A Windows biztonsági alapkonfigurációja

Cikk
12/08/2023

Ez a cikk a Windows-vendégek konfigurációs beállításait ismerteti a következő implementációkban:

[Előzetes verzió]: A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának Azure Policy vendégkonfiguráció-definíciójának követelményeinek
A gépek biztonsági konfigurációjának biztonsági réseit az Azure Security Centerben kell elhárítani

További információ: Azure Automanage machine configuration.

Fontos

Az Azure Policy vendégkonfigurációja csak a Windows Server termékváltozatára és az Azure Stack termékváltozatára vonatkozik. Ez nem vonatkozik a végfelhasználói számításra, például a Windows 10 és a Windows 11 termékváltozatokra.

Fiókszabályzatok jelszóházirendje

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Fiókzárolás időtartama _{(AZ-WIN-73312)}	Leírás: Ez a házirend-beállítás határozza meg a zárolt fiók zárolásának feloldásához szükséges időtartamot, és a felhasználó újra megpróbálhat bejelentkezni. A beállítás ezt úgy teszi meg, hogy megadja, hogy egy zárolt fiók hány percig nem lesz elérhető. Ha ennek a házirend-beállításnak az értéke 0, a zárolt fiókok zárolva maradnak, amíg a rendszergazda manuálisan fel nem oldja őket. Bár jó ötletnek tűnhet, hogy a házirend-beállítás értékét magas értékre konfigurálja, az ilyen konfiguráció valószínűleg növeli a segélyszolgálat által fogadott hívások számát a véletlenül zárolt fiókok zárolásának feloldásához. A felhasználóknak tisztában kell lenniük azzal, hogy mennyi ideig marad érvényben a zárolás, hogy észrevehessék, hogy csak akkor kell hívniuk az ügyfélszolgálatot, ha rendkívül sürgős szükségük van a számítógéphez való hozzáférés helyreállítására. Ennek a beállításnak a javasolt állapota a következő: `15 or more minute(s)`. Megjegyzés: A jelszóházirend-beállításokat (1.1. szakasz) és a fiókzárolási házirend beállításait (1.2. szakasz) az alapértelmezett tartományi házirend csoportházirend-objektumán keresztül kell alkalmazni annak érdekében, hogy az alapértelmezett viselkedésük globálisan érvényes legyen a tartományi felhasználói fiókokra. Ha ezek a beállítások egy másik csoportházirend-objektumban vannak konfigurálva, azok csak a csoportházirend-objektumot fogadó számítógépek helyi felhasználói fiókjait érintik. Az alapértelmezett jelszóházirendre és fiókzárolási szabályzatra vonatkozó egyéni kivételek azonban meghatározott tartományi felhasználók és/vagy csoportok esetében a Jelszó Gépház objektumok (PSO-k) használatával határozhatók meg, amelyek teljesen elkülönülnek a csoportházirendtől, és a legegyszerűbben az Active Directory Rendszergazda istrative Center használatával konfigurálhatók. Kulcs elérési útja: [Rendszerhozzáférés]LockoutDuration Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fiókszabályzatok\Fiókzárolási szabályzat\Fiókzárolás időtartama Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 1.2.1 CIS WS2019 1.2.1	>= 15 _{(Szabályzat)}	Figyelmeztetés

Rendszergazda istrative sablon – Window Defender

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Potenciálisan nemkívánatos alkalmazások észlelésének konfigurálása _{(AZ-WIN-202219)}	Leírás: Ez a házirend-beállítás szabályozza a potenciálisan nemkívánatos alkalmazások (PUA) észlelését és működését, amelyek alattomos nemkívánatos alkalmazáscsomagolók vagy azok csomagolt alkalmazásai, amelyek képesek adware-eket vagy kártevőket szállítani. Ennek a beállításnak a javasolt állapota a következő: `Enabled: Block`. További információkért lásd ezt a hivatkozást: A potenciálisan nemkívánatos alkalmazások letiltása a Microsoft Defender víruskereső \| Microsoft Docs Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\Az észlelés konfigurálása a potenciálisan nemkívánatos alkalmazásokhoz Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15	= 1 _{(Beállításjegyzék)}	Critical
Az összes letöltött fájl és melléklet vizsgálata _{(AZ-WIN-202221)}	Leírás: Ez a házirend-beállítás konfigurálja az összes letöltött fájl és melléklet vizsgálatát. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: Szoftver\Szabályzatok\Microsoft\Windows Defender\Valós idejű védelem\DisableIOAVProtection Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\Valós idejű védelem\Az összes letöltött fájl és melléklet vizsgálata Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1	= 0 _{(Beállításjegyzék)}	Figyelmeztetés
A Microsoft Defender AntiVirus kikapcsolása _{(AZ-WIN-202220)}	Leírás: Ez a házirend-beállítás kikapcsolja Microsoft Defender víruskereső. Ha a beállítás le van tiltva, Microsoft Defender víruskereső fut, és a számítógépeken kártevőket és egyéb potenciálisan nemkívánatos szoftvereket keresnek. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\A Microsoft Defender AntiVirus kikapcsolása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16	= 0 _{(Beállításjegyzék)}	Critical
A valós idejű védelem kikapcsolása _{(AZ-WIN-202222)}	Leírás: Ez a házirend-beállítás valós idejű védelmi kéréseket konfigurál az ismert kártevők észlelésére. Microsoft Defender víruskereső riasztást küld, ha a kártevők vagy a potenciálisan nemkívánatos szoftverek megpróbálják telepíteni magát vagy futtatni a számítógépen. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: Szoftver\Szabályzatok\Microsoft\Windows Defender\Valós idejű védelem\DisableRealtimeMonitoring Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\Valós idejű védelem\Valós idejű védelem kikapcsolása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2	= 0 _{(Beállításjegyzék)}	Figyelmeztetés
Az e-mailek vizsgálatának bekapcsolása _{(AZ-WIN-202218)}	Leírás: Ez a házirend-beállítás lehetővé teszi az e-mailek vizsgálatának konfigurálását. Ha engedélyezve van az e-mail-vizsgálat, a motor az adott formátumnak megfelelően elemzi a postaláda- és e-mail-fájlokat, hogy elemezze a levéltesteket és a mellékleteket. Jelenleg számos e-mail formátum támogatott, például: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\Scan\Turn on e-mail scan Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2	= 0 _{(Beállításjegyzék)}	Figyelmeztetés
Szkriptszkennelés bekapcsolása _{(AZ-WIN-202223)}	Leírás: Ez a házirend-beállítás lehetővé teszi a szkriptek be- és kikapcsolását. A szkriptek vizsgálata elfogja a szkripteket, majd megvizsgálja őket, mielőtt végrehajtanák őket a rendszeren. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: Szoftver\Szabályzatok\Microsoft\Windows Defender\Valós idejű védelem\DisableScriptScanning Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\Real-Time Protection\A szkriptvizsgálat bekapcsolása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4	= 0 _{(Beállításjegyzék)}	Figyelmeztetés

Rendszergazda-sablonok – Vezérlőpult

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Bemeneti személyre szabás engedélyezése _{(AZ-WIN-00168)}	Leírás: Ez a szabályzat lehetővé teszi a bemeneti személyre szabás automatikus tanulási összetevőjét, amely magában foglalja a beszédet, a szabadkézatot és a gépelést. Az automatikus tanulás lehetővé teszi a beszéd- és kézírásminták, a gépelési előzmények, a névjegyek és a legutóbbi naptáradatok gyűjtését. A Cortana használatához szükséges. Az összegyűjtött információk némelyike a felhasználó OneDrive-ján tárolható szabadkézés és gépelés esetén; néhány információ fel lesz töltve a Microsoftba a beszéd személyre szabásához. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához állítsa a következő felhasználói felület elérési útját`Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Vezérlőpult\Regional and Language Options\Allow users to enable online speech recognition services Note: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Globalization.admx/adml csoportházirendsablon biztosítja, amely a Microsoft Windows 10 RTM (Release 1507) Rendszergazda istrative templates (vagy újabb) része. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ezt a beállítást eredetileg Allow input personalization (Bemeneti személyre szabás engedélyezése) névre nevezték át, de a Windows 10 R1809 & Server 2019 Rendszergazda istrative sablonoktól kezdve a felhasználók engedélyezhetik az online beszédfelismerési szolgáltatásokat. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.1.2.2	= 0 _{(Beállításjegyzék)}	Figyelmeztetés

Rendszergazda istrative sablonok – MS biztonsági útmutató

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
SMB v1-ügyfél letiltása (a LanmanWorkstation függőségének eltávolítása) _{(AZ-WIN-00122)}	Leírás: Az SMBv1 egy örökölt protokoll, amely az MD5 algoritmust használja az SMB részeként. Az MD5 számos támadással szemben sebezhető, például ütközési és előmegelő támadásokkal szemben, valamint nem felel meg a FIPS előírásainak. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService Operációs rendszer: WS2008, WS2008R2, WS2012 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Rendszergazda istrative Templates\MS Security Guide\Configure SMBv1 client driver Megfelelőségi standard leképezések:	Nem létezik, vagy = Bowser\0MRxSmb20\0NSI\0\0 _{(Beállításjegyzék)}	Critical
WDigest-hitelesítés _{(AZ-WIN-73497)}	Leírás: Ha engedélyezve van a WDigest-hitelesítés, az Lsass.exe megőrzi a felhasználó egyszerű szöveges jelszavának másolatát a memóriában, ahol fennáll a lopás kockázata. Ha ez a beállítás nincs konfigurálva, a WDigest-hitelesítés le van tiltva a Windows 8.1-ben és a Windows Server 2012 R2-ben; alapértelmezés szerint engedélyezve van a Windows és a Windows Server korábbi verzióiban. A helyi fiókokról és a hitelesítő adatok ellopásáról további információt a "Pass-the-Hash (PtH) támadások és egyéb hitelesítő adatok lopási technikáinak enyhítése" című dokumentumokban talál. További információkért `UseLogonCredential`lásd a Microsoft Tudásbázis 2871997: Microsoft Security Advisory Update című cikkét a hitelesítő adatok védelmének és kezelésének javítása érdekében 2014. május 13-i. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential OPERÁCIÓS RENDSZER: WS2016, WS2019 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MS Security Guide\WDigest Authentication (a letiltáshoz szükség lehet KB2871997) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.3.7 CIS WS2019 18.3.7	= 0 _{(Beállításjegyzék)}	Fontos

Rendszergazda-sablonok – MSS

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
MSS: (DisableIPSourceRouting IPv6) IP-forrás útválasztási védelmi szintje (védelmet nyújt a csomaghamisítás ellen) _{(AZ-WIN-202213)}	Leírás: Az IP-forrás útválasztása egy olyan mechanizmus, amellyel a feladó meghatározhatja, hogy a datagramnak milyen IP-útvonalat kell követnie a hálózaton keresztül. Ennek a beállításnak a javasolt állapota a következő: `Enabled: Highest protection, source routing is completely disabled`. Kulcs elérési útja: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MSS (Örökölt)\MSS: (DisableIPSourceRouting IPv6) IP-forrás útválasztási védelmi szintje (védelmet nyújt a csomaghamisítás ellen) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.4.2 CIS WS2019 18.4.2	= 2 _{(Beállításjegyzék)}	Tájékoztató
MSS: (DisableIPSourceRouting) IP-forrás útválasztási védelmi szintje (védelmet nyújt a csomaghamisítás ellen) _{(AZ-WIN-202244)}	Leírás: Az IP-forrás útválasztása egy olyan mechanizmus, amellyel a feladó meghatározhatja, hogy a datagram milyen IP-útvonalat használjon a hálózaton keresztül. Javasoljuk, hogy ezt a beállítást vállalati környezetekben ne definiált értékre, a magas biztonsági környezetek legmagasabb szintű védelmére pedig a forrásútválasztás teljes letiltásához konfigurálja. Ennek a beállításnak a javasolt állapota a következő: `Enabled: Highest protection, source routing is completely disabled`. Kulcs elérési útja: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MSS (Örökölt)\MSS: (DisableIPSourceRouting) IP-forrás útválasztási védelmi szintje (védelmet nyújt a csomaghamisítás ellen) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.4.3 CIS WS2019 18.4.3	= 2 _{(Beállításjegyzék)}	Tájékoztató
MSS: (NoNameReleaseOnDemand) Lehetővé teszi, hogy a számítógép figyelmen kívül hagyja a NetBIOS névkiadási kéréseit, kivéve a WINS-kiszolgálóktól _{(AZ-WIN-202214)}	Leírás: A NetBIOS TCP/IP protokollon keresztül olyan hálózati protokoll, amely többek között lehetővé teszi a Windows-alapú rendszereken regisztrált NetBIOS-nevek egyszerű feloldását az ezeken a rendszereken konfigurált IP-címekre. Ez a beállítás határozza meg, hogy a számítógép kiadja-e a NetBIOS-nevét, amikor egy névkiadási kérést kap. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MSS (Legacy)\MSS: (NoNameReleaseOnDemand) Lehetővé teszi, hogy a számítógép figyelmen kívül hagyja a NetBIOS-névkiadási kérelmeket, kivéve a WINS-kiszolgálóktól Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.4.6 CIS WS2019 18.4.6	= 1 _{(Beállításjegyzék)}	Tájékoztató
MSS: (Széf DllSearchMode) Engedélyezze Széf DLL keresési módot (ajánlott) _{(AZ-WIN-202215)}	Leírás: A DLL keresési sorrendje konfigurálható úgy, hogy a folyamatok futtatásával kért DLL-eket két módon keresse meg: - Először a rendszer elérési útján megadott mappákban keressen, majd keresse meg az aktuális munkamappát. – Először keresse meg az aktuális munkamappát, majd keresse meg a rendszer elérési útján megadott mappákat. Ha engedélyezve van, a beállításjegyzék értéke 1. Az 1 beállítással a rendszer először megkeresi a rendszer elérési útján megadott mappákat, majd megkeresi az aktuális munkamappát. Ha le van tiltva, a beállításjegyzék értéke 0, és a rendszer először megkeresi az aktuális munkamappát, majd megkeresi a rendszer elérési útján megadott mappákat. Az alkalmazásoknak először a rendszer elérési útján kell keresnie a DLL-eket. Az olyan alkalmazások esetében, amelyekhez az alkalmazáshoz tartozó DLL-ek egyedi verzióira van szükség, ez a bejegyzés teljesítmény- vagy stabilitási problémákat okozhat. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Megjegyzés: Az Széf DLL keresési mód működésével kapcsolatos további információk a következő hivatkozáson érhetők el: Dynamic-Link Könyvtár keresési sorrendje – Windows-alkalmazások \| Microsoft Docs Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Session Manager\Széf DllSearchMode Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MSS (örökölt)\MSS: (Széf DllSearchMode) Engedélyezze Széf DLL keresési módot (ajánlott) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.4.8 CIS WS2019 18.4.8	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
MSS: (WarningLevel) A biztonsági eseménynapló százalékos küszöbértéke, amelyen a rendszer figyelmeztetést fog generálni _{(AZ-WIN-202212)}	Leírás: Ez a beállítás biztonsági naplózást hozhat létre a Biztonsági eseménynaplóban, amikor a napló eléri a felhasználó által megadott küszöbértéket. Ennek a beállításnak a javasolt állapota a következő: `Enabled: 90% or less`. Megjegyzés: Ha a naplóbeállítások úgy vannak konfigurálva, hogy szükség szerint felülírják az eseményeket, vagy felülírják az x napnál régebbi eseményeket, ez az esemény nem jön létre. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MSS (Örökölt)\MSS: (WarningLevel) Százalékküszöb azon biztonsági eseménynaplóhoz, amelyen a rendszer figyelmeztetést fog generálni Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.4.12 CIS WS2019 18.4.12	<= 90 _{(Beállításjegyzék)}	Tájékoztató
A Windows Servert úgy kell konfigurálni, hogy megakadályozza, hogy az Internet Control Message Protocol (ICMP) átirányításai felülírják az Open Shortest Path First (OSPF) által létrehozott útvonalakat. _{(AZ-WIN-73503)}	Leírás: Az Internet Control Message Protocol (ICMP) átirányításai miatt az IPv4-verem gazdaútvonalakat hoz. Ezek az útvonalak felülbírálják a legrövidebb út első megnyitása (OSPF) által létrehozott útvonalakat. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MSS (Örökölt)\MSS: (EnableICMPRedirect) Az ICMP-átirányítások felülírhatják az OSPF által létrehozott útvonalakat Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.4.4 CIS WS2019 18.4.4	= 0 _{(Beállításjegyzék)}	Tájékoztató

Rendszergazda istrative Templates – Network

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Nem biztonságos vendég bejelentkezések engedélyezése _{(AZ-WIN-00171)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az SMB-ügyfél engedélyezi-e a nem biztonságos vendég bejelentkezéseket egy SMB-kiszolgálóra. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative sablonok etwork\Lanman Workstation\Enable insecure guest logons Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "LanmanWorkstation.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 10 Release 1511 Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1	= 0 _{(Beállításjegyzék)}	Critical
Megkeményített UNC-elérési utak – NETLOGON _{(AZ_WIN_202250)}	Leírás: Ez a házirend-beállítás konfigurálja az UNC-elérési utakhoz való biztonságos hozzáférést Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\\NETLOGON Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Rendszergazda istrative Templates\Network\Network Provider\Hardened UNC Paths Megfelelőségi standard leképezések: Névplatformazonosítója* CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1, RequireIntegrity=1 _{(Beállításjegyzék)}	Figyelmeztetés
Megkeményített UNC-elérési utak – SYSVOL _{(AZ_WIN_202251)}	Leírás: Ez a házirend-beállítás konfigurálja az UNC-elérési utakhoz való biztonságos hozzáférést Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\\SYSVOL Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Rendszergazda istrative Templates\Network\Network Provider\Hardened UNC Paths Megfelelőségi standard leképezések: Névplatformazonosítója* CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1, RequireIntegrity=1 _{(Beállításjegyzék)}	Figyelmeztetés
Az internethez vagy a Windows-tartományhoz való egyidejű kapcsolatok számának minimalizálása _{(CCE-38338-0)}	Leírás: Ez a házirend-beállítás megakadályozza, hogy a számítógépek egyszerre csatlakozzanak tartományalapú hálózathoz és nem tartományalapú hálózathoz is. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimize Csatlakozás ions Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled: 3 = Prevent Wi-Fi when on Ethernet`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative sablonok etwork\Windows Csatlakozáskezelő\Az internethez vagy a Windows-tartományhoz való egyidejű kapcsolatok számának minimalizálása Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "WCM.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates része. A rendszer a Windows 10 1903-as kiadásának Rendszergazda istrative sablonjaitól kezdve egy új Kis méretű házirendbeállítások albeállítással frissült. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.5.21.1	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Figyelmeztetés
A Hálózati híd telepítésének és konfigurálásának tiltása a DNS-tartomány hálózatán _{(CCE-38002-2)}	Leírás: Ezzel az eljárással szabályozhatja, hogy a felhasználó képes-e hálózati hidat telepíteni és konfigurálni. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Network Csatlakozás ions\NC_AllowNetBridge_NLA Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Network\Network Csatlakozás ions\A Hálózati híd telepítésének és konfigurálásának tiltása a DNS-tartomány hálózatán Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `NetworkConnections.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2	= 0 _{(Beállításjegyzék)}	Figyelmeztetés
Az internetes Csatlakozás ionmegosztás használatának tiltása a DNS-tartomány hálózatán _{(AZ-WIN-00172)}	Leírás: Bár ez az "örökölt" beállítás hagyományosan az Internet Csatlakozás ion Sharing (ICS) windows 2000, Windows XP &Server 2003 rendszerben való használatára vonatkozik, ez a beállítás most már a Windows 10 & Server 2016 Mobile Hotspot funkciójára is érvényes. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Network Csatlakozás ions\NC_ShowSharedAccessUI Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative sablonok etwork etwork Csatlakozás ions\Az internetes Csatlakozás ionmegosztás használatának tiltása a DNS-tartomány hálózatán Megjegyzés: Ezt a csoportházirend-elérési utat a "Network Csatlakozás ions.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.5.11.3	= 0 _{(Beállításjegyzék)}	Figyelmeztetés
Csoportos küldési névfeloldás kikapcsolása _{(AZ-WIN-00145)}	Leírás: Az LLMNR egy másodlagos névfeloldási protokoll. Az LLMNR használatával a rendszer csoportos küldéssel küld lekérdezéseket egyetlen alhálózat helyi hálózati hivatkozásán keresztül egy ügyfélszámítógépről egy másik ügyfélszámítógépre ugyanazon az alhálózaton, amelyen az LLMNR is engedélyezve van. Az LLMNR nem igényel DNS-kiszolgálót vagy DNS-ügyfélkonfigurációt, és olyan esetekben biztosít névfeloldást, amikor a hagyományos DNS-névfeloldás nem lehetséges. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative sablonok etwork\DNS-ügyfél\Csoportos küldési névfeloldás kikapcsolása Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "DnsClient.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.5.4.2	= 0 _{(Beállításjegyzék)}	Figyelmeztetés

