, warum und wann das Paket verworfen wurde. Suchen Sie nach Einträgen mit dem Wort DROP in der Aktionsspalte des Protokolls. Der empfohlene Status für diese Einstellung ist Yes.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Domänenprofil\Anpassungsprotokollierung\Verworfene Pakete protokollieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.1.7
        CIS WS2019 9.1.7
= 1
(Registrierung)
Informational
Windows-Firewall: Domäne: Protokollierung: Erfolgreiche Verbindungen protokollieren
(AZ-WIN-202227)
Beschreibung: Verwenden Sie diese Option, um Ereignisse zu protokollieren, in denen die Windows-Firewall mit erweiterter Sicherheit eine eingehende Verbindung zulässt. Das Protokoll erfasst, warum und wann die Verbindung hergestellt wurde. Suchen Sie nach Einträgen mit dem Wort ALLOW in der Aktionsspalte des Protokolls. Der empfohlene Status für diese Einstellung ist Yes.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Domänenprofil\Anpassungsprotokollierung\Erfolgreiche Verbindungen protokollieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.1.8
        CIS WS2019 9.1.8
= 1
(Registrierung)
Warnung
Windows-Firewall: Domäne: Protokollierung: Name
(AZ-WIN-202224)
Beschreibung: Verwenden Sie diese Option, um den Pfad und den Namen der Datei anzugeben, in der die Windows-Firewall Protokollinformationen schreibt. Der empfohlene Status für diese Einstellung ist %SystemRoot%\System32\logfiles\firewall\domainfw.log.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Domänenprofil\Anpassungsprotokollierung\Name
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.1.5
        CIS WS2019 9.1.5
= %SystemRoot%\System32\logfiles\firewall\domainfw.log
(Registrierung)
Informational
Windows-Firewall: Domäne: Protokollierung: Größenlimit (KB)
(AZ-WIN-202225)
Beschreibung: Verwenden Sie diese Option, um das Größenlimit der Datei anzugeben, in der die Windows-Firewall Protokollinformationen schreibt. Der empfohlene Status für diese Einstellung ist 16,384 KB or greater.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Domänenprofil\Anpassungsprotokollierung\Größenlimit (KB)
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.1.6
        CIS WS2019 9.1.6
>= 16384
(Registrierung)
Warnung
Windows-Firewall: Domäne: Ausgehende Verbindungen
(CCE-36146-9)
Beschreibung: Mit dieser Einstellung wird das Verhalten für ausgehende Verbindungen angegeben, wenn die Verbindung mit keiner Firewallregel für ausgehenden Datenverkehr übereinstimmt. In Windows Vista ist das Standardverhalten, Verbindungen zuzulassen, sofern keine Firewallregeln die Verbindung blockieren.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Allow (default) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Domänenprofil\Ausgehende Verbindungen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.1.3
= 0
(Registrierung)
Kritisch
Windows-Firewall: Domäne: Einstellungen: Lokale Verbindungssicherheitsregeln anwenden
(CCE-38040-2)
Beschreibung:

Diese Einstellung steuert, ob lokale Administratoren lokale Verbindungsregeln erstellen dürfen, die gemeinsam mit den über die Gruppenrichtlinie konfigurierten Firewallregeln angewendet werden. Der empfohlene Status für diese Einstellung ist „Ja“. Dadurch wird der Registrierungswert auf 1 festgelegt.


Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Richtlinienwert für Computerkonfiguration konfigurieren\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewalleigenschaften (dieser Link befindet sich im Bereich rechts)\Registerkarte „Domänenprofil“\Einstellungen (Anpassen auswählen)\Zusammenführung von Regeln, Lokale Sicherheitsregeln für Verbindungen anwenden
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.3.6
= 1
(Registrierung)
Kritisch
Windows-Firewall: Domäne: Einstellungen: Lokale Firewallregeln anwenden
(CCE-37860-4)
Beschreibung:

Diese Einstellung steuert, ob lokale Administratoren lokale Firewallregeln erstellen dürfen, die gemeinsam mit den über die Gruppenrichtlinie konfigurierten Firewallregeln angewendet werden.

Der empfohlene Status für diese Einstellung ist „Ja“. Dadurch wird der Registrierungswert auf 1 festgelegt.


Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewalleigenschaften (dieser Link befindet sich im Bereich rechts)\Registerkarte „Domänenprofil“\Einstellungen (Anpassen auswählen)\Zusammenführung von Regeln, Lokale Firewallregeln anwenden
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.3.5
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Windows-Firewall: Domäne: Einstellungen: Benachrichtigung anzeigen
(CCE-38041-0)
Beschreibung:

Wenn Sie diese Option auswählen, wird dem Benutzer keine Benachrichtigung angezeigt, wenn der Empfang eingehender Verbindungen für ein Programm blockiert wird. In einer Serverumgebung sind die Popups nicht sinnvoll, da der Benutzer nicht angemeldet ist. Popups sind nicht notwendig und können für den Administrator verwirrend sein.  

Konfigurieren Sie diese Richtlinieneinstellung auf „Nein“, dadurch wird der Registrierungswert auf 1 festgelegt.  Die Windows-Firewall zeigt keine Benachrichtigung an, wenn der Empfang eingehender Verbindungen für ein Programm blockiert wird.


Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Domänenprofil\Anpassungseinstellungen\Benachrichtigung anzeigen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.1.4
= 1
(Registrierung)
Warnung
Windows-Firewall: Privat: Unicastantwort zulassen
(AZ-WIN-00089)
Beschreibung:

Diese Option ist nützlich, wenn Sie steuern müssen, ob dieser Computer Unicastantworten auf seine ausgehenden Multicast- oder Broadcastnachrichten empfängt.  

Es wird empfohlen, diese Einstellung für private und Domänenprofile auf „Ja“ festzulegen. Dadurch wird der Registrierungswert auf 0 festgelegt.


Schlüsselpfad: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewalleigenschaften (dieser Link befindet sich im Bereich rechts)\Registerkarte „Privates Profil“\Einstellungen (wählen Sie Anpassen)\Unicastantwort, Unicastantwort zulassen
Konformitätsstandardzuordnungen:
= 0
(Registrierung)
Warnung
Windows-Firewall: Privat: Firewallstatus
(CCE-38239-0)
Beschreibung: Wählen Sie „Ein“ (empfohlen) aus, damit die Windows-Firewall mit erweiterter Sicherheit die Einstellungen für dieses Profil verwendet, um den Netzwerkdatenverkehr zu filtern. Wenn diese Einstellung deaktiviert ist, verwendet „Windows-Firewall mit erweiterter Sicherheit“ keine der Firewallregeln oder Verbindungssicherheitsregeln für dieses Profil.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf On (recommended) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Privates Profil\Firewallstatus
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.2.1
= 1
(Registrierung)
Kritisch
Windows-Firewall: Privat: Eingehende Verbindungen
(AZ-WIN-202228)
Beschreibung: Mit dieser Einstellung wird das Verhalten für eingehende Verbindungen angegeben, wenn die Verbindung mit keiner Firewallregel für eingehenden Datenverkehr übereinstimmt. Der empfohlene Status für diese Einstellung ist Block (default).
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Group Policy Path: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Privates Profil\Eingehende Verbindungen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.2.2
        CIS WS2019 9.2.2
= 1
(Registrierung)
Kritisch
Windows-Firewall: Privat: Protokollierung: Gelöschte Pakete protokollieren
(AZ-WIN-202231)
Beschreibung: Verwenden Sie diese Option, um Ereignisse zu protokollieren, in denen die Windows-Firewall mit erweiterter Sicherheit ein eingehendes Paket aus einem beliebigen Grund verwirft. Das Protokoll erfasst, warum und wann das Paket verworfen wurde. Suchen Sie nach Einträgen mit dem Wort DROP in der Aktionsspalte des Protokolls. Der empfohlene Status für diese Einstellung ist Yes.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Privates Profil\Anpassungsprotokollierung\Verworfene Pakete protokollieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.2.7
        CIS WS2019 9.2.7
= 1
(Registrierung)
Informational
Windows-Firewall: Privat: Protokollierung: Erfolgreiche Verbindungen protokollieren
(AZ-WIN-202232)
Beschreibung: Verwenden Sie diese Option, um Ereignisse zu protokollieren, in denen die Windows-Firewall mit erweiterter Sicherheit eine eingehende Verbindung zulässt. Das Protokoll erfasst, warum und wann die Verbindung hergestellt wurde. Suchen Sie nach Einträgen mit dem Wort ALLOW in der Aktionsspalte des Protokolls. Der empfohlene Status für diese Einstellung ist Yes.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Privates Profil\Anpassungsprotokollierung\Erfolgreiche Verbindungen protokollieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.2.8
        CIS WS2019 9.2.8
= 1
(Registrierung)
Warnung
Windows-Firewall: Privat: Protokollierung: Name
(AZ-WIN-202229)
Beschreibung: Verwenden Sie diese Option, um den Pfad und den Namen der Datei anzugeben, in der die Windows-Firewall Protokollinformationen schreibt. Der empfohlene Status für diese Einstellung ist %SystemRoot%\System32\logfiles\firewall\privatefw.log.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Privates Profil\Anpassungsprotokollierung\Name
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.2.5
        CIS WS2019 9.2.5
= %SystemRoot%\System32\logfiles\firewall\privatefw.log
(Registrierung)
Informational
Windows-Firewall: Privat: Protokollierung: Größenlimit (KB)
(AZ-WIN-202230)
Beschreibung: Verwenden Sie diese Option, um das Größenlimit der Datei anzugeben, in der die Windows-Firewall Protokollinformationen schreibt. Der empfohlene Status für diese Einstellung ist 16,384 KB or greater.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Privates Profil\Anpassungsprotokollierung\Größenlimit (KB)
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.2.6
        CIS WS2019 9.2.6
>= 16384
(Registrierung)
Warnung
Windows-Firewall: Privat: Ausgehende Verbindungen
(CCE-38332-3)
Beschreibung: Mit dieser Einstellung wird das Verhalten für ausgehende Verbindungen angegeben, wenn die Verbindung mit keiner Firewallregel für ausgehenden Datenverkehr übereinstimmt. Das Standardverhalten ist, Verbindungen zuzulassen, sofern keine Firewallregeln die Verbindung blockieren. Wichtig: Wenn Sie ausgehende Verbindungen auf „Blockieren“ festlegen und dann die Firewallrichtlinie mit einem Gruppenrichtlinienobjekt bereitstellen, können Computer, die die GPO-Einstellungen empfangen, keine nachfolgenden Gruppenrichtlinienupdates empfangen, es sei denn, Sie erstellen eine Ausgangsregel, damit die Gruppenrichtlinie funktioniert, und stellen diese Regel bereit. Vordefinierte Regeln für Kernnetzwerke umfassen Ausgangsregeln, die die Funktion der Gruppenrichtlinie ermöglichen. Stellen Sie sicher, dass diese Ausgangsregeln aktiv sind, und testen Sie Firewallprofile vor der Bereitstellung gründlich.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Allow (default) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Privates Profil\Ausgehende Verbindungen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.2.3
= 0
(Registrierung)
Kritisch
Windows-Firewall: Privat: Einstellungen: Lokale Verbindungssicherheitsregeln anwenden
(CCE-36063-6)
Beschreibung:

Diese Einstellung steuert, ob lokale Administratoren lokale Verbindungsregeln erstellen dürfen, die gemeinsam mit den über die Gruppenrichtlinie konfigurierten Firewallregeln angewendet werden. Der empfohlene Status für diese Einstellung ist „Ja“. Dadurch wird der Registrierungswert auf 1 festgelegt.


Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewalleigenschaften (dieser Link befindet sich im Bereich rechts)\Registerkarte „Privates Profil“\Einstellungen (Anpassen auswählen)\Zusammenführung von Regeln, lokale Regeln für Verbindungssicherheit anwenden
Konformitätsstandardzuordnungen:
= 1
(Registrierung)
Kritisch
Windows-Firewall: Privat: Einstellungen: Lokale Firewallregeln anwenden
(CCE-37438-9)
Beschreibung:

Diese Einstellung steuert, ob lokale Administratoren lokale Firewallregeln erstellen dürfen, die gemeinsam mit den über die Gruppenrichtlinie konfigurierten Firewallregeln angewendet werden.

Der empfohlene Status für diese Einstellung ist „Ja“. Dadurch wird der Registrierungswert auf 1 festgelegt.


Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Richtlinienwert für Computerkonfiguration konfigurieren\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewalleigenschaften (dieser Link befindet sich im Bereich rechts)\Registerkarte „Privates Profil“\Einstellungen (Anpassen auswählen)\Zusammenführung von Regeln, Lokale Sicherheitsregeln für Verbindungen anwenden
Konformitätsstandardzuordnungen:
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Windows-Firewall: Privat: Einstellungen: Benachrichtigung anzeigen
(CCE-37621-0)
Beschreibung:

Wenn Sie diese Option auswählen, wird dem Benutzer keine Benachrichtigung angezeigt, wenn der Empfang eingehender Verbindungen für ein Programm blockiert wird. In einer Serverumgebung sind die Popups nicht sinnvoll, da der Benutzer nicht angemeldet ist. Popups sind nicht notwendig und können für den Administrator verwirrend sein.  

 Konfigurieren Sie diese Richtlinieneinstellung auf „Nein“, dadurch wird der Registrierungswert auf 1 festgelegt.  Die Windows-Firewall zeigt keine Benachrichtigung an, wenn der Empfang eingehender Verbindungen für ein Programm blockiert wird.


Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Privates Profil\Anpassungseinstellungen\Benachrichtigung anzeigen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.2.4
= 1
(Registrierung)
Warnung
Windows-Firewall: Öffentlich: Unicastantwort zulassen
(AZ-WIN-00090)
Beschreibung:

Diese Option ist nützlich, wenn Sie steuern müssen, ob dieser Computer Unicastantworten auf seine ausgehenden Multicast- oder Broadcastnachrichten empfängt. Hierzu können Sie den Status für diese Einstellung in „Nein“ ändern, wodurch der Registrierungswert auf 1 eingestellt wird.


Schlüsselpfad: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Richtlinienwert für Computerkonfiguration konfigurieren\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewalleigenschaften (dieser Link befindet sich im Bereich rechts)\Registerkarte „Öffentliches Profil“\Einstellungen (wählen Sie Anpassen)\Unicastantwort, Unicastantwort zulassen
Konformitätsstandardzuordnungen:
= 1
(Registrierung)
Warnung
Windows-Firewall: Öffentlich: Firewallstatus
(CCE-37862-0)
Beschreibung: Wählen Sie „Ein“ (empfohlen) aus, damit die Windows-Firewall mit erweiterter Sicherheit die Einstellungen für dieses Profil verwendet, um den Netzwerkdatenverkehr zu filtern. Wenn diese Einstellung deaktiviert ist, verwendet „Windows-Firewall mit erweiterter Sicherheit“ keine der Firewallregeln oder Verbindungssicherheitsregeln für dieses Profil.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf On (recommended) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Firewallstatus
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.3.1
= 1
(Registrierung)
Kritisch
Windows-Firewall: Öffentlich: Eingehende Verbindungen
(AZ-WIN-202234)
Beschreibung: Mit dieser Einstellung wird das Verhalten für eingehende Verbindungen angegeben, wenn die Verbindung mit keiner Firewallregel für eingehenden Datenverkehr übereinstimmt. Der empfohlene Status für diese Einstellung ist Block (default).
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Group Policy Path: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Eingehende Verbindungen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.3.2
        CIS WS2019 9.3.2
= 1
(Registrierung)
Kritisch
Windows-Firewall: Öffentlich: Protokollierung: Gelöschte Pakete protokollieren
(AZ-WIN-202237)
Beschreibung: Verwenden Sie diese Option, um Ereignisse zu protokollieren, in denen die Windows-Firewall mit erweiterter Sicherheit ein eingehendes Paket aus einem beliebigen Grund verwirft. Das Protokoll erfasst, warum und wann das Paket verworfen wurde. Suchen Sie nach Einträgen mit dem Wort DROP in der Aktionsspalte des Protokolls. Der empfohlene Status für diese Einstellung ist Yes.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Anpassungsprotokollierung\Verworfene Pakete protokollieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.3.9
        CIS WS2019 9.3.9
= 1
(Registrierung)
Informational
Windows-Firewall: Öffentlich: Protokollierung: Erfolgreiche Verbindungen protokollieren
(AZ-WIN-202233)
Beschreibung: Verwenden Sie diese Option, um Ereignisse zu protokollieren, in denen die Windows-Firewall mit erweiterter Sicherheit eine eingehende Verbindung zulässt. Das Protokoll erfasst, warum und wann die Verbindung hergestellt wurde. Suchen Sie nach Einträgen mit dem Wort ALLOW in der Aktionsspalte des Protokolls. Der empfohlene Status für diese Einstellung ist Yes.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Anpassungsprotokollierung\Erfolgreiche Verbindungen protokollieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.3.10
        CIS WS2019 9.3.10
= 1
(Registrierung)
Warnung
Windows-Firewall: Öffentlich: Protokollierung: Name
(AZ-WIN-202235)
Beschreibung: Verwenden Sie diese Option, um den Pfad und den Namen der Datei anzugeben, in der die Windows-Firewall Protokollinformationen schreibt. Der empfohlene Status für diese Einstellung ist %SystemRoot%\System32\logfiles\firewall\publicfw.log.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Anpassungsprotokollierung\Name
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.3.7
        CIS WS2019 9.3.7
= %SystemRoot%\System32\logfiles\firewall\publicfw.log
(Registrierung)
Informational
Windows-Firewall: Öffentlich: Protokollierung: Größenlimit (KB)
(AZ-WIN-202236)
Beschreibung: Verwenden Sie diese Option, um das Größenlimit der Datei anzugeben, in der die Windows-Firewall Protokollinformationen schreibt. Der empfohlene Status für diese Einstellung ist 16,384 KB or greater.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Anpassungsprotokollierung\Größenlimit (KB)
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 9.3.8
        CIS WS2019 9.3.8
>= 16384
(Registrierung)
Informational
Windows-Firewall: Öffentlich: Ausgehende Verbindungen
(CCE-37434-8)
Beschreibung: Mit dieser Einstellung wird das Verhalten für ausgehende Verbindungen angegeben, wenn die Verbindung mit keiner Firewallregel für ausgehenden Datenverkehr übereinstimmt. Das Standardverhalten ist, Verbindungen zuzulassen, sofern keine Firewallregeln die Verbindung blockieren. Wichtig: Wenn Sie ausgehende Verbindungen auf „Blockieren“ festlegen und dann die Firewallrichtlinie mit einem Gruppenrichtlinienobjekt bereitstellen, können Computer, die die GPO-Einstellungen empfangen, keine nachfolgenden Gruppenrichtlinienupdates empfangen, es sei denn, Sie erstellen eine Ausgangsregel, damit die Gruppenrichtlinie funktioniert, und stellen diese Regel bereit. Vordefinierte Regeln für Kernnetzwerke umfassen Ausgangsregeln, die die Funktion der Gruppenrichtlinie ermöglichen. Stellen Sie sicher, dass diese Ausgangsregeln aktiv sind, und testen Sie Firewallprofile vor der Bereitstellung gründlich.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Allow (default) fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Ausgehende Verbindungen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.3.3
= 0
(Registrierung)
Kritisch
Windows-Firewall: Öffentlich: Einstellungen: Lokale Verbindungssicherheitsregeln anwenden
(CCE-36268-1)
Beschreibung:

Diese Einstellung steuert, ob lokale Administratoren lokale Verbindungsregeln erstellen dürfen, die gemeinsam mit den über die Gruppenrichtlinie konfigurierten Firewallregeln angewendet werden. Der empfohlene Status für diese Einstellung ist „Ja“. Dadurch wird der Registrierungswert auf 1 festgelegt.


Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Anpassungseinstellungen\Sicherheitsregeln für lokale Verbindung anwenden
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.3.6
= 1
(Registrierung)
Kritisch
Windows-Firewall: Öffentlich: Einstellungen: Lokale Firewallregeln anwenden
(CCE-37861-2)
Beschreibung:

Diese Einstellung steuert, ob lokale Administratoren lokale Firewallregeln erstellen dürfen, die gemeinsam mit den über die Gruppenrichtlinie konfigurierten Firewallregeln angewendet werden.

Der empfohlene Status für diese Einstellung ist „Ja“. Dadurch wird der Registrierungswert auf 1 festgelegt.


Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Anpassungseinstellungen\Lokale Firewallregeln anwenden
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.3.5
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Windows-Firewall: Öffentlich: Einstellungen: Benachrichtigung anzeigen
(CCE-38043-6)
Beschreibung:

Wenn Sie diese Option auswählen, wird dem Benutzer keine Benachrichtigung angezeigt, wenn der Empfang eingehender Verbindungen für ein Programm blockiert wird. In einer Serverumgebung sind die Popups nicht sinnvoll, da der Benutzer nicht angemeldet ist. Popups sind nicht notwendig und können für den Administrator verwirrend sein.  

Konfigurieren Sie diese Richtlinieneinstellung auf „Nein“, dadurch wird der Registrierungswert auf 1 festgelegt.  Die Windows-Firewall zeigt keine Benachrichtigung an, wenn der Empfang eingehender Verbindungen für ein Programm blockiert wird.


Schlüsselpfad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewall mit Erweiterter Sicherheit\Windows-Firewalleigenschaften\Öffentliches Profil\Anpassungseinstellungen\Benachrichtigung anzeigen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 9.3.4
= 1
(Registrierung)
Warnung

Systemüberwachungsrichtlinien – Kontoanmeldung

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Überprüfen der Anmeldeinformationen überwachen
(CCE-37741-6)
Beschreibung:

Diese Unterkategorie meldet die Ergebnisse von Validierungstests für Anmeldeinformationen, die für eine Anmeldeanforderung eines Benutzerkontos übermittelt wurden. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist. Für Domänenkonten ist der Domänencontroller maßgebend, während für lokale Konten der lokale Computer maßgebend ist. In Domänenumgebungen treten die meisten Kontoanmeldeereignisse im Sicherheitsprotokoll der Domänencontroller auf, die für die Domänenkonten maßgebend sind. Diese Ereignisse können jedoch auf anderen Computern in der Organisation auftreten, wenn lokale Konten zur Anmeldung verwendet werden. Zu den Ereignissen für diese Unterkategorie zählen: – 4774: Ein Konto wurde für die Anmeldung zugeordnet. – 4775: Ein Konto konnte nicht für die Anmeldung zugeordnet werden. – 4776: Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu validieren. – 4777: Der Domänencontroller konnte die Anmeldeinformationen für ein Konto nicht validieren. Der empfohlene Status für diese Einstellung ist „Erfolg und Fehler“.


Schlüsselpfad: {0CCE923F-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success and Failure fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Kontoanmeldung\Validierung der Anmeldeinformationen überwachen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93153
        STIG WS2016 V-73413
        CIS WS2019 17.1.1
        CIS WS2022 17.1.1
Erfolg und Fehler
(Überwachung)
Kritisch
Kerberos-Authentifizierungsdienst überwachen
(AZ-WIN-00004)
Beschreibung: Diese Unterkategorie meldet die Ergebnisse von Ereignissen, die nach einer TGT-Anforderung für die Kerberos-Authentifizierung generiert wurden. Kerberos ist ein verteilter Authentifizierungsdienst, durch den ein im Auftrag eines Benutzers ausgeführter Client seine Identität auf einem Server nachweisen kann, ohne Daten über das Netzwerk zu senden. Dadurch wird das Risiko gemindert, dass ein Angreifer oder ein Server die Identität eines Benutzers annimmt. - 4768: Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert. - 4771: Fehler bei der Kerberos-Vorabauthentifizierung. - 4772: Fehler bei einer Kerberos-Authentifizierungsticketanforderung. Der empfohlene Status für diese Einstellung ist Success and Failure.
Schlüsselpfad: {0CCE9242-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Kontoanmeldung\Kerberos-Authentifizierungsdienst überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.1.2
        CIS WS2019 17.1.2
>Erfolg und Fehler
(Überwachung)
Kritisch

Systemüberwachungsrichtlinien – Kontoverwaltung

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Verteilergruppenverwaltung überwachen
(CCE-36265-7)
Beschreibung: Diese Unterkategorie meldet jedes Ereignis der Verteilergruppenverwaltung, z. B. wenn eine Verteilergruppe erstellt, geändert oder gelöscht wird oder ein Mitglied einer Verteilergruppe hinzugefügt bzw. daraus entfernt wird. Wenn Sie diese Überwachungsrichtlinieneinstellung aktivieren, können Administratoren Ereignisse nachverfolgen, um eine böswillige, versehentliche und autorisierte Erstellung von Gruppenkonten zu erkennen. Zu den Ereignissen für diese Unterkategorie gehören: – 4744: Eine lokale Gruppe mit deaktivierter Sicherheit wurde erstellt. - 4745: Eine lokale Gruppe mit deaktivierter Sicherheit wurde geändert. - 4746: Ein Mitglied wurde einer lokalen Gruppe mit deaktivierter Sicherheit hinzugefügt. -4747: Ein Mitglied wurde aus einer lokalen Gruppe mit deaktivierter Sicherheit entfernt. - 4748: Eine lokale Gruppe mit deaktivierter Sicherheit wurde gelöscht. - 4749: Eine globale Gruppe mit deaktivierter Sicherheit wurde erstellt. - 4750: Eine globale Gruppe mit deaktivierter Sicherheit wurde geändert. - 4751: Ein Mitglied wurde einer globalen Gruppe mit deaktivierter Sicherheit hinzugefügt. - 4752: Ein Mitglied wurde aus einer globalen Gruppe mit deaktivierter Sicherheit entfernt. - 4753: Eine globale Gruppe mit deaktivierter Sicherheit wurde gelöscht. - 4759: Eine universelle Gruppe mit deaktivierter Sicherheit wurde erstellt. - 4760: Eine universelle Gruppe mit deaktivierter Sicherheit wurde geändert. - 4761: Ein Mitglied wurde einer universellen Gruppe mit deaktivierter Sicherheit hinzugefügt. - 4762: Ein Mitglied wurde aus einer universellen Gruppe mit deaktivierter Sicherheit entfernt. - 4763: Eine universelle Gruppe mit deaktivierter Sicherheit wurde gelöscht. Der empfohlene Status für diese Einstellung ist Success.
Schlüsselpfad: {0CCE9238-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Kontoverwaltung\Verteilergruppenverwaltung überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.2.3
        CIS WS2019 17.2.3
>= Erfolg
(Überwachung)
Kritisch
Andere Kontoverwaltungsereignisse überwachen
(CCE-37855-4)
Beschreibung: Diese Unterkategorie meldet andere Kontoverwaltungsereignisse. Zu den Ereignissen für diese Unterkategorie zählen: – 4782: Auf den Kennworthash eines Kontos wurde zugegriffen. – 4793: Die API für die Kennwortrichtlinienprüfung wurde aufgerufen. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE923A-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Kontoverwaltung\Sonstige Kontoverwaltungsereignisse überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.2.4
>= Erfolg
(Überwachung)
Kritisch
Sicherheitsgruppenverwaltung überwachen
(CCE-38034-5)
Beschreibung: Diese Unterkategorie meldet jedes Ereignis der Sicherheitsgruppenverwaltung, z. B. wenn eine Sicherheitsgruppe erstellt, geändert oder gelöscht wird oder ein Mitglied einer Sicherheitsgruppe hinzugefügt bzw. daraus entfernt wird. Wenn Sie diese Überwachungsrichtlinieneinstellung aktivieren, können Administratoren Ereignisse nachverfolgen, um eine böswillige, versehentliche und autorisierte Erstellung von Sicherheitsgruppenkonten zu erkennen. Zu den Ereignissen für diese Unterkategorie gehören: – 4727: Eine globale Gruppe mit aktivierter Sicherheit wurde erstellt. – 4728: Ein Mitglied wurde einer globalen Gruppe mit aktivierter Sicherheit hinzugefügt. – 4729: Ein Mitglied wurde aus einer globalen Gruppe mit aktivierter Sicherheit entfernt. – 4730: Eine globale Gruppe mit aktivierter Sicherheit wurde gelöscht. – 4731: Eine lokale Gruppe mit aktivierter Sicherheit wurde erstellt. – 4732: Ein Mitglied wurde einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt. – 4733: Ein Mitglied wurde aus einer lokalen Gruppe mit aktivierter Sicherheit entfernt. – 4734: Eine lokale Gruppe mit aktivierter Sicherheit wurde gelöscht. – 4735: Eine lokale Gruppe mit aktivierter Sicherheit wurde geändert. – 4737: Eine globale Gruppe mit aktivierter Sicherheit wurde geändert. – 4754: Eine universelle Gruppe mit aktivierter Sicherheit wurde erstellt. – 4755: Eine universelle Gruppe mit aktivierter Sicherheit wurde geändert. – 4756: Ein Mitglied wurde einer universellen Gruppe mit aktivierter Sicherheit hinzugefügt. – 4757: Ein Mitglied wurde aus einer universellen Gruppe mit aktivierter Sicherheit entfernt. – 4758: Eine universelle Gruppe mit aktivierter Sicherheit wurde gelöscht. – 4764: Der Typ einer Gruppe wurde geändert. Der empfohlene Status für diese Einstellung ist Success and Failure.
Schlüsselpfad: {0CCE9237-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Kontoverwaltung\Sicherheitsgruppenverwaltung überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.2.5
>= Erfolg
(Überwachung)
Kritisch
Benutzerkontenverwaltung überwachen
(CCE-37856-2)
Beschreibung: Diese Unterkategorie meldet jedes Ereignis der Benutzerkontenverwaltung, z. B. wenn ein Benutzerkonto erstellt, geändert oder gelöscht wird, ein Benutzerkonto umbenannt, deaktiviert oder aktiviert oder ein Kennwort festgelegt oder geändert wird. Wenn Sie diese Überwachungsrichtlinieneinstellung aktivieren, können Administratoren Ereignisse nachverfolgen, um eine böswillige, versehentliche und autorisierte Erstellung von Benutzerkonten zu erkennen. Zu den Ereignissen für diese Unterkategorie gehören: – 4720: Ein Benutzerkonto wurde erstellt. – 4722: Ein Benutzerkonto wurde aktiviert. – 4723: Es wurde versucht, das Kennwort eines Kontos zu ändern. – 4724: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen. – 4725: Ein Benutzerkonto wurde deaktiviert. – 4726: Ein Benutzerkonto wurde gelöscht. – 4738: Ein Benutzerkonto wurde geändert. – 4740: Ein Benutzerkonto wurde gesperrt. – 4765: Der SID-Verlauf wurde einem Konto hinzugefügt. – 4766: Fehler beim Hinzufügen des SID-Verlaufs zu einem Konto. – 4767: Ein Benutzerkonto wurde entsperrt. – 4780: Die ACL wurde für Konten festgelegt, die Mitglieder der Gruppe „Administratoren“ sind. – 4781: Der Name eines Kontos wurde geändert: – 4794: Es wurde versucht, den Wiederherstellungsmodus für Verzeichnisdienste festzulegen. – 5376: Die Anmeldeinformationen für die Anmeldeinformationsverwaltung wurden gesichert. – 5377: Die Anmeldeinformationen für die Anmeldeinformationsverwaltung wurden aus einer Sicherung wiederhergestellt. Der empfohlene Status für diese Einstellung ist Success and Failure.
Schlüsselpfad: {0CCE9235-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success and Failure fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Kontoverwaltung\Benutzerkontoverwaltung überwachen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-92981
        STIG WS2016 V-73427
        CIS WS2019 17.2.6
        CIS WS2022 17.2.6
Erfolg und Fehler
(Überwachung)
Kritisch

Systemüberwachungsrichtlinien – Detaillierte Nachverfolgung

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
PNP-Aktivität überwachen
(AZ-WIN-00182)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie überwachen, ob Plug & Play ein externes Gerät erkennt. Der empfohlene Status für diese Einstellung ist Success. Hinweis: Für den Zugriff auf diesen Wert und seine Festlegung in der Gruppenrichtlinie ist Windows 10, Server 2016 oder ein höheres Betriebssystem erforderlich.
Schlüsselpfad: {0CCE9248-69AE-11D9-BED3-505054503030}
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.3.1
        CIS WS2022 17.3.1
>= Erfolg
(Überwachung)
Kritisch
Prozesserstellung überwachen
(CCE-36059-4)
Beschreibung: In dieser Unterkategorie werden die Erstellung eines Prozesses und der Name des Programms oder des Benutzers gemeldet, von dem er erstellt wurde. Zu den Ereignissen für diese Unterkategorie gehören: – 4688: Ein neuer Prozess wurde erstellt. – 4696: Ein primäres Token wurde dem Prozess zugewiesen. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledge Base-Artikel 947226. Der empfohlene Status für diese Einstellung ist Success.
Schlüsselpfad: {0CCE922B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Detaillierte Nachverfolgung\Prozesserstellung überwachen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93173
        STIG WS2016 V-73433
        CIS WS2019 17.3.2
        CIS WS2022 17.3.2
>= Erfolg
(Überwachung)
Kritisch

Systemüberwachungsrichtlinien – DS-Zugriff

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Verzeichnisdienstzugriff überwachen
(CCE-37433-0)
Beschreibung: Diese Unterkategorie meldet, wenn auf ein AD DS-Objekt zugegriffen wird. Nur Objekte mit SACLs führen dazu, dass Überwachungsereignisse generiert werden, und das nur dann, wenn der Zugriff auf eine Weise erfolgt, die ihrer SACL entspricht. Diese Ereignisse ähneln den Zugriffsereignissen auf den Verzeichnisdienst in früheren Versionen von Windows Server. Diese Unterkategorie gilt nur für Domänencontroller. Zu den Ereignissen für diese Unterkategorie gehören: - 4662 : Ein Vorgang wurde auf einem Objekt ausgeführt. Der empfohlene Status für diese Einstellung ist Failure.
Schlüsselpfad: {0CCE923B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\DS-Zugriff\Verzeichnisdienstzugriff überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.4.1
        CIS WS2019 17.4.1
>= Fehler
(Überwachung)
Kritisch
Verzeichnisdienständerungen überwachen
(CCE-37616-0)
Beschreibung: Diese Unterkategorie meldet Änderungen an Objekten in Active Directory Domain Services (AD DS). Die gemeldeten Änderungstypen sind Vorgänge zum Erstellen, Ändern, Verschieben und Wiederherstellen, die auf einem Objekt ausgeführt werden. Die Einstellung „Verzeichnisdienständerungen überwachen“ zeigt bei Bedarf die alten und neuen Werte der Eigenschaften der geänderten Objekte an. Nur Objekte mit SACLs führen dazu, dass Überwachungsereignisse generiert werden, und das nur dann, wenn der Zugriff auf eine Weise erfolgt, die ihrer SACL entspricht. Einige Objekte und Eigenschaften lösen aufgrund der Einstellungen der Objektklasse im Schema keine Überwachungsereignisse aus. Diese Unterkategorie gilt nur für Domänencontroller. Zu den Ereignissen für diese Unterkategorie gehören: - 5136 : Ein Verzeichnisdienstobjekt wurde geändert. - 5137: Ein Verzeichnisdienstobjekt wurde erstellt. - 5138: Ein Verzeichnisdienstobjekt wurde wiederhergestellt. - 5139: Ein Verzeichnisdienstobjekt wurde verschoben. Der empfohlene Status für diese Einstellung ist Success.
Schlüsselpfad: {0CCE923C-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\DS-Zugriff\Verzeichnisdienständerungen überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.4.2
        CIS WS2019 17.4.2
>= Erfolg
(Überwachung)
Kritisch
Verzeichnisdienstreplikation überwachen
(AZ-WIN-00093)
Beschreibung: Diese Unterkategorie meldet, wann die Replikation zwischen zwei Domänencontrollern beginnt und endet. Zu den Ereignissen für diese Unterkategorie gehören: - 4932: Die Synchronisierung eines Replikats eines Active Directory-Namenskontextes wurde gestartet. - 4933: Die Synchronisierung eines Replikats eines Active Directory-Namenskontextes wurde beendet. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): http:--support.microsoft.com-default.aspx-kb-947226
Schlüsselpfad: {0CCE923D-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\DS-Zugriff\Verzeichnisdienstreplikation überwachen
Konformitätsstandardzuordnungen:
>= Keine Überwachung
(Überwachung)
Kritisch

Systemüberwachungsrichtlinien – Anmelden/Abmelden

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Kontosperrung überwachen
(CCE-37133-6)
Beschreibung: In dieser Unterkategorie wird gemeldet, wenn das Konto eines Benutzers aufgrund zu vieler fehlerhafter Anmeldeversuche gesperrt ist. Zu den Ereignissen für diese Unterkategorie zählt: – 4625: Ein Konto konnte nicht angemeldet werden. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE9217-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Failure fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmeldung/Abmeldung\Kontosperrung überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.5.1
>= Fehler
(Überwachung)
Kritisch
Gruppenmitgliedschaft überwachen
(AZ-WIN-00026)
Beschreibung: Mit „Gruppenmitgliedschaft überwachen“ können Sie Gruppenmitgliedschaften überwachen, wenn sie auf dem Clientcomputer aufgelistet werden. Mit dieser Richtlinie können Sie die Gruppenmitgliedschaftsinformationen im Anmeldetoken des Benutzers überwachen. Ereignisse in dieser Unterkategorie werden auf dem Computer generiert, auf dem eine Anmeldesitzung erstellt wird. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem sich der Benutzer angemeldet hat. Für eine Netzwerkanmeldung, zum Beispiel beim Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, der als Host für die Ressource fungiert. Sie müssen auch die Unterkategorie „Anmelden überwachen“ aktivieren. Wenn die Informationen zur Gruppenmitgliedschaft nicht in ein einziges Sicherheitsüberwachungsereignis passen, werden mehrere Ereignisse generiert. Zu den überwachten Ereignissen zählt: – 4627(S): Informationen zur Gruppenmitgliedschaft.
Schlüsselpfad: {0CCE9249-69AE-11D9-BED3-505054503030}
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmeldung/Abmeldung\Gruppenmitgliedschaft überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.5.2
>= Erfolg
(Überwachung)
Kritisch
Abmelden überwachen
(CCE-38237-4)
Beschreibung:

Diese Unterkategorie meldet, wenn sich ein Benutzer vom System abmeldet. Diese Ereignisse treten auf dem Computer auf, auf den zugegriffen wird. Bei interaktiven Anmeldungen werden diese Ereignisse auf dem Computer generiert, bei dem die Anmeldung erfolgt. Wenn eine Netzwerkanmeldung erfolgt, um auf eine Freigabe zuzugreifen, werden diese Ereignisse auf dem Computer generiert, der die Ressource hostet, auf die zugegriffen wird. Wenn Sie für diese Einstellung „Keine Überwachung“ konfigurieren, ist es schwierig oder unmöglich festzustellen, welcher Benutzer auf Computer der Organisation zugegriffen hat oder versucht hat, darauf zuzugreifen. Zu den Ereignissen für diese Unterkategorie zählen: – 4634: Ein Konto wurde abgemeldet. – 4647: Benutzer hat Abmeldung initiiert. Der empfohlene Status für diese Einstellung ist „Erfolg“.


Schlüsselpfad: {0CCE9216-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmeldung/Abmeldung\Abmeldung überwachen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93171
        STIG WS2016 V-73449
        CIS WS2019 17.5.3
        CIS WS2022 17.5.3
>= Erfolg
(Überwachung)
Kritisch
Anmelden überwachen
(CCE-38036-0)
Beschreibung:

Diese Unterkategorie meldet, wenn ein Benutzer versucht, sich beim System anzumelden. Diese Ereignisse treten auf dem Computer auf, auf den zugegriffen wird. Bei interaktiven Anmeldungen werden diese Ereignisse auf dem Computer generiert, bei dem die Anmeldung erfolgt. Wenn eine Netzwerkanmeldung erfolgt, um auf eine Freigabe zuzugreifen, werden diese Ereignisse auf dem Computer generiert, der die Ressource hostet, auf die zugegriffen wird. Wenn Sie für diese Einstellung „Keine Überwachung“ konfigurieren, ist es schwierig oder unmöglich festzustellen, welcher Benutzer auf Computer der Organisation zugegriffen hat oder versucht hat, darauf zuzugreifen. Zu den Ereignissen für diese Unterkategorie zählen: – 4624: Ein Konto wurde erfolgreich angemeldet. – 4625: Ein Konto konnte sich nicht anmelden. – 4648: Eine Anmeldung mit expliziten Anmeldeinformationen wurde versucht. – 4675: SIDs wurden gefiltert. Der empfohlene Status für diese Einstellung ist „Erfolg und Fehler“.


Schlüsselpfad: {0CCE9215-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success and Failure fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmeldung/Abmeldung\Anmeldung überwachen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-92967
        STIG WS2016 V-73451
        CIS WS2019 17.5.4
        CIS WS2022 17.5.4
Erfolg und Fehler
(Überwachung)
Kritisch
Andere Anmelde-/Abmeldeereignisse überwachen
(CCE-36322-6)
Beschreibung: In dieser Unterkategorie werden andere Ereignisse in Bezug auf Anmeldung/Abmeldung gemeldet, wie z. B. Trennen von Verbindungen mit Terminaldienste-Sitzungen und deren erneutes Herstellen, die Verwendung von RunAs, um Prozesse unter einem anderen Konto auszuführen, und Sperren einer Arbeitsstation und Aufheben der Sperre. Zu den Ereignissen für diese Unterkategorie zählen: – 4649: Ein Replay-Angriff wurde erkannt. – 4778: Eine Sitzung wurde erneut mit einer Windows-Station verbunden. – 4779: Eine Sitzung wurde von einer Windows-Station getrennt. – 4800: Die Arbeitsstation wurde gesperrt. – 4801: Die Arbeitsstation wurde entsperrt. – 4802: Der Bildschirmschoner wurde aufgerufen. – 4803: Der Bildschirmschoner wurde geschlossen. – 5378: Die angeforderte Delegierung der Anmeldeinformationen wurde durch die Richtlinie nicht zugelassen. – 5632: Es erfolgte eine Anforderung zum Authentifizieren bei einem Drahtlosnetzwerk. – 5633: Es erfolgte eine Anforderung zum Authentifizieren bei einem Kabelnetzwerk. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE921C-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success and Failure fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmeldung/Abmeldung\Sonstige Anmeldungs-/Abmeldungsereignisse überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.5.5
Erfolg und Fehler
(Überwachung)
Kritisch
Spezielle Anmeldung überwachen
(CCE-36266-5)
Beschreibung: Diese Unterkategorie meldet, wenn eine spezielle Anmeldung verwendet wird. Eine spezielle Anmeldung ist eine Anmeldung, die administratorähnliche Berechtigungen hat und verwendet werden kann, um einen Prozess auf eine höhere Ebene zu heben. Zu den Ereignissen für diese Unterkategorie gehört: – 4964: Spezielle Gruppen wurden einer neuen Anmeldung zugewiesen. Der empfohlene Status für diese Einstellung ist Success.
Schlüsselpfad: {0CCE921B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmeldung/Abmeldung\Spezielle Anmeldung überwachen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93161
        STIG WS2016 V-73455
        CIS WS2019 17.5.6
        CIS WS2022 17.5.6
>= Erfolg
(Überwachung)
Kritisch

Systemüberwachungsrichtlinien – Objektzugriff

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Detaillierte Dateifreigabe überwachen
(AZ-WIN-00100)
Beschreibung: Mit dieser Unterkategorie können Sie überwachen, ob versucht wird, auf Dateien und Ordner in einem freigegebenen Ordner zuzugreifen. Zu den Ereignissen für diese Unterkategorie gehören: - 5145: Netzwerkfreigabeobjekt wurde überprüft, um festzustellen, ob dem Client der gewünschte Zugriff gewährt werden kann. Der empfohlene Status für diese Einstellung ist Failure.
Schlüsselpfad: {0CCE9244-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Objektzugriff\Detaillierte Dateifreigabe überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.6.1
        CIS WS2019 17.6.1
>= Fehler
(Überwachung)
Kritisch
Dateifreigabe überwachen
(AZ-WIN-00102)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie überwachen, ob versucht wird, auf einen freigegebenen Ordner zuzugreifen. Der empfohlene Status für diese Einstellung ist Success and Failure. Anmerkung: Es gibt keine System-Zugriffssteuerungslisten (SACLs) für freigegebene Ordner. Wenn diese Richtlinieneinstellung aktiviert ist, wird der Zugriff auf alle freigegebenen Ordner auf dem System überwacht.
Schlüsselpfad: {0CCE9224-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Objektzugriff\Dateifreigabe überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.6.2
        CIS WS2019 17.6.2
Erfolg und Fehler
(Überwachung)
Kritisch
Andere Objektzugriffsereignisse überwachen
(AZ-WIN-00113)
Beschreibung: In dieser Unterkategorie werden andere auf den Objektzugriff bezogene Ereignisse wie Taskplaneraufträge und COM+-Objekte gemeldet. Zu den Ereignissen für diese Unterkategorie zählen: – 4671: Eine Anwendung hat versucht, über TBS auf eine blockierte Ordnungszahl zuzugreifen. – 4691: Indirekter Zugriff auf ein Objekt wurde angefordert. – 4698: Eine geplante Aufgabe wurde erstellt. – 4699: Eine geplante Aufgabe wurde gelöscht. – 4700: Eine geplante Aufgabe wurde aktiviert. – 4701: Eine geplante Aufgabe wurde deaktiviert. – 4702: Eine geplante Aufgabe wurde aktualisiert. – 5888: Ein Objekt im COM+-Katalog wurde geändert. – 5889: Ein Objekt wurde aus dem COM+-Katalog gelöscht. – 5890: Dem COM+-Katalog wurde ein Objekt hinzugefügt. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE9227-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success and Failure fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Objektzugriff\Sonstige Objektzugriffsereignisse überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.6.3
Erfolg und Fehler
(Überwachung)
Kritisch
Wechselmedien überwachen
(CCE-37617-8)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie Benutzerzugriffsversuche auf Dateisystemobjekte auf einem Wechselmediengerät überwachen. Ein Sicherheitsüberwachungsereignis wird nur für alle Objekte aller angeforderten Zugriffsarten generiert. Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal, wenn ein Konto auf ein Dateisystemobjekt auf einem Wechselmedium zugreift, ein Überwachungsereignis generiert. „Erfolg“-Überwachungen zeichnen erfolgreiche und „Fehler“-Überwachungen zeichnen fehlgeschlagene Versuche auf. Ist diese Richtlinieneinstellung nicht konfiguriert, wird kein Überwachungsereignis generiert, wenn ein Konto auf ein Dateisystemobjekt auf einem Wechselmedium zugreift. Der empfohlene Status für diese Einstellung ist Success and Failure. Hinweis: Für den Zugriff auf diesen Wert und seine Festlegung in der Gruppenrichtlinie ist Windows 8, Server 2012 (nicht R2) oder ein höheres Betriebssystem erforderlich.
Schlüsselpfad: {0CCE9245-69AE-11D9-BED3-505054503030}
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success and Failure fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Objektzugriff\Wechseldatenspeicher überwachen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93167
        STIG WS2016 V-73457
        CIS WS2019 17.6.4
        CIS WS2022 17.6.4
Erfolg und Fehler
(Überwachung)
Kritisch

Systemüberwachungsrichtlinien – Richtlinienänderung

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Authentifizierungsrichtlinienänderung überwachen
(CCE-38327-3)
Beschreibung: In dieser Unterkategorie werden Änderungen in der Authentifizierungsrichtlinie gemeldet. Zu den Ereignissen für diese Unterkategorie zählen: – 4706: Eine neue Vertrauensstellung für eine Domäne wurde erstellt. – 4707: Eine Vertrauensstellung wurde aus einer Domäne entfernt. – 4713: Die Kerberos-Richtlinie wurde geändert. – 4716: Die Informationen zu vertrauenswürdigen Domänen wurden geändert. – 4717: Einem Konto wurde der Zugriff auf die Systemsicherheit gewährt. – 4718: Einem Konto wurde der Zugriff auf die Systemsicherheit entzogen. – 4739: Die Domänenrichtlinie wurde geändert. – 4864: Ein Namespacekonflikt wurde erkannt. – 4865: Ein Eintrag für eine vertrauenswürdige Gesamtstruktur wurde hinzugefügt. – 4866: Ein Eintrag für eine vertrauenswürdige Gesamtstruktur wurde entfernt. – 4867: Ein Eintrag für eine vertrauenswürdige Gesamtstruktur wurde geändert. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE9230-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Richtlinienänderung\Änderung der Authentifizierungsrichtlinie überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.7.2
>= Erfolg
(Überwachung)
Kritisch
Autorisierungsrichtlinienänderung überwachen
(CCE-36320-0)
Beschreibung: In dieser Unterkategorie werden Änderungen in der Auorisierungsrichtlinie gemeldet. Zu den Ereignissen für diese Unterkategorie gehören: - 4704: Eine Benutzerberechtigung wurde zugewiesen. - 4705: Eine Benutzerberechtigung wurde entfernt. - 4706: Eine neue Vertrauensstellung zu einer Domäne wurde erstellt. – 4707: Eine Vertrauensstellung zu einer Domäne wurde entfernt. - 4714: Die Wiederherstellungsrichtlinie für verschlüsselte Daten wurde geändert. Der empfohlene Status für diese Einstellung ist Success.
Schlüsselpfad: {0CCE9231-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Richtlinienänderung\Änderung der Autorisierungsrichtlinie überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.7.3
        CIS WS2019 17.7.3
>= Erfolg
(Überwachung)
Kritisch
MPSSVC-Richtlinienänderung auf Regelebene überwachen
(AZ-WIN-00111)
Beschreibung: In dieser Unterkategorie werden Änderungen an Richtlinienregeln gemeldet, die vom Microsoft Protection Service (MPSSVC.exe) verwendet werden. Dieser Dienst wird von der Windows-Firewall und von Microsoft OneCare verwendet. Zu den Ereignissen für diese Unterkategorie zählen: – 4944: Die folgende Richtlinie war aktiv, als die Windows-Firewall gestartet wurde. – 4945: Beim Starten der Windows-Firewall wurde eine Regel aufgelistet. – 4946: An der Ausnahmeliste der Windows-Firewall wurde eine Änderung vorgenommen. Eine Regel wurde hinzugefügt. – 4947: An der Ausnahmeliste der Windows-Firewall wurde eine Änderung vorgenommen. Eine Regel wurde geändert. – 4948: An der Ausnahmeliste der Windows-Firewall wurde eine Änderung vorgenommen. Eine Regel wurde gelöscht. – 4949: Die Windows-Firewall-Einstellungen wurden auf die Standardwerte zurückgesetzt. – 4950: Eine Windows-Firewall-Einstellung wurde geändert. – 4951: Eine Regel wurde ignoriert, da ihre Hauptversionsnummer von der Windows-Firewall nicht erkannt wurde. – 4952: Teile einer Regel wurden ignoriert, da ihre Nebenversionsnummer von der Windows-Firewall nicht erkannt wurde. Die anderen Teile der Regel werden angewendet. – 4953: Eine Regel wurde von der Windows-Firewall ignoriert, da die Regel nicht analysiert werden konnte. – 4954: Die Einstellungen für die Gruppenrichtlinie der Windows-Firewall wurden geändert. Die neuen Einstellungen wurden angewendet. – 4956: Die Windows-Firewall hat das aktive Profil geändert. – 4957: Die Windows-Firewall hat die folgende Regel nicht angewendet: – 4958: Die Windows-Firewall hat die folgende Regel nicht angewendet, da die Regel auf Elemente verweist, die auf diesem Computer nicht konfiguriert sind: Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledge Base-Artikel „Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008“: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE9232-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success and Failure fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Richtlinienänderung\MPSSVC-Richtlinienänderung auf Regelebene überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.7.4
Erfolg und Fehler
(Überwachung)
Kritisch
Andere Richtlinienänderungsereignisse überwachen
(AZ-WIN-00114)
Beschreibung: Diese Unterkategorie enthält Ereignisse zu Änderungen der EFS-Datenwiederherstellungs-Agent-Richtlinie, Änderungen im Filter der Windows-Filterplattform, Status zu Updates von Sicherheitsrichtlinieneinstellungen für lokale Gruppenrichtlinieneinstellungen, Änderungen der zentralen Zugriffsrichtlinie und detaillierte Problembehandlungsereignisse für CNG-Vorgänge (Cryptographic Next Generation). - 5063: Es wurde versucht, einen Kryptografieanbietervorgang auszuführen. - 5064: Es wurde versucht, einen Kryptografiekontextvorgang auszuführen. - 5065: Es wurde versucht, einen Kryptografiekontext zu ändern. - 5066: Es wurde versucht, einen Kryptografiefunktionsvorgang auszuführen. - 5067: Es wurde versucht, eine Kryptografiefunktion zu ändern. - 5068: Es wurde versucht, einen Vorgang für einen Kryptografiefunktionsanbieter auszuführen. - 5069: Es wurde versucht, einen Vorgang für eine Kryptografiefunktionseigenschaft auszuführen. - 5070: Es wurde versucht, eine Kryptografiefunktionseigenschaft zu ändern. - 6145: Bei der Verarbeitung der Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten ist mindestens ein Fehler aufgetreten. Der empfohlene Status für diese Einstellung ist Failure.
Schlüsselpfad: {0CCE9234-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Richtlinienänderung\Sonstige Richtlinienänderungsereignisse überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.7.5
        CIS WS2019 17.7.5
>= Fehler
(Überwachung)
Kritisch
Richtlinienänderungen überwachen
(CCE-38028-7)
Beschreibung: In dieser Unterkategorie werden Änderungen in der Überwachungsrichtlinie einschließlich SACL-Änderungen gemeldet. Zu den Ereignissen für diese Unterkategorie zählen: – 4715: Die Überwachungsrichtlinie (SACL) für ein Objekt wurde geändert. – 4719: Die Systemüberwachungsrichtlinie wurde geändert. – 4902: Die benutzerbezogene Überwachungsrichtlinientabelle wurde erstellt. – 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. – 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. – 4906: Der CrashOnAuditFail-Wert wurde geändert. – 4907: Die Überwachungseinstellungen für das Objekt wurden geändert. – 4908: Die Anmeldetabelle für spezielle Gruppen wurde geändert. – 4912: Die benutzerbezogene Überwachungsrichtlinie wurde geändert. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE922F-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Richtlinienänderung\Änderung der Überwachungsrichtlinie überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.7.1
>= Erfolg
(Überwachung)
Kritisch

Systemüberwachungsrichtlinien – Rechteverwendung

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Sensible Verwendung von Rechten überwachen
(CCE-36267-3)
Beschreibung: In dieser Unterkategorie wird gemeldet, wenn ein Benutzerkonto oder ein Dienst vertrauliche Berechtigungen verwendet. Eine vertrauliche Berechtigung umfasst die folgenden Benutzerrechte: Agieren als Teil des Betriebssystems, Sichern von Dateien und Verzeichnissen, Erstellen eines Tokenobjekts, Debuggen von Programmen, Aktivieren der Vertrauenswürdigkeit von Computer- und Benutzerkonten für die Delegierung, Generieren von Sicherheitsüberwachungen, Annehmen der Identität eines Clients nach der Authentifizierung, Laden und Entladen von Gerätetreibern, Verwalten der Überwachung und des Sicherheitsprotokolls, Ändern der Firmwareumgebungswerte, Ersetzen eines Tokens auf Prozessebene, Wiederherstellen von Dateien und Verzeichnissen und Übernahme des Besitzes von Dateien oder anderer Objekte. Das Überwachen dieser Unterkategorie erzeugt eine große Anzahl von Ereignissen. Zu den Ereignissen für diese Unterkategorie zählen: – 4672: Spezielle Berechtigungen, die der neuen Anmeldung zugewiesen sind. – 4673: Ein privilegierter Dienst wurde aufgerufen. – 4674: Es wurde versucht, einen Vorgang für ein privilegiertes Objekt auszuführen. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE9228-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success and Failure fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Verwendung von Rechten\Sensible Verwendung von Rechten überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.8.1
Erfolg und Fehler
(Überwachung)
Kritisch