Rendszergazda istrative Templates – Biztonsági útmutató

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Strukturált kivételkezelés felülírása elleni védelem engedélyezése (Standard kiadás HOP) _{(AZ-WIN-202210)}	Leírás: A Windows támogatja a strukturált kivételkezelés felülírása elleni védelmet (Standard kiadás HOP). Javasoljuk, hogy engedélyezze ezt a funkciót a számítógép biztonsági profiljának javítása érdekében. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MS Security Guide\Enable Structured Exception Handling Overwrite Protection (Standard kiadás HOP) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.3.4 CIS WS2019 18.3.4	= 0 _{(Beállításjegyzék)}	Critical
NetBT NodeType-konfiguráció _{(AZ-WIN-202211)}	Leírás: Ez a beállítás határozza meg, hogy a NetBIOS melyik metódust használja TCP/IP-en keresztül (NetBT) a nevek regisztrálásához és feloldásához. A rendelkezésre álló módszerek a következők: - A B-csomópont (szórás) metódus csak szórásokat használ. – A P-node (pont–pont) metódus csak név lekérdezéseket használ egy névkiszolgálóra (WINS). - Az M-node (vegyes) metódus először közvetít, majd lekérdez egy névkiszolgálót (WINS), ha a szórás sikertelen. – A H-csomópont (hibrid) metódus először lekérdez egy névkiszolgálót (WINS), majd közvetíti, ha a lekérdezés sikertelen volt. Ennek a beállításnak a javasolt állapota a következő: `Enabled: P-node (recommended)` (pont–pont). Megjegyzés: Az LMHOSTS vagy a DNS segítségével történő megoldás ezeket a módszereket követi. Ha a `NodeType` beállításjegyzék értéke jelen van, az felülír minden `DhcpNodeType` beállításjegyzék-értéket. Ha sem nincs `NodeType` , sem `DhcpNodeType` nincs jelen, a számítógép B-csomópontot (szórást) használ, ha nincs konfigurálva a hálózathoz konfigurált WINS-kiszolgálók, vagy ha legalább egy WINS-kiszolgáló van konfigurálva, akkor a H-csomópont (hibrid). Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MS Security Guide\NetBT NodeType configuration Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.3.6 CIS WS2019 18.3.6	= 2 _{(Beállításjegyzék)}	Figyelmeztetés

Rendszergazda istrative Templates – System

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
A fiókadatok bejelentkezéskor való megjelenítésének letiltása a felhasználónál _{(AZ-WIN-00138)}	Leírás: Ez a szabályzat megakadályozza, hogy a felhasználó megjelenítse a fiók adatait (e-mail-címét vagy felhasználónevét) a bejelentkezési képernyőn. Ha engedélyezi ezt a házirend-beállítást, a felhasználó nem tudja megjeleníteni a fiók adatait a bejelentkezési képernyőn. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a felhasználó dönthet úgy, hogy a bejelentkezési képernyőn megjeleníti a fiók adatait. Kulcs elérési útja: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Logon\Block user from showing account details on sign-in Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "Logon.admx/adml" csoportházirend-sablon biztosítja, amely tartalmazza a Microsoft Windows 10 1607-es kiadását és a Server 2016 Rendszergazda istrative sablonokat (vagy újabbat). Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.28.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Rendszerindítási illesztőprogram inicializálási házirendje _{(CCE-37912-3)}	Leírás: Ez a házirend-beállítás lehetővé teszi a rendszerindítási illesztőprogramok inicializálását egy korai indítású kártevőirtó rendszerindítási illesztőprogram által meghatározott besorolás alapján. A korai indítású kártevőirtó rendszerindítási illesztőprogram a következő besorolásokat adja vissza minden egyes indítási illesztőhöz: - Jó: Az illesztőprogram aláírása megtörtént, és nem módosították. - Rossz: Az illesztőprogramot kártevőként azonosították. Javasoljuk, hogy ne engedélyezze az ismert rossz illesztőprogramok inicializálását. - Rossz, de a rendszerindításhoz szükséges: Az illesztőprogram kártevőként lett azonosítva, de a számítógép nem tud sikeresen elindulni az illesztőprogram betöltése nélkül. - Ismeretlen: Ezt az illesztőprogramot nem igazolta a kártevőészlelési alkalmazás, és nem sorolta be a korai indítású kártevőirtó rendszerindítási illesztőprogram. Ha engedélyezi ezt a házirend-beállítást, kiválaszthatja, hogy mely indítási-indítási illesztőprogramokat inicializálja a számítógép következő indításakor. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a rendszer a rendszerindítási indítási illesztőprogramokat jónak, ismeretlennek vagy hibásnak határozza meg, de a rendszer inicializálja a rendszerindítási kritikus beállítást, és a rendszer kihagyja a hibásnak vélt illesztőprogramok inicializálását. Ha a kártevőészlelési alkalmazás nem tartalmaz korai indításgátló rendszerindítási illesztőprogramot, vagy ha a Korai indítás elleni kártevőirtó rendszerindítási illesztőprogram le van tiltva, ez a beállítás nincs hatással, és az összes indítási-indítási illesztőprogram inicializálva van. Kulcs elérési útja: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled:Good, unknown and bad but critical`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt az "EarlyLaunchAM.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.14.1	Nem létezik vagy = 3 _{(Beállításjegyzék)}	Figyelmeztetés
Ajánlati távsegítség konfigurálása _{(CCE-36388-7)}	Leírás: Ez a házirend-beállítás lehetővé teszi az ajánlat (kéretlen) távsegítség bekapcsolását vagy kikapcsolását ezen a számítógépen. Az ügyfélszolgálat és a támogatási személyzet nem tud proaktív módon segítséget nyújtani, bár továbbra is válaszolhatnak a felhasználói segítségkérésekre. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Remote Assistance\Configure Offer Remote Assistance Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) csomagban található csoportházirend-sablon `RemoteAssistance.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
A kért távsegítség konfigurálása _{(CCE-37281-3)}	Leírás: Ezzel a házirend-beállítással bekapcsolhatja vagy kikapcsolhatja a segélykéréses távsegítséget ezen a számítógépen. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Remote Assistance\Configureed Remote Assistance Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) csomagban található csoportházirend-sablon `RemoteAssistance.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2	= 0 _{(Beállításjegyzék)}	Critical
Ne jelenjen meg a hálózati kijelölés felhasználói felülete _{(CCE-38353-9)}	Leírás: Ez a házirend-beállítás lehetővé teszi annak szabályozását, hogy bárki használhatja-e az elérhető hálózatok felhasználói felületét a bejelentkezési képernyőn. Ha engedélyezi ezt a házirend-beállítást, a számítógép hálózati kapcsolati állapota nem módosítható a Windowsba való bejelentkezés nélkül. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, bármely felhasználó leválaszthatja a számítógépet a hálózatról, vagy a Windowsba való bejelentkezés nélkül csatlakoztathatja a számítógépet más elérhető hálózatokhoz. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Logon\Ne jelenjen meg a hálózatválasztás felhasználói felülete Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "Logon.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.1 & Server 2012 R2 Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.28.2	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
A csatlakoztatott felhasználók számbavételének tiltása tartományhoz csatlakoztatott számítógépeken _{(AZ-WIN-202216)}	Leírás: Ez a házirend-beállítás megakadályozza a csatlakoztatott felhasználók számbavételét a tartományhoz csatlakoztatott számítógépeken. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: Software\Policies\Microsoft\Windows\System\DontEnumerate Csatlakozás edUsers Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Logon\Ne számba vegyék a csatlakoztatott felhasználókat a tartományhoz csatlakoztatott számítógépeken Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
RPC-végpontleképező ügyfélhitelesítésének engedélyezése _{(CCE-37346-4)}	Leírás: Ez a házirend-beállítás azt szabályozza, hogy az RPC-ügyfelek hitelesítést végeznek-e az Endpoint Mapper szolgáltatással, amikor az általuk hívott hívás hitelesítési adatokat tartalmaz. A Windows NT4 rendszerű számítógépeken (az összes szervizcsomagban) futó Endpoint Mapper szolgáltatás nem tudja feldolgozni az ilyen módon megadott hitelesítési adatokat. Ha letiltja ezt a házirend-beállítást, az RPC-ügyfelek nem hitelesítik magukat az Endpoint Mapper szolgáltatásban, de képesek lesznek kommunikálni a Windows NT4 Server Endpoint Mapper szolgáltatásával. Ha engedélyezi ezt a házirend-beállítást, az RPC-ügyfelek hitelesítést fognak végezni az Endpoint Mapper szolgáltatásban a hitelesítési adatokat tartalmazó hívások esetében. Az ilyen hívásokat kezdeményező ügyfelek nem tudnak kommunikálni a Windows NT4 Server Endpoint Mapper szolgáltatással. Ha nem konfigurálja ezt a házirend-beállítást, az le lesz tiltva. Az RPC-ügyfelek nem hitelesítik az Endpoint Mapper szolgáltatást, de képesek lesznek kommunikálni a Windows NT4 Server Endpoint Mapper szolgáltatással. Megjegyzés: Ez a szabályzat csak a rendszer újraindítása után lesz alkalmazva. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt az "RPC.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.37.1	= 1 _{(Beállításjegyzék)}	Critical
Windows NTP-ügyfél engedélyezése _{(CCE-37843-0)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a Windows NTP-ügyfél engedélyezve van-e. A Windows NTP-ügyfél engedélyezésével a számítógép szinkronizálhatja a számítógép óráját más NTP-kiszolgálókkal. Ha úgy dönt, hogy külső időszolgáltatót használ, letilthatja ezt a szolgáltatást. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client Megjegyzés: Ezt a csoportházirend-elérési utat a "W32Time.admx/adml" csoportházirendsablon biztosítja, amely a Microsoft Windows Rendszergazda istrative templates összes verziójában megtalálható. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.53.1.1	= 1 _{(Beállításjegyzék)}	Critical
Encryption Oracle Remediation for CredSSP protocol _{(AZ-WIN-201910)}	Leírás: Egyes alkalmazások (például a Távoli asztali Csatlakozás ion) által használt CredSSP protokoll egyes verziói sebezhetők az ügyfél elleni titkosítási oracle-támadásokkal szemben. Ez a szabályzat szabályozza a sebezhető ügyfelekkel és kiszolgálókkal való kompatibilitást, és lehetővé teszi a titkosítási oracle biztonsági réséhez kívánt védelmi szint beállítását. Ennek a beállításnak a javasolt állapota a következő: `Enabled: Force Updated Clients`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle OPERÁCIÓS RENDSZER: WS2016, WS2019 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Hitelesítő adatok delegálása\Encryption Oracle Szervizelés Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1	= 0 _{(Beállításjegyzék)}	Critical
Győződjön meg arról, hogy a beállításjegyzék-szabályzat feldolgozásának konfigurálása: Az időszakos háttérfeldolgozás során nem alkalmazható" beállítás "Engedélyezve: FAL Standard kiadás" értékre van állítva. _{(CCE-36169-1)}	Leírás: A "Ne alkalmazza a rendszer a rendszeres háttérfeldolgozás során" beállítás megakadályozza, hogy a rendszer frissítse az érintett szabályzatokat a háttérben, miközben a számítógép használatban van. Ha a háttérfrissítések le vannak tiltva, a szabályzatmódosítások csak a következő felhasználói bejelentkezés vagy rendszer újraindítása után lépnek érvénybe. Ennek a beállításnak a javasolt állapota a következő: `Enabled: FALSE` (nincs bejelölve). Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Ha gp-n keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa be a következő felhasználói felület elérési útját `Enabled`, majd állítsa a `Process even if the Group Policy objects have not changed` beállítást `TRUE` (bejelölve): Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Group Policy\Configure registry policy processing Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) csomagban található csoportházirend-sablon `GroupPolicy.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2	= 0 _{(Beállításjegyzék)}	Critical
Győződjön meg arról, hogy a "Beállításjegyzék-szabályzat feldolgozásának konfigurálása: A folyamat akkor is működik, ha a csoportházirend-objektumok nem változtak" beállítás értéke "Engedélyezve: IGAZ" _{(CCE-36169-1a)}	Leírás: A "Folyamat akkor is, ha a csoportházirend-objektumok nem változtak" beállítás akkor is frissül és alkalmazza újra a szabályzatokat, ha a szabályzatok nem változtak. A beállításhoz ajánlott állapot: `Enabled: TRUE` (bejelölve). Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Az ajánlott konfiguráció gp-n keresztüli létrehozásához állítsa a következő felhasználói felület elérési útját `Enabled`, majd állítsa a "Folyamat akkor is, ha a csoportházirend-objektumok nem változtak" beállítást "IGAZ" értékre (bejelölve): Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Group Policy\Configure registry policy processing Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "GroupPolicy.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.21.3	= 0 _{(Beállításjegyzék)}	Critical
Győződjön meg arról, hogy a "Folytatási szolgáltatások ezen az eszközön" beállítás "Letiltva" értékre van állítva _{(AZ-WIN-00170)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a Windows-eszköz jogosult-e részt venni az eszközközi szolgáltatásokban (folytatási szolgáltatások). Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Group Policy\Continue experiences on this device Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "GroupPolicy.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 10 1607-es kiadásának és a Server 2016-os Rendszergazda istrative sablonoknak (vagy újabbaknak) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.21.4	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
Helyi felhasználók számbavétele tartományhoz csatlakoztatott számítógépeken _{(AZ_WIN_202204)}	Leírás: Ez a házirend-beállítás lehetővé teszi a helyi felhasználók számbavételét a tartományhoz csatlakoztatott számítógépeken. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Logon\Enumerate local users on domain-joined computers Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
Parancssor felvétele a folyamatlétrehozás eseményeibe _{(CCE-36925-6)}	Leírás: Ez a házirend-beállítás határozza meg, hogy milyen adatokat naplóz a rendszer a biztonsági naplózási eseményekben egy új folyamat létrehozásakor. Ez a beállítás csak akkor érvényes, ha a naplózási folyamatlétrehozás házirendje engedélyezve van. Ha engedélyezi ezt a házirend-beállítást, a rendszer minden folyamat parancssori adatait egyszerű szövegben naplózza a biztonsági eseménynaplóban a 4688-as naplózási folyamatlétrehozás esemény részeként, "új folyamat lett létrehozva" azon munkaállomásokon és kiszolgálókon, amelyeken ez a házirend-beállítás érvényesül. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a folyamat parancssori információi nem lesznek belefoglalva a folyamatlétrehozás naplózási eseményeibe. Alapértelmezett: Nincs konfigurálva megjegyzés: Ha ez a házirend-beállítás engedélyezve van, a biztonsági események olvasásához hozzáféréssel rendelkező felhasználók minden sikeresen létrehozott folyamat parancssori argumentumait elolvashatják. A parancssori argumentumok bizalmas vagy személyes adatokat, például jelszavakat vagy felhasználói adatokat tartalmazhatnak. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled Operációs rendszer: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Audit Process Creation\Include parancssor in process creation events Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 8.1 & Server 2012 R2 Rendszergazda istrative templates (vagy újabb) csomagban található "Audit Gépház.admx/adml" csoportházirend-sablon biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.3.1	= 1 _{(Beállításjegyzék)}	Critical
Eszköz metaadatainak lekérésének megakadályozása az internetről _{(AZ-WIN-202251)}	Leírás: Ezzel a házirend-beállítással megakadályozhatja, hogy a Windows lekérte az eszköz metaadatait az internetről. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Megjegyzés: Ez nem akadályozza meg az alapszintű hardverillesztők telepítését, de megakadályozza, hogy a társított külső segédprogramszoftverek automatikusan telepítve legyenek a `SYSTEM` fiók környezetében. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Device Installation\Prevent device metadata retrieveal from the internet Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2	= 1 _{(Beállításjegyzék)}	Tájékoztató
A távoli gazdagép lehetővé teszi a nem exportálható hitelesítő adatok delegálását _{(AZ-WIN-20199)}	Leírás: A távoli gazdagép lehetővé teszi a nem exportálható hitelesítő adatok delegálását. Hitelesítő adatok delegálása esetén az eszközök a hitelesítő adatok exportálható verzióját biztosítják a távoli gazdagépnek. Ez a távoli gazdagép támadóitól származó hitelesítő adatok ellopásának kockázatát teszi elérhetővé a felhasználók számára. A korlátozott Rendszergazda mód és a Windows Defender távoli hitelesítő adatok védelme két lehetőség a kockázat elleni védelemre. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Megjegyzés: A Windows Defender távoli hitelesítő adatainak védelméről és a korlátozott Rendszergazda móddal való összehasonlításáról az alábbi hivatkozáson talál további információt: Távoli asztali hitelesítő adatok védelme a Windows Defender Remote Credential Guard használatával (Windows 10) \| Microsoft Docs Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds OPERÁCIÓS RENDSZER: WS2016, WS2019 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Hitelesítő adatok delegálása\Távoli gazdagép lehetővé teszi a nem exportálható hitelesítő adatok delegálását Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2	= 1 _{(Beállításjegyzék)}	Critical
Alkalmazásértesítések kikapcsolása a zárolási képernyőn _{(CCE-35893-7)}	Leírás: Ezzel a házirend-beállítással megakadályozhatja, hogy az alkalmazásértesítések megjelenjenek a zárolási képernyőn. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Logon\Kapcsolja ki az alkalmazásértesítéseket a zárolási képernyőn Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "Logon.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.28.5	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
A csoportházirend háttérfrissítésének kikapcsolása _{(CCE-14437-8)}	Leírás: Ez a házirend-beállítás megakadályozza a csoportházirend frissítését, amíg a számítógép használatban van. Ez a házirend-beállítás számítógépek, felhasználók és tartományvezérlők csoportházirendjeire vonatkozik. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Group Policy\A csoportházirend háttérfrissítésének kikapcsolása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5	= 0 _{(Beállításjegyzék)}	Figyelmeztetés
Nyomtatóillesztők letöltésének kikapcsolása HTTP-en keresztül _{(CCE-36625-2)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a számítógép letölthet-e nyomtatóillesztő-csomagokat HTTP-en keresztül. A HTTP-nyomtatás beállításához előfordulhat, hogy a szabványos operációs rendszer telepítésében nem elérhető nyomtatóillesztőket HTTP-en keresztül kell letölteni. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Internet Communication Management\Internet Communication settings\Off download of print drivers over HTTP Megjegyzés: Ezt a csoportházirend-elérési utat az "ICM.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.22.1.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Az Internet Csatlakozás ion varázsló kikapcsolása, ha az URL-kapcsolat Microsoft.com _{(CCE-37163-3)}	Leírás: Ez a házirend-beállítás azt határozza meg, hogy az Internet Csatlakozás ion varázsló csatlakozhat-e a Microsofthoz az internetszolgáltatók listájának letöltéséhez. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Internet Csatlakozás ion wizard\ExitOnMSICW Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Internet Communication Management\Internet Communication settings\Kapcsolja ki az Internet Csatlakozás ion varázslót, ha az URL-kapcsolat Microsoft.com Megjegyzés: Ezt a csoportházirend-elérési utat az "ICM.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.22.1.4	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
A kényelmes PIN-kód bejelentkezésének bekapcsolása _{(CCE-37528-7)}	Leírás: Ez a házirend-beállítás lehetővé teszi annak szabályozását, hogy egy tartományi felhasználó kényelmes PIN-kóddal tud-e bejelentkezni. A Windows 10-ben a kényelmi PIN-kódot a Passport váltotta fel, amely erősebb biztonsági tulajdonságokkal rendelkezik. A Passport tartományi felhasználók számára való konfigurálásához használja a Számítógép konfigurációja\Rendszergazda istrative Templates\Windows Components\Microsoft Passport for Work című témakör szabályzatait. Megjegyzés: A szolgáltatás használatakor a rendszer gyorsítótárazza a felhasználó tartományi jelszavát a rendszertárolóban. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\System\Logon\Kapcsolja be a kényelmes PIN-kód bejelentkezését Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonok (vagy újabbak) közé tartozó csoportházirend-sablon `CredentialProviders.admx/adml` biztosítja.2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ezt a beállítást eredetileg a PIN-kódos bejelentkezés bekapcsolása nevű beállításnak nevezték el, de a Windows 10 1511-es kiadásával kezdődően átnevezték Rendszergazda istrative sablonokra. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés

Rendszergazda szkenztív sablonok – Windows-összetevő

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
A felhőbeli fogyasztói fiók állapottartalmainak kikapcsolása _{(AZ-WIN-202217)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a felhőbeli fogyasztói fiókok állapottartalma engedélyezett-e minden Windows-szolgáltatásban. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Cloud Content\Kapcsolja ki a felhőalapú fogyasztói fiók állapottartalmat Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés

Rendszergazda szkenztív sablonok – Windows-összetevők

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
A meghajtó átirányításának tiltása _{(AZ-WIN-73569)}	Leírás: Ez a házirend-beállítás megakadályozza, hogy a felhasználók megoszthassák a helyi meghajtókat az ügyfélszámítógépeiken az általuk elért távoli asztali kiszolgálókon. A leképezett meghajtók a Windows Intéző munkamenetmappájának fájában a következő formátumban jelennek meg: `\\TSClient\<driveletter>$` Ha a helyi meghajtók meg vannak osztva, sebezhetőek maradnak azokkal a behatolókkal szemben, akik ki szeretnék használni a rajtuk tárolt adatokat. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection\Do not allow drive redirection Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
A PowerShell-átirat bekapcsolása _{(AZ-WIN-202208)}	Leírás: Ez a házirend-beállítás lehetővé teszi a Windows PowerShell-parancsok bemenetének és kimenetének szöveges átiratokba való rögzítését. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows PowerShell\Kapcsolja be a PowerShell-átírást Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2	= 0 _{(Beállításjegyzék)}	Figyelmeztetés

Rendszergazda-sablonok – Windows biztonság

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
A beállítások módosításának megakadályozása a felhasználók számára _{(AZ-WIN-202209)}	Leírás: Ez a házirend-beállítás megakadályozza, hogy a felhasználók a Windows biztonság beállításai között módosíthassák az Exploit védelmi beállítások területét. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows biztonság\App and browser protection\Prevent users from modifying settings Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés

Rendszergazda istrative sablon – Windows Defender

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Támadási felület csökkentési szabályainak konfigurálása _{(AZ_WIN_202205)}	Leírás: Ez a házirend-beállítás szabályozza az Attack Surface Reduction (ASR) szabályok állapotát. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\Microsoft Defender – biztonsági rés kiaknázása elleni védelem\Attack Surface Reduction\Configure Támadási felület csökkentési szabályai Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
A felhasználók és alkalmazások hozzáférésének megakadályozása veszélyes webhelyekhez _{(AZ_WIN_202207)}	Leírás: Ez a házirend-beállítás Microsoft Defender – biztonsági rés kiaknázása elleni védelem hálózati védelmet szabályoz. Ennek a beállításnak a javasolt állapota a következő: `Enabled: Block`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\Microsoft Defender – biztonsági rés kiaknázása elleni védelem\Network Protection\Prevent users and veszélyes webhelyek eléréséből származó alkalmazások Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés

Számítógépes fiókok felügyeletének naplózása

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Számítógépes fiókok felügyeletének naplózása _{(CCE-38004-8)}	Leírás: Ez az alkategóriák a számítógépfiók-kezelés minden eseményét jelentik, például amikor számítógépfiókot hoznak létre, módosítanak, törölnek, átneveznek, letiltanak vagy engedélyeznek. Az alkategóriához tartozó események a következők: - 4741: Számítógépfiók jött létre. - 4742: A számítógépfiók megváltozott. - 4743: Törölték a számítógépfiókot. Ennek a beállításnak a javasolt állapota a következő: `Success`. Kulcs elérési útja: {0CCE9236-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Fiókkezelés\Számítógépfiók-felügyelet naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.2.2 CIS WS2019 17.2.2	= Siker _(Naplózás)	Critical

Biztonságos mag

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Rendszerindítási DMA-védelem engedélyezése _{(AZ-WIN-202250)}	Leírás: A biztonságos magú kompatibilis kiszolgálók támogatják a rendszer belső vezérlőprogramját, amely védelmet nyújt a rendszerindítási folyamat során az összes DMA-kompatibilis eszköz rosszindulatú és nem szándékos Közvetlen memória-hozzáférés (DMA) támadásai ellen. Kulcs elérési útja: BootDMAProtection O Standard kiadás x: WSASHCI22H2 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: NA Megfelelőségi standard leképezések:	= 1 _(OsConfig)	Critical
Hipervizor által kényszerített kódintegritás engedélyezése _{(AZ-WIN-202246)}	Leírás: A HVCI és a VBS javítja a Windows fenyegetésmodellt, és erősebb védelmet nyújt a Windows Kernelt kihasználni próbáló kártevők ellen. A HVCI egy kritikus összetevő, amely védi és megkeményíti a VBS által létrehozott izolált virtuális környezetet a kernelmódú kódintegritás futtatásával és a rendszer veszélyeztetésére használható kernelmemória-foglalások korlátozásával. Kulcs elérési útja: HypervisorEnforcedCodeIntegrityStatus O Standard kiadás x: WSASHCI22H2 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: NA Megfelelőségi standard leképezések:	= 0 _(OsConfig)	Critical
Biztonságos rendszerindítás engedélyezése _{(AZ-WIN-202248)}	Leírás: A biztonságos rendszerindítás egy biztonsági szabvány, amelyet a pc-iparág tagjai fejlesztettek ki annak érdekében, hogy az eszköz csak az eredeti berendezésgyártó (OEM) által megbízható szoftverekkel induljon el. Kulcs elérési útja: SecureBootState O Standard kiadás x: WSASHCI22H2 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: NA Megfelelőségi standard leképezések:	= 1 _(OsConfig)	Critical
Rendszerőr engedélyezése _{(AZ-WIN-202247)}	Leírás: A dinamikus mérési megbízhatósági (DRTM) technológia processzortámogatásával Rendszerőr a belső vezérlőprogramot egy hardveralapú tesztkörnyezetbe helyezve, amely a magas jogosultsági szintű belsővezérlőprogram-kód több millió sorában korlátozza a biztonsági rések hatását. Kulcs elérési útja: SystemGuardStatus O Standard kiadás x: WSASHCI22H2 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: NA Megfelelőségi standard leképezések:	= 0 _(OsConfig)	Critical
Virtualizációalapú biztonság engedélyezése _{(AZ-WIN-202245)}	Leírás: A virtualizáláson alapuló biztonság vagy VBS hardvervirtualizálási funkciókkal hoz létre és különít el egy biztonságos memóriaterületet a normál operációs rendszertől. Ez segít biztosítani, hogy a kiszolgálók továbbra is a kritikus számítási feladatok futtatására legyenek fordítva, és hogy megvédjék a kapcsolódó alkalmazásokat és adatokat a támadásoktól és a kiszivárgástól. A VBS alapértelmezés szerint engedélyezve és zárolva van az Azure Stack HCI-ben. Kulcs elérési útja: VirtualizationBasedSecurityStatus O Standard kiadás x: WSASHCI22H2 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: NA Megfelelőségi standard leképezések:	= 0 _(OsConfig)	Critical
TPM-verzió beállítása _{(AZ-WIN-202249)}	Leírás: A megbízható platformmodul (TPM) technológia hardveralapú, biztonsággal kapcsolatos funkciók biztosítására lett kialakítva. A TPM2.0 szükséges a védett magos funkciókhoz. Kulcs elérési útja: TPMVersion O Standard kiadás x: WSASHCI22H2 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: NA Megfelelőségi standard leképezések:	2.0-t tartalmaz _(OsConfig)	Critical

Biztonsági beállítások – Fiókok

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Fiókok: Microsoft-fiókok blokkolása _{(AZ-WIN-202201)}	Leírás: Ez a házirend-beállítás megakadályozza, hogy a felhasználók új Microsoft-fiókokat vegyenek fel ezen a számítógépen. Ennek a beállításnak a javasolt állapota a következő: `Users can't add or log on with Microsoft accounts`. Kulcs elérési útja: Software\Microsoft\Windows\CurrentVersion\Policies\System\No Csatlakozás edUser Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Fiókok: Microsoft-fiókok letiltása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2	= 3 _{(Beállításjegyzék)}	Figyelmeztetés
Fiókok: Vendégfiók állapota _{(CCE-37432-2)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a vendégfiók engedélyezve vagy letiltva van-e. A vendégfiók lehetővé teszi, hogy a hitelesítés nélküli hálózati felhasználók hozzáférjenek a rendszerhez. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Megjegyzés: Ez a beállítás nem lesz hatással a tartományvezérlő szervezeti egységére csoportházirenden keresztül történő alkalmazásakor, mivel a tartományvezérlők nem rendelkeznek helyi fiókadatbázissal. A fiókzárolási és jelszóházirend-beállításokhoz hasonlóan tartományi szinten is konfigurálható csoportházirenddel. Kulcs elérési útja: [Rendszerhozzáférés]EnableGuestAccount Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Fiókok: Vendégfiók állapota Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3	= 0 _{(Szabályzat)}	Critical
Fiókok: A helyi fiók üres jelszóhasználatának korlátozása csak konzolos bejelentkezésre _{(CCE-37615-2)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a jelszóval nem védett helyi fiókok használhatók-e a fizikai számítógép konzoljától eltérő helyekről történő bejelentkezéshez. Ha engedélyezi ezt a házirend-beállítást, az üres jelszóval rendelkező helyi fiókok nem tudnak bejelentkezni a hálózatra távoli ügyfélszámítógépekről. Az ilyen fiókok csak a számítógép billentyűzetén tudnak bejelentkezni. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Fiókok: Az üres jelszavak helyi fiók általi használatának korlátozása csak a konzol bejelentkezésére Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Fiókok: Vendégfiók átnevezése _{(AZ-WIN-202255)}	Leírás: A beépített helyi vendégfiók egy másik jól ismert név a támadók számára. Javasoljuk, hogy nevezze át ezt a fiókot olyan névre, amely nem jelzi a célját. Még akkor is, ha letiltja ezt a fiókot, amely ajánlott, győződjön meg arról, hogy átnevezi a hozzáadott biztonság érdekében. A tartományvezérlők esetében, mivel nem rendelkeznek saját helyi fiókkal, ez a szabály a tartomány első létrehozásakor létrehozott beépített vendégfiókra vonatkozik. Kulcs elérési útja: [System Access]NewGuestName Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Fiókok: Vendégfiók átnevezése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6	!= Vendég _{(Szabályzat)}	Figyelmeztetés
Hálózati hozzáférés: Névtelen SID/Névfordítás engedélyezése _{(CCE-10024-8)}	Leírás: Ez a házirend-beállítás azt határozza meg, hogy egy névtelen felhasználó kérhet-e biztonsági azonosító (SID) attribútumokat egy másik felhasználóhoz, vagy egy SID használatával kérheti le a megfelelő felhasználónevet. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: [Rendszerhozzáférés]LSAAnonymousNameLookup Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati hozzáférés: Névtelen SID/Névfordítás engedélyezése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1	= 0 _{(Szabályzat)}	Figyelmeztetés

Biztonsági beállítások – Naplózás

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Naplózás: Naplózási házirend alkategória-beállításainak kényszerítése (Windows Vista vagy újabb) a naplózási házirend kategóriabeállításainak felülírására _{(CCE-37850-5)}	Leírás: Ez a házirend-beállítás lehetővé teszi a rendszergazdák számára a Windows Vista rendszerben található pontosabb naplózási képességek engedélyezését. A Windows Server 2003 Active Directoryban elérhető naplózási házirend-beállítások még nem tartalmazzák az új naplózási alkategóriák kezelésére vonatkozó beállításokat. Az ebben az alapkonfigurációban előírt naplózási szabályzatok megfelelő alkalmazásához a naplózási szabályzat alkategóriáinak (Windows Vista vagy újabb) kényszerítése a naplózási szabályzat kategóriabeállításainak felülbírálásához engedélyezve kell lennie. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Naplózás: Naplózási szabályzat alkategória-beállításainak kényszerítése (Windows Vista vagy újabb) a naplózási szabályzat kategóriabeállításai felülbírálásához Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.2.1	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Naplózás: Rendszer azonnali leállítása, ha a biztonsági naplók nem írhatók _{(CCE-35907-5)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a rendszer leáll-e, ha nem tudja naplózni a biztonsági eseményeket. A megbízható számítógéprendszer-értékelési feltételek (TC Standard kiadás C)-C2 és a Common Criteria minősítés követelménye, hogy a naplózható események ne forduljanak elő, ha a naplózási rendszer nem tudja naplózni őket. A Microsoft úgy döntött, hogy eleget tesz ennek a követelménynek azáltal, hogy leállítja a rendszert, és egy stop üzenetet jelenít meg, ha a naplózási rendszer hibát tapasztal. Ha ez a házirend-beállítás engedélyezve van, a rendszer leáll, ha valamilyen okból nem lehet naplózni egy biztonsági auditot. Ha a naplózás: A rendszer azonnali leállítása, ha engedélyezve van a biztonsági naplózási beállítások naplózása, nem tervezett rendszerhibák léphetnek fel. Az adminisztratív terhek jelentősek lehetnek, különösen akkor, ha a biztonsági napló adatmegőrzési módszerét úgy is konfigurálja, hogy ne írja felül az eseményeket (manuálisan törölje a naplót). Ez a konfiguráció megtagadási fenyegetést okoz (a biztonsági mentési operátor megtagadhatja, hogy biztonsági másolatot készítsenek vagy visszaállítsa az adatokat) szolgáltatásmegtagadási (DoS-) biztonsági réssé válik, mivel a kiszolgálót le lehet állítani, ha túlterheli a bejelentkezési események és a biztonsági naplóba írt egyéb biztonsági események. Mivel a leállítás nem kecses, lehetséges, hogy az operációs rendszer, az alkalmazások vagy az adatok helyrehozhatatlan károsodása következhet be. Bár az NTFS fájlrendszer garantálja az integritást a számítógép nem gyalázatos leállítása esetén, nem tudja garantálni, hogy minden alkalmazás összes adatfájlja továbbra is használható formában legyen a számítógép újraindításakor. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági auditokat Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical

Biztonsági beállítások – Eszközök

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Eszközök: Cserélhető adathordozó formázása és kiadása a következő csoportok tagjainak engedélyezett _{(CCE-37701-0)}	Leírás: Ez a házirend-beállítás határozza meg, hogy ki formázhatja és bocsáthatja ki a cserélhető adathordozókat. Ezzel a házirend-beállítással megakadályozhatja, hogy a jogosulatlan felhasználók adatokat távolítsanak el az egyik számítógépen, hogy hozzáférjenek egy másik számítógépen, amelyen helyi rendszergazdai jogosultságokkal rendelkeznek. Kulcs elérési útja: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Eszközök: Cserélhető adathordozók formázása és kiadása engedélyezett Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.4.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
Eszközök: A felhasználók nem telepíthetnek nyomtatókat _{(CCE-37942-0)}	Leírás: Ahhoz, hogy egy számítógép megosztott nyomtatóra legyen nyomtatva, a megosztott nyomtató illesztőprogramjának telepítve kell lennie a helyi számítógépen. Ez a biztonsági beállítás határozza meg, hogy ki telepíthet nyomtató-illesztőprogramot a megosztott nyomtatóhoz való csatlakozás részeként. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Megjegyzés: Ez a beállítás nem befolyásolja a helyi nyomtató hozzáadásának lehetőségét. Ez a beállítás nem érinti a Rendszergazda istratorokat. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Eszközök: A felhasználók nem telepíthetik a nyomtatóillesztőket Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Figyelmeztetés
A nyomtatóillesztők telepítésének korlátozása Rendszergazda istratorokra _{(AZ_WIN_202202)}	Leírás: Ez a házirend-beállítás azt szabályozza, hogy azok a felhasználók, akik nem Rendszergazda istratorok, telepíthetnek-e nyomtatóillesztőket a rendszerre. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Megjegyzés: 2021. augusztus 10-én a Microsoft bejelentette a Pont és nyomtatás alapértelmezett viselkedésének módosítását, amely módosítja az alapértelmezett pont- és nyomtatóillesztő telepítését és frissítési viselkedését, hogy Rendszergazda istrator-jogosultságokat igényeljen. Ezt az KB5005652 Az új pont és nyomtatás alapértelmezett illesztőprogram telepítési viselkedésének kezelése (CVE-2021-34481) című cikkben dokumentáljuk. Kulcs elérési útja: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationTo Rendszergazda istrators Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\MS Security Guide\Limit print driver installation to Rendszergazda istrators Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.3.5 CIS WS2019 18.3.5	= 1 _{(Beállításjegyzék)}	Figyelmeztetés

Biztonsági beállítások – Tartománytag

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Győződjön meg arról, hogy a "Tartománytag: A biztonságos csatorna adatainak digitális titkosítása vagy aláírása (mindig)" beállítás "Engedélyezve" értékre van állítva _{(CCE-36142-8)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a tartománytag által kezdeményezett összes biztonságos csatornaforgalomnak alá kell-e írnia vagy titkosítottnak kell-e lennie. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Tartománytag: Biztonságos csatornaadatok digitális titkosítása vagy aláírása (mindig) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Győződjön meg arról, hogy a "Tartománytag: A biztonságos csatorna adatainak digitális titkosítása (ha lehetséges)" beállítás "Engedélyezve" értékre van állítva _{(CCE-37130-2)}	Leírás: Ez a házirend-beállítás határozza meg, hogy egy tartománytagnak meg kell-e kísérelnie az általa kezdeményezett összes biztonságos csatornaforgalom titkosításának egyeztetését. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Tartománytag: Biztonságos csatornaadatok digitális titkosítása (ha lehetséges) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Győződjön meg arról, hogy a "Tartománytag: Biztonságos csatorna adatainak digitális aláírása (ha lehetséges)" beállítás "Engedélyezve" értékre van állítva _{(CCE-37222-7)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a tartománytagok megpróbálják-e egyeztetni, hogy az általa kezdeményezett biztonságos csatornaforgalomnak digitálisan alá kell-e írnia. A digitális aláírások megvédik a forgalmat attól, hogy bárki módosítsa őket, aki rögzíti az adatokat, miközben az áthalad a hálózaton. Ennek a beállításnak a javasolt állapota a következő: "Engedélyezve". Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Tartománytag: Biztonságos csatornaadatok digitális aláírása (ha lehetséges) Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Győződjön meg arról, hogy a "Domain member: Disable machine account password changes" (Tartománytag: A számítógépfiók jelszómódosításának letiltása) beállítás "Letiltva" értékre van állítva _{(CCE-37508-9)}	Leírás: Ez a házirend-beállítás határozza meg, hogy egy tartománytag rendszeresen módosíthatja-e a számítógépfiók jelszavát. Azok a számítógépek, amelyek nem tudják automatikusan módosítani a fiókjelszavaikat, sebezhetők lehetnek, mert a támadók meg tudják határozni a rendszer tartományi fiókjának jelszavát. Ennek a beállításnak a javasolt állapota a következő: "Letiltva". Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Tartománytag: Számítógépfiók jelszómódosításának letiltása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Győződjön meg arról, hogy a "Tartománytag: A gépfiók jelszójának maximális életkora" beállítás értéke "30 vagy kevesebb nap, de nem 0" _{(CCE-37431-4)}	Leírás: Ez a házirend-beállítás határozza meg a számítógépfiók jelszavának maximálisan engedélyezett életkorát. Alapértelmezés szerint a tartománytagok 30 naponta automatikusan módosítják a tartományjelszavaikat. Ha jelentősen megnöveli ezt az időközt, hogy a számítógépek ne módosíthassák a jelszavukat, a támadónak több ideje lenne találgatásos támadást végrehajtani az egyik számítógépfiók ellen. Ennek a beállításnak a javasolt állapota a következő: `30 or fewer days, but not 0`. Megjegyzés: Egy érték `0` nem felel meg a teljesítménytesztnek, mivel letiltja a jelszó maximális életkorát. Kulcs elérési útja: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `30 or fewer days, but not 0`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Tartománytag: A számítógépfiók jelszó-életkorának maximális száma Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5	1-30-ban _{(Beállításjegyzék)}	Critical
Győződjön meg arról, hogy a "Tartománytag: Erős (Windows 2000 vagy újabb) munkamenetkulcs megkövetelése" beállítás "Engedélyezve" értékre van állítva _{(CCE-37614-5)}	Leírás: Ha ez a házirend-beállítás engedélyezve van, biztonságos csatorna csak olyan tartományvezérlőkkel hozható létre, amelyek erős (128 bites) munkamenet-kulccsal képesek titkosítani a biztonságos csatornaadatokat. A házirend-beállítás engedélyezéséhez a tartomány összes tartományvezérlőjének képesnek kell lennie a biztonságos csatornaadatok erős kulccsal történő titkosítására, ami azt jelenti, hogy minden tartományvezérlőnek Microsoft Windows 2000 vagy újabb rendszert kell futtatnia. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Tartománytag: Erős (Windows 2000 vagy újabb) munkamenetkulcs megkövetelése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical

Biztonsági beállítások – Interaktív bejelentkezés

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
A bejelentkezési hitelesítő adatok gyorsítótárazását korlátozni kell _{(AZ-WIN-73651)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a felhasználó bejelentkezhet-e egy Windows-tartományba gyorsítótárazott fiókadatok használatával. A tartományi fiókok bejelentkezési adatai helyileg gyorsítótárazhatók, így a felhasználók akkor is bejelentkezhetnek, ha egy tartományvezérlővel nem lehet kapcsolatba lépni. Ez a házirend-beállítás határozza meg azoknak az egyedi felhasználóknak a számát, akiknek a bejelentkezési adatait helyileg gyorsítótárazza a rendszer. Ha ez az érték 0 értékre van állítva, a bejelentkezési gyorsítótár szolgáltatás le van tiltva. Egy támadó, aki hozzáfér a kiszolgáló fájlrendszeréhez, megkeresheti ezt a gyorsítótárazott információt, és találgatásos támadással állapíthatja meg a felhasználói jelszavakat. Ennek a beállításnak a javasolt állapota a következő: `4 or fewer logon(s)`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Interaktív bejelentkezés: A gyorsítótárba helyezendő korábbi bejelentkezések száma (ha a tartományvezérlő nem érhető el) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6	1-4-ben _{(Beállításjegyzék)}	Tájékoztató
Interaktív bejelentkezés: Ne jelenjen meg a legutóbb bejelentkezett felhasználó neve _{(CCE-36056-0)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a szervezet ügyfélszámítógépeire bejelentkezni kívánt utolsó felhasználó fiókneve megjelenik-e az egyes számítógépek megfelelő Windows-bejelentkezési képernyőjén. Ezzel a házirend-beállítással megakadályozhatja, hogy a behatolók vizuálisan gyűjtsenek fiókneveket a szervezet asztali vagy hordozható számítógépeinek képernyőiről. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Interaktív bejelentkezés: Ne jelenjen meg az utolsó bejelentkezés Megjegyzés: A Microsoft Windows régebbi verzióiban ezt a beállítást interaktív bejelentkezésnek nevezték el: Nem jelenik meg a vezetéknév, de a Windows Server 2019-től kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2	= 1 _{(Beállításjegyzék)}	Critical
Interaktív bejelentkezés: Nincs szükség CTRL+ALT+DEL billentyűkombinációra _{(CCE-37637-6)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a felhasználóknak be kell-e jelentkezniük a CTRL+ALT+DEL billentyűkombinációval. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Interaktív bejelentkezés: Nincs szükség CTRL+ALT+DEL billentyűkombinációra Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Interaktív bejelentkezés: Számítógép üresjárati korlátja _{(AZ-WIN-73645)}	Leírás: A Windows észleli egy bejelentkezési munkamenet inaktivitását, és ha az inaktív idő meghaladja az inaktivitási korlátot, akkor a képernyőkímélő lefut, zárolva a munkamenetet. Ennek a beállításnak a javasolt állapota a következő: `900 or fewer second(s), but not 0`. Megjegyzés: Egy érték `0` nem felel meg a teljesítménytesztnek, mivel letiltja a gép inaktivitási korlátját. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Interaktív bejelentkezés: Gép inaktivitási korlátja Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3	1-900-ban _{(Beállításjegyzék)}	Fontos
Interaktív bejelentkezés: Bejelentkezési üzenet a felhasználóknak _{(AZ-WIN-202253)}	Leírás: Ez a házirend-beállítás egy szöveges üzenetet ad meg, amely a bejelentkezéskor jelenik meg a felhasználóknak. Ezt a beállítást úgy konfigurálhatja, hogy megfeleljen a szervezet biztonsági és üzemeltetési követelményeinek. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Interaktív bejelentkezés: Üzenetszöveg a bejelentkezni próbáló felhasználók számára Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4	!= _{(Beállításjegyzék)}	Figyelmeztetés
Interaktív bejelentkezés: Bejelentkezési üzenet címe _{(AZ-WIN-202254)}	Leírás: Ez a házirend-beállítás az ablak címsorában megjelenő szöveget adja meg, amelyet a felhasználók a rendszerbe való bejelentkezéskor látnak. Ezt a beállítást úgy konfigurálhatja, hogy megfeleljen a szervezet biztonsági és üzemeltetési követelményeinek. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Interaktív bejelentkezés: A bejelentkezni próbáló felhasználók üzenetcíme Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5	!= _{(Beállításjegyzék)}	Figyelmeztetés
Interaktív bejelentkezés: A felhasználó figyelmeztetése a jelszó lejárta előtt _{(CCE-10930-6)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a rendszer milyen előre figyelmezteti a felhasználókat a jelszó lejáratára. Javasoljuk, hogy ezt a házirend-beállítást legalább 5 napra, de legfeljebb 14 napra konfigurálja, hogy megfelelően figyelmeztesse a felhasználókat a jelszavaik lejáratára. Ennek a beállításnak a javasolt állapota a következő: `between 5 and 14 days`. Kulcs elérési útja: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Interaktív bejelentkezés: Jelszó módosításának kérése a felhasználótól a lejárat előtt Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7	5-14-ben _{(Beállításjegyzék)}	Tájékoztató

Biztonsági beállítások – Microsoft Hálózati ügyfél

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig) _{(CCE-36325-9)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az SMB-ügyfélösszetevő szükséges-e a csomagaláíráshoz. Megjegyzés: Ha a Windows Vista-alapú számítógépeken engedélyezve van ez a házirend-beállítás, és távoli kiszolgálókon csatlakoznak fájl- vagy nyomtatási megosztásokhoz, fontos, hogy a beállítás szinkronizálva legyen a társbeállítással, a Microsoft hálózati kiszolgálóval: Kommunikáció digitális aláírása (mindig) ezeken a kiszolgálókon. Ezekről a beállításokról a Fenyegetések és ellenintézkedések útmutató 5. fejezetében található "Microsoft hálózati ügyfél és kiszolgáló: Kommunikáció digitális aláírása (négy kapcsolódó beállítás)" című szakaszában talál további információt. Ennek a beállításnak a javasolt állapota a következő: "Engedélyezve". Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig) Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1	= 1 _{(Beállításjegyzék)}	Critical
Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (ha a kiszolgáló egyetért) _{(CCE-36269-9)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az SMB-ügyfél megkísérli-e egyeztetni az SMB-csomagaláírást. Megjegyzés: Ha engedélyezi ezt a házirend-beállítást a hálózaton lévő SMB-ügyfeleken, akkor teljes mértékben hatékonyan végezhet csomagaláírást a környezet összes ügyfélével és kiszolgálójával. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (ha a kiszolgáló elfogadja) Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Microsoft hálózati ügyfél: Titkosítatlan jelszavak küldése egyéb SMB-kiszolgálóknak _{(CCE-37863-8)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az SMB-átirányító egyszerű szöveges jelszavakat küld-e a hitelesítés során olyan külső SMB-kiszolgálóknak, amelyek nem támogatják a jelszótitkosítást. Javasoljuk, hogy tiltsa le ezt a házirend-beállítást, hacsak nincs erős üzleti eset az engedélyezésére. Ha ez a házirend-beállítás engedélyezve van, a titkosítatlan jelszavak engedélyezve lesznek a hálózaton. Ennek a beállításnak a javasolt állapota a következő: "Letiltva". Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Microsoft hálózati ügyfél: Titkosítatlan jelszó küldése külső SMB-kiszolgálókra Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Microsoft hálózati kiszolgáló: A munkamenet felfüggesztéséhez szükséges üresjárati idő _{(CCE-38046-9)}	Leírás: Ez a házirend-beállítás lehetővé teszi annak a folyamatos tétlenségi időnek a megadását, amelynek egy SMB-munkamenetben el kell telnie, mielőtt a munkamenet inaktivitás miatt fel van függesztve. Rendszergazda istratorok ezzel a házirend-beállítással szabályozhatják, hogy a számítógép mikor függeszt fel inaktív SMB-munkamenetet. Ha az ügyféltevékenység folytatódik, a munkamenet automatikusan újraindul. A 0 érték úgy tűnik, hogy lehetővé teszi a munkamenetek határozatlan ideig történő megőrzését. A maximális érték 99999, ami több mint 69 nap; ez az érték letiltja a beállítást. Ennek a beállításnak a javasolt állapota a következő: `15 or fewer minute(s), but not 0`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `15 or fewer minute(s)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Microsoft hálózati kiszolgáló: A munkamenet felfüggesztése előtt szükséges tétlenségi idő Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.9.1	1-15-ben _{(Beállításjegyzék)}	Critical
Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) _{(CCE-37864-6)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az SMB-kiszolgáló összetevőjének szüksége van-e csomagaláírásra. Engedélyezze ezt a házirend-beállítást vegyes környezetben, hogy az alsóbb rétegbeli ügyfelek ne használják a munkaállomást hálózati kiszolgálóként. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2	= 1 _{(Beállításjegyzék)}	Critical
Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél egyetért) _{(CCE-35988-5)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az SMB-kiszolgáló egyezteti-e az SMB-csomagaláírást az azt kérő ügyfelekkel. Ha nem érkezik aláírási kérés az ügyféltől, akkor aláírás nélkül engedélyezve lesz a kapcsolat, ha a Microsoft hálózati kiszolgálója: A digitális aláírás kommunikációja (mindig) beállítás nincs engedélyezve. Megjegyzés: Engedélyezze ezt a házirend-beállítást a hálózaton lévő SMB-ügyfeleken, hogy teljes mértékben hatékonyan lehessen csomagaláírást végezni a környezet összes ügyfélével és kiszolgálójával. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél elfogadja) Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3	= 1 _{(Beállításjegyzék)}	Critical
Microsoft hálózati kiszolgáló: Ügyfelek leválasztása a nyitvatartási idő végén _{(CCE-37972-7)}	Leírás: Ez a biztonsági beállítás határozza meg, hogy leválasztja-e a helyi számítógéphez a felhasználói fiók érvényes bejelentkezési időszakán kívül csatlakozó felhasználókat. Ez a beállítás hatással van a kiszolgálói üzenetblokk (SMB) összetevőre. Ha engedélyezi ezt a házirend-beállítást, engedélyeznie kell a hálózati biztonságot is: A kijelentkezés kényszerítése a bejelentkezési idő lejártakor (2.3.11.6. szabály). Ha a szervezet bejelentkezési órákat konfigurál a felhasználók számára, ez a házirend-beállítás szükséges a hatékonyságuk biztosításához. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Microsoft hálózati kiszolgáló: Az ügyfelek leválasztása a bejelentkezési idő lejártakor Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Microsoft hálózati kiszolgáló: a kiszolgáló SPN-tárolónevének ellenőrzési szintje _{(CCE-10617-9)}	Leírás: Ez a házirend-beállítás szabályozza, hogy a megosztott mappákkal vagy nyomtatókkal (a kiszolgáló) rendelkező számítógép milyen szintű ellenőrzést hajt végre az ügyfélszámítógép által megadott egyszerű szolgáltatásnéven (SPN), amikor munkamenetet hoz létre a kiszolgálói üzenetblokk (SMB) protokoll használatával. A kiszolgálói üzenetblokk (SMB) protokoll biztosítja a fájl- és nyomtatómegosztás, valamint egyéb hálózati műveletek, például a távoli Windows-felügyelet alapját. Az SMB-protokoll támogatja az SMB-kiszolgáló egyszerű nevének (SPN) az SMB-ügyfél által biztosított hitelesítési blobon belüli érvényesítését, hogy megakadályozza az SMB-kiszolgálók elleni támadási osztályt, amelyet SMB-továbbítási támadásoknak neveznek. Ez a beállítás az SMB1-et és az SMB2-t is érinti. Ennek a beállításnak a javasolt állapota a következő: `Accept if provided by client`. A beállítás konfigurálása a `Required from client` teljesítménytesztnek is megfelel. Megjegyzés: Az MS KB3161561 biztonsági javítás kiadása óta ez a beállítás jelentős problémákat (például replikációs problémákat, csoportházirend-szerkesztési problémákat és kék képernyőösszeomlásokat) okozhat a tartományvezérlőkön, ha az UNC-elérési út megkeményedésével egyidejűleg használják (pl. 18.5.14.1. szabály). A CIS ezért azt javasolja, hogy ne telepítse ezt a beállítást a tartományvezérlőkön. Kulcs elérési útja: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Microsoft hálózati kiszolgáló: Kiszolgáló SPN-célnév-érvényesítési szintje Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5	= 1 _{(Beállításjegyzék)}	Figyelmeztetés

Biztonsági beállítások – Microsoft Network Server

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
SMB v1-kiszolgáló letiltása _{(AZ-WIN-00175)}	Leírás: A beállítás letiltása letiltja az SMBv1 protokoll kiszolgálóoldali feldolgozását. (Ajánlott.) A beállítás engedélyezése lehetővé teszi az SMBv1 protokoll kiszolgálóoldali feldolgozását. (Alapértelmezett.) A beállítás módosításához újra kell indítani a műveletet. További információ: https://support.microsoft.com/kb/2696547 Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Nem alkalmazható Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.3.3	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical

Biztonsági beállítások – Hálózati hozzáférés

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Fiókok: Rendszergazdai fiók átnevezése _{(CCE-10976-9)}	Leírás: A beépített helyi rendszergazdai fiók egy jól ismert fióknév, amelyet a támadók megcélznak. Javasoljuk, hogy válasszon másik nevet ehhez a fiókhoz, és kerülje a rendszergazdai vagy emelt szintű hozzáférési fiókokat jelölő neveket. Mindenképpen módosítsa a helyi rendszergazda alapértelmezett leírását is (a Számítógép-kezelési konzolon keresztül). A tartományvezérlők esetében, mivel nem rendelkeznek saját helyi fiókkal, ez a szabály a tartomány első létrehozásakor létrehozott beépített Rendszergazda istrator-fiókra vonatkozik. Kulcs elérési útja: [Rendszerhozzáférés]Új Rendszergazda istratorName Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Fiókok: Rendszergazdai fiók átnevezése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5	!= Rendszergazda istrator _{(Szabályzat)}	Figyelmeztetés
Hálózati hozzáférés: A SAM-fiókok névtelen felsorolása nem engedélyezett _{(CCE-36316-8)}	Leírás: Ez a házirend-beállítás szabályozza a névtelen felhasználók azon képességét, hogy számba tudják adni a Security Accounts Manager (SAM) fiókokat. Ha engedélyezi ezt a házirend-beállítást, a névtelen kapcsolattal rendelkező felhasználók nem fogják tudni számba venni a tartományfiókok felhasználóneveit a környezetében lévő rendszereken. Ez a házirend-beállítás további korlátozásokat is engedélyez a névtelen kapcsolatokra. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Megjegyzés: Ez a szabályzat nincs hatással a tartományvezérlőkre. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások etwork access: Ne engedélyezze a SAM-fiókok névtelen számbavételét Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.10.2	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Hálózati hozzáférés: A SAM-fiókok és -megosztások névtelen felsorolása nem engedélyezett _{(CCE-36077-6)}	Leírás: Ez a házirend-beállítás szabályozza, hogy a névtelen felhasználók számba tudják-e adni a SAM-fiókokat és a megosztásokat. Ha engedélyezi ezt a házirend-beállítást, a névtelen felhasználók nem tudják számba venni a tartományfiókok felhasználóneveit és a hálózati megosztások nevét a környezet rendszereiben. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Megjegyzés: Ez a szabályzat nincs hatással a tartományvezérlőkre. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások etwork access: Ne engedélyezze a SAM-fiókok és -megosztások névtelen számbavételét Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.10.3	= 1 _{(Beállításjegyzék)}	Critical
Hálózati hozzáférés: A névtelen felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkozzanak _{(CCE-36148-5)}	Leírás: Ez a házirend-beállítás határozza meg, hogy milyen további engedélyek vannak hozzárendelve a számítógép névtelen kapcsolataihoz. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati hozzáférés: Mindenki engedélyeinek alkalmazása névtelen felhasználókra Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Hálózati hozzáférés: Távolról elérhető beállításjegyzéki elérési utak _{(CCE-37194-8)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely beállításjegyzék-útvonalak lesznek elérhetők a WinReg-kulcsra való hivatkozás után az elérési utak hozzáférési engedélyeinek meghatározásához. Megjegyzés: Ez a beállítás nem létezik Windows XP rendszerben. A Windows XP-ben volt egy ilyen nevű beállítás, de a Windows Server 2003, a Windows Vista és a Windows Server 2008 rendszerben "Hálózati hozzáférés: Távolról elérhető beállításjegyzék-útvonalak és segédutak" néven ismert. Megjegyzés: A beállítás konfigurálásakor meg kell adnia egy vagy több objektum listáját. A lista beírásakor használt elválasztó vonalcsatorna vagy kocsivisszaút, vagyis írja be a lista első objektumát, nyomja le az Enter gombot, írja be a következő objektumot, nyomja le újra az Enter billentyűt stb. A beállítás értékét a rendszer vesszővel tagolt listaként tárolja a csoportházirend biztonsági sablonjaiban. Vesszővel tagolt listaként is megjelenik a Csoportházirend-szerkesztő megjelenítési paneljén és az eredményül kapott házirendkonzolon. A beállításjegyzékben egy REG_MULTI_SZ érték sorcsatornával tagolt listaként van rögzítve. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához állítsa be a következő felhasználói felület elérési útját: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati hozzáférés: Távolról elérhető beállításjegyzék elérési útjai Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.10.8	Nem létezik, vagy = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 _{(Beállításjegyzék)}	Critical
Hálózati hozzáférés: Távolról elérhető beállításjegyzék-útvonalak és alelérési útvonalak _{(CCE-36347-3)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely beállításjegyzék-útvonalak és alelérési útvonalak lesznek elérhetők, ha egy alkalmazás vagy folyamat a WinReg-kulcsra hivatkozik a hozzáférési engedélyek meghatározásához. Megjegyzés: A Windows XP rendszerben ezt a beállítást "Hálózati hozzáférés: Távolról elérhető beállításjegyzék elérési útjai" néven nevezik, a Windows Vista, a Windows Server 2008 és a Windows Server 2003 rendszerben ugyanezzel a névvel rendelkező beállítás windows XP rendszerben nem létezik. Megjegyzés: A beállítás konfigurálásakor meg kell adnia egy vagy több objektum listáját. A lista beírásakor használt elválasztó vonalcsatorna vagy kocsivisszaút, vagyis írja be a lista első objektumát, nyomja le az Enter gombot, írja be a következő objektumot, nyomja le újra az Enter billentyűt stb. A beállítás értékét a rendszer vesszővel tagolt listaként tárolja a csoportházirend biztonsági sablonjaiban. Vesszővel tagolt listaként is megjelenik a Csoportházirend-szerkesztő megjelenítési paneljén és az eredményül kapott házirendkonzolon. A beállításjegyzékben egy REG_MULTI_SZ érték sorcsatornával tagolt listaként van rögzítve. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához állítsa be a következő felhasználói felület elérési útját: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások etwork access: Távolról elérhető beállításjegyzék-útvonalak és alelérési útvonalak Ha egy kiszolgáló rendelkezik az Active Directory tanúsítványszolgáltatások szerepkörrel a hitelesítésszolgáltatói szerepkör-szolgáltatással, a fenti listának tartalmaznia kell a következőt is: "System\CurrentControlSet\Services\CertSvc". Ha egy kiszolgálóra telepítve van a WINS-kiszolgáló szolgáltatás, a fenti lista a következőket is tartalmaznia kell: 'System\CurrentControlSet\Services\WINS' Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.10.9	Nem létezik, vagy = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlset\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 _{(Beállításjegyzék)}	Critical
Hálózati hozzáférés: Névvel ellátott csövekhez és megosztásokhoz való névtelen hozzáférés korlátozása _{(CCE-36021-4)}	Leírás: Ha engedélyezve van, ez a házirend-beállítás csak azokra a megosztásokra és csövekre korlátozza a névtelen hozzáférést, amelyek a beállításokban és `Network access: Shares that can be accessed anonymously` a `Network access: Named pipes that can be accessed anonymously` beállításokban vannak elnevezve. Ez a házirend-beállítás a null munkamenet-hozzáférést szabályozza a számítógépeken lévő megosztásokhoz a beállításkulcs értékével `1HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters` való hozzáadással`RestrictNullSessAccess`. Ez a beállításérték be- vagy kikapcsolja a null munkamenet-megosztásokat annak szabályozásához, hogy a kiszolgálószolgáltatás korlátozza-e a hitelesítés nélküli ügyfelek hozzáférését a névvel ellátott erőforrásokhoz. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati hozzáférés: Névvel ellátott csövek és megosztások névtelen hozzáférésének korlátozása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Hálózati hozzáférés: Azon ügyfelek korlátozása, amelyek távoli SAM-hívásokat kezdeményezhetnek _{(AZ-WIN-00142)}	Leírás: Ez a házirend-beállítás lehetővé teszi a távoli RPC-kapcsolatok SAM-re való korlátozását. Ha nincs kiválasztva, a rendszer az alapértelmezett biztonsági leírót használja. Ez a szabályzat legalább Windows Server 2016 rendszeren támogatott. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators: Remote Access: Allow`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások etwork access: Korlátozza az ügyfelek számára, hogy távoli hívásokat kezdeményezhessenek a SAM-hez Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.10.11	Nem létezik, vagy = O:BAG:BAD:(A;; RC;;; BA) _{(Beállításjegyzék)}	Critical
Hálózati hozzáférés: Névtelenül elérhető megosztások _{(CCE-38095-6)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a névtelen felhasználók mely hálózati megosztásokat érhetik el. Ennek a házirend-beállításnak az alapértelmezett konfigurációja kevés hatással van, mert minden felhasználót hitelesíteni kell ahhoz, hogy hozzáférhessenek a megosztott erőforrásokhoz a kiszolgálón. Megjegyzés: Nagyon veszélyes lehet más megosztásokat hozzáadni ehhez a csoportházirend-beállításhoz. Minden hálózati felhasználó hozzáférhet a listában szereplő megosztásokhoz, amelyek bizalmas adatokat veszélyeztethetnek vagy megsérülhetnek. Megjegyzés: A beállítás konfigurálásakor meg kell adnia egy vagy több objektum listáját. A lista beírásakor használt elválasztó vonalcsatorna vagy kocsivisszaút, vagyis írja be a lista első objektumát, nyomja le az Enter gombot, írja be a következő objektumot, nyomja le újra az Enter billentyűt stb. A beállítás értékét a rendszer vesszővel tagolt listaként tárolja a csoportházirend biztonsági sablonjaiban. Vesszővel tagolt listaként is megjelenik a Csoportházirend-szerkesztő megjelenítési paneljén és az eredményül kapott házirendkonzolon. A beállításjegyzékben egy REG_MULTI_SZ érték sorcsatornával tagolt listaként van rögzítve. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-n keresztüli létrehozásához állítsa a következő felhasználói felület elérési útját `<blank>` (azaz nincs): Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások etwork access: Névtelenül elérhető megosztások Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.10.12	Nem létezik vagy = _{(Beállításjegyzék)}	Critical
Hálózati hozzáférés: Megosztási és biztonsági modell helyi felhasználói fiókok számára _{(CCE-37623-6)}	Leírás: Ez a házirend-beállítás határozza meg a helyi fiókokat használó hálózati bejelentkezések hitelesítését. A klasszikus beállítás lehetővé teszi az erőforrásokhoz való hozzáférés pontos vezérlését, beleértve a különböző típusú hozzáférések hozzárendelését ugyanazon erőforrás különböző felhasználóihoz. Az Egyetlen vendég lehetőség lehetővé teszi, hogy minden felhasználót egyformán kezeljen. Ebben az összefüggésben minden felhasználó csak vendégként hitelesít, hogy ugyanazt a hozzáférési szintet kapja egy adott erőforráshoz. Ennek a beállításnak a javasolt állapota a következő: `Classic - local users authenticate as themselves`. Megjegyzés: Ez a beállítás nem befolyásolja a távolról végrehajtott interaktív bejelentkezéseket olyan szolgáltatások használatával, mint a Telnet vagy a Távoli asztali szolgáltatások (korábbi nevén Terminálszolgáltatások). Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Classic - local users authenticate as themselves`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati hozzáférés: Megosztási és biztonsági modell helyi fiókokhoz Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical

Biztonsági beállítások – Hálózati biztonság

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Hálózati biztonság: A Helyi rendszer használhatja a számítógép identitását az NTLM hitelesítéshez _{(CCE-38341-4)}	Leírás: Ha engedélyezve van, ez a házirend-beállítás azt eredményezi, hogy az Egyeztetés szolgáltatást használó helyi rendszerszolgáltatások használják a számítógép identitását, amikor az NTLM-hitelesítést a tárgyalás választja ki. Ez a szabályzat legalább Windows 7 vagy Windows Server 2008 R2 rendszeren támogatott. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId Operációs rendszer: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások etwork security: Az NTLM számítógép-identitásának engedélyezése a helyi rendszer számára Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.11.1	= 1 _{(Beállításjegyzék)}	Critical
Hálózati biztonság: A NULL munkamenetre való visszatérés engedélyezése LocalSystem fiók használata esetén _{(CCE-37035-3)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az NTLM visszaeshet-e NULL munkamenetbe a LocalSystem használatakor. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati biztonság: A LocalSystem NULL-munkamenet tartalékának engedélyezése Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Hálózati biztonság: A számítógép PKU2U hitelesítési kérelmeinek engedélyezése az online azonosító adatok használatához _{(CCE-38047-7)}	Leírás: Ez a beállítás határozza meg, hogy az online identitások képesek-e hitelesítést végezni a számítógépen. A Windows 7-ben és a Windows Server 2008 R2-ben bevezetett nyilvános kulcsú titkosítási alapú felhasználó–felhasználó (PKU2U) protokoll biztonsági támogatási szolgáltatóként (SSP) van implementálva. Az SSP lehetővé teszi a társközi hitelesítést, különösen a Windows 7 otthoni csoport nevű média- és fájlmegosztási funkcióján keresztül, amely lehetővé teszi a tartományon kívüli számítógépek közötti megosztást. A PKU2U-val egy új bővítmény jelent meg a Negotiate hitelesítési csomagban. `Spnego.dll` A Windows korábbi verzióiban a Negotiate úgy döntött, hogy a Kerberost vagy az NTLM-et használja a hitelesítéshez. A Windows által hitelesítési protokollként kezelt SSP for Negotiate `Negoexts.dll`bővítmény támogatja a Microsoft SSP-ket, beleértve a PKU2U-t is. Ha a számítógépek úgy vannak konfigurálva, hogy online azonosítók használatával fogadjanak hitelesítési kéréseket, `Negoexts.dll` hívja meg a PKU2U SSP-t a bejelentkezéshez használt számítógépen. A PKU2U SSP beszerez egy helyi tanúsítványt, és kicseréli a szabályzatot a társszámítógépek között. Ha a társszámítógépen érvényesítik, a metaadatokon belüli tanúsítványt a rendszer érvényesítés céljából elküldi a bejelentkezési társnak, és hozzárendeli a felhasználó tanúsítványát egy biztonsági jogkivonathoz, és a bejelentkezési folyamat befejeződik. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati biztonság: A számítógép PKU2U-hitelesítési kéréseinek engedélyezése online identitások használatára Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
Hálózati biztonság: A Kerberos számára engedélyezett titkosítási típusok konfigurálása _{(CCE-37755-6)}	Leírás: Ez a házirend-beállítás lehetővé teszi a Kerberos által használható titkosítási típusok beállítását. Ez a szabályzat legalább Windows 7 vagy Windows Server 2008 R2 rendszeren támogatott. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes Operációs rendszer: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati biztonság: A Kerberos számára engedélyezett titkosítási típusok konfigurálása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.11.4	Nem létezik, vagy = 2147483640 _{(Beállításjegyzék)}	Critical
Hálózati biztonság: A következő jelszómódosításkor ne tárolja a LAN-kezelő üzenetkivonatát _{(CCE-36326-7)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az új jelszó LAN Manager (LM) kivonatának értéke a jelszó módosításakor legyen-e tárolva. Az LM kivonat viszonylag gyenge és támadásra hajlamos a kriptográfiailag erősebb Microsoft Windows NT kivonathoz képest. Mivel az LM-kivonatok a biztonsági adatbázisban a helyi számítógépen vannak tárolva, a jelszavak könnyen feltörhetők, ha az adatbázist megtámadják. Megjegyzés: Előfordulhat, hogy a régebbi operációs rendszerek és egyes külső alkalmazások meghibásodnak, ha ez a házirend-beállítás engedélyezve van. Azt is vegye figyelembe, hogy a jelszót minden fiókon módosítani kell, miután engedélyezte ezt a beállítást a megfelelő előny eléréséhez. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati biztonság: Ne tárolja a LAN Manager kivonatértékét a következő jelszómódosításkor Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Hálózati biztonság: LAN-kezelő hitelesítési szintje _{(CCE-36173-3)}	Leírás: A LAN Manager (LM) egy korai Microsoft-ügyfél-/kiszolgálószoftver-család, amely lehetővé teszi a felhasználók számára, hogy egyetlen hálózaton összekapcsolják a személyes számítógépeket. A hálózati képességek közé tartozik a transzparens fájl- és nyomtatómegosztás, a felhasználói biztonsági funkciók és a hálózatfelügyeleti eszközök. Az Active Directory-tartományokban a Kerberos protokoll az alapértelmezett hitelesítési protokoll. Ha azonban a Kerberos-protokollt valamilyen okból nem tárgyalják meg, az Active Directory LM, NTLM vagy NTLMv2 protokollt fog használni. A LAN Manager-hitelesítés magában foglalja az LM-et, Az NTLM és az NTLM 2-es verziója (NTLMv2) változatok, és a következő műveletek végrehajtásakor az összes Windows-ügyfél hitelesítésére szolgáló protokoll: - Csatlakozás tartományhoz – Hitelesítés Active Directory-erdők között – Hitelesítés alacsonyabb szintű tartományokba – Hitelesítés windows 2000, Windows Server 2003 vagy Windows XP rendszert nem futtató számítógépeken) – Hitelesítés a tartományon kívüli számítógépeken A hálózati biztonság lehetséges értékei: A LAN Manager hitelesítési szint beállításai a következők: – LM és NTLM-válaszok küldése – LM és NTLM küldése – NTLMv2 munkamenetbiztonság használata egyeztetés esetén – Csak NTLM-válaszok küldése – Csak NTLMv2-válaszok küldése – N küldése Csak TLMv2-válaszok\LM elutasítása – Csak NTLMv2-válaszok küldése\LM visszautasítása & NTLM – Nincs meghatározva A hálózati biztonság: A LAN Manager hitelesítési szintbeállítása határozza meg, hogy melyik kihívás-válasz hitelesítési protokollt használja a hálózati bejelentkezésekhez. Ez a beállítás az ügyfelek által használt hitelesítési protokoll szintjét, a számítógépek által egyeztetett munkamenet biztonsági szintjét és a kiszolgálók által elfogadott hitelesítési szintet befolyásolja: - LM & NTLM-válaszok küldése. Az ügyfelek LM- és NTLM-hitelesítést használnak, és soha nem használják az NTLMv2 munkamenetek biztonságát. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést. – LM és NTLM küldése – ha tárgyalják, használja az NTLMv2 munkamenet-biztonságot. Az ügyfelek LM- és NTLM-hitelesítést használnak, és az NTLMv2 munkamenet-biztonságot használják, ha a kiszolgáló támogatja. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést. – Csak NTLM-válasz küldése. Az ügyfelek csak NTLM-hitelesítést használnak, és az NTLMv2 munkamenet-biztonságot használják, ha a kiszolgáló támogatja. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést. - Csak NTLMv2-választ küldhet. Az ügyfelek csak NTLMv2 hitelesítést használnak, és az NTLMv2 munkamenet-biztonságot használják, ha a kiszolgáló támogatja. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést. - Csak NTLMv2-válasz küldése\LM elutasítása. Az ügyfelek csak NTLMv2 hitelesítést használnak, és az NTLMv2 munkamenet-biztonságot használják, ha a kiszolgáló támogatja. A tartományvezérlők elutasítják az LM-et (csak NTLM és NTLMv2 hitelesítést fogadnak el). - Csak NTLMv2-válasz küldése\LM elutasítása & NTLM. Az ügyfelek csak NTLMv2 hitelesítést használnak, és az NTLMv2 munkamenet-biztonságot használják, ha a kiszolgáló támogatja. A tartományvezérlők elutasítják az LM-et és az NTLM-et (csak NTLMv2 hitelesítést fogadnak el). Ezek a beállítások a Microsoft más dokumentumaiban tárgyalt szinteknek felelnek meg a következő módon: – 0. szint – LM és NTLM-válasz küldése; soha ne használjon NTLMv2 munkamenet-biztonságot. Az ügyfelek LM- és NTLM-hitelesítést használnak, és soha nem használják az NTLMv2 munkamenetek biztonságát. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést. – 1. szint – NTLMv2 munkamenet-biztonság használata egyeztetés esetén. Az ügyfelek LM- és NTLM-hitelesítést használnak, és az NTLMv2 munkamenet-biztonságot használják, ha a kiszolgáló támogatja azt. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést. – 2. szint – Csak NTLM-válasz küldése. Az ügyfelek csak NTLM-hitelesítést használnak, és az NTLMv2 munkamenet-biztonságot használják, ha a kiszolgáló támogatja. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést. – 3. szint – Csak NTLMv2-válasz küldése. Az ügyfelek NTLMv2-hitelesítést használnak, és az NTLMv2 munkamenet-biztonságot használják, ha a kiszolgáló támogatja. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést. – 4. szint – A tartományvezérlők elutasítják az LM-válaszokat. Az ügyfelek NTLM-hitelesítést használnak, és az NTLMv2 munkamenet-biztonságot használják, ha a kiszolgáló támogatja azt. A tartományvezérlők elutasítják az LM-hitelesítést, azaz elfogadják az NTLM-et és az NTLMv2-t. - 5. szint – A tartományvezérlők elutasítják az LM- és NTLM-válaszokat (csak NTLMv2-t fogadnak el). Az ügyfelek NTLMv2 hitelesítést, használatot és NTLMv2 munkamenet-biztonságot használnak, ha a kiszolgáló támogatja. A tartományvezérlők elutasítják az NTLM- és LM-hitelesítést (csak az NTLMv2-t fogadják el). Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-n keresztüli létrehozásához állítsa be a következő felhasználói felület elérési útját: "Csak NTLMv2-válasz küldése. LM és NTLM elutasítása: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások etwork security: LAN Manager hitelesítési szint Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.11.7	= 5 _{(Beállításjegyzék)}	Critical
Hálózati biztonság: LDAP-ügyfél aláírási követelményei _{(CCE-36858-9)}	Leírás: Ez a házirend-beállítás határozza meg az LDAP BIND-kérelmeket kibocsátó ügyfelek nevében kért adataláírás szintjét. Megjegyzés: Ez a házirend-beállítás nincs hatással az EGYSZERŰ LDAP-kötésre (`ldap_simple_bind`) vagy az SSL-en keresztüli egyszerű LDAP-kötésre (`ldap_simple_bind_s`). A Windows XP Professional szolgáltatásban található Microsoft LDAP-ügyfelek nem használnak ldap_simple_bind vagy ldap_simple_bind_s tartományvezérlővel való kommunikációhoz. Ennek a beállításnak a javasolt állapota a következő: `Negotiate signing`. Ha ezt a beállítást úgy konfigurálja, hogy `Require signing` az megfeleljen a teljesítménytesztnek is. Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-n keresztüli létrehozásához állítsa be a következő felhasználói felület elérési útját `Negotiate signing` (konfigurálja úgy is, hogy `Require signing` megfeleljen a teljesítménytesztnek): Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati biztonság: LDAP-ügyfél-aláírási követelmények Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Hálózati biztonság: Minimális biztonság az NTLM SSP alapú (a biztonságos RPC is) ügyfelekkel _{(CCE-37553-5)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az ügyfelek mely viselkedéseket engedélyezik az NTLM biztonsági támogatási szolgáltatót (SSP) használó alkalmazások számára. Az SSP-felületet (SSPI) olyan alkalmazások használják, amelyek hitelesítési szolgáltatásokat igényelnek. A beállítás nem módosítja a hitelesítési sorozat működését, hanem bizonyos viselkedést igényel az SSPI-t használó alkalmazásokban. Ennek a beállításnak a javasolt állapota a következő: `Require NTLMv2 session security, Require 128-bit encryption`. Megjegyzés: Ezek az értékek a hálózati biztonságtól függnek: A LAN Manager hitelesítési szint biztonsági beállítási értéke. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-n keresztüli létrehozásához állítsa be a következő felhasználói felület elérési útját`Require NTLMv2 session security, Require 128-bit encryption`: Számítógépkonfiguráció\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati biztonság: Az NTLM SSP-alapú ügyfelek minimális munkamenet-biztonsága (beleértve a biztonságos RPC-ügyfeleket is) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.11.9	= 537395200 _{(Beállításjegyzék)}	Critical
Hálózati biztonság: Minimális munkamenet-biztonság az NTLM SSP alapú (a biztonságos RPC is) ügyfelekkel _{(CCE-37835-6)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a kiszolgálók mely viselkedéseket engedélyezik az NTLM biztonsági támogatási szolgáltatót (SSP) használó alkalmazások számára. Az SSP-felületet (SSPI) olyan alkalmazások használják, amelyek hitelesítési szolgáltatásokat igényelnek. A beállítás nem módosítja a hitelesítési sorozat működését, hanem bizonyos viselkedést igényel az SSPI-t használó alkalmazásokban. Ennek a beállításnak a javasolt állapota a következő: `Require NTLMv2 session security, Require 128-bit encryption`. Megjegyzés: Ezek az értékek a hálózati biztonságtól függnek: A LAN Manager hitelesítési szint biztonsági beállítási értéke. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Konfigurálja a számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Hálózati biztonság: Az NTLM SSP-alapú kiszolgálók minimális munkamenetbiztonsága (beleértve a biztonságos RPC-kiszolgálókat is) az NTLMv2-munkamenetek biztonságának megköveteléséhez és a 128 bites titkosítás megköveteléséhez (az összes beállítás ki van választva). Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.11.10	= 537395200 _{(Beállításjegyzék)}	Critical

Biztonsági beállítások – Leállítás

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Leállítás: A rendszer leállítható bejelentkezés nélkül _{(CCE-36788-8)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a számítógép leállítható-e, ha a felhasználó nincs bejelentkezve. Ha ez a házirend-beállítás engedélyezve van, a leállítási parancs elérhető a Windows bejelentkezési képernyőjén. Javasoljuk, hogy tiltsa le ezt a házirend-beállítást, hogy korlátozza a számítógép leállításának lehetőségét a rendszer hitelesítő adataival rendelkező felhasználók számára. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Megjegyzés: A Server 2008 R2 és a régebbi verziókban ez a beállítás nem volt hatással a Távoli asztal (RDP) / Terminálszolgáltatások munkamenetekre – csak a helyi konzolra volt hatással. A Microsoft azonban módosította a Windows Server 2012 (nem R2) és újabb verziók viselkedését, ahol ha engedélyezve van, az RDP-munkamenetek is leállíthatják vagy újraindíthatják a kiszolgálót. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Leállítás: A rendszer leállításának engedélyezése bejelentkezés nélkül Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
Leállítás: Virtuális memória lapozófájljának törlése _{(AZ-WIN-00181)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a rendszer leállításakor törlődik-e a virtuális memória lapfájlja. Ha ez a házirend-beállítás engedélyezve van, a rendszer minden alkalommal törlődik, amikor a rendszer megfelelően leáll. Ha engedélyezi ezt a biztonsági beállítást, a hibernációs fájl (Hiberfil.sys) ki van kapcsolva, ha a hibernálás le van tiltva egy hordozható számítógépes rendszeren. A számítógép leállítása és újraindítása hosszabb időt vesz igénybe, és különösen a nagyméretű lapozófájlokat tartalmazó számítógépeken lesz megfigyelhető. Kulcs elérési útja: System\CurrentControlSet\Control\Session Manager\Memóriakezelés\ClearPageFileAtShutdown Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: A számítógép konfigurációjának házirendértékének konfigurálása\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Leállítás: Virtuális memória lapfájljának törlése a következőre`Disabled`: Megfelelőségi standard leképezések:	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical

Biztonsági beállítások – Rendszer titkosítása

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
A felhasználóknak jelszót kell megadniuk a számítógépen tárolt titkos kulcsok eléréséhez. _{(AZ-WIN-73699)}	Leírás: Ha a titkos kulcsot észleli, a támadó a kulcs használatával hitelesíthet jogosult felhasználóként, és hozzáférhet a hálózati infrastruktúrához. A PKI sarokköve az információk titkosításához vagy digitális aláírásához használt titkos kulcs. Ha ellopják a titkos kulcsot, az a PKI-vel szerzett hitelesítés és meg nem felelés sérüléséhez vezet, mivel a támadó a titkos kulcsot használhatja a dokumentumok digitális aláírására, és úgy tehet, mintha a jogosult felhasználó lenne. A digitális tanúsítvány jogosultjainak és a kiállító hatóságnak egyaránt védenie kell a számítógépeket, a tárolóeszközöket, vagy bármit, amit a titkos kulcsok tárolására használnak. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Rendszer titkosítása: Erős kulcsvédelem kényszerítése a számítógépen tárolt felhasználói kulcsokhoz Megfelelőségi standard leképezések:	= 2 _{(Beállításjegyzék)}	Fontos
A Windows Servert fiPS-kompatibilis algoritmusok használatára kell konfigurálni titkosításhoz, kivonatoláshoz és aláíráshoz. _{(AZ-WIN-73701)}	Leírás: Ez a beállítás biztosítja, hogy a rendszer FIPS-kompatibilis algoritmusokat használ a titkosításhoz, a kivonatoláshoz és az aláíráshoz. A FIPS-kompatibilis algoritmusok megfelelnek az egyesült államokbeli kormány által meghatározott szabványoknak, és az operációsrendszer-titkosítási függvényekhez használt algoritmusoknak kell lenniük. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag Csoportházirend elérési útja: Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Helyi szabályzatok\Biztonsági beállítások\Rendszer titkosítása: FIPS-kompatibilis algoritmusok használata titkosításhoz, kivonatoláshoz és aláíráshoz Megfelelőségi standard leképezések:	= 1 _{(Beállításjegyzék)}	Fontos

Biztonsági beállítások – Rendszerobjektumok

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Rendszerobjektumok: A nem Windows alrendszerek esetén a kis- és nagybetűk megkülönböztetésének tiltása _{(CCE-37885-1)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a kis- és nagybetűk érzéketlensége kényszerítve van-e az összes alrendszerre. A Microsoft Win32 alrendszer nem érzéketlen. A kernel azonban támogatja a kis- és nagybetűk érzékenységét más alrendszerek, például a UNIX hordozható operációsrendszer-felülete (POSIX) esetében. Mivel a Windows nem érzékeny a kis- és nagybetűkre (de a POSIX-alrendszer támogatja a kis- és nagybetűk érzékenységét), a házirend-beállítás kényszerítésének elmulasztása lehetővé teszi, hogy a POSIX-alrendszer felhasználói vegyes kis- és nagybetűkkel azonos nevű fájlt hozzanak létre. Egy ilyen helyzet megakadályozhatja, hogy egy másik felhasználó hozzáférjen ezekhez a fájlokhoz, akik tipikus Win32-eszközöket használnak, mert csak az egyik fájl lesz elérhető. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Rendszerobjektumok: Kis- és nagybetűk érzéketlenségének megkövetelése nem Windows-alrendszerekhez Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Figyelmeztetés
Rendszerobjektumok: A belső rendszerobjektumok (pl. szimbolikus hivatkozások) alapértelmezett engedélyeinek szigorítása _{(CCE-37644-2)}	Leírás: Ez a házirend-beállítás határozza meg az objektumok alapértelmezett diszkrecionális hozzáférés-vezérlési listájának (DACL) erősségét. Az Active Directory fenntartja a megosztott rendszer erőforrásainak globális listáját, például a DOS-eszközneveket, a mutexeket és a szemaphorokat. Ily módon az objektumok elhelyezhetők és megoszthatók a folyamatok között. Minden objektumtípus egy alapértelmezett DACL-vel jön létre, amely meghatározza, hogy kik férhetnek hozzá az objektumokhoz, és milyen engedélyeket kapnak. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: A házirend értékének konfigurálása a számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Rendszerobjektumok: A belső rendszerobjektumok alapértelmezett engedélyeinek megerősítése (például szimbolikus hivatkozások) a következőre:`Enabled` Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.3.15.2	= 1 _{(Beállításjegyzék)}	Critical

Biztonsági beállítások – Rendszerbeállítások

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Rendszerbeállítások: Tanúsítványszabályok használata a futtatható fájlokra vonatkozó szoftverkorlátozási házirendekben _{(AZ-WIN-00155)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a rendszer feldolgozzák-e a digitális tanúsítványokat a szoftverkorlátozó házirendek engedélyezésekor, és hogy egy felhasználó vagy folyamat .exe fájlnévkiterjesztéssel kísérel meg szoftvereket futtatni. Engedélyezi vagy letiltja a tanúsítványszabályokat (a szoftverkorlátozási szabályzatok egy típusát). A szoftverkorlátozási szabályzatokkal létrehozhat egy tanúsítványszabályt, amely engedélyezi vagy letiltja az Authenticode ® által aláírt szoftverek végrehajtását a szoftverhez társított digitális tanúsítvány alapján. Ahhoz, hogy a tanúsítványszabályok a szoftverkorlátozó házirendekben érvénybe lépjenek, engedélyeznie kell ezt a házirend-beállítást. Kulcs elérési útja: Software\Policies\Microsoft\Windows\Széf r\CodeIdentifiers\AuthenticodeEnabled Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Rendszerbeállítások: Tanúsítványszabályok használata a Windows-végrehajtható fájlokban szoftverkorlátozási házirendekhez Megfelelőségi standard leképezések:	= 1 _{(Beállításjegyzék)}	Figyelmeztetés

Biztonsági beállítások – Felhasználói fiók vezérlése

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Felhasználói fiókok felügyelete: Rendszergazdai engedélyezéses mód a beépített rendszergazdai fiókhoz _{(CCE-36494-3)}	Leírás: Ez a házirend-beállítás szabályozza Rendszergazda jóváhagyási mód viselkedését a beépített Rendszergazda istrator-fiók esetében. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Filter Rendszergazda istratorToken Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Felhasználói fiók vezérlése: Rendszergazda jóváhagyási mód a beépített Rendszergazda istrator-fiókhoz Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1	= 1 _{(Beállításjegyzék)}	Critical
Felhasználói fiókok felügyelete: Az UIAccess-alkalmazások kérhetik a jogosultsági szint emelését a biztonsági asztal használata nélkül _{(CCE-36863-9)}	Leírás: Ez a házirend-beállítás azt szabályozza, hogy a Felhasználói felület kisegítő lehetőségei (UIAccess vagy UIA) programok automatikusan letilthatják-e a biztonságos asztalt a standard felhasználó által használt jogosultságszint-emelési kérésekhez. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Felhasználói fiók vezérlése: A UIAccess-alkalmazások a biztonságos asztal használata nélkül kérhetik a jogosultságszint-emelést Megfelelőségi standard leképezések:	= 0 _{(Beállításjegyzék)}	Critical
Felhasználói fiókok felügyelete: A jogosultságszint-emelési kérés működése rendszergazdák esetében, rendszergazdai engedélyezéses módban _{(CCE-37029-6)}	Leírás: Ez a házirend-beállítás szabályozza a rendszergazdai jogosultságszint-emelési kérés viselkedését. Ennek a beállításnak a javasolt állapota a következő: `Prompt for consent on the secure desktop`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehavior Rendszergazda Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Prompt for consent on the secure desktop`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Felhasználói fiók vezérlése: A rendszergazdai jogosultságszint-emelési kérés viselkedése Rendszergazda jóváhagyási módban Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2	= 2 _{(Beállításjegyzék)}	Critical
Felhasználói fiókok felügyelete: A jogosultságszint-emelési kérés működése általános jogú felhasználók esetében _{(CCE-36864-7)}	Leírás: Ez a házirend-beállítás szabályozza a standard felhasználók jogosultságszint-emelési kérésének viselkedését. Ennek a beállításnak a javasolt állapota a következő: `Automatically deny elevation requests`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre: `Automatically deny elevation requests:` Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Felhasználói fiók vezérlése: A jogosultságszint-emelési kérés viselkedése a standard felhasználók számára Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3	= 0 _{(Beállításjegyzék)}	Critical
Felhasználói fiókok felügyelete: Alkalmazástelepítések észlelése, és figyelmeztetés a jogosultságszint emelésére _{(CCE-36533-8)}	Leírás: Ez a házirend-beállítás szabályozza a számítógép alkalmazástelepítésének észlelését. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Felhasználói fiók vezérlése: Alkalmazástelepítések észlelése és jogosultságszint-emelés kérése Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4	= 1 _{(Beállításjegyzék)}	Critical
Felhasználói fiókok felügyelete: Csak a biztonságos helyre telepített alkalmazások UIAccess jogának megemelése _{(CCE-37057-7)}	Leírás: Ez a házirend-beállítás azt szabályozza, hogy a felhasználói felület akadálymentességi (UIAccess) integritási szinttel való futtatását kérő alkalmazásoknak biztonságos helyen kell-e lenniük a fájlrendszerben. A biztonságos helyek a következőkre korlátozódnak: - `…\Program Files\`az almappákat is beleértve -`…\Windows\system32\…\Program Files (x86)\` - , beleértve a Windows 64 bites verzióinak almappáit is: A Windows a biztonsági beállítás állapotától függetlenül kikényszeríti a nyilvános kulcsú infrastruktúra (PKI) aláírás-ellenőrzését minden olyan interaktív alkalmazáson, amely A UIAccess integritási szinttel való futtatását kéri. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Felhasználói fiók vezérlése: Csak a biztonságos helyeken telepített UIAccess-alkalmazások emelése Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5	= 1 _{(Beállításjegyzék)}	Critical
Felhasználói fiókok felügyelete: Minden rendszergazda rendszergazdai engedélyezéses módban fut _{(CCE-36869-6)}	Leírás: Ez a házirend-beállítás szabályozza a számítógép összes felhasználóifiók-vezérlési (UAC) házirend-beállításának viselkedését. Ha módosítja ezt a házirend-beállítást, újra kell indítania a számítógépet. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Megjegyzés: Ha ez a házirend-beállítás le van tiltva, a Security Center értesíti, hogy az operációs rendszer általános biztonsága csökkent. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Felhasználói fiók vezérlése: Az összes rendszergazda futtatása Rendszergazda jóváhagyási módban Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6	= 1 _{(Beállításjegyzék)}	Critical
Felhasználói fiókok felügyelete: Jogosultságszint-emelési kérés során átváltás biztonsági asztalra _{(CCE-36866-2)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a jogosultságszint-emelési kérés megjelenik-e az interaktív felhasználó asztalán vagy a biztonságos asztalon. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Felhasználói fiók vezérlése: Váltás a biztonságos asztalra, amikor emelési kérést kér Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7	= 1 _{(Beállításjegyzék)}	Critical
Felhasználói fiókok felügyelete: A fájl- és beállításjegyzék-írási hibák felhasználónként különböző helyekre történő virtualizálása _{(CCE-37064-3)}	Leírás: Ez a házirend-beállítás azt szabályozza, hogy az alkalmazás írási hibái átirányítva legyenek-e a megadott beállításjegyzék- és fájlrendszer-helyekre. Ez a házirend-beállítás csökkenti a rendszergazdaként futó alkalmazásokat, és futtatási idejű alkalmazásadatokat ír a következőre: - `%ProgramFiles%`, - `%Windir%`, - `%Windir%\system32`vagy - `HKEY_LOCAL_MACHINE\Software`. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Felhasználói fiók vezérlése: Fájl- és beállításjegyzék-írási hibák virtualizálása felhasználónkénti helyekre Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8	= 1 _{(Beállításjegyzék)}	Critical

Biztonsági Gépház – Fiókszabályzatok

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Fiókzárolási küszöbérték _{(AZ-WIN-73311)}	Leírás: Ez a házirend-beállítás határozza meg a sikertelen bejelentkezési kísérletek számát a fiók zárolása előtt. Ha ezt a szabályzatot úgy állítja be, hogy `0` nem felel meg a teljesítménytesztnek, az letiltja a fiók zárolási küszöbértékét. Ennek a beállításnak a javasolt állapota a következő: `5 or fewer invalid logon attempt(s), but not 0`. Megjegyzés: A jelszóházirend-beállításokat (1.1. szakasz) és a fiókzárolási házirend beállításait (1.2. szakasz) az alapértelmezett tartományi házirend csoportházirend-objektumán keresztül kell alkalmazni annak érdekében, hogy az alapértelmezett viselkedésük globálisan érvényes legyen a tartományi felhasználói fiókokra. Ha ezek a beállítások egy másik csoportházirend-objektumban vannak konfigurálva, azok csak a csoportházirend-objektumot fogadó számítógépek helyi felhasználói fiókjait érintik. Az alapértelmezett jelszóházirendre és fiókzárolási szabályzatra vonatkozó egyéni kivételek azonban meghatározott tartományi felhasználók és/vagy csoportok esetében a Jelszó Gépház objektumok (PSO-k) használatával határozhatók meg, amelyek teljesen elkülönülnek a csoportházirendtől, és a legegyszerűbben az Active Directory Rendszergazda istrative Center használatával konfigurálhatók. Kulcs elérési útja: [System Access]LockoutBadCount Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fiókszabályzatok\Fiókzárolási szabályzat\Fiókzárolási küszöbérték Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 1.2.2 CIS WS2019 1.2.2	1-3-ban _{(Szabályzat)}	Fontos
Jelszóelőzmények kényszerítése _{(CCE-37166-6)}	Leírás: Ez a házirend-beállítás határozza meg a megújult, egyedi jelszavak számát, amelyeket egy felhasználói fiókhoz kell társítani, mielőtt újra felhasználhatja a régi jelszót. A házirend-beállítás értékének 0 és 24 közötti jelszónak kell lennie. A Windows Vista alapértelmezett értéke 0 jelszó, de egy tartományban az alapértelmezett beállítás 24 jelszó. A házirend-beállítás hatékonyságának fenntartása érdekében használja a Jelszó minimális életkora beállítást, hogy a felhasználók ne módosíthassák többször a jelszavukat. Ennek a beállításnak a javasolt állapota a következő: "24 vagy több jelszó(ok)". Kulcs elérési útja: [Rendszerhozzáférés]PasswordHistorySize Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `24 or more password(s)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fiókszabályzatok\Jelszóházirend\Jelszóelőzmények kényszerítése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 1.1.1	>= 24 _{(Szabályzat)}	Critical
Jelszó maximális életkora _{(CCE-37167-4)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a felhasználó mennyi ideig használhatja a jelszavát a lejárata előtt. A házirend-beállítás értékei 0 és 999 nap között mozognak. Ha az értéket 0 értékre állítja, a jelszó soha nem jár le. Mivel a támadók feltörhetik a jelszavakat, minél gyakrabban módosítja a jelszót, annál kevesebb lehetőséget kell a támadónak feltört jelszót használnia. Minél alacsonyabb ez az érték, annál nagyobb a lehetőség arra, hogy a felhasználók módosítsák a jelszavukat, vagy elfelejtsék, hogy melyik jelszó aktuális. Ehhez a beállításhoz a javasolt állapot a következő `60 or fewer days, but not 0`: . Kulcs elérési útja: [Rendszerhozzáférés]MaximumPasswordAge Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `365 or fewer days, but not 0`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fiókszabályzatok\Jelszóházirend\Jelszó maximális életkora Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 1.1.2	1-70-ben _{(Szabályzat)}	Critical
Jelszó minimális életkora _{(CCE-37073-4)}	Leírás: Ez a házirend-beállítás határozza meg, hogy hány napig kell jelszót használnia a módosítás előtt. A házirend-beállítás értéktartománya 1 és 999 nap között van. (Az érték 0 értékre is beállítható az azonnali jelszómódosítások engedélyezéséhez.) A beállítás alapértelmezett értéke 0 nap. Ennek a beállításnak a javasolt állapota a következő: `1 or more day(s)`. Kulcs elérési útja: [Rendszerhozzáférés]MinimumPasswordAge Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `1 or more day(s)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fiókszabályzatok\Jelszóházirend\Jelszó minimális életkora Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 1.1.3	>= 1 _{(Szabályzat)}	Critical
Jelszó minimális hossza _{(CCE-36534-6)}	Leírás: Ez a házirend-beállítás határozza meg a felhasználói fiók jelszavát alkotó karakterek minimális számát. Számos különböző elmélet létezik arról, hogyan lehet meghatározni a szervezet számára a legjobb jelszóhosszt, de talán a "pass phrase" kifejezés jobb kifejezés, mint a "jelszó". A Microsoft Windows 2000-ben vagy újabb verzióiban a pass-kifejezések elég hosszúak lehetnek, és szóközöket is tartalmazhatnak. Ezért egy olyan kifejezés, mint a "Szeretnék inni egy $ 5 milkshake" egy érvényes pass kifejezés; ez egy lényegesen erősebb jelszó, mint egy 8 vagy 10 karaktersorozat véletlenszerű számok és betűk, és mégis könnyebb megjegyezni. A felhasználókat meg kell tanítani a jelszavak megfelelő kiválasztására és karbantartására, különösen a jelszó hosszára vonatkozóan. Vállalati környezetekben a jelszó minimális hosszának ideális értéke 14 karakter, azonban ezt az értéket úgy kell módosítania, hogy megfeleljen a szervezet üzleti igényeinek. Ennek a beállításnak a javasolt állapota a következő: `14 or more character(s)`. Kulcs elérési útja: [Rendszerhozzáférés]MinimumPasswordLength Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `14 or more character(s)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fiókszabályzatok\Jelszóházirend\Jelszó minimális hossza Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 1.1.4	>= 14 _{(Szabályzat)}	Critical
A jelszónak meg kell felelnie az összetettségi követelményeknek _{(CCE-37063-5)}	Leírás: Ez a házirend-beállítás ellenőrzi az összes új jelszót, hogy megfeleljenek az erős jelszavak alapvető követelményeinek. Ha ez a szabályzat engedélyezve van, a jelszavaknak meg kell felelniük a következő minimális követelményeknek: - Nem tartalmazza a felhasználó fióknevét vagy a felhasználó teljes nevének két egymást követő karakternél hosszabb részeit – Legalább hat karakter hosszúságú legyen – A következő négy kategória közül három karaktert tartalmaz: - Angol nagybetűk (A–Z) – Angol kisbetűk (a–z) – Alap 10 számjegy (0–9) – Nem betűrendes karakterek (például: !, $, #, %) – Bármely Unicode-karakter összes kategóriája, amely nem tartozik az előző négy kategóriába. Ez az ötödik kategória regionálisan specifikus lehet. A jelszó minden további karaktere exponenciálisan növeli annak összetettségét. Egy hét karakteres, kisbetűs jelszó például 267 (körülbelül 8 x 109 vagy 8 milliárd) lehetséges kombinációval rendelkezik. Másodpercenként 1 000 000 kísérletnél (számos jelszófeltörő segédprogram képes) csak 133 percet vesz igénybe a feltörés. A kis- és nagybetűket tartalmazó hét karakteres betűrendes jelszó 527 kombinációval rendelkezik. A hét karakteres kis- és nagybetűkre érzékeny alfanumerikus jelszó írásjelek nélkül 627 kombinációval rendelkezik. Egy nyolc karakteres jelszó 268 (vagy 2 x 1011) kombinációval rendelkezik. Bár ez nagy számnak tűnhet, másodpercenként 1 000 000 kísérletnél mindössze 59 órát vesz igénybe az összes lehetséges jelszó kipróbálása. Ne feledje, hogy ezek az idők jelentősen megnőnek az ALT karaktereket és más speciális billentyűzetkarakterek, például "!" vagy "@" karaktereket használó jelszavak esetében. A jelszóbeállítások megfelelő használata megnehezítheti a találgatásos támadás csatlakoztatását. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: [Rendszerhozzáférés]PasswordComplexity Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fiókszabályzatok\Jelszóházirend\Jelszónak meg kell felelnie az összetettségi követelményeknek Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5	= 1 _{(Szabályzat)}	Critical
Fiókzárolási számláló alaphelyzetbe állítása a _{(AZ-WIN-73309)}	Leírás: Ez a házirend-beállítás határozza meg a fiókzárolási küszöbérték nullára való alaphelyzetbe állításának időtartamát. Ennek a házirend-beállításnak az alapértelmezett értéke Nincs definiálva. Ha a fiók zárolási küszöbértéke meg van határozva, ennek az alaphelyzetbe állítási időnek kisebbnek vagy egyenlőnek kell lennie a fiók zárolási időtartamának beállításánál megadott értéknél. Ha ezt a házirend-beállítást az alapértelmezett értéken hagyja, vagy túl hosszú időközre állítja be az értéket, a környezet sebezhető lehet egy DoS-támadással szemben. A támadók rosszindulatúan számos sikertelen bejelentkezési kísérletet hajthatnak végre a szervezet összes felhasználóján, ami zárolja a fiókjukat. Ha nem határozták meg, hogy egy szabályzat sem állítja alaphelyzetbe a fiókzárolást, az manuális feladat lenne a rendszergazdák számára. Ezzel szemben, ha egy ésszerű időérték van konfigurálva ehhez a házirend-beállításhoz, a felhasználókat egy megadott időszakra zárolják, amíg az összes fiók zárolása automatikusan fel nem oldódik. Ennek a beállításnak a javasolt állapota a következő: `15 or more minute(s)`. Megjegyzés: A jelszóházirend-beállításokat (1.1. szakasz) és a fiókzárolási házirend beállításait (1.2. szakasz) az alapértelmezett tartományi házirend csoportházirend-objektumán keresztül kell alkalmazni annak érdekében, hogy az alapértelmezett viselkedésük globálisan érvényes legyen a tartományi felhasználói fiókokra. Ha ezek a beállítások egy másik csoportházirend-objektumban vannak konfigurálva, azok csak a csoportházirend-objektumot fogadó számítógépek helyi felhasználói fiókjait érintik. Az alapértelmezett jelszóházirendre és fiókzárolási szabályzatra vonatkozó egyéni kivételek azonban meghatározott tartományi felhasználók és/vagy csoportok esetében a Jelszó Gépház objektumok (PSO-k) használatával határozhatók meg, amelyek teljesen elkülönülnek a csoportházirendtől, és a legegyszerűbben az Active Directory Rendszergazda istrative Center használatával konfigurálhatók. Kulcs elérési útja: [Rendszerhozzáférés]ResetLockoutCount Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fiókszabályzatok\Fiókzárolási szabályzat\Fiókzárolási számláló alaphelyzetbe állítása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 1.2.3 CIS WS2019 1.2.3	>= 15 _{(Szabályzat)}	Fontos
Jelszavak tárolása reverzibilis titkosítással _{(CCE-36286-3)}	Leírás: Ez a házirend-beállítás határozza meg, hogy az operációs rendszer olyan módon tárolja-e a jelszavakat, amely reverzibilis titkosítást használ, amely támogatja az olyan alkalmazásprotokollokat, amelyek hitelesítés céljából megkövetelik a felhasználó jelszavának ismeretét. A reverzibilis titkosítással tárolt jelszavak lényegében megegyeznek a jelszavak egyszerű szöveges verzióival. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: [Rendszerhozzáférés]ClearTextPassword Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fiókszabályzatok\Jelszóházirend\Jelszavak tárolása reverzibilis titkosítással Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7	= 0 _{(Szabályzat)}	Critical