Systemüberwachungsrichtlinien – System

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
IPsec-Treiber überwachen
(CCE-37853-9)
Beschreibung: Diese Unterkategorie meldet die Aktivitäten des IPsec-Treibers (Internet Protocol Security, Internetprotokollsicherheit). Zu den Ereignissen für diese Unterkategorie gehören: - 4960: IPsec hat ein eingehendes Paket verworfen, das eine Integritätsprüfung nicht bestanden hat. Wenn dieses Problem weiterhin besteht, kann dies darauf hinweisen, dass ein Netzwerkproblem vorliegt oder Pakete während der Übertragung an diesen Computer geändert werden. Vergewissern Sie sich, dass die vom Remotecomputer gesendeten Pakete mit den von diesem Computer empfangenen Paketen identisch sind. Dieser Fehler kann auch auf Interoperabilitätsprobleme mit anderen IPsec-Implementierungen hinweisen. - 4961: IPsec hat ein eingehendes Paket verworfen, das eine Rahmenprüfung nicht bestanden hat. Wenn dieses Problem weiterhin besteht, kann dies auf einen Replay-Angriff auf diesen Computer hinweisen. - 4962: IPsec hat ein eingehendes Paket verworfen, das eine Rahmenprüfung nicht bestanden hat. Die Sequenznummer des eingehenden Pakets war zu niedrig, um zu gewährleisten, dass es sich nicht um einen Replay-Angriff handelt. - 4963: IPsec hat ein eingehendes Klartextpaket verworfen, das geschützt hätte sein sollen. Dies ist normalerweise darauf zurückzuführen, dass der Remotecomputer seine IPsec-Richtlinie ändert, ohne diesen Computer zu informieren. Es kann auch auf einen versuchten Spoofingangriff hinweisen. - 4965: IPsec hat ein Paket mit einem falschen Sicherheitsparameterindex (SPI) von einem Remotecomputer empfangen. Dies ist normalerweise auf eine fehlerhafte Hardware zurückzuführen, die Pakete beschädigt. Vergewissern Sie sich, dass die vom Remotecomputer gesendeten Pakete mit den von diesem Computer empfangenen Paketen identisch sind, wenn diese Fehler weiterhin auftreten. Dieser Fehler kann auch auf Interoperabilitätsprobleme mit anderen IPsec-Implementierungen hinweisen. In diesem Fall können diese Ereignisse ignoriert werden, sofern die Konnektivität nicht beeinträchtigt ist. - 5478: Die IPSec-Dienste wurden erfolgreich gestartet. - 5479: Die IPsec-Dienste wurden erfolgreich beendet. Das Beenden der IPsec-Dienste kann das Risiko von Netzwerkangriffen auf den Computer und potenzielle Sicherheitsrisiken erhöhen. - 5480: Die IPsec-Dienste konnten die vollständige Liste von Netzwerkschnittstellen auf dem Computer nicht abrufen. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen möglicherweise nicht durch die angewendeten IPsec-Filter geschützt werden. Verwenden Sie das Snap-In „IP-Sicherheitsmonitor“, um das Problem zu diagnostizieren. - 5483: Die IPsec-Dienste konnten den RPC-Server nicht initialisieren. Die IPsec-Dienste konnten nicht gestartet werden. - 5484: In den IPsec-Diensten ist ein kritischer Fehler aufgetreten, und die Dienste wurden beendet. Das Beenden der IPsec-Dienste kann das Risiko von Netzwerkangriffen auf den Computer und potenzielle Sicherheitsrisiken erhöhen. - 5485: Die IPsec-Dienste konnten einige IPsec-Filter für ein Plug-and-Play-Ereignis für Netzwerkschnittstellen nicht verarbeiten. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen möglicherweise nicht durch die angewendeten IPsec-Filter geschützt werden. Verwenden Sie das Snap-In „IP-Sicherheitsmonitor“, um das Problem zu diagnostizieren. Der empfohlene Status für diese Einstellung ist Success and Failure.
Schlüsselpfad: {0CCE9213-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\System\IPsec-Treiber überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.9.1
        CIS WS2019 17.9.1
>Erfolg und Fehler
(Überwachung)
Kritisch
Andere Systemereignisse überwachen
(CCE-38030-3)
Beschreibung: Diese Unterkategorie meldet andere Systemereignisse. Zu den Ereignissen für diese Unterkategorie gehören: - 5024: Der Windows-Firewalldienst wurde erfolgreich gestartet. - 5025: Der Windows-Firewalldienst wurde beendet. - 5027: Der Windows-Firewalldienst konnte die Sicherheitsrichtlinie nicht aus dem lokalen Speicher abrufen. Der Dienst wendet weiterhin die aktuelle Richtlinie an. - 5028: Der Windows-Firewalldienst konnte die neue Sicherheitsrichtlinie nicht analysieren. Der Dienst wendet weiterhin die aktuelle Richtlinie an. - 5029: Der Windows-Firewalldienst konnte den Treiber nicht initialisieren. Der Dienst wendet weiterhin die aktuelle Richtlinie an. - 5030: Der Windows-Firewalldienst konnte nicht gestartet werden. - 5032: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann. - 5033: Der Windows-Firewalltreiber wurde erfolgreich gestartet. - 5034: Der Windows-Firewalltreiber wurde beendet. - 5035: Der Windows-Firewalltreiber konnte nicht gestartet werden. - 5037: Der Windows-Firewalltreiber hat einen kritischen Laufzeitfehler erkannt. Der Treiber wird beendet. - 5058: Schlüsseldateivorgang. - 5059: Schlüsselmigrationsvorgang. Der empfohlene Status für diese Einstellung ist Success and Failure.
Schlüsselpfad: {0CCE9214-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\System\Sonstige Systemereignisse überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 17.9.2
        CIS WS2019 17.9.2
Erfolg und Fehler
(Überwachung)
Kritisch
Sicherheitsstatusänderung überwachen
(CCE-38114-5)
Beschreibung: In dieser Unterkategorie werden Änderungen im Sicherheitsstatus des Systems gemeldet, z. B. wenn das Sicherheitssubsystem startet und beendet wird. Zu den Ereignissen für diese Unterkategorie zählen: – 4608: Windows wird gestartet. – 4609: Windows wird heruntergefahren. – 4616: Die Systemzeit wurde geändert. – 4621: Der Administrator hat das System von CrashOnAuditFail aus wieder hergestellt. Benutzer ohne Administratorrechte können sich jetzt anmelden. Einige überwachbare Aktivitäten wurden möglicherweise nicht aufgezeichnet. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE9210-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\System\Sicherheitsstatusänderung überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.9.3
>= Erfolg
(Überwachung)
Kritisch
Sicherheitssystemerweiterung überwachen
(CCE-36144-4)
Beschreibung: In dieser Unterkategorie wird das Laden von Erweiterungscode wie Authentifizierungspaketen durch das Sicherheitssubsystem gemeldet. Zu den Ereignissen für diese Unterkategorie zählen: – 4610: Ein Authentifizierungspaket wurde von der lokalen Sicherheitsautorität geladen. – 4611: Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsautorität registriert. – 4614: Vom Security Account Manager wurde ein Benachrichtigungspaket geladen. – 4622: Ein Sicherheitspaket wurde von der lokalen Sicherheitsautorität geladen. – 4697: Im System wurde ein Dienst installiert. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE9211-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Success fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\System\Sicherheitssystemerweiterung überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.9.4
>= Erfolg
(Überwachung)
Kritisch
Systemintegrität überwachen
(CCE-37132-8)
Beschreibung: In dieser Unterkategorie werden Verstöße gegen die Integrität des Sicherheitssubsystems gemeldet. Zu den Ereignissen für diese Unterkategorie zählen: – 4612: Interne Ressourcen, die für die Warteschlange von Überwachungsnachrichten reserviert wurden, sind erschöpft, und daraus resultiert der Verlust einiger Überwachungen. – 4615: Ungültige Verwendung des LPC-Ports. – 4618: Ein überwachtes Sicherheitsereignismuster ist aufgetreten. – 4816: Der RPC hat beim Entschlüsseln einer eingehenden Nachricht eine Integritätsverletzung festgestellt. – 5038: Die Codeintegrität hat festgestellt, dass der Imagehash einer Datei ungültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. – 5056: Ein kryptografischer Selbsttest wurde ausgeführt. – 5057: Bei einem kryptografischen primitiven Vorgang ist ein Fehler aufgetreten. – 5060: Fehler beim Überprüfungsvorgang. – 5061: Kryptografischer Vorgang. – 5062: Ein kryptografischer Selbsttest im Kernelmodus wurde ausgeführt. Die neuesten Informationen zu dieser Einstellung finden Sie im Microsoft Knowledgebase-Artikel „Description of security events in Windows Vista and in Windows Server 2008“ (Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008): https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Schlüsselpfad: {0CCE9212-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf „Erfolg und Fehler“ fest.
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\System\Systemintegrität überwachen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 17.9.5
Erfolg und Fehler
(Überwachung)
Kritisch

Zuweisen von Benutzerrechten

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen
(CCE-37056-9)
Beschreibung: Diese Sicherheitseinstellung wird während der Sicherung und Wiederherstellung von der Anmeldeinformationsverwaltung verwendet. Kein Konto sollte über dieses Benutzerrecht verfügen, da es nur Winlogon zugewiesen ist. Die gespeicherten Anmeldeinformationen der Benutzer werden möglicherweise kompromittiert, wenn dieses Benutzerrecht anderen Entitäten zugewiesen wird. Der empfohlene Status für diese Einstellung ist No One.
Schlüsselpfad: [Privilege Rights]SeTrustedCredManAccessPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No One fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten\Auf Anmeldeinformationsverwaltung als vertrauenswürdigen Aufrufer zugreifen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93049
        STIG WS2016 V-73729
        CIS WS2019 2.2.1
        CIS WS2022 2.2.1
Niemand
(Richtlinie)
Warnung
Auf diesen Computer vom Netzwerk aus zugreifen.
(CCE-35818-4)
Beschreibung:

Diese Richtlinieneinstellung ermöglicht anderen Benutzern im Netzwerk, eine Verbindung mit dem Computer herzustellen, und wird von verschiedenen Netzwerkprotokollen benötigt, darunter Protokolle auf SMB-Basis (Server Message Block), NetBIOS, Common Internet File System (CIFS) und Component Object Model Plus (COM+). - Ebene 1: Domänencontroller. Der empfohlene Status für diese Einstellung ist: „Administratoren, Authentifizierte Benutzer, DOMÄNENCONTROLLER DER ORGANISATION“. - Ebene 1: Mitgliedsserver Der empfohlene Status für diese Einstellung ist: „Administratoren, Authentifizierte Benutzer“.


Schlüsselpfad: [Privilege Rights]SeNetworkLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, konfigurieren Sie den folgenden UI-Pfad:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten\Vom Netzwerk auf diesen Computer zugreifen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-92995
        STIG WS2016 V-73731
        CIS WS2019 2.2.3
        CIS WS2022 2.2.3
<= Administratoren, authentifizierte Benutzer
(Richtlinie)
Kritisch
Einsetzen als Teil des Betriebssystems
(CCE-36876-1)
Beschreibung: Diese Richtlinieneinstellung ermöglicht einem Prozess, die Identität eines beliebigen Benutzers anzunehmen und so Zugriff auf die Ressourcen zu erhalten, auf die der Benutzer Zugriff hat. Der empfohlene Status für diese Einstellung ist No One.
Schlüsselpfad: [Privilege Rights]SeTcbPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No One fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten\Als Teil des Betriebssystems agieren

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93051
        STIG WS2016 V-73735
        CIS WS2019 2.2.4
        CIS WS2022 2.2.4
Niemand
(Richtlinie)
Kritisch
Lokale Anmeldung zulassen
(CCE-37659-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer sich interaktiv bei Computern in Ihrer Umgebung anmelden können. Für Anmeldungen, die durch Drücken der Tastenkombination STRG+ALT+ENTF auf der Clientcomputertastatur initiiert werden, ist dieses Benutzerrecht erforderlich. Benutzer, die versuchen, sich über Terminaldienste oder IIS anzumelden, benötigen dieses Benutzerrecht ebenfalls. Das Gastkonto wird standardmäßig diesem Benutzerrecht zugewiesen. Obwohl dieses Konto standardmäßig deaktiviert ist, empfiehlt Microsoft, diese Einstellung über die Gruppenrichtlinie zu aktivieren. Dieses Benutzerrecht sollte jedoch im Allgemeinen auf die Gruppen „Administratoren“ und „Benutzer“ beschränkt sein. Weisen Sie dieses Benutzerrecht der Gruppe „Sicherungsoperatoren“ zu, wenn in Ihrer Organisation erforderlich ist, dass sie über diese Fähigkeit verfügen. Wenn Sie ein Benutzerrecht im SCM konfigurieren, geben Sie eine durch Trennzeichen getrennte Liste von Konten ein. Konten können entweder lokal sein oder sich in Active Directory befinden. Sie können Gruppen, Benutzer oder Computer sein.
Schlüsselpfad: [Privilege Rights]SeInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, konfigurieren Sie den folgenden UI-Pfad:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Anmeldung lokal zulassen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.2.7
Administratoren
(Richtlinie)
Kritisch
Anmelden über Remotedesktopdienste zulassen
(CCE-37072-6)
Beschreibung:

Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer oder Gruppen das Recht haben, sich als Terminaldiensteclient anzumelden. Remotedesktopbenutzer benötigen dieses Benutzerrecht. Wenn Ihre Organisation die Remoteunterstützung als Teil ihrer Helpdeskstrategie verwendet, erstellen Sie eine Gruppe, und weisen Sie ihr dieses Benutzerrecht über die Gruppenrichtlinie zu. Wenn der Helpdesk in Ihrer Organisation die Remoteunterstützung nicht verwendet, weisen Sie dieses Benutzerrecht nur der Gruppe „Administratoren“ zu, oder verwenden Sie die Funktion „Eingeschränkte Gruppen“, um sicherzustellen, dass keine Benutzerkonten Teil der Gruppe „Remotedesktopbenutzer“ sind. Schränken Sie dieses Benutzerrecht auf die Gruppe „Administratoren“ und eventuell auf die Gruppe „Remotedesktopbenutzer“ ein, um zu verhindern, dass unerwünschte Benutzer über die Funktion „Remoteunterstützung“ Zugriff auf Computer in Ihrem Netzwerk erhalten. - Ebene 1: Domänencontroller. Der empfohlene Status für diese Einstellung ist: „Administratoren“. - Ebene 1: Mitgliedsserver. Der empfohlene Status für diese Einstellung ist: „Administratoren, Remotedesktopbenutzer“. Hinweis: Ein Mitgliedsserver, der die Remotedesktopdienste-Rolle mit dem Remotedesktop-Verbindungsbroker-Rollendienst innehat, benötigt eine spezielle Ausnahme von dieser Empfehlung, damit der Gruppe „Authentifizierte Benutzer“ dieses Benutzerrecht gewährt werden kann. Hinweis 2: Die obigen Listen sind als Positivlisten zu behandeln, was bedeutet, dass die oben genannten Prinzipale nicht vorhanden sein müssen, damit die Bewertung dieser Empfehlung erfolgreich ist.


Schlüsselpfad: [Privilege Rights]SeRemoteInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, konfigurieren Sie den folgenden UI-Pfad:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Anmelden über Remotedesktopdienste zulassen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-92997
        STIG WS2016 V-73741
        CIS WS2019 2.2.8
        CIS WS2022 2.2.8
        CIS WS2019 2.2.9
        CIS WS2022 2.2.9
<= Administratoren, Remotedesktopbenutzer
(Richtlinie)
Kritisch
Sichern von Dateien und Verzeichnissen
(CCE-35912-5)
Beschreibung: Mit dieser Richtlinieneinstellung können Benutzer Datei- und Verzeichnisberechtigungen umgehen, um das System zu sichern. Dieses Benutzerrecht ist nur aktiviert, wenn eine Anwendung (z. B. NTBACKUP) versucht, über die Anwendungsprogrammierschnittstelle der NTFS-Dateisystemsicherung (Application Programming Interface, API) auf eine Datei oder ein Verzeichnis zuzugreifen. Andernfalls gelten die zugewiesenen Datei- und Verzeichnisberechtigungen. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeBackupPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest.
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Dateien und Verzeichnisse sichern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93053
        STIG WS2016 V-73743
        CIS WS2019 2.2.10
        CIS WS2022 2.2.10
<= Administratoren, Sicherungsoperatoren, Serveroperatoren
(Richtlinie)
Kritisch
Auslassen der durchsuchenden Überprüfung
(AZ-WIN-00184)
Beschreibung: Mit dieser Richtlinieneinstellung können Benutzer, die nicht über die Zugriffsberechtigung „Ordner durchsuchen“ verfügen, Ordner durchlaufen, wenn sie einen Objektpfad im NTFS-Dateisystem oder in der Registrierung durchsuchen. Mit diesem Benutzerrecht können Benutzer den Inhalt eines Ordners nicht auflisten. Wenn Sie ein Benutzerrecht im SCM konfigurieren, geben Sie eine durch Trennzeichen getrennte Liste von Konten ein. Konten können entweder lokal sein oder sich in Active Directory befinden. Sie können Gruppen, Benutzer oder Computer sein.
Schlüsselpfad: [Privilege Rights]SeChangeNotifyPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinie Pfad: Richtlinienwert für Computerkonfigurationkonfigurieren\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten\Durchlaufüberprüfung umgehen, um nur die folgenden Konten oder Gruppen einzuschließen:Administrators, Authenticated Users, Backup Operators, Local Service, Network Service
Konformitätsstandardzuordnungen:
<= Administratoren, Authentifizierte Benutzer, Sicherungsoperatoren, Lokaler Dienst, Netzwerkdienst
(Richtlinie)
Kritisch
Ändern der Systemzeit
(CCE-37452-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer und Gruppen Uhrzeit und Datum der internen Uhr der Computer in Ihrer Umgebung ändern können. Benutzer, denen dieses Benutzerrecht zugewiesen ist, können die Darstellung von Ereignisprotokollen beeinflussen. Wenn die Zeiteinstellung eines Computers geändert wird, entsprechen die protokollierten Ereignisse der neuen Uhrzeit, nicht der tatsächlichen Uhrzeit, zu der die Ereignisse aufgetreten sind. Wenn Sie ein Benutzerrecht im SCM konfigurieren, geben Sie eine durch Trennzeichen getrennte Liste von Konten ein. Konten können entweder lokal sein oder sich in Active Directory befinden. Sie können Gruppen, Benutzer oder Computer sein. Hinweis: Abweichungen zwischen der Zeit auf dem lokalen Computer und den Domänencontrollern in Ihrer Umgebung können beim Kerberos-Authentifizierungsprotokoll Probleme verursachen, sodass Benutzer sich möglicherweise nicht mehr bei der Domäne anmelden oder keine Autorisierung für den Zugriff auf Domänenressourcen erhalten können, nachdem sie angemeldet sind. Außerdem treten Probleme auf, wenn die Gruppenrichtlinie auf Clientcomputer angewendet wird, wenn die Systemzeit nicht mit den Domänencontrollern synchronisiert ist. Der empfohlene Status für diese Einstellung ist Administrators, LOCAL SERVICE.
Schlüsselpfad: [Privilege Rights]SeSystemtimePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators, LOCAL SERVICE fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Systemzeit ändern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.2.11
        CIS WS2022 2.2.11
<= Administratoren, Serveroperatoren, LOKALER DIENST
(Richtlinie)
Kritisch
Ändern der Zeitzone
(CCE-37700-2)
Beschreibung: Mit dieser Einstellung wird festgelegt, welche Benutzer die Zeitzone des Computers ändern können. Diese Fähigkeit birgt keine große Gefahr für den Computer und kann für mobile Arbeitskräfte nützlich sein. Der empfohlene Status für diese Einstellung ist Administrators, LOCAL SERVICE.
Schlüsselpfad: [Privilege Rights]SeTimeZonePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators, LOCAL SERVICE fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Zeitzone ändern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.2.12
        CIS WS2022 2.2.12
<= Administratoren, LOKALER DIENST
(Richtlinie)
Kritisch
Erstellen einer Auslagerungsdatei
(CCE-35821-8)
Beschreibung: Diese Richtlinieneinstellung ermöglicht Benutzern, die Größe der Auslagerungsdatei zu ändern. Indem ein Angreifer die Auslagerungsdatei extrem vergrößert oder verkleinert, kann er die Leistung eines kompromittierten Computers mühelos beeinflussen. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeCreatePagefilePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Auslagerungsdatei erstellen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93055
        STIG WS2016 V-73745
        CIS WS2019 2.2.13
        CIS WS2022 2.2.13
Administratoren
(Richtlinie)
Kritisch
Erstellen eines Tokenobjekts
(CCE-36861-3)
Beschreibung: Diese Richtlinieneinstellung ermöglicht einem Prozess, ein Zugriffstoken zu erstellen, das erhöhte Rechte für den Zugriff auf sensible Daten bereitstellen könnte. Der empfohlene Status für diese Einstellung ist No One.
Schlüsselpfad: [Privilege Rights]SeCreateTokenPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No One fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Tokenobjekt erstellen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93057
        STIG WS2016 V-73747
        CIS WS2019 2.2.14
        CIS WS2022 2.2.14
Niemand
(Richtlinie)
Warnung
Erstellen globaler Objekte
(CCE-37453-8)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob Benutzer globale Objekte erstellen können, die für alle Sitzungen verfügbar sind. Wenn die Benutzer nicht über diese Benutzerberechtigung verfügen, können sie trotzdem Objekte erstellen, die für ihre eigene Sitzung spezifisch sind. Benutzer, die globale Objekte erstellen können, könnten Prozesse beeinflussen, die unter den Sitzungen anderer Benutzer ausgeführt werden. Diese Fähigkeit kann zu einer Vielzahl von Problemen wie Anwendungsfehlern oder Datenbeschädigung führen. Der empfohlene Status für diese Einstellung ist Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Hinweis: Ein Mitgliedsserver, auf dem Microsoft SQL Server und dessen optionale „Integration Services"-Komponente installiert sind, erfordert eine besondere Ausnahme von dieser Empfehlung, damit dieses Benutzerrecht weiteren SQL-generierten Einträgen gewährt werden kann.
Schlüsselpfad: [Privilege Rights]SeCreateGlobalPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Globale Objekte erstellen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93059
        STIG WS2016 V-73749
        CIS WS2019 2.2.15
        CIS WS2022 2.2.15
<= Administratoren, DIENST, LOKALER DIENST, NETZWERKDIENST
(Richtlinie)
Warnung
Erstellen von dauerhaft freigegebenen Objekten
(CCE-36532-0)
Beschreibung: Dieses Benutzerrecht ist nützlich für Kernelmoduskomponenten, die den Objektnamespace erweitern. Komponenten, die im Kernelmodus ausgeführt werden, verfügen jedoch prinzipiell über dieses Benutzerrecht. Daher ist es in der Regel nicht erforderlich, dieses Benutzerrecht speziell zuzuweisen. Der empfohlene Status für diese Einstellung ist No One.
Schlüsselpfad: [Privilege Rights]SeCreatePermanentPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No One fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Permanente freigegebene Objekte erstellen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93061
        STIG WS2016 V-73751
        CIS WS2019 2.2.16
        CIS WS2022 2.2.16
Niemand
(Richtlinie)
Warnung
Erstellen symbolischer Verknüpfungen
(CCE-35823-4)
Beschreibung:

Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer symbolische Links erstellen können. In Windows Vista kann auf vorhandene NTFS-Dateisystemobjekte wie Dateien und Ordner durch Verweis auf eine neue Art von Dateisystemobjekt namens symbolischer Link zugegriffen werden. Ein symbolischer Link ist ein Zeiger auf ein anderes Dateisystemobjekt (ähnlich wie eine Verknüpfung oder LNK-Datei), das eine Datei, ein Ordner, eine Verknüpfung oder ein anderer symbolischer Link sein kann. Der Unterschied zwischen einer Verknüpfung und einem symbolischen Link ist, dass eine Verknüpfung nur von der Windows-Shell aus funktioniert. Für andere Programme und Anwendungen sind Verknüpfungen nur eine weitere Datei, während bei symbolischen Links das Konzept einer Verknüpfung als eine Funktion des NTFS-Dateisystems implementiert ist. Symbolische Links können potenziell Sicherheitslücken in Anwendungen aufdecken, die nicht für ihre Verwendung vorgesehen sind. Aus diesem Grund sollte das Recht zum Erstellen symbolischer Links nur vertrauenswürdigen Benutzern zugewiesen werden. Standardmäßig können nur Administratoren symbolische Links erstellen. - Ebene 1: Domänencontroller. Der empfohlene Status für diese Einstellung ist: „Administratoren“. - Ebene 1: Mitgliedsserver. Der empfohlene Status für diese Einstellung ist: „Administratoren“ und (wenn die Rolle Hyper-V installiert ist) „NT VIRTUAL MACHINE\Virtual Machines“.


Schlüsselpfad: [Privilege Rights]SeCreateSymbolicLinkPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um den empfohlenen Konfigurationsstatus zu implementieren, konfigurieren Sie den folgenden UI-Pfad:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Symbolische Verknüpfungen erstellen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93063
        STIG WS2016 V-73753
        CIS WS2019 2.2.17
        CIS WS2022 2.2.17
        CIS WS2019 2.2.18
        CIS WS2022 2.2.18
<= Administratoren, NT VIRTUAL MACHINE\Virtual Machines
(Richtlinie)
Kritisch
Debuggen von Programmen
(AZ-WIN-73755)
Beschreibung: Mit dieser Richtlinieneinstellung wird bestimmt, welche Benutzerkonten das Recht haben, einen Debugger an einen beliebigen Prozess oder an den Kernel anzufügen. Dies bietet vollständigen Zugriff auf vertrauliche und kritische Betriebssystemkomponenten. Entwicklern, die ihre eigenen Anwendungen debuggen, muss diese Benutzerberechtigung nicht zugewiesen werden. Entwickler, die neue Systemkomponenten debuggen, benötigen sie jedoch. Der empfohlene Status für diese Einstellung ist Administrators. Hinweis: Diese Benutzerberechtigung gilt als „vertrauliche Berechtigung“ zu Überwachungszwecken.
Schlüsselpfad: [Privilege Rights]SeDebugPrivilege
OS: WS2016, WS2019
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Programme debuggen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.2.19
        CIS WS2019 2.2.19
Administratoren
(Richtlinie)
Kritisch
Zugriff vom Netzwerk auf diesen Computer verweigern
(CCE-37954-5)
Beschreibung:

Diese Richtlinieneinstellung verbietet Benutzern, eine Verbindung zu einem Computer über das Netzwerk herzustellen, wodurch Benutzer remote auf Daten zugreifen und diese möglicherweise ändern könnten. In Hochsicherheitsumgebungen sollte es nicht notwendig sein, dass Remotebenutzer auf Daten auf einem Computer zugreifen. Stattdessen sollte die Dateifreigabe durch die Verwendung von Netzwerkservern erreicht werden. - Ebene 1: Domänencontroller. Der empfohlene Status für diese Einstellung ist: „Gäste, Lokales Konto“. - Ebene 1: Mitgliedsserver. Der empfohlene Status für diese Einstellung ist: „Gäste, Lokales Konto und Mitglieder der Gruppe ‚Administratoren‘“. Vorsicht: Wenn Sie wie oben beschrieben einen eigenständigen (nicht in die Domäne eingebundenen) Server konfigurieren, kann dies dazu führen, dass der Server nicht remote verwaltet werden kann. Hinweis: Das Konfigurieren eines Mitgliedsservers oder eigenständigen Servers wie oben beschrieben kann sich nachteilig auf Anwendungen auswirken, die ein lokales Dienstkonto erstellen und in der Gruppe „Administratoren“ platzieren. In diesem Fall müssen Sie entweder die Anwendung so umwandeln, dass sie ein in der Domäne gehostetes Dienstkonto verwendet, oder das lokale Konto und Mitglied der Gruppe „Administratoren“ aus dieser Benutzerrechtszuweisung entfernen. Die Verwendung eines von einer Domäne gehosteten Dienstkontos wird, wenn möglich, gegenüber einer Ausnahme von dieser Regel stark bevorzugt.


Schlüsselpfad: [Privilege Rights]SeDenyNetworkLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, konfigurieren Sie den folgenden UI-Pfad:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Zugriff vom Netzwerk auf diesen Computer verweigern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-92999
        STIG WS2016 V-73757
        CIS WS2019 2.2.20
        CIS WS2022 2.2.20
        CIS WS2019 2.2.21
        CIS WS2022 2.2.21
>= Gäste
(Richtlinie)
Kritisch
Anmelden als Batchauftrag verweigern
(CCE-36923-1)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welche Konten sich nicht als Batchauftrag bei dem Computer anmelden können. Bei einem Batchauftrag handelt es sich nicht um eine Batchdatei (BAT-Datei), sondern vielmehr um eine Batchwarteschlange. Konten, die den Taskplaner zum Planen von Aufträgen verwenden, benötigen dieses Benutzerrecht. Das Benutzerrecht Anmelden als Batchauftrag verweigern überschreibt das Benutzerrecht Anmelden als Batchauftrag, mit dem Konten das Planen von Aufträgen ermöglicht werden könnte, die übermäßig viele Systemressourcen beanspruchen. Dies könnte eine DoS-Bedingung verursachen. Wenn Sie dieses Benutzerrecht nicht den empfohlenen Konten zuweisen, kann dies ein Sicherheitsrisiko darstellen. Der empfohlene Status für diese Einstellung ist Guests.
Schlüsselpfad: [Privilege Rights]SeDenyBatchLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Guests fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Anmeldung als Batchauftrag verweigern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93001
        STIG WS2016 V-73761
        CIS WS2019 2.2.22
        CIS WS2022 2.2.22
>= Gäste
(Richtlinie)
Kritisch
Anmelden als Dienst verweigern
(CCE-36877-9)
Beschreibung: Diese Sicherheitseinstellung bestimmt, welche Dienstkonten an der Registrierung eines Prozesses als Dienst gehindert werden. Diese Richtlinieneinstellung hat Vorrang vor der Richtlinieneinstellung Anmelden als Dienst, wenn für ein Konto beide Richtlinien gelten. Der empfohlene Status für diese Einstellung ist Guests. Hinweis: Diese Sicherheitseinstellung gilt nicht für die Konten „System“, „Lokaler Dienst“ oder „Netzwerkdienst“.
Schlüsselpfad: [Privilege Rights]SeDenyServiceLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Guests fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Anmeldung als Dienst verweigern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93003
        STIG WS2016 V-73765
        CIS WS2019 2.2.23
        CIS WS2022 2.2.23
>= Gäste
(Richtlinie)
Kritisch
Lokal anmelden verweigern
(CCE-37146-8)
Beschreibung: Diese Sicherheitseinstellung bestimmt, welche Benutzer daran gehindert werden, sich beim Computer anzumelden. Diese Richtlinieneinstellung hat Vorrang vor der Richtlinieneinstellung Lokales Anmelden zulassen, wenn für ein Konto beide Richtlinien gelten. Wichtig: Wenn Sie diese Sicherheitsrichtlinie auf die Gruppe „Jeder“ anwenden, kann sich niemand lokal anmelden. Der empfohlene Status für diese Einstellung ist Guests.
Schlüsselpfad: [Privilege Rights]SeDenyInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Guests fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Anmeldung lokal verweigern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93017
        STIG WS2016 V-73739
        CIS WS2019 2.2.24
        CIS WS2022 2.2.24
>= Gäste
(Richtlinie)
Kritisch
Anmelden über Remotedesktopdienste verweigern
(CCE-36867-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob Benutzer sich als Terminaldienste-Clients anmelden können. Nachdem der Baselinemitgliedsserver einer Domänenumgebung hinzugefügt wurde, müssen Sie keine lokalen Konten verwenden, um über das Netzwerk auf den Server zuzugreifen. Domänenkonten können zur Verwaltung und zur Verarbeitung von Endbenutzern auf den Server zugreifen. Der empfohlene Status für diese Einstellung ist Guests, Local account. Vorsicht: Wenn Sie wie oben beschrieben einen eigenständigen (nicht in die Domäne eingebundenen) Server konfigurieren, kann dies dazu führen, dass der Server nicht remote verwaltet werden kann.
Schlüsselpfad: [Privilege Rights]SeDenyRemoteInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, konfigurieren Sie den folgenden UI-Pfad:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Anmelden über Remotedesktopdienste verweigern
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.2.26
>= Gäste
(Richtlinie)
Kritisch
Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
(CCE-36860-5)
Beschreibung:

Mit dieser Richtlinieneinstellung können Benutzer die Einstellung „Für Delegierungszwecke vertraut“ für ein Computerobjekt in Active Directory ändern. Der Missbrauch dieser Berechtigung könnte nicht autorisierten Benutzern ermöglichen, sich im Netzwerk als anderer Benutzer auszugeben. - Ebene 1: Domänencontroller. Der empfohlene Status für diese Einstellung ist „Administratoren“. – Ebene 1: Mitgliedsserver. Der empfohlene Status für diese Einstellung ist „Niemand“.


Schlüsselpfad: [Privilege Rights]SeEnableDelegationPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, konfigurieren Sie den folgenden UI-Pfad:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten\Vertrauenswürdigkeit von Computer- und Benutzerkonten für die Delegierung aktivieren

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93041
        STIG WS2016 V-73777
        CIS WS2019 2.2.28
        CIS WS2022 2.2.28
Niemand
(Richtlinie)
Kritisch
Erzwingen des Herunterfahrens von einem Remotesystem
(CCE-37877-8)
Beschreibung: Mit dieser Richtlinieneinstellung können Benutzer Windows Vista-basierte Computer von Remotestandorten im Netzwerk aus herunterfahren. Jeder, dem dieses Benutzerrecht zugewiesen wurde, kann eine Denial-of-Service-Bedingung (DOS) verursachen, sodass der Computer nicht mehr für Dienstbenutzeranforderungen verfügbar ist. Daher wird empfohlen, dieses Benutzerrecht nur sehr vertrauenswürdige Administratoren zuzuweisen. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeRemoteShutdownPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Herunterfahren von einem Remotesystem erzwingen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93067
        STIG WS2016 V-73781
        CIS WS2019 2.2.29
        CIS WS2022 2.2.29
Administratoren
(Richtlinie)
Kritisch
Generieren von Sicherheitsüberwachungen
(CCE-37639-2)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer oder Prozesse Überwachungseinträge im Sicherheitsprotokoll generieren können. Der empfohlene Status für diese Einstellung ist LOCAL SERVICE, NETWORK SERVICE. Hinweis: Ein Mitgliedsserver, der die Rolle Webserver (IIS) mit dem Webserver-Rollendienst innehat, erfordert eine besondere Ausnahme von dieser Empfehlung, damit IIS-Anwendungspools dieses Benutzerrecht gewährt werden kann. Hinweis 2: Ein Mitgliedsserver, der die Active Directory-Verbunddienste-Rolle innehat, erfordert eine besondere Ausnahme von dieser Empfehlung, damit dieses Benutzerrecht den Diensten NT SERVICE\ADFSSrv und NT SERVICE\DRS sowie dem zugehörigen Active Directory-Verbunddienste-Dienstkonto gewährt werden kann.
Schlüsselpfad: [Privilege Rights]SeAuditPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf LOCAL SERVICE, NETWORK SERVICE fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Sicherheitsüberwachungen generieren

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93069
        STIG WS2016 V-73783
        CIS WS2019 2.2.30
        CIS WS2022 2.2.30
<= Lokaler Dienst, Netzwerkdienst, IIS APPPOOL\DefaultAppPool
(Richtlinie)
Kritisch
Arbeitssatz eines Prozesses vergrößern
(AZ-WIN-00185)
Beschreibung: Mit dieser Berechtigung wird festgelegt, welche Benutzerkonten die Größe des Arbeitssatzes eines Prozesses erhöhen oder verringern können. Der Arbeitssatz eines Prozesses ist der Satz von Arbeitsspeicherseiten, die derzeit für den Prozess im physischen RAM-Arbeitsspeicher sichtbar sind. Diese Seiten sind resident und können von einer Anwendung verwendet werden, ohne dass ein Seitenfehler ausgelöst wird. Die minimale Größe und die maximale Größe von Arbeitssätzen wirken sich auf das Verhalten beim Auslagern des virtuellen Arbeitsspeichers für einen Prozess aus. Wenn Sie ein Benutzerrecht im SCM konfigurieren, geben Sie eine durch Trennzeichen getrennte Liste von Konten ein. Konten können entweder lokal sein oder sich in Active Directory befinden. Sie können Gruppen, Benutzer oder Computer sein.
Schlüsselpfad: [Privilege Rights]SeIncreaseWorkingSetPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Arbeitssatz eines Prozesses vergrößern
Konformitätsstandardzuordnungen:
<= Administratoren, Lokaler Dienst
(Richtlinie)
Warnung
Anheben der Zeitplanungspriorität
(CCE-38326-5)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob Benutzer die Basisprioritätsklasse eines Prozesses erhöhen können. (Es ist kein privilegierter Vorgang, die relative Priorität innerhalb einer Prioritätsklasse zu erhöhen.) Dieses Benutzerrecht wird von administrativen Tools, die mit dem Betriebssystem geliefert werden, nicht benötigt, ist für Softwareentwicklungstools jedoch möglicherweise erforderlich. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeIncreaseBasePriorityPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators, Window Manager\Window Manager Group fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Zeitplanungspriorität erhöhen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93073
        STIG WS2016 V-73787
        CIS WS2019 2.2.33
        CIS WS2022 2.2.33
Administratoren
(Richtlinie)
Warnung
Laden und Entfernen von Gerätetreibern
(CCE-36318-4)
Beschreibung: Diese Richtlinieneinstellung ermöglicht Benutzern das dynamische Laden eines neuen Gerätetreibers auf einem System. Ein Angreifer könnte diese Fähigkeit nutzen, um bösartigen Code zu installieren, der anscheinend ein Gerätetreiber ist. Dieses Benutzerrecht ist erforderlich, damit Benutzer in Windows Vista lokale Drucker oder Druckertreiber hinzufügen können. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeLoadDriverPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Gerätetreiber laden und entladen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93075
        STIG WS2016 V-73789
        CIS WS2019 2.2.34
        CIS WS2022 2.2.34
<= Administratoren, Druckoperatoren
(Richtlinie)
Warnung
Sperren von Seiten im Speicher
(CCE-36495-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird einem Prozess ermöglicht, Daten im physischen Arbeitsspeicher zu halten, was das System daran hindert, die Daten in den virtuellen Arbeitsspeicher auf dem Datenträger auszulagern. Wenn dieses Benutzerrecht zugewiesen wird, kann eine erhebliche Beeinträchtigung der Systemleistung auftreten. Der empfohlene Status für diese Einstellung ist No One.
Schlüsselpfad: [Privilege Rights]SeLockMemoryPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No One fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Seiten im Speicher sperren

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93077
        STIG WS2016 V-73791
        CIS WS2019 2.2.35
        CIS WS2022 2.2.35
Niemand
(Richtlinie)
Warnung
Verwalten von Überwachungs- und Sicherheitsprotokollen
(CCE-35906-7)
Beschreibung:

Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer die Überwachungsoptionen für Dateien und Verzeichnisse ändern und das Sicherheitsprotokoll löschen dürfen. In Umgebungen, in denen Microsoft Exchange Server ausgeführt wird, muss die Gruppe „Exchange-Server“ auf Domänencontrollern über dieses Recht verfügen, um ordnungsgemäß zu funktionieren. Daher entsprechen DCs, die der Gruppe „Exchange-Server“ dieses Recht gewähren, diesem Vergleichstest. Wenn Microsoft Exchange Server in der Umgebung nicht verwendet wird, sollte dieses Recht nur auf „Administratoren“ auf Domänencontrollern beschränkt werden. - Ebene 1: Domänencontroller. Der empfohlene Status für diese Einstellung ist „Administratoren“ und (wenn Exchange in der Umgebung ausgeführt wird) „Exchange-Server“. - Ebene 1: Mitgliedsserver. Der empfohlene Status für diese Einstellung ist „Administratoren“.