Biztonsági Gépház – Windows tűzfal

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Windows tűzfal: Tartomány: Küldési válasz engedélyezése _{(AZ-WIN-00088)}	Leírás: Ez a beállítás akkor hasznos, ha szabályoznia kell, hogy a számítógép kap-e egycímes válaszokat a kimenő csoportos vagy szórásos üzenetekre. Azt javasoljuk, hogy ezt a beállítást "Igen" értékre állítsa a privát és tartományi profilok esetében, ez a beállításjegyzék értékét 0 értékre állítja. Kulcs elérési útja: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: A számítógép konfigurációjának házirendértékének konfigurálása\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai (ez a hivatkozás a jobb oldali panelen található)\Tartományprofil lap\Gépház (válassza a Testreszabás)\Egyedi küldés válasz, Az egyedi küldési válasz engedélyezése lehetőséget Megfelelőségi standard leképezések:	= 0 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Tartomány: Tűzfal állapota _{(CCE-36062-8)}	Leírás: Válassza a Be (ajánlott) lehetőséget, ha speciális biztonsági szintű Windows tűzfalat szeretne használni a profil beállításaival a hálózati forgalom szűréséhez. Ha a Ki lehetőséget választja, a Speciális biztonságú Windows tűzfal nem fogja használni a profilhoz tartozó tűzfalszabályokat vagy kapcsolatbiztonsági szabályokat. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `On (recommended)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Tartományprofil\Tűzfal állapota Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.1.1	= 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Tartomány: Bejövő kapcsolatok _{(AZ-WIN-202252)}	Leírás: Ez a beállítás határozza meg az olyan bejövő kapcsolatok viselkedését, amelyek nem felelnek meg a bejövő tűzfalszabálynak. Ennek a beállításnak a javasolt állapota a következő: `Block (default)`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Tartományprofil\Bejövő kapcsolatok Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.1.2 CIS WS2019 9.1.2	= 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Tartomány: Naplózás: Elvetett csomagok naplózása _{(AZ-WIN-202226)}	Leírás: Ezzel a beállítással naplózhatja, ha a Speciális biztonsági szintű Windows tűzfal bármilyen okból elvet egy bejövő csomagot. A napló rögzíti, hogy a csomag miért és mikor esett el. Keressen bejegyzéseket a napló műveleti oszlopában található szóval `DROP` . Ennek a beállításnak a javasolt állapota a következő: `Yes`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Tartományprofil\Naplózás testreszabása\Kidobott csomagok naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.1.7 CIS WS2019 9.1.7	= 1 _{(Beállításjegyzék)}	Tájékoztató
Windows tűzfal: Tartomány: Naplózás: Sikeres kapcsolatok naplózása _{(AZ-WIN-202227)}	Leírás: Ezzel a beállítással naplózhatja, hogy a Fokozott biztonságú Windows tűzfal engedélyezi-e a bejövő kapcsolatot. A napló rögzíti, hogy miért és mikor jött létre a kapcsolat. Keressen bejegyzéseket a napló műveleti oszlopában található szóval `ALLOW` . Ennek a beállításnak a javasolt állapota a következő: `Yes`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessful Csatlakozás ions Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Tartományprofil\Naplózás testreszabása\Sikeres kapcsolatok naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.1.8 CIS WS2019 9.1.8	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Tartomány: Naplózás: Név _{(AZ-WIN-202224)}	Leírás: Ezzel a beállítással megadhatja annak a fájlnak az elérési útját és nevét, amelyben a Windows tűzfal meg fogja írni a naplóadatokat. Ennek a beállításnak a javasolt állapota a következő: `%SystemRoot%\System32\logfiles\firewall\domainfw.log`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Tartományprofil\Naplózás testreszabása\Név Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.1.5 CIS WS2019 9.1.5	= %SystemRoot%\System32\logfiles\firewall\domainfw.log _{(Beállításjegyzék)}	Tájékoztató
Windows tűzfal: Tartomány: Naplózás: Méretkorlát (KB) _{(AZ-WIN-202225)}	Leírás: Ezzel a beállítással megadhatja annak a fájlnak a méretkorlátját, amelyben a Windows tűzfal meg fogja írni a naplóadatokat. Ennek a beállításnak a javasolt állapota a következő: `16,384 KB or greater`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Tartományprofil\Naplózás testreszabása\Méretkorlát (KB) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.1.6 CIS WS2019 9.1.6	>= 16384 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Tartomány: Kimenő kapcsolatok _{(CCE-36146-9)}	Leírás: Ez a beállítás határozza meg a kimenő kapcsolatok viselkedését, amelyek nem felelnek meg a kimenő tűzfalszabálynak. Windows Vista rendszerben az alapértelmezett viselkedés a kapcsolatok engedélyezése, kivéve, ha vannak tűzfalszabályok, amelyek blokkolják a kapcsolatot. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Allow (default)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Tartományprofil\Kimenő kapcsolatok Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.1.3	= 0 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Tartomány: Gépház: Helyi kapcsolatbiztonsági szabályok alkalmazása _{(CCE-38040-2)}	Leírás: Ez a beállítás azt szabályozza, hogy a helyi rendszergazdák létrehozhatnak-e olyan helyi kapcsolati szabályokat, amelyek a csoportházirend által konfigurált tűzfalszabályokkal együtt alkalmazhatók. Ennek a beállításnak a javasolt állapota "Igen", ez a beállításjegyzék értékét 1 értékre állítja. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: A számítógép konfigurációjának házirendértékének konfigurálása\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai (ez a hivatkozás a jobb oldali panelen lesz)\Tartományprofil lap\Gépház (válassza a Testreszabás)\Szabályegyesítés, Helyi kapcsolat biztonsági szabályainak alkalmazása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.3.6	= 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Tartomány: Gépház: Helyi tűzfalszabályok alkalmazása _{(CCE-37860-4)}	Leírás: Ez a beállítás azt szabályozza, hogy a helyi rendszergazdák létrehozhatnak-e olyan helyi tűzfalszabályokat, amelyek a csoportházirend által konfigurált tűzfalszabályokkal együtt érvényesek. A beállításhoz ajánlott állapot: Igen, ez a beállításjegyzék értékét 1 értékre állítja. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai (ez a hivatkozás a jobb oldali panelen lesz)\Tartományprofil lap\Gépház (válassza a Testreszabás lehetőséget)\Szabályegyesítés, Helyi tűzfalszabályok alkalmazása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.3.5	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: tartomány: Gépház: Értesítés megjelenítése _{(CCE-38041-0)}	Leírás: Ha ezt a lehetőséget választja, nem jelenik meg értesítés a felhasználó számára, ha egy program nem fogad bejövő kapcsolatokat. Kiszolgálói környezetben az előugró ablakok nem hasznosak, mivel a felhasználók nincsenek bejelentkezve, az előugró ablakok nem szükségesek, és zavart okozhatnak a rendszergazda számára. Konfigurálja ezt a házirend-beállítást "Nem" értékre, ezzel a beállításjegyzék értékét 1 értékre állítja. A Windows tűzfal nem jelenít meg értesítést, ha egy program blokkolva van a bejövő kapcsolatok fogadásában. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Tartományprofil\Gépház Testreszabás\Értesítés megjelenítése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.1.4	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Privát: Küldési válasz engedélyezése _{(AZ-WIN-00089)}	Leírás: Ez a beállítás akkor hasznos, ha szabályoznia kell, hogy a számítógép kap-e egycímes válaszokat a kimenő csoportos vagy szórásos üzenetekre. Azt javasoljuk, hogy ezt a beállítást "Igen" értékre állítsa a privát és tartományi profilok esetében, ez a beállításjegyzék értékét 0 értékre állítja. Kulcs elérési útja: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai (ez a hivatkozás a jobb oldali panelen jelenik meg)\Privát profil lap\Gépház (válassza a Testreszabás)\Egycímes válasz, Az egyedi küldési válasz engedélyezése lehetőséget Megfelelőségi standard leképezések:	= 0 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Privát: Tűzfal állapota _{(CCE-38239-0)}	Leírás: Válassza a Be (ajánlott) lehetőséget, ha speciális biztonsági szintű Windows tűzfalat szeretne használni a profil beállításaival a hálózati forgalom szűréséhez. Ha a Ki lehetőséget választja, a Speciális biztonságú Windows tűzfal nem fogja használni a profilhoz tartozó tűzfalszabályokat vagy kapcsolatbiztonsági szabályokat. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `On (recommended)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Privát profil\Tűzfal állapota Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.2.1	= 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Privát: Bejövő kapcsolatok _{(AZ-WIN-202228)}	Leírás: Ez a beállítás határozza meg az olyan bejövő kapcsolatok viselkedését, amelyek nem felelnek meg a bejövő tűzfalszabálynak. Ennek a beállításnak a javasolt állapota a következő: `Block (default)`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Privát profil\Bejövő kapcsolatok Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.2.2 CIS WS2019 9.2.2	= 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Privát: Naplózás: Elvetett csomagok naplózása _{(AZ-WIN-202231)}	Leírás: Ezzel a beállítással naplózhatja, ha a Speciális biztonsági szintű Windows tűzfal bármilyen okból elvet egy bejövő csomagot. A napló rögzíti, hogy a csomag miért és mikor esett el. Keressen bejegyzéseket a napló műveleti oszlopában található szóval `DROP` . Ennek a beállításnak a javasolt állapota a következő: `Yes`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Privát profil\Naplózás testreszabása\Napló elvetett csomagok Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.2.7 CIS WS2019 9.2.7	= 1 _{(Beállításjegyzék)}	Tájékoztató
Windows tűzfal: Privát: Naplózás: Sikeres kapcsolatok naplózása _{(AZ-WIN-202232)}	Leírás: Ezzel a beállítással naplózhatja, hogy a Fokozott biztonságú Windows tűzfal engedélyezi-e a bejövő kapcsolatot. A napló rögzíti, hogy miért és mikor jött létre a kapcsolat. Keressen bejegyzéseket a napló műveleti oszlopában található szóval `ALLOW` . Ennek a beállításnak a javasolt állapota a következő: `Yes`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessful Csatlakozás ions Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Privát profil\Naplózás testreszabása\Sikeres kapcsolatok naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.2.8 CIS WS2019 9.2.8	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Privát: Naplózás: Név _{(AZ-WIN-202229)}	Leírás: Ezzel a beállítással megadhatja annak a fájlnak az elérési útját és nevét, amelyben a Windows tűzfal meg fogja írni a naplóadatokat. Ennek a beállításnak a javasolt állapota a következő: `%SystemRoot%\System32\logfiles\firewall\privatefw.log`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Privát profil\Naplózás testreszabása\Név Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.2.5 CIS WS2019 9.2.5	= %SystemRoot%\System32\logfiles\firewall\privatefw.log _{(Beállításjegyzék)}	Tájékoztató
Windows tűzfal: Privát: Naplózás: Méretkorlát (KB) _{(AZ-WIN-202230)}	Leírás: Ezzel a beállítással megadhatja annak a fájlnak a méretkorlátját, amelyben a Windows tűzfal meg fogja írni a naplóadatokat. Ennek a beállításnak a javasolt állapota a következő: `16,384 KB or greater`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Privát profil\Naplózás testreszabása\Méretkorlát (KB) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.2.6 CIS WS2019 9.2.6	>= 16384 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Privát: Kimenő kapcsolatok _{(CCE-38332-3)}	Leírás: Ez a beállítás határozza meg a kimenő kapcsolatok viselkedését, amelyek nem felelnek meg a kimenő tűzfalszabálynak. Az alapértelmezett viselkedés a kapcsolatok engedélyezése, kivéve, ha vannak tűzfalszabályok, amelyek blokkolják a kapcsolatot. Fontos: Ha a kimenő kapcsolatokat letiltja, majd csoportházirend-objektum használatával telepíti a tűzfalszabályzatot, a csoportházirend-beállításokat kapó számítógépek csak akkor kapják meg a csoportházirend későbbi frissítéseit, ha olyan kimenő szabályt hoz létre és helyez üzembe, amely lehetővé teszi a csoportházirend működését. Az alapvető hálózatkezelés előre definiált szabályai közé tartoznak a kimenő szabályok, amelyek lehetővé teszik a csoportházirend működését. A telepítés előtt győződjön meg arról, hogy ezek a kimenő szabályok aktívak, és alaposan tesztelje a tűzfalprofilokat. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Allow (default)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Privát profil\Kimenő kapcsolatok Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.2.3	= 0 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Privát: Gépház: Helyi kapcsolatbiztonsági szabályok alkalmazása _{(CCE-36063-6)}	Leírás: Ez a beállítás azt szabályozza, hogy a helyi rendszergazdák létrehozhatnak-e olyan helyi kapcsolati szabályokat, amelyek a csoportházirend által konfigurált tűzfalszabályokkal együtt alkalmazhatók. Ennek a beállításnak a javasolt állapota "Igen", ez a beállításjegyzék értékét 1 értékre állítja. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai (ez a hivatkozás a jobb oldali panelen található)\Privát profil lap\Gépház (válassza a Testreszabás lehetőséget)\Szabályegyesítés, Helyi kapcsolat biztonsági szabályainak alkalmazása Megfelelőségi standard leképezések:	= 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Privát: Gépház: Helyi tűzfalszabályok alkalmazása _{(CCE-37438-9)}	Leírás: Ez a beállítás azt szabályozza, hogy a helyi rendszergazdák létrehozhatnak-e olyan helyi tűzfalszabályokat, amelyek a csoportházirend által konfigurált tűzfalszabályokkal együtt érvényesek. A beállításhoz ajánlott állapot: Igen, ez a beállításjegyzék értékét 1 értékre állítja. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: A házirend értékének konfigurálása a Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai (ez a hivatkozás a jobb oldali panelen lesz)\Privát profil lap\Gépház (válassza a Testreszabás lehetőséget)\Szabályegyesítés, Helyi tűzfalszabályok alkalmazása Megfelelőségi standard leképezések:	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Privát: Gépház: Értesítés megjelenítése _{(CCE-37621-0)}	Leírás: Ha ezt a lehetőséget választja, nem jelenik meg értesítés a felhasználó számára, ha egy program nem fogad bejövő kapcsolatokat. Kiszolgálói környezetben az előugró ablakok nem hasznosak, mivel a felhasználók nincsenek bejelentkezve, az előugró ablakok nem szükségesek, és zavart okozhatnak a rendszergazda számára. Konfigurálja ezt a házirend-beállítást "Nem" értékre, ezzel a beállításjegyzék értékét 1 értékre állítja. A Windows tűzfal nem jelenít meg értesítést, ha egy program blokkolva van a bejövő kapcsolatok fogadásában. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Privát profil\Gépház Testreszabás\Értesítés megjelenítése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.2.4	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Nyilvános: Az egycímes válasz engedélyezése _{(AZ-WIN-00090)}	Leírás: Ez a beállítás akkor hasznos, ha szabályoznia kell, hogy a számítógép kap-e egycímes válaszokat a kimenő csoportos vagy szórásos üzenetekre. Ezt úgy teheti meg, hogy a beállítás állapotát "Nem" értékre módosítja, ezzel a beállításjegyzék értékét 1 értékre állítja. Kulcs elérési útja: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: A számítógép konfigurációjának házirendértékének konfigurálása\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai (ez a hivatkozás a jobb oldali panelen jelenik meg)\Nyilvános profil lap\Gépház (válassza a Testreszabás)\Egycímes válasz, Az egyedi küldési válasz engedélyezése lehetőséget Megfelelőségi standard leképezések:	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Nyilvános: Tűzfal állapota _{(CCE-37862-0)}	Leírás: Válassza a Be (ajánlott) lehetőséget, ha speciális biztonsági szintű Windows tűzfalat szeretne használni a profil beállításaival a hálózati forgalom szűréséhez. Ha a Ki lehetőséget választja, a Speciális biztonságú Windows tűzfal nem fogja használni a profilhoz tartozó tűzfalszabályokat vagy kapcsolatbiztonsági szabályokat. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `On (recommended)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Tűzfal állapota Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.3.1	= 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Nyilvános: Bejövő kapcsolatok _{(AZ-WIN-202234)}	Leírás: Ez a beállítás határozza meg az olyan bejövő kapcsolatok viselkedését, amelyek nem felelnek meg a bejövő tűzfalszabálynak. Ennek a beállításnak a javasolt állapota a következő: `Block (default)`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Bejövő kapcsolatok Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.3.2 CIS WS2019 9.3.2	= 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Nyilvános: Naplózás: Elvetett csomagok naplózása _{(AZ-WIN-202237)}	Leírás: Ezzel a beállítással naplózhatja, ha a Speciális biztonsági szintű Windows tűzfal bármilyen okból elvet egy bejövő csomagot. A napló rögzíti, hogy a csomag miért és mikor esett el. Keressen bejegyzéseket a napló műveleti oszlopában található szóval `DROP` . Ennek a beállításnak a javasolt állapota a következő: `Yes`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Naplózás testreszabása\Napló elvetett csomagok Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.3.9 CIS WS2019 9.3.9	= 1 _{(Beállításjegyzék)}	Tájékoztató
Windows tűzfal: Nyilvános: Naplózás: Sikeres kapcsolatok naplózása _{(AZ-WIN-202233)}	Leírás: Ezzel a beállítással naplózhatja, hogy a Fokozott biztonságú Windows tűzfal engedélyezi-e a bejövő kapcsolatot. A napló rögzíti, hogy miért és mikor jött létre a kapcsolat. Keressen bejegyzéseket a napló műveleti oszlopában található szóval `ALLOW` . Ennek a beállításnak a javasolt állapota a következő: `Yes`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessful Csatlakozás ions Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Naplózás testreszabása\Sikeres kapcsolatok naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.3.10 CIS WS2019 9.3.10	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Windows tűzfal: Nyilvános: Naplózás: Név _{(AZ-WIN-202235)}	Leírás: Ezzel a beállítással megadhatja annak a fájlnak az elérési útját és nevét, amelyben a Windows tűzfal meg fogja írni a naplóadatokat. Ennek a beállításnak a javasolt állapota a következő: `%SystemRoot%\System32\logfiles\firewall\publicfw.log`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Naplózás testreszabása\Név Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.3.7 CIS WS2019 9.3.7	= %SystemRoot%\System32\logfiles\firewall\publicfw.log _{(Beállításjegyzék)}	Tájékoztató
Windows tűzfal: Nyilvános: Naplózás: Méretkorlát (KB) _{(AZ-WIN-202236)}	Leírás: Ezzel a beállítással megadhatja annak a fájlnak a méretkorlátját, amelyben a Windows tűzfal meg fogja írni a naplóadatokat. Ennek a beállításnak a javasolt állapota a következő: `16,384 KB or greater`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Naplózás testreszabása\Méretkorlát (KB) Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 9.3.8 CIS WS2019 9.3.8	>= 16384 _{(Beállításjegyzék)}	Tájékoztató
Windows tűzfal: Nyilvános: Kimenő kapcsolatok _{(CCE-37434-8)}	Leírás: Ez a beállítás határozza meg a kimenő kapcsolatok viselkedését, amelyek nem felelnek meg a kimenő tűzfalszabálynak. Az alapértelmezett viselkedés a kapcsolatok engedélyezése, kivéve, ha vannak tűzfalszabályok, amelyek blokkolják a kapcsolatot. Fontos: Ha a kimenő kapcsolatokat letiltja, majd csoportházirend-objektum használatával telepíti a tűzfalszabályzatot, a csoportházirend-beállításokat kapó számítógépek csak akkor kapják meg a csoportházirend későbbi frissítéseit, ha olyan kimenő szabályt hoz létre és helyez üzembe, amely lehetővé teszi a csoportházirend működését. Az alapvető hálózatkezelés előre definiált szabályai közé tartoznak a kimenő szabályok, amelyek lehetővé teszik a csoportházirend működését. A telepítés előtt győződjön meg arról, hogy ezek a kimenő szabályok aktívak, és alaposan tesztelje a tűzfalprofilokat. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Allow (default)`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Kimenő kapcsolatok Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.3.3	= 0 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Nyilvános: Gépház: Helyi kapcsolatbiztonsági szabályok alkalmazása _{(CCE-36268-1)}	Leírás: Ez a beállítás azt szabályozza, hogy a helyi rendszergazdák létrehozhatnak-e olyan helyi kapcsolati szabályokat, amelyek a csoportházirend által konfigurált tűzfalszabályokkal együtt alkalmazhatók. Ennek a beállításnak a javasolt állapota "Igen", ez a beállításjegyzék értékét 1 értékre állítja. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Gépház Testreszabás\Helyi kapcsolat biztonsági szabályainak alkalmazása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.3.6	= 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Nyilvános: Gépház: Helyi tűzfalszabályok alkalmazása _{(CCE-37861-2)}	Leírás: Ez a beállítás azt szabályozza, hogy a helyi rendszergazdák létrehozhatnak-e olyan helyi tűzfalszabályokat, amelyek a csoportházirend által konfigurált tűzfalszabályokkal együtt érvényesek. A beállításhoz ajánlott állapot: Igen, ez a beállításjegyzék értékét 1 értékre állítja. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Gépház Testreszabás\Helyi tűzfalszabályok alkalmazása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.3.5	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Windows tűzfal: Nyilvános: Gépház: Értesítés megjelenítése _{(CCE-38043-6)}	Leírás: Ha ezt a lehetőséget választja, nem jelenik meg értesítés a felhasználó számára, ha egy program nem fogad bejövő kapcsolatokat. Kiszolgálói környezetben az előugró ablakok nem hasznosak, mivel a felhasználók nincsenek bejelentkezve, az előugró ablakok nem szükségesek, és zavart okozhatnak a rendszergazda számára. Konfigurálja ezt a házirend-beállítást "Nem" értékre, ezzel a beállításjegyzék értékét 1 értékre állítja. A Windows tűzfal nem jelenít meg értesítést, ha egy program blokkolva van a bejövő kapcsolatok fogadásában. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Fokozott biztonságú Windows tűzfal\Fokozott biztonságú Windows tűzfal\Windows tűzfal tulajdonságai\Nyilvános profil\Gépház Testreszabás\Értesítés megjelenítése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 9.3.4	= 1 _{(Beállításjegyzék)}	Figyelmeztetés