Schlüsselpfad: [Privilege Rights]SeSecurityPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, konfigurieren Sie den folgenden UI-Pfad:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Überwachungs- und Sicherheitsprotokoll verwalten

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93197
        STIG WS2016 V-73793
        CIS WS2019 2.2.37
        CIS WS2022 2.2.37
        CIS WS2019 2.2.38
        CIS WS2022 2.2.38
Administratoren
(Richtlinie)
Kritisch
Verändern einer Objektbezeichnung
(CCE-36054-5)
Beschreibung: Mit dieser Berechtigung wird festgelegt, welche Benutzerkonten die Integritätsbezeichnung von Objekten wie Dateien, Registrierungsschlüsseln oder Prozessen ändern können, die sich im Besitz anderer Benutzer befinden. Von Prozessen, die unter einem Benutzerkonto ausgeführt werden, kann die Bezeichnung eines Objekts im Besitz dieses Benutzers auf eine niedrigere Ebene geändert werden, ohne dass diese Berechtigung erforderlich ist. Der empfohlene Status für diese Einstellung ist No One.
Schlüsselpfad: [Privilege Rights]SeRelabelPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf No One fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Objektbezeichnung ändern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.2.39
        CIS WS2022 2.2.39
Niemand
(Richtlinie)
Warnung
Verändern der Firmwareumgebungsvariablen
(CCE-38113-7)
Beschreibung: Diese Richtlinieneinstellung ermöglicht Benutzern, die systemweiten Umgebungsvariablen zu konfigurieren, die sich auf die Hardwarekonfiguration auswirken. Diese Informationen werden in der Regel in der letzten als funktionierend bekannten Konfiguration gespeichert. Eine Änderung dieser Werte könnte zu einem Hardwarefehler führen, aus dem eine Denial-of-Service-Bedingung resultieren würde. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeSystemEnvironmentPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Firmwareumgebungswerte ändern

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93079
        STIG WS2016 V-73795
        CIS WS2019 2.2.40
        CIS WS2022 2.2.40
Administratoren
(Richtlinie)
Warnung
Ausführen von Volumewartungsaufgaben
(CCE-36143-6)
Beschreibung: Diese Richtlinieneinstellung ermöglicht Benutzern, die Volume- oder Datenträgerkonfiguration des Systems zu verwalten. So könnte ein Benutzer ein Volume löschen und damit sowohl einen Datenverlust als auch eine Denial-of-Service-Bedingung auslösen. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeManageVolumePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Volumewartungsaufgaben ausführen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93081
        STIG WS2016 V-73797
        CIS WS2019 2.2.41
        CIS WS2022 2.2.41
Administratoren
(Richtlinie)
Warnung
Erstellen eines Profils für einen Einzelprozess
(CCE-37131-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer Tools verwenden können, um die Leistung von Prozessen zu überwachen, die keine Systemprozesse sind. In der Regel ist es nicht erforderlich, dieses Benutzerrecht zur Verwendung des Snap-Ins Microsoft Management Console (MMC) Performance zu konfigurieren. Allerdings benötigen Sie dieses Benutzerrecht, wenn der Systemmonitor für die Datensammlung mithilfe der Windows-Verwaltungsinstrumentation (WMI) konfiguriert ist. Durch das Einschränken des Benutzerrechts des Profils für einen Einzelprozess wird verhindert, dass Eindringlinge zusätzliche Informationen erhalten, die zu einem Angriff auf das System verwendet werden könnten. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeProfileSingleProcessPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Profil für einen Einzelprozess erstellen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93083
        STIG WS2016 V-73799
        CIS WS2019 2.2.42
        CIS WS2022 2.2.42
Administratoren
(Richtlinie)
Warnung
Erstellen eines Profils der Systemleistung
(CCE-36052-9)
Beschreibung: Diese Richtlinieneinstellung ermöglicht Benutzern die Verwendung von Tools zum Anzeigen der Leistung unterschiedlicher Systemprozesse. Dies könnte von Angreifern dazu missbraucht werden, die aktiven Prozesse eines Systems zu ermitteln und Einblicke in die potenzielle Angriffsfläche des Computers zu erhalten. Der empfohlene Status für diese Einstellung ist Administrators, NT SERVICE\WdiServiceHost.
Schlüsselpfad: [Privilege Rights]SeSystemProfilePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators, NT SERVICE\WdiServiceHost fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Profil für Systemleistung erstellen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.2.43
        CIS WS2022 2.2.43
<= Administratoren, NT SERVICE\WdiServiceHost
(Richtlinie)
Warnung
Ersetzen eines Tokens auf Prozessebene
(CCE-37430-6)
Beschreibung: Diese Richtlinieneinstellung ermöglicht einem Prozess oder Dienst, einen anderen Dienst oder Prozess mit einem anderen Sicherheitszugriffstoken zu starten, das zum Ändern des Sicherheitszugriffstokens dieses Unterprozesses verwendet werden kann. Dies kann zur Eskalation von Berechtigungen führen. Der empfohlene Status für diese Einstellung ist LOCAL SERVICE, NETWORK SERVICE. Hinweis: Ein Mitgliedsserver, der die Rolle Webserver (IIS) mit dem Webserver-Rollendienst innehat, erfordert eine besondere Ausnahme von dieser Empfehlung, damit IIS-Anwendungspools dieses Benutzerrecht gewährt werden kann. Hinweis 2: Ein Mitgliedsserver, auf dem Microsoft SQL Server installiert ist, erfordert eine besondere Ausnahme von dieser Empfehlung, damit dieses Benutzerrecht weiteren SQL-generierten Einträgen gewährt werden kann.
Schlüsselpfad: [Privilege Rights]SeAssignPrimaryTokenPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf LOCAL SERVICE, NETWORK SERVICE fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Prozessebenentoken ersetzen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.2.44
        CIS WS2022 2.2.44
<= LOKALER DIENST, NETZWERKDIENST
(Richtlinie)
Warnung
Wiederherstellen von Dateien und Verzeichnissen
(CCE-37613-7)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer Datei-, Verzeichnis-, Registrierungs- und andere persistente Objektberechtigungen beim Wiederherstellen von gesicherten Dateien und Verzeichnissen auf Computern, auf denen Windows Vista ausgeführt wird, in Ihrer Umgebung umgehen können. Dieses Benutzerrecht bestimmt auch, welche Benutzer gültige Sicherheitsprinzipale als Objektbesitzer festlegen können. Dies ähnelt dem Benutzerrecht zum Sichern von Dateien und Verzeichnissen. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeRestorePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Dateien und Verzeichnisse wiederherstellen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.2.45
<= Administratoren, Sicherungsoperatoren
(Richtlinie)
Warnung
Herunterfahren des Systems
(CCE-38328-1)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer, die lokal auf den Computern in Ihrer Umgebung angemeldet sind, das Betriebssystem mit dem Befehl „Herunterfahren“ herunterfahren können. Eine missbräuchliche Verwendung dieses Benutzerrechts kann zu einer Denial-of-Service-Bedingung führen. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeShutdownPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\System herunterfahren

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 2.2.46
        CIS WS2022 2.2.46
<= Administratoren, Sicherungsoperatoren
(Richtlinie)
Warnung
Übernehmen des Besitzes an Dateien und Objekten
(CCE-38325-7)
Beschreibung: Diese Richtlinieneinstellung ermöglicht Benutzern, Dateien, Ordner, Registrierungsschlüssel, Prozesse oder Threads in Besitz zu nehmen. Mit diesem Benutzerrecht werden alle vorhandenen Berechtigungen zum Schützen von Objekten umgangen, um den Besitz an den angegebenen Benutzer zu übertragen. Der empfohlene Status für diese Einstellung ist Administrators.
Schlüsselpfad: [Privilege Rights]SeTakeOwnershipPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Administrators fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Besitz von Dateien oder anderer Objekte übernehmen

Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93087
        STIG WS2016 V-73803
        CIS WS2019 2.2.48
        CIS WS2022 2.2.48
Administratoren
(Richtlinie)
Kritisch
Das Benutzerrecht „Annehmen der Clientidentität nach Authentifizierung“ darf nur „Administratoren“, „Dienst“, „Lokaler Dienst“ und „Netzwerkdienst“ zugewiesen werden.
(AZ-WIN-73785)
Beschreibung: Die Richtlinieneinstellung ermöglicht es Programmen, die im Auftrag eines Benutzers ausgeführt werden, die Identität dieses Benutzers (oder eines anderen angegebenen Kontos) anzunehmen, damit sie im Namen des Benutzers handeln können. Wenn diese Benutzerberechtigung für diese Art von Identitätswechsel erforderlich ist, kann ein nicht autorisierter Benutzer einen Client nicht davon überzeugen, durch beispielsweise einen Remoteprozeduraufruf (RPC) oder Named Pipes eine Verbindung mit einem Dienst herzustellen, den er zum Annehmen der Identität dieses Clients erstellt hat. Dadurch könnten die Berechtigungen des nicht autorisierten Benutzers nämlich auf administrative Ebene oder Systemebene erhöht werden. In Diensten, die durch den Dienststeuerungs-Manager (Service Control Manager, SCM) gestartet werden, wurde die integrierte Dienstgruppe standardmäßig den Zugriffstoken hinzugefügt. Auch bei COM-Servern, die durch die COM-Infrastruktur gestartet werden und für die Ausführung unter einem bestimmten Konto konfiguriert sind, wurde die Dienstgruppe den Zugriffstoken hinzugefügt. Daher wird diese Benutzerberechtigung den betreffenden Prozessen beim Starten zugewiesen. Außerdem kann ein Benutzer ein Zugriffstoken imitieren, wenn eine der folgenden Bedingungen vorliegt: - Das Zugriffstoken, das imitiert wird, ist für diesen Benutzer vorgesehen. - Der Benutzer in dieser Anmeldungssitzung hat sich mit expliziten Anmeldeinformationen zum Erstellen des Zugriffstokens beim Netzwerk angemeldet. - Die angeforderte Ebene ist niedriger als „Identität wechseln“, z. B. „Anonym“ oder „Identifizieren“. Ein Angreifer mit der Benutzerberechtigung Annehmen der Clientidentität nach Authentifizierung kann einen Dienst erstellen, einen Client zum Herstellen einer Verbindung mit dem Dienst veranlassen und anschließend die Identität des betreffenden Clients annehmen, um seine Zugriffsebene auf die des Clients heraufzustufen. Der empfohlene Status für diese Einstellung ist Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Hinweis: Diese Benutzerberechtigung gilt als „vertrauliche Berechtigung“ zu Überwachungszwecken. Hinweis 2: Ein Mitgliedsserver, auf dem Microsoft SQL Server und dessen optionale „Integration Services"-Komponente installiert sind, erfordert eine besondere Ausnahme von dieser Empfehlung, damit diese Benutzerberechtigung weiteren SQL-generierten Einträgen gewährt werden kann.
Schlüsselpfad: [Privilege Rights]SeImpersonatePrivilege
OS: WS2016, WS2019
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Identität eines Clients nach der Authentifizierung annehmen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.2.31
        CIS WS2019 2.2.31
<= Administratoren, Dienst, Lokaler Dienst, Netzwerkdienst
(Richtlinie)
Wichtig

Windows-Komponenten

Name
(ID)
Details Erwarteter Wert
(Typ)
severity
Standardauthentifizierung zulassen
(CCE-36254-1)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie bestimmen, ob der Windows-Remoteverwaltungsdienst (Windows Remote Management, WinRM) die Standardauthentifizierung von einem Remoteclient akzeptiert. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Remoteverwaltung (WinRM)\WinRM-Dienst\Standardauthentifizierung zulassen
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage WindowsRemoteManagement.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93507
        STIG WS2016 V-73599
        CIS WS2019 18.9.102.1.1
        CIS WS2022 18.9.102.2.1
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Diagnosedaten zulassen
(AZ-WIN-00169)
Beschreibung: Mit dieser Richtlinieneinstellung wird die Menge der Diagnose- und Verwendungsdaten bestimmt, die an Microsoft gesendet werden. Mit dem Wert 0 werden minimale Daten an Microsoft gesendet. Zu diesen Daten gehören Daten des Tools zum Entfernen bösartiger Software (Malicious Software Removal Tool, MSRT) und Windows Defender-Daten, sofern aktiviert, und Telemetrieclienteinstellungen. Das Festlegen des Werts 0 gilt nur für Enterprise-, EDU-, IoT- und Servergeräte. Das Festlegen des Werts 0 für andere Geräte entspricht dem Auswählen des Werts 1. Bei Wert 1 wird nur eine grundlegende Menge an Diagnose- und Verwendungsdaten gesendet. Beachten Sie, dass durch das Festlegen des Werts 0 oder 1 bestimmte Funktionen auf dem Gerät herabgestuft werden. Bei Wert 2 werden erweiterte Diagnose- und Verwendungsdaten gesendet. Bei Wert 3 werden dieselben Daten wie bei Wert 2 gesendet sowie zusätzliche Diagnosedaten, einschließlich der Dateien und Inhalte, die möglicherweise das Problem verursacht haben. Windows 10-Telemetrieeinstellungen gelten für das Windows-Betriebssystem und einige Erstanbieter-Apps. Diese Einstellung gilt nicht für Drittanbieter-Apps, die auf Windows 10 ausgeführt werden. Der empfohlene Status für diese Einstellung ist Enabled: 0 - Security [Enterprise Only]. Hinweis: Wenn die Einstellung „Telemetrie zulassen“ auf „0 – Sicherheit [nur Enterprise]“ konfiguriert ist, haben die Optionen in Windows Update zum Verzögern von Upgrades und Updates keine Auswirkung.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled: Diagnostic data off (not recommended) oder Enabled: Send required diagnostic data fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Datensammlungs- und Vorschaubuilds\Diagnosedaten zulassen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Er wird von der Gruppenrichtlinienvorlage „DataCollection.admx/adml“ bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 11 Release 21H2 (oder höher) enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung ursprünglich Telemetrie zulassen genannt, aber sie wurde ab den administrativen Vorlagen von Windows 11 Release 21H2 in Diagnosedaten zulassen umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93257
        STIG WS2016 V-73551
        CIS WS2019 18.9.17.1
        CIS WS2022 18.9.17.1
>= 1
(Registrierung)
Warnung
Indizierung verschlüsselter Dateien zulassen
(CCE-38277-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird gesteuert, ob verschlüsselte Elemente indiziert werden dürfen. Wenn diese Einstellung geändert wird, wird der Index vollständig neu erstellt. Die vollständige Volumeverschlüsselung (z. B. BitLocker-Laufwerkverschlüsselung oder eine nicht von Microsoft stammende Lösung) muss für den Speicherort des Indexes verwendet werden, um die Sicherheit für verschlüsselte Dateien aufrechtzuerhalten. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Suche\Indizierung verschlüsselter Dateien zulassen
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage Search.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93415
        STIG WS2016 V-73581
        CIS WS2019 18.9.67.3
        CIS WS2022 18.9.67.3
Nicht vorhanden oder 0
(Registrierung)
Warnung
Optionale Verwendung von Microsoft-Konten zulassen
(CCE-38354-7)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie steuern, ob für Windows Store-Apps, die eine Anmeldung mit einem Konto erfordern, Microsoft-Konten optional sind. Diese Richtlinie betrifft nur Windows Store-Apps, die dies unterstützen. Wenn Sie diese Richtlinieneinstellung aktivieren, ermöglichen Windows Store-Apps, die normalerweise die Anmeldung mit einem Microsoft-Konto erfordern, Benutzern stattdessen die Anmeldung mit einem Unternehmenskonto. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, müssen Benutzer sich mit einem Microsoft-Konto anmelden.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional
OS: WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\App-Runtime\Microsoft-Konten optional zulassen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "AppXRuntime.admx/adml" bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 8.1 & Server 2012 R2 enthalten ist (oder höher).
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.6.1
= 1
(Registrierung)
Warnung
Unverschlüsselten Datenverkehr zulassen
(CCE-38223-4)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltung-Dienst (WinRM) unverschlüsselte Nachrichten über das Netzwerk sendet und empfängt. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Remoteverwaltung (WinRM)\WinRM-Dienst\Unverschlüsselten Datenverkehr zulassen
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage WindowsRemoteManagement.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93499
        STIG WS2016 V-73601
        CIS WS2019 18.9.102.1.2
        CIS WS2022 18.9.102.1.2
        CIS WS2019 18.9.102.2.3
        CIS WS2022 18.9.102.2.3
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Benutzersteuerung für Installationen zulassen
(CCE-36400-0)
Beschreibung: Diese Richtlinieneinstellung ermöglicht Benutzern, Installationsoptionen zu ändern, die normalerweise nur für Systemadministratoren verfügbar sind. Die Sicherheitsfeatures des Windows Installers hindern Benutzer daran, Installationsoptionen zu ändern, auf die normalerweise nur Systemadministratoren Zugriff haben, z. B. das Verzeichnis, in dem Dateien installiert werden. Wenn der Windows Installer feststellt, dass der Benutzer aufgrund eines bestimmten Installationspakets eine geschützte Option ändern kann, wird die Installation angehalten, und es wird eine Meldung angezeigt. Diese Sicherheitsfeatures funktionieren nur, wenn das Installationsprogramm in einem erhöhten Sicherheitskontext ausgeführt wird, in dem es Zugriff auf Verzeichnisse hat, die für den Benutzer nicht zugänglich sind. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Installer\Benutzersteuerung über Installationen zulassen
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage MSI.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist. Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung mit dem Namen "Benutzersteuerung über Installationen aktivieren" benannt, aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93199
        STIG WS2016 V-73583
        CIS WS2019 18.9.90.1
        CIS WS2022 18.9.90.1
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Immer mit erhöhten Rechten installieren
(CCE-37490-0)
Beschreibung: Mit dieser Einstellung wird gesteuert, ob Windows Installer beim Installieren eines Programms auf dem System Systemberechtigungen verwenden soll. Hinweis: Diese Einstellung wird sowohl im Ordner für die Computerkonfiguration als auch im Ordner für die Benutzerkonfiguration angezeigt. Damit diese Einstellung wirksam wird, müssen Sie sie in beiden Ordnern aktivieren. Achtung: Bei Aktivierung können geschickte Benutzer die durch diese Einstellung gewährten Berechtigungen zu ihrem Vorteil ausnutzen und ihre Rechte so ändern, dass sie dauerhaften Zugriff auf eingeschränkte Dateien und Ordner erhalten. Beachten Sie, dass nicht garantiert werden kann, dass die Benutzerkonfigurationsversion dieser Einstellung sicher ist. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Installer\Immer mit erhöhten Rechten installieren
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage MSI.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93201
        STIG WS2016 V-73585
        CIS WS2019 18.9.90.2
        CIS WS2022 18.9.90.2
Nicht vorhanden oder 0
(Registrierung)
Warnung
Beim Herstellen der Verbindung immer ein Kennwort anfordern
(CCE-37929-7)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob Terminaldienste beim Herstellen einer Verbindung immer ein Kennwort vom Clientcomputer anfordern. Sie können mit dieser Richtlinieneinstellung eine Kennworteingabeaufforderung für Benutzer, die sich bei den Terminaldiensten anmelden, auch dann erzwingen, wenn sie das Kennwort bereits im Remotedesktopverbindungs-Client bereitgestellt haben. Die Terminaldienste lassen standardmäßig zu, dass Benutzer sich automatisch anmelden, wenn sie ein Kennwort im Remotedesktopverbindungs-Client eingeben. Hinweis: Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der lokale Computeradministrator mit dem Terminaldienste-Konfigurationstool entweder zulassen oder verhindern, dass Kennwörter automatisch gesendet werden.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Sicherheit\Bei Verbindung immer zur Kennworteingabe auffordern
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „TerminalServer.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In den administrativen Vorlagen von Microsoft Windows Vista wurde diese Einstellung immer als Client zur Eingabe des Kennworts bei der Verbindung aufgefordert, wurde aber ab den Administrativen Vorlagen für Windows Server 2008 (nicht R2) umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.65.3.9.1
= 1
(Registrierung)
Kritisch
Anwendung: Steuern des Ereignisprotokollverhaltens, wenn die Protokolldatei die maximale Größe erreicht.
(CCE-37775-4)
Beschreibung: Diese Richtlinieneinstellung steuert das Ereignisprotokollverhalten, wenn die Protokolldatei die maximale Größe erreicht. Wenn Sie diese Richtlinieneinstellung aktivieren und eine Protokolldatei ihre maximale Größe erreicht, werden neue Ereignisse nicht in das Protokoll geschrieben und gehen verloren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und die maximale Größe einer Protokolldatei erreicht wird, werden alte Ereignisse von neuen Ereignissen überschrieben. Hinweis: Alte Ereignisse werden möglicherweise entsprechend der Richtlinieneinstellung „Volles Protokoll automatisch sichern“ beibehalten.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\Anwendung\Ereignisprotokollverhalten steuern, wenn die Protokolldatei ihre maximale Größe erreicht
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „EventLog.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung zunächst mit dem Namen "Alte Ereignisse beibehalten", aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2)-Administrative Vorlagen umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.27.1.1
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Anwendung: Maximale Größe der Protokolldatei (KB) angeben
(CCE-37948-7)
Beschreibung: Diese Richtlinieneinstellung gibt die maximale Größe der Protokolldatei in Kilobyte an. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die maximale Protokolldateigröße so konfigurieren, dass sie zwischen 1 Megabyte (1.024 Kilobyte) und 2 Terabyte (2.147.483.647 Kilobyte) in Kilobyte-Schritten liegt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die maximale Größe der Protokolldatei auf den lokal konfigurierten Wert eingestellt. Dieser Wert kann durch den lokalen Administrator über das Dialogfeld „Protokolleigenschaften“ geändert werden und wird standardmäßig auf 20 Megabyte eingestellt.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled: 32,768 or greater fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\Anwendung\Maximale Protokolldateigröße (KB) angeben
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „EventLog.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung zunächst als maximale Protokollgröße (KB) bezeichnet, aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2) umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.27.1.2
>= 32768
(Registrierung)
Kritisch
Benutzerauthentifizierung von Microsoft-Konten aller Anwender blockieren
(AZ-WIN-20198)
Beschreibung: Diese Einstellung bestimmt, ob Anwendungen und Dienste auf dem Gerät die neue Microsoft-Consumer-Kontoauthentifizierung über die Windows-OnlineID und WebAccountManager-APIs nutzen können. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth
OS: WS2016, WS2019
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinie Pfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft-Konten\Benutzerauthentifizierung für alle Consumer-Microsoft-Konten blockieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.46.1
        CIS WS2019 18.9.46.1
= 1
(Registrierung)
Kritisch
Außerkraftsetzung der lokalen Einstellung für die Berichterstattung an Microsoft MAPS konfigurieren
(AZ-WIN-00173)
Beschreibung: Diese Richtlinieneinstellung konfiguriert eine lokale Überschreibung für die Konfiguration des Beitritts zu Microsoft MAPS. Diese Einstellung kann nur per Gruppenrichtlinie festgelegt werden. Wenn Sie diese Einstellung aktivieren, hat die lokale Einstellung Vorrang vor der Gruppenrichtlinie. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, hat die Gruppenrichtlinie Vorrang vor der lokalen Einstellung.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender Antivirus\MAPS\Außerkraftsetzung der lokalen Einstellung für die Berichterstattung an Microsoft MAPS konfigurieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage WindowsDefender.admx/adml bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 8.1 & Server 2012 R2 enthalten ist (oder höher).
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.47.4.1
        CIS WS2022 18.9.47.4.1
Nicht vorhanden oder 0
(Registrierung)
Warnung
Windows SmartScreen konfigurieren
(CCE-35859-8)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie das Verhalten von Windows SmartScreen verwalten. Windows SmartScreen trägt zum Schutz von PCs bei, indem Benutzer vor dem Ausführen nicht erkannter aus dem Internet heruntergeladener Programme gewarnt werden. Informationen zu Dateien und Programmen, die auf PCs ausgeführt werden, auf denen dieses Feature aktiviert ist, werden an Microsoft gesendet. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie das Verhalten von Windows SmartScreen steuern, indem Sie eine der folgenden Optionen festlegen: * Benutzer vor dem Ausführen heruntergeladener unbekannter Software warnen * SmartScreen ausschalten Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das Verhalten von Windows SmartScreen mithilfe von Windows SmartScreen-Einstellungen in „Sicherheit und Wartung“ von Administratoren auf dem PC verwaltet. Optionen: * Benutzer vor dem Ausführen heruntergeladener unbekannter Software warnen * SmartScreen ausschalten
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinie Pfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabledfest: Warnen und Umgehung verhindern: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender SmartScreen\Explorer\Windows Defender SmartScreen konfigurierenHinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "WindowsExplorer.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist. Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen hieß diese Einstellung ursprünglich „Windows SmartScreen konfigurieren“, wurde aber ab den administrativen Vorlagen für Windows 10 Release 1703 umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.85.1.1
= 1
(Registrierung)
Warnung
Änderung gegenüber Standard-RDP-Port erkennen
(AZ-WIN-00156)
Beschreibung: Mit dieser Einstellung wird ermittelt, ob die Standardeinstellung 3389 des Netzwerkports, der auf Remotedesktopverbindungen lauscht, geändert wurde.
Schlüsselpfad: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Nicht zutreffend
Konformitätsstandardzuordnungen:
3389
(Registrierung)
Kritisch
Windows-Suchdienst deaktivieren
(AZ-WIN-00176)
Beschreibung: Diese Registrierungseinstellung deaktiviert den Windows-Suchdienst.
Schlüsselpfad: System\CurrentControlSet\Services\Wsearch\Start
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Nicht zutreffend
Konformitätsstandardzuordnungen:
Nicht vorhanden oder 4
(Registrierung)
Kritisch
Automatische Wiedergabe für andere Geräte als Volumes nicht zulassen
(CCE-37636-8)
Beschreibung: Diese Richtlinieneinstellung deaktiviert die automatische Wiedergabe für MTP-Geräte wie Kameras oder Telefone. Wenn Sie diese Richtlinieneinstellung aktivieren, ist die automatische Wiedergabe auf MTP-Geräten wie Kameras oder Telefonen nicht möglich. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist die automatische Wiedergabe für Nicht-Volume-Geräte aktiviert.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Richtlinien für automatische Wiedergabe\Automatische Wiedergabe für Geräte ohne Volume nicht zulassen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "AutoPlay.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.8.1
= 1
(Registrierung)
Kritisch
Digestauthentifizierung verweigern
(CCE-38318-2)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie bestimmen, ob der WinRM-Client die Standardauthentifizierung nicht verwendet. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Remoteverwaltung (WinRM)\WinRM-Dienst\Digest-Authentifizierung nicht zulassen
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage WindowsRemoteManagement.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93505
        STIG WS2016 V-73597
        CIS WS2019 18.9.102.1.3
        CIS WS2022 18.9.102.1.3
= 0
(Registrierung)
Kritisch
Speichern von RunAs-Anmeldeinformationen durch WinRM nicht zulassen
(CCE-36000-8)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie verwalten, ob der WinRM-Dienst (Windows-Remoteverwaltung) das Speichern von RunAs-Anmeldeinformationen für Plug-Ins zulässt. Wenn Sie diese Richtlinieneinstellung aktivieren, lässt der WinRM-Dienst nicht zu, dass die RunAsUser- oder RunAsPassword-Konfigurationswerte für Plug-Ins festgelegt werden. Wenn die RunAsUser- und RunAsPassword-Konfigurationswerte für ein Plug-In bereits festgelegt wurden, wird der RunAsPassword-Konfigurationswert aus dem Anmeldeinformationsspeicher dieses Computers gelöscht. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, lässt der WinRM-Dienst zu, dass die RunAsUser- und RunAsPassword-Konfigurationswerte für Plug-Ins festgelegt werden und der RunAsPassword-Wert sicher gespeichert wird. Wenn Sie diese Richtlinieneinstellung aktivieren und anschließend deaktivieren, müssen alle Werte, die zuvor für RunAsPassword konfiguriert wurden, zurückgesetzt werden.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Remoteverwaltung (WinRM)\WinRM-Dienst\Speichern von RunAs-Anmeldeinformationen durch WinRM nicht zulassen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "WindowsRemoteManagement.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.102.2.4
= 1
(Registrierung)
Kritisch
Speichern von Kennwörtern nicht zulassen
(CCE-36223-6)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie verhindern, dass Terminaldienste-Clients Kennwörter auf einem Computer speichern. Hinweis: Wenn diese Richtlinieneinstellung vorher als „Deaktiviert“ oder „Nicht konfiguriert“ konfiguriert war, werden alle zuvor gespeicherten Kennwörter gelöscht, wenn ein Terminaldiensteclient zum ersten Mal die Verbindung mit einem beliebigen Server trennt.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopclient\Speichern des Kennworts nicht zulassen
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „TerminalServer.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.65.2.2
= 1
(Registrierung)
Kritisch
Temporäre Ordner beim Beenden nicht löschen
(CCE-37946-1)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob Remotedesktopdienste die temporären sitzungsbezogenen Ordner eines Benutzers bei der Abmeldung beibehält. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Temporäre Ordner\Temporäre Ordner bei Beenden nicht löschen
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „TerminalServer.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung beim Beenden nicht temporären Ordner löschen, aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2) umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.65.3.11.1
Nicht vorhanden oder 1
(Registrierung)
Warnung
Schaltfläche „Kennwort anzeigen“ nicht anzeigen
(CCE-37534-5)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie die Anzeige der Schaltfläche „Kennwort anzeigen“ in der Benutzeroberfläche für die Kennworteingabe konfigurieren. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Benutzeroberfläche für Anmeldeinformationen\Schaltfläche zum Anzeigen des Kennworts nicht anzeigen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "CredUI.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.16.1
= 1
(Registrierung)
Warnung
Feedbackbenachrichtigungen nicht mehr anzeigen
(AZ-WIN-00140)
Beschreibung: Mit dieser Richtlinieneinstellung können Organisationen verhindern, dass die Geräte der Organisation Feedbackfragen von Microsoft anzeigen. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Benutzern keine Feedbackbenachrichtigungen über die Windows-Feedback-App mehr angezeigt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden Benutzern möglicherweise Benachrichtigungen über die Windows-Feedback-App angezeigt, in denen sie zum Feedback aufgefordert werden. Hinweis: Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer steuern, wie oft sie Feedbackfragen erhalten.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Datensammlungs- und Vorschaubuilds\Feedbackbenachrichtigungen nicht anzeigen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Er wird von der Gruppenrichtlinienvorlage „FeedbackNotifications.admx/adml“ bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 10 Release 1511 (oder höher) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.17.4
= 1
(Registrierung)
Kritisch
Temporäre Ordner nicht pro Sitzung verwenden
(CCE-38180-6)
Beschreibung: Standardmäßig erstellt Remotedesktopdienste für jede aktive Sitzung, die ein Benutzer auf dem RD-Sitzungshostserver verwaltet, einen separaten temporären Ordner auf dem RD-Sitzungshostserver. Der temporäre Ordner wird auf dem RD-Sitzungshostserver in einem temporären Ordner im Profilordner des Benutzers erstellt und mit der Bezeichnung „sessionid“ versehen. In diesem temporären Ordner werden einzelne temporäre Dateien gespeichert. Der temporäre Ordner wird gelöscht, wenn der Benutzer sich von einer Sitzung abmeldet, um Speicherplatz freizugeben. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Temporäre Ordner\Temporäre Ordner nicht pro Sitzung verwenden
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „TerminalServer.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.65.3.11.2
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Administratorkonten bei Erhöhen der Rechte auflisten
(CCE-36512-2)
Beschreibung: Diese Richtlinieneinstellung steuert, ob Administratorkonten angezeigt werden, wenn ein Benutzer versucht, eine Anwendung mit erhöhten Rechten auszuführen. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Benutzeroberfläche für Anmeldeinformationen\Administratorkonten bei Erhöhung auflisten
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage CredUI.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93517
        STIG WS2016 V-73487
        CIS WS2019 18.9.16.2
        CIS WS2022 18.9.16.2
Nicht vorhanden oder 0
(Registrierung)
Warnung
Herunterladen von Dateianlagen verhindern
(CCE-37126-0)
Beschreibung: Mit dieser Richtlinieneinstellung wird verhindert, dass Benutzer Dateianlagen aus einem Feed auf den Computer herunterladen können. Der empfohlene Status für diese Einstellung ist Enabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\RSS-Feeds\Herunterladen von Anlagen verhindern
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „InetRes.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung mit dem Namen "Herunterladen von Gehäusen deaktivieren" benannt, wurde jedoch ab Windows 8.0 & Server 2012 (nicht R2) umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.66.1
= 1
(Registrierung)
Warnung
Sichere RPC-Kommunikation erfordern
(CCE-37567-5)
Beschreibung: Diese Richtlinieneinstellung legt fest, ob für einen Remotedesktopsitzungs-Hostserver die sichere RPC-Kommunikation mit allen Clients erforderlich bzw. ob die unsichere Kommunikation zulässig ist. Mit dieser Einstellung können Sie die Sicherheit der RPC-Kommunikation mit Clients verbessern, indem Sie nur authentifizierte und verschlüsselte Anforderungen zulassen. Wenn die Einstellung aktiviert ist, akzeptieren Remotedesktopdienste Anforderungen von RPC-Clients, die sichere Anforderungen unterstützen, und unterstützen keine unsichere Kommunikation mit nicht vertrauenswürdigen Clients. Wenn die Einstellung deaktiviert ist, muss der gesamte RPC-Datenverkehr für Remotedesktopdienste immer sicher sein. Für RPC-Clients, die nicht auf die Anforderung reagieren, ist jedoch eine unsichere Kommunikation zulässig. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist die unsichere Kommunikation zulässig. Anmerkung: Die RPC-Schnittstelle wird zum Verwalten und Konfigurieren der Remotedesktopdienste verwendet.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Sicherheit\Sichere RPC-Kommunikation anfordern
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „TerminalServer.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.65.3.9.2
= 1
(Registrierung)
Kritisch
Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene für Remoteverbindungen ist erforderlich
(AZ-WIN-00149)
Beschreibung: Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Sicherheit\Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene anfordern
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „TerminalServer.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In den administrativen Microsoft Windows Vista-Vorlagen wurde diese Einstellung ursprünglich Benutzerauthentifizierung mit RDP 6.0 für Remoteverbindungen anfordern genannt, wurde aber ab den Administrativen Vorlagen für Windows Server 2008 (nicht R2) umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.65.3.9.4
Nicht vorhanden oder 1
(Registrierung)
Kritisch
Wechseldatenträger überprüfen
(AZ-WIN-00177)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie steuern, ob der Inhalt von Wechseldatenträgern wie USB-Speichersticks beim Ausführen einer vollständigen Überprüfung auf Schadsoftware und unerwünschte Software überprüft werden soll. Wenn Sie diese Einstellung aktivieren, werden Wechseldatenträger während jeder Überprüfung überprüft. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Wechseldatenträger während einer vollständigen Überprüfung nicht überprüft. Wechseldatenträger können weiterhin während der Schnellüberprüfung und der benutzerdefinierten Überprüfung überprüft werden.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender Antivirus\Überprüfung\Wechseldatenträger überprüfen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage WindowsDefender.admx/adml bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 8.1 & Server 2012 R2 enthalten ist (oder höher).
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.47.12.1
        CIS WS2022 18.9.47.12.1
= 0
(Registrierung)
Kritisch
Sicherheit: Steuern des Ereignisprotokollverhaltens, wenn die Protokolldatei die maximale Größe erreicht
(CCE-37145-0)
Beschreibung: Diese Richtlinieneinstellung steuert das Ereignisprotokollverhalten, wenn die Protokolldatei die maximale Größe erreicht. Wenn Sie diese Richtlinieneinstellung aktivieren und eine Protokolldatei ihre maximale Größe erreicht, werden neue Ereignisse nicht in das Protokoll geschrieben und gehen verloren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und die maximale Größe einer Protokolldatei erreicht wird, werden alte Ereignisse von neuen Ereignissen überschrieben. Hinweis: Alte Ereignisse werden möglicherweise entsprechend der Richtlinieneinstellung „Volles Protokoll automatisch sichern“ beibehalten.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\Sicherheit\Ereignisprotokollverhalten steuern, wenn die Protokolldatei ihre maximale Größe erreicht
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „EventLog.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung zunächst mit dem Namen "Alte Ereignisse beibehalten", aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2)-Administrative Vorlagen umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.27.2.1
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Sicherheit: Maximale Größe der Protokolldatei (KB) angeben
(CCE-37695-4)
Beschreibung: Diese Richtlinieneinstellung gibt die maximale Größe der Protokolldatei in Kilobyte an. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die maximale Protokolldateigröße so konfigurieren, dass sie zwischen 1 Megabyte (1024 Kilobyte) und 2 Terabyte (2.147.483.647 Kilobyte) in Kilobyte-Schritten liegt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die maximale Größe der Protokolldatei auf den lokal konfigurierten Wert eingestellt. Dieser Wert kann durch den lokalen Administrator über das Dialogfeld „Protokolleigenschaften“ geändert werden und wird standardmäßig auf 20 Megabyte eingestellt.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled: 196,608 or greater fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\Sicherheit\Maximale Protokolldateigröße (KB) angeben
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „EventLog.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung zunächst als maximale Protokollgröße (KB) bezeichnet, aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2) umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.27.2.2
>= 196608
(Registrierung)
Kritisch
Dateibeispiele senden, wenn eine weitere Analyse erforderlich ist
(AZ-WIN-00126)
Beschreibung: Mit dieser Richtlinieneinstellung wird das Verhalten der Beispielübermittlung konfiguriert, wenn die MAPS-Telemetrie verwendet wird. Mögliche Optionen: (0x0) Immer nachfragen (0x1) Sichere Beispiele automatisch senden (0x2) Nie senden (0x3) Alle Beispiele automatisch senden
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\MAPS\Dateibeispiele senden, wenn eine weitere Analyse erforderlich ist
Konformitätsstandardzuordnungen:
= 1
(Registrierung)
Warnung
Verschlüsselungsstufe der Clientverbindung festlegen
(CCE-36627-8)
Beschreibung: Mit dieser Richtlinieneinstellung wird festgelegt, ob der Computer, der die Remoteverbindung hostet, für die Remotesitzung eine Verschlüsselungsstufe für alle zwischen ihm und dem Clientcomputer gesendeten Daten erzwingt.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled: High Level fest:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Sicherheit\Clientverbindungsverschlüsselungsebene festlegen
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „TerminalServer.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.65.3.9.5
Nicht vorhanden oder 3
(Registrierung)
Kritisch
Standardverhalten von AutoAusführen festlegen
(CCE-38217-6)
Beschreibung: Diese Richtlinieneinstellung legt das Standardverhalten für AutoAusführen-Befehle fest. AutoAusführen-Befehle werden im Allgemeinen in autorun.inf-Dateien gespeichert. Häufig starten sie das Installationsprogramm oder andere Routinen. Vor Windows Vista führte das System das Programm automatisch ohne Benutzereingriff aus, wenn Medien mit einem AutoAusführen-Befehl eingelegt wurden. Dadurch entstand ein großes Sicherheitsproblem, da Code ohne Wissen des Benutzers ausgeführt werden konnte. Das Standardverhalten ist seit Windows Vista, den Benutzer zu fragen, ob der AutoAusführen-Befehl ausgeführt werden soll. Der AutoAusführen-Befehl wird im Dialogfeld „Automatische Wiedergabe“ als Handler dargestellt. Wenn Sie diese Richtlinieneinstellung aktivieren, kann ein Administrator das Standardverhalten von Windows Vista oder höher für AutoAusführen folgendermaßen ändern: a) AutoAusführen-Befehle vollständig deaktivieren, oder b) zum Verhalten vor Windows Vista der automatischen Ausführung des AutoAusführen-Befehls zurückkehren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Benutzer in Windows Vista oder höher gefragt, ob der AutoAusführen-Befehl ausgeführt werden soll.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled: Do not execute any autorun commands fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Richtlinien für automatische Wiedergabe\Standardverhalten für die automatische Ausführung festlegen
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage "AutoPlay.admx/adml" bereitgestellt, die in microsoft Windows 8.0 & Server 2012 (nicht R2) administrative Vorlagen (oder neuer) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.8.2
= 1
(Registrierung)
Kritisch
Setup: Steuern des Ereignisprotokollverhaltens, wenn die Protokolldatei die maximale Größe erreicht
(CCE-38276-2)
Beschreibung: Diese Richtlinieneinstellung steuert das Ereignisprotokollverhalten, wenn die Protokolldatei die maximale Größe erreicht. Wenn Sie diese Richtlinieneinstellung aktivieren und eine Protokolldatei ihre maximale Größe erreicht, werden neue Ereignisse nicht in das Protokoll geschrieben und gehen verloren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und die maximale Größe einer Protokolldatei erreicht wird, werden alte Ereignisse von neuen Ereignissen überschrieben. Hinweis: Alte Ereignisse werden möglicherweise entsprechend der Richtlinieneinstellung „Volles Protokoll automatisch sichern“ beibehalten.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\Einrichten\Ereignisprotokollverhalten steuern, wenn die Protokolldatei ihre maximale Größe erreicht
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „EventLog.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung zunächst mit dem Namen "Alte Ereignisse beibehalten", aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2)-Administrative Vorlagen umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.27.3.1
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Setup: Maximale Größe der Protokolldatei (KB) angeben
(CCE-37526-1)
Beschreibung: Diese Richtlinieneinstellung gibt die maximale Größe der Protokolldatei in Kilobyte an. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die maximale Protokolldateigröße so konfigurieren, dass sie zwischen 1 Megabyte (1024 Kilobyte) und 2 Terabyte (2.147.483.647 Kilobyte) in Kilobyte-Schritten liegt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die maximale Größe der Protokolldatei auf den lokal konfigurierten Wert eingestellt. Dieser Wert kann durch den lokalen Administrator über das Dialogfeld „Protokolleigenschaften“ geändert werden und wird standardmäßig auf 20 Megabyte eingestellt.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled: 32,768 or greater fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\Einrichten\Maximale Protokolldateigröße (KB) angeben
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „EventLog.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung zunächst als maximale Protokollgröße (KB) bezeichnet, aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2) umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.27.3.2
>= 32768
(Registrierung)
Kritisch
Letzten interaktiven Benutzer automatisch nach einem vom System initiierten Neustart anmelden
(CCE-36977-7)
Beschreibung: Mit dieser Richtlinieneinstellung wird gesteuert, ob ein Gerät den letzten interaktiven Benutzer automatisch anmeldet, nachdem Windows Update das System neu gestartet hat. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn
OS: WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled: fest.
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Anmeldeoptionen\Automatische Anmeldung des letzten interaktiven Benutzers nach einem systeminitiierten Neustart
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage WinLogon.admx/adml bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 8.1 & Server 2012 R2 enthalten ist (oder höher).
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93269
        STIG WS2016 V-73589
        CIS WS2019 18.9.86.1
        CIS WS2022 18.9.86.1
= 1
(Registrierung)
Kritisch
Hiermit wird das Intervall für die Überprüfung auf Definitionsupdates angegeben.
(AZ-WIN-00152)
Beschreibung: Mithilfe dieser Richtlinieneinstellung können Sie ein Intervall angeben, in dem eine Überprüfung auf Definitionsupdates durchgeführt wird. Der Zeitwert wird als die Anzahl der Stunden zwischen den Überprüfungen auf Updates dargestellt. Gültige Werte liegen zwischen 1 (stündlich) und 24 (einmal pro Tag). Wenn Sie diese Einstellung aktivieren, erfolgt im angegebenen Intervall eine Überprüfung auf Definitionsupdates. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, erfolgt die Überprüfung auf Definitionsupdates im Standardintervall.
Schlüsselpfad: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval
Betriebssystem: WS2008, WS2008R2, WS2012, WS2012R2
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinie Pfad: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Security Intelligence-Updates\Intervall für die Überprüfung auf Security Intelligence-Updates angeben
Konformitätsstandardzuordnungen:
= 8
(Registrierung)
Kritisch
System: Steuern des Ereignisprotokollverhaltens, wenn die Protokolldatei die maximale Größe erreicht
(CCE-36160-0)
Beschreibung: Diese Richtlinieneinstellung steuert das Ereignisprotokollverhalten, wenn die Protokolldatei die maximale Größe erreicht. Wenn Sie diese Richtlinieneinstellung aktivieren und eine Protokolldatei ihre maximale Größe erreicht, werden neue Ereignisse nicht in das Protokoll geschrieben und gehen verloren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und die maximale Größe einer Protokolldatei erreicht wird, werden alte Ereignisse von neuen Ereignissen überschrieben. Hinweis: Alte Ereignisse werden möglicherweise entsprechend der Richtlinieneinstellung „Volles Protokoll automatisch sichern“ beibehalten.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\System\Ereignisprotokollverhalten steuern, wenn die Protokolldatei ihre maximale Größe erreicht
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „EventLog.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung zunächst mit dem Namen "Alte Ereignisse beibehalten", aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2)-Administrative Vorlagen umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.27.4.1
Nicht vorhanden oder 0
(Registrierung)
Kritisch
System: Maximale Größe der Protokolldatei (KB) angeben
(CCE-36092-5)
Beschreibung: Diese Richtlinieneinstellung gibt die maximale Größe der Protokolldatei in Kilobyte an. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die maximale Protokolldateigröße so konfigurieren, dass sie zwischen 1 Megabyte (1024 Kilobyte) und 2 Terabyte (2.147.483.647 Kilobyte) in Kilobyte-Schritten liegt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die maximale Größe der Protokolldatei auf den lokal konfigurierten Wert eingestellt. Dieser Wert kann durch den lokalen Administrator über das Dialogfeld „Protokolleigenschaften“ geändert werden und wird standardmäßig auf 20 Megabyte eingestellt.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled: 32,768 or greater fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\System\Maximale Protokolldateigröße (KB) angeben
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „EventLog.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Hinweis Nr. 2: In älteren administrativen Microsoft Windows-Vorlagen wurde diese Einstellung zunächst als maximale Protokollgröße (KB) bezeichnet, aber sie wurde ab Windows 8.0 & Server 2012 (nicht R2) umbenannt.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.27.4.2
>= 32768
(Registrierung)
Kritisch
Die Inventur des Anwendungskompatibilitätsprogramm muss daran gehindert werden, Daten zu sammeln und die Informationen an Microsoft zu senden.
(AZ-WIN-73543)
Beschreibung: Einige Features können mit dem Anbieter kommunizieren und Systeminformationen senden oder Daten oder Komponenten für das Feature herunterladen. Wenn Sie diese Funktion deaktivieren, verhindern Sie, dass potenziell vertrauliche Informationen außerhalb des Unternehmens gesendet werden und nicht kontrollierte Updates auf dem System ausgeführt werden. Über diese Einstellung wird verhindert, dass der Programmbestand Daten zu einem System sammelt und die Informationen an Microsoft sendet.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory
OS: WS2016, WS2019, WS2022
Servertyp: Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Anwendungskompatibilität\Inventursammlung deaktivieren
Konformitätsstandardzuordnungen:
= 1
(Registrierung)
Informational
Automatische Wiedergabe deaktivieren
(CCE-36875-3)
Beschreibung: Die automatische Wiedergabe beginnt, von einem Laufwerk zu lesen, sobald Sie Medien in das Laufwerk einlegen. Dies bewirkt, dass die Setupdatei für Programme oder Audiomedien sofort gestartet wird. Ein Angreifer könnte mit diesem Feature ein Programm starten, das den Computer oder die Daten auf dem Computer beschädigt. Sie können die Einstellung „Automatische Wiedergabe deaktivieren“ aktivieren, um die automatische Wiedergabe zu deaktivieren. Die automatische Wiedergabe ist standardmäßig für einige Wechseldatenträgertypen wie Diskettenlaufwerke und Netzlaufwerke, aber nicht CD-ROM-Laufwerke, deaktiviert. Hinweis: Sie können diese Richtlinieneinstellung nicht verwenden, um die automatische Wiedergabe auf Computerlaufwerken zu aktivieren, auf denen sie standardmäßig deaktiviert ist. Hierzu zählen beispielsweise Diskettenlaufwerke und Netzlaufwerke.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled: All drives fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Richtlinien für automatische Wiedergabe\Automatische Wiedergabe deaktivieren
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage „AutoPlay.admx/adml“ bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.8.3
255
(Registrierung)
Kritisch
Datenausführungsverhinderung für Explorer deaktivieren
(CCE-37809-1)
Beschreibung: Bei Deaktivieren der Datenausführungsverhinderung können bestimmte Legacy-Plug-In-Anwendungen funktionieren, ohne dass der Explorer beendet wird. Der empfohlene Status für diese Einstellung ist Disabled. Hinweis: Einige Legacy-Plug-In-Anwendungen und andere Software funktionieren möglicherweise nicht mit der Datenausführungsverhinderung, sodass hierfür eine Ausnahme definiert werden muss.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Datei-Explorer\Verhinderung der Datenausführung für Explorer deaktivieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage Explorer.admx/adml bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 7 & Server 2008 R2 enthalten ist (oder höher).
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93563
        STIG WS2016 V-73561
        CIS WS2019 18.9.31.2
        CIS WS2022 18.9.31.2
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Heapabbruch bei Beschädigung deaktivieren
(CCE-36660-9)
Beschreibung: Ohne Heapabbruch bei Beschädigung funktionieren Legacy-Plug-In-Anwendungen möglicherweise weiterhin, wenn eine Datei-Explorer-Sitzung beschädigt wird. Sicherzustellen, dass Heapabbruch bei Beschädigung aktiv ist, verhindert dies. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Datei-Explorer\Verhinderung der Datenausführung für Explorer deaktivieren
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage Explorer.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93261
        STIG WS2016 V-73563
        CIS WS2019 18.9.31.3
        CIS WS2022 18.9.31.3
Nicht vorhanden oder 0
(Registrierung)
Kritisch
Microsoft-Anwenderfeatures deaktivieren
(AZ-WIN-00144)
Beschreibung: Mit dieser Richtlinieneinstellung werden die Features deaktiviert, die Consumer dabei unterstützen, ihre Geräte und das Microsoft-Konto optimal zu nutzen. Wenn du diese Richtlinieneinstellung aktivierst, werden Benutzer keine personalisierten Empfehlungen von Microsoft und keine Benachrichtigungen über ihr Microsoft-Konto mehr angezeigt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, sehen Benutzer möglicherweise Vorschläge von Microsoft und Benachrichtigungen zu ihrem Microsoft-Konto. Hinweis: Diese Einstellung gilt nur für Enterprise- und Education-SKUs.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Cloudinhalt\Microsoft-Benutzeroberflächen deaktivieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Er wird von der Gruppenrichtlinienvorlage „CloudContent.admx/adml“ bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 10 Release 1511 (oder höher) enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.14.2
Nicht vorhanden oder 1
(Registrierung)
Warnung
Geschützten Modus des Shellprotokolls deaktivieren
(CCE-36809-2)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie den Umfang der Funktionalität des Shellprotokolls konfigurieren. Wenn Sie die vollständige Funktionalität dieses Protokolls verwenden, können Anwendungen Ordner öffnen und Dateien starten. Der geschützte Modus verringert die Funktionalität dieses Protokolls, sodass Anwendungen nur einen begrenzten Satz von Ordnern öffnen können. Anwendungen können Dateien mit diesem Protokoll nicht öffnen, wenn sie sich im geschützten Modus befinden. Es wird empfohlen, dieses Protokoll im geschützten Modus zu belassen, um die Sicherheit von Windows zu erhöhen. Der empfohlene Status für diese Einstellung ist Disabled.
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Disabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Datei-Explorer\Geschützten Modus des Shellprotokolls deaktivieren
Hinweis: Dieser Gruppenrichtlinienpfad wird von der Gruppenrichtlinienvorlage WindowsExplorer.admx/adml bereitgestellt, die in allen Versionen der administrativen Microsoft Windows-Vorlagen enthalten ist.
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        STIG WS2019 V-93263
        STIG WS2016 V-73565
        CIS WS2019 18.9.31.4
        CIS WS2022 18.9.31.4
Nicht vorhanden oder 0
(Registrierung)
Warnung
Verhaltensüberwachung aktivieren
(AZ-WIN-00178)
Beschreibung: Mit dieser Richtlinieneinstellung können Sie die Verhaltensüberwachung konfigurieren. Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, wird die Verhaltensüberwachung aktiviert. Wenn Sie diese Einstellung deaktivieren, wird die Verhaltensüberwachung deaktiviert.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Um die empfohlene Konfiguration über GP einzurichten, legen Sie den folgenden UI-Pfad auf Enabled fest:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender Antivirus\Echtzeitschutz\Verhaltensüberwachung aktivieren
Hinweis: Dieser Gruppenrichtlinienpfad ist möglicherweise nicht standardmäßig vorhanden. Sie wird von der Gruppenrichtlinienvorlage WindowsDefender.admx/adml bereitgestellt, die in den administrativen Vorlagen von Microsoft Windows 8.1 & Server 2012 R2 enthalten ist (oder höher).
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2019 18.9.47.9.3
        CIS WS2022 18.9.47.9.3
Nicht vorhanden oder 0
(Registrierung)
Warnung
Protokollierung von PowerShell-Skriptblöcken aktivieren
(AZ-WIN-73591)
Beschreibung: Mit dieser Richtlinieneinstellung können alle PowerShell-Skript-Eingaben im Applications and Services Logs\Microsoft\Windows\PowerShell\Operational-Ereignisprotokollkanal protokolliert werden. Der empfohlene Status für diese Einstellung ist Enabled. Hinweis: Wenn die Protokollierung von Skriptblock-Start-/Beendigungsereignissen aktiviert ist (Optionsfeld aktiviert), protokolliert PowerShell zusätzliche Ereignisse beim Aufrufen eines Befehls, eines Skriptblocks, einer Funktion oder bei Skriptstarts oder -beendigungen. Das Aktivieren dieser Option führt zu einer großen Anzahl von Ereignisprotokollen. Das CIS hat sich bewusst dafür entschieden, keine Empfehlung für diese Option zu geben, da dadurch eine große Menge von Ereignissen generiert wird. Wenn eine Organisation die optionale Einstellung aktiviert hat, entspricht dies auch der Benchmark.
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging
OS: WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied, Arbeitsgruppenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows PowerShell\Protokollierung von PowerShell-Skriptblöcken aktivieren
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 18.9.100.1
        CIS WS2019 18.9.100.1
= 1
(Registrierung)
Wichtig