Rendszernaplózási szabályzatok – Fiókbejegyzés

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Hitelesítő adatok érvényesítésének naplózása _{(CCE-37741-6)}	Leírás: Ez az alkategória a felhasználói fiók bejelentkezési kéréséhez küldött hitelesítő adatokra vonatkozó ellenőrzési tesztek eredményeit jelenti. Ezek az események azon a számítógépen történnek, amely mérvadó a hitelesítő adatokhoz. A tartományi fiókok esetében a tartományvezérlő mérvadó, míg a helyi fiókok esetében a helyi számítógép mérvadó. Tartományi környezetekben a fiókbejegyzési események többsége a tartományi fiókok szempontjából mérvadó tartományvezérlők biztonsági naplójában történik. Ezek az események azonban a szervezet más számítógépein is előfordulhatnak, amikor helyi fiókokat használnak a bejelentkezéshez. Az alkategória eseményei a következők: - 4774: Egy fiók le van képezve a bejelentkezéshez. - 4775: Nem sikerült leképezni egy fiókot a bejelentkezéshez. - 4776: A tartományvezérlő megpróbálta ellenőrizni egy fiók hitelesítő adatait. - 4777: A tartományvezérlő nem tudta ellenőrizni egy fiók hitelesítő adatait. Ennek a beállításnak a javasolt állapota a következő: "Sikeres és sikertelen". Kulcs elérési útja: {0CCE923F-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Success and Failure`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend-konfiguráció\Naplózási szabályzatok\Fióknaplózás\Hitelesítő adatok ellenőrzése Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1	= Sikeres és sikertelen _(Naplózás)	Critical
Kerberos hitelesítési szolgáltatás naplózása _{(AZ-WIN-00004)}	Leírás: Ez az alkategória egy Kerberos-hitelesítési TGT-kérés után létrehozott események eredményeit jelenti. A Kerberos egy elosztott hitelesítési szolgáltatás, amely lehetővé teszi, hogy egy felhasználó nevében futó ügyfél igazolja identitását egy kiszolgálón anélkül, hogy adatokat küldenek a hálózaton keresztül. Ez segít enyhíteni a támadó vagy a kiszolgáló megszemélyesítését egy felhasználóval. - 4768: Kerberos-hitelesítési jegyet (TGT) kértek. - 4771: A Kerberos előzetes hitelesítése nem sikerült. - 4772: Sikertelen Kerberos-hitelesítési jegykérelem. Ennek a beállításnak a javasolt állapota a következő: `Success and Failure`. Kulcs elérési útja: {0CCE9242-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Fiókbejárat\Naplózás Kerberos hitelesítési szolgáltatás Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.1.2 CIS WS2019 17.1.2	>= Sikeres és sikertelen _(Naplózás)	Critical

Rendszernaplózási szabályzatok – Fiókkezelés

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Terjesztési csoportok felügyeletének naplózása _{(CCE-36265-7)}	Leírás: Ez az alkategóriák a terjesztési csoportok kezelésének minden eseményét jelentik, például amikor létrehoznak, módosítanak vagy törölnek egy terjesztési csoportot, vagy amikor hozzáadnak vagy eltávolítanak egy tagot egy terjesztési csoportból. Ha engedélyezi ezt a naplózási házirend-beállítást, a rendszergazdák nyomon követhetik az eseményeket, hogy észleljék a csoportfiókok rosszindulatú, véletlen és engedélyezett létrehozását. Az alkategóriához tartozó események a következők: - 4744: Biztonsági letiltott helyi csoport jött létre. - 4745: Módosult egy biztonsági védelem által letiltott helyi csoport. - 4746: A rendszer egy tagot adott hozzá egy letiltott helyi csoporthoz. - 4747: Egy tagot eltávolítottak egy biztonsági szempontból letiltott helyi csoportból. - 4748: A rendszer törölt egy biztonsági védelem által letiltott helyi csoportot. - 4749: Létrejött egy biztonsági védelem által letiltott globális csoport. - 4750: A biztonsági védelem által letiltott globális csoport megváltozott. - 4751: Tag lett hozzáadva egy biztonsági védelem által letiltott globális csoporthoz. - 4752: Egy tagot eltávolítottak egy biztonsági szempontból letiltott globális csoportból. - 4753: A rendszer törölt egy biztonsági védelem által letiltott globális csoportot. - 4759: Létrejött egy biztonsági védelem által letiltott univerzális csoport. - 4760: A biztonsági védelem által letiltott univerzális csoportot módosították. - 4761: Egy tagot hozzáadtak egy biztonsági védelem által letiltott univerzális csoporthoz. - 4762: Egy tagot eltávolítottak egy biztonsági szempontból letiltott univerzális csoportból. - 4763: Egy biztonsági védelem által letiltott univerzális csoportot töröltek. Ennek a beállításnak a javasolt állapota a következő: `Success`. Kulcs elérési útja: {0CCE9238-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Fiókkezelés\Naplózási terjesztési csoport kezelése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.2.3 CIS WS2019 17.2.3	>= Siker _(Naplózás)	Critical
Egyéb fiókfelügyeleti események naplózása _{(CCE-37855-4)}	Leírás: Ez az alkategória más fiókkezelési eseményeket is jelent. Az alkategóriához tartozó események a következők: – 4782: A fiókhoz hozzáfért jelszókivonat. — 4793: A jelszóházirend-ellenőrző API meghívása megtörtént. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 rendszer biztonsági eseményeinek leírása" című cikkét. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE923A-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Success`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Fiókkezelés\Egyéb fiókkezelési események naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.2.4	>= Siker _(Naplózás)	Critical
Biztonsági csoportok felügyeletének naplózása _{(CCE-38034-5)}	Leírás: Ez az alkategóriák a biztonsági csoportok kezelésének minden eseményét jelentik, például biztonsági csoport létrehozását, módosítását vagy törlését, illetve egy tag biztonsági csoporthoz való hozzáadását vagy eltávolítását. Ha engedélyezi ezt a naplózási házirend-beállítást, a rendszergazdák nyomon követhetik az eseményeket, hogy észleljék a biztonsági csoportfiókok rosszindulatú, véletlen és engedélyezett létrehozását. Az alkategória eseményei a következők: - 4727: Létrejött egy biztonsági kompatibilis globális csoport. - 4728: Egy tag hozzáadva egy biztonsági kompatibilis globális csoporthoz. - 4729: Egy tagot eltávolítottak egy biztonsági szempontból kompatibilis globális csoportból. - 4730: A rendszer törölt egy biztonsági kompatibilis globális csoportot. - 4731: Létrejött egy biztonsági kompatibilis helyi csoport. - 4732: A rendszer hozzáad egy tagot egy biztonsági védelemre képes helyi csoporthoz. - 4733: Egy tagot eltávolítottak egy biztonsági kompatibilis helyi csoportból. - 4734: A rendszer törölt egy biztonsági kompatibilis helyi csoportot. - 4735: Módosult egy biztonsági kompatibilis helyi csoport. - 4737: Módosult egy biztonsági kompatibilis globális csoport. - 4754: Létrejött egy biztonsági kompatibilis univerzális csoport. - 4755: Egy biztonsági kompatibilis univerzális csoportot módosítottak. - 4756: Egy tagot hozzáadtak egy biztonsági kompatibilis univerzális csoporthoz. - 4757: Egy tagot eltávolítottak egy biztonsági szempontból engedélyezett univerzális csoportból. - 4758: A rendszer törölt egy biztonsági kompatibilis univerzális csoportot. - 4764: A csoport típusa megváltozott. Ennek a beállításnak a javasolt állapota a következő: `Success and Failure`. Kulcs elérési útja: {0CCE9237-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Success`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Fiókkezelés\Biztonsági csoportkezelés naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.2.5	>= Siker _(Naplózás)	Critical
Felhasználói fiókok felügyeletének naplózása _{(CCE-37856-2)}	Leírás: Ez az alkategóriák a felhasználói fiókok kezelésének minden eseményét jelentik, például felhasználói fiók létrehozása, módosítása vagy törlése; a felhasználói fiók átnevezése, letiltása vagy engedélyezése; vagy jelszó beállítása vagy módosítása. Ha engedélyezi ezt a naplózási házirend-beállítást, a rendszergazdák nyomon követhetik az eseményeket, hogy észleljék a felhasználói fiókok rosszindulatú, véletlen és engedélyezett létrehozását. Az alkategóriához tartozó események a következők: - 4720: Felhasználói fiók jött létre. - 4722: Engedélyezve volt egy felhasználói fiók. - 4723: Kísérlet történt egy fiók jelszavának módosítására. - 4724: Kísérlet történt egy fiók jelszavának alaphelyzetbe állítására. - 4725: Egy felhasználói fiók le lett tiltva. - 4726: Törölték a felhasználói fiókot. - 4738: Egy felhasználói fiók megváltozott. - 4740: Egy felhasználói fiókot kizártak. - 4765: A rendszer hozzáadta a biztonsági azonosítók előzményeit egy fiókhoz. - 4766: Sikertelen volt a SID-előzmények fiókhoz való hozzáadására tett kísérlet. - 4767: A felhasználói fiók zárolása feloldva. - 4780: Az ACL olyan fiókokra lett beállítva, amelyek rendszergazdai csoportok tagjai. - 4781: A fiók neve megváltozott: - 4794: Kísérlet történt a Címtárszolgáltatások visszaállítási módjának beállítására. - 5376: A Credential Manager hitelesítő adatairól biztonsági másolat készült. - 5377: A Credential Manager hitelesítő adatai biztonsági másolatból lettek visszaállítva. Ennek a beállításnak a javasolt állapota a következő: `Success and Failure`. Kulcs elérési útja: {0CCE9235-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Success and Failure`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Fiókkezelés\Felhasználói fiókok naplózása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6	= Sikeres és sikertelen _(Naplózás)	Critical

Rendszernaplózási szabályzatok – Részletes nyomon követés

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
PNP-tevékenység naplózása _{(AZ-WIN-00182)}	Leírás: Ez a házirend-beállítás lehetővé teszi a naplózást, ha a plug and play külső eszközt észlel. Ennek a beállításnak a javasolt állapota a következő: `Success`. Megjegyzés: Egy Windows 10- vagy Server 2016-os vagy újabb operációs rendszer szükséges a hozzáféréshez és az érték csoportházirendben való beállításához. Kulcs elérési útja: {0CCE9248-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Biztonsági beállítások\Naplózás: Naplózási szabályzat alkategória-beállításainak kényszerítése (Windows Vista vagy újabb) a naplózási szabályzat kategóriabeállításai felülbírálásához Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.3.1 CIS WS2022 17.3.1	>= Siker _(Naplózás)	Critical
Folyamat-létrehozás naplózása _{(CCE-36059-4)}	Leírás: Ez az alkategória egy folyamat létrehozását és az azt létrehozó program vagy felhasználó nevét jelenti. Az alkategória eseményei a következők: - 4688: Új folyamat jött létre. - 4696: Egy elsődleges jogkivonat lett hozzárendelve a folyamathoz. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis 947226 cikkét. Ennek a beállításnak a javasolt állapota a következő: `Success`. Kulcs elérési útja: {0CCE922B-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Success`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Részletes nyomon követés\Naplózási folyamat létrehozása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2	>= Siker _(Naplózás)	Critical

Rendszernaplózási szabályzatok – DS-hozzáférés

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Könyvtárszolgáltatás hozzáférésének naplózása _{(CCE-37433-0)}	Leírás: Ez az alkategória egy AD DS-objektum elérésekor jelent. Csak a SACL-ekkel rendelkező objektumok okoznak naplózási eseményeket, és csak akkor, ha azok a SACL-nek megfelelő módon érhetők el. Ezek az események a Windows Server korábbi verzióiban a címtárszolgáltatás hozzáférési eseményeihez hasonlóak. Ez az alkategória csak a tartományvezérlőkre vonatkozik. Az alkategóriához tartozó események a következők: - 4662: Művelet történt egy objektumon. Ennek a beállításnak a javasolt állapota a következő: `Failure`. Kulcs elérési útja: {0CCE923B-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\DS Access\Naplózási címtárszolgáltatás-hozzáférés Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.4.1 CIS WS2019 17.4.1	>= Hiba _(Naplózás)	Critical
Könyvtárszolgáltatás módosításainak naplózása _{(CCE-37616-0)}	Leírás: Ez az alkategóriák a Active Directory tartományi szolgáltatások (AD DS) objektumainak változásait jelentik. A jelentett módosítások típusai az objektumokon végrehajtott létrehozási, módosítási, áthelyezési és nem felügyelt műveletek. A DS Change auditing (adott esetben) a módosított objektumok módosított tulajdonságainak régi és új értékeit jelzi. Csak a SACL-ekkel rendelkező objektumok okoznak naplózási eseményeket, és csak akkor, ha azok a SACL-nek megfelelő módon érhetők el. Egyes objektumok és tulajdonságok nem okoznak naplózási eseményeket a séma objektumosztályának beállításai miatt. Ez az alkategória csak a tartományvezérlőkre vonatkozik. Az alkategória eseményei a következők: - 5136 : A címtárszolgáltatás-objektum módosult. - 5137 : Létre lett hozva egy címtárszolgáltatás-objektum. - 5138 : A címtárszolgáltatás-objektum törölve lett. - 5139 : A címtárszolgáltatás objektuma áthelyezve. Ennek a beállításnak a javasolt állapota a következő: `Success`. Kulcs elérési útja: {0CCE923C-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\DS Access\Címtárszolgáltatás változásainak naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.4.2 CIS WS2019 17.4.2	>= Siker _(Naplózás)	Critical
Könyvtárszolgáltatás-replikáció naplózása _{(AZ-WIN-00093)}	Leírás: Ez az alkategóriák jelentik, ha két tartományvezérlő közötti replikáció megkezdődik és véget ér. Az alkategória eseményei a következők: - 4932: Megkezdődött az Active Directory elnevezési környezet replikája szinkronizálása. – 4933: Az Active Directory elnevezési környezet replikáinak szinkronizálása véget ért. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 biztonsági eseményeinek leírása" című cikket: http:--support.microsoft.com-default.aspx-kb-947226 Kulcs elérési útja: {0CCE923D-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\DS Access\Naplózási címtárszolgáltatás replikációja Megfelelőségi standard leképezések:	>= Nincs naplózás _(Naplózás)	Critical

Rendszernaplózási szabályzatok – Logon-Logoff

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Fiókzárolás naplózása _{(CCE-37133-6)}	Leírás: Ez az alkategóriák jelentik, ha egy felhasználó fiókja túl sok sikertelen bejelentkezési kísérlet miatt zárolva van. Az alkategóriához tartozó események a következők: – 4625: Egy fiók nem tudott bejelentkezni. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 biztonsági eseményeinek leírása" című cikket. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE9217-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Failure`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Bejelentkezés/Kijelentkezés\Fiókzárolás naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.5.1	>= Hiba _(Naplózás)	Critical
Naplózási csoporttagság _{(AZ-WIN-00026)}	Leírás: A naplózási csoporttagság lehetővé teszi a csoporttagságok naplózását az ügyfélszámítógépen történő számbavételkor. Ez a szabályzat lehetővé teszi a csoporttagság adatainak naplózását a felhasználó bejelentkezési jogkivonatában. Az alkategória eseményei azon a számítógépen jönnek létre, amelyen a bejelentkezési munkamenet létrejön. Interaktív bejelentkezés esetén a biztonsági naplózási esemény azon a számítógépen jön létre, amellyel a felhasználó bejelentkezett. Egy hálózati bejelentkezéshez, például egy megosztott mappához való hozzáféréshez a rendszer létrehozza a biztonsági naplózási eseményt az erőforrást üzemeltető számítógépen. Engedélyeznie kell a naplózási bejelentkezési alkategóriát is. Több esemény jön létre, ha a csoporttagság adatai nem férnek el egyetlen biztonsági auditeseményben. A naplózott események a következők: - 4627(S): Csoporttagság adatai. Kulcs elérési útja: {0CCE9249-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Success`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Bejelentkezés/Kijelentkezés\Naplózási csoporttagság Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.5.2	>= Siker _(Naplózás)	Critical
Kijelentkezés naplózása _{(CCE-38237-4)}	Leírás: Ez az alkategóriák jelentik, ha egy felhasználó kijelentkezik a rendszerből. Ezek az események a hozzáfért számítógépen történnek. Interaktív bejelentkezések esetén ezen események generálása azon a számítógépen történik, amelybe bejelentkezett. Ha hálózati bejelentkezés történik egy megosztás eléréséhez, ezek az események a hozzáfért erőforrást üzemeltető számítógépen jönnek létre. Ha ezt a beállítást nem naplózásra konfigurálja, nehéz vagy lehetetlen meghatározni, hogy melyik felhasználó fért hozzá vagy próbált meg hozzáférni a szervezeti számítógépekhez. Az alkategória eseményei a következők: - 4634: Egy fiók ki lett jelentkezve. - 4647: A felhasználó kezdeményezte a emblémát. Ennek a beállításnak a javasolt állapota a következő: "Siker". Kulcs elérési útja: {0CCE9216-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Success`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Bejelentkezés/Logoff\Naplózási emblémázás Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3	>= Siker _(Naplózás)	Critical
Bejelentkezés naplózása _{(CCE-38036-0)}	Leírás: Ez az alkategóriák jelentik, ha egy felhasználó megpróbál bejelentkezni a rendszerbe. Ezek az események a hozzáfért számítógépen történnek. Interaktív bejelentkezések esetén ezen események generálása azon a számítógépen