Windows-Einstellungen – Sicherheitseinstellungen

name
(ID)
Details Erwarteter Wert
(Typ)
severity
Anpassen von Speicherkontingenten für einen Prozess
(CCE-10849-8)
Beschreibung: Mit dieser Richtlinieneinstellung kann ein Benutzer die maximale Speichermenge anpassen, die für einen Prozess verfügbar ist. Die Möglichkeit zum Anpassen von Speicherkontingenten ist für die Systemoptimierung nützlich, kann jedoch missbraucht werden. In den falschen Händen könnte sie verwendet werden, um einen Denial-of-Service-Angriff (DoS) zu starten. Der empfohlene Status für diese Einstellung ist Administrators, LOCAL SERVICE, NETWORK SERVICE. Hinweis: Ein Mitgliedsserver, der die Rolle Webserver (IIS) mit dem Webserver-Rollendienst innehat, erfordert eine besondere Ausnahme von dieser Empfehlung, damit IIS-Anwendungspools dieses Benutzerrecht gewährt werden kann. Hinweis 2: Ein Mitgliedsserver, auf dem Microsoft SQL Server installiert ist, erfordert eine besondere Ausnahme von dieser Empfehlung, damit dieses Benutzerrecht weiteren SQL-generierten Einträgen gewährt werden kann.
Schlüsselpfad: [Privilege Rights]SeIncreaseQuotaPrivilege
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänencontroller, Domänenmitglied
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Speicherkontingente für einen Prozess anpassen
Konformitätsstandardzuordnungen:
        NamePlattform-ID
        CIS WS2022 2.2.6
        CIS WS2019 2.2.6
<= Administratoren, Lokaler Dienst, Netzwerkdienst
(Richtlinie)
Warnung

Hinweis

Die Verfügbarkeit spezifischer Einstellungen der Azure Policy-Gastkonfiguration kann in Azure Government und anderen nationalen Clouds variieren.

Nächste Schritte

Weitere Artikel zu Azure Policy und Gastkonfiguration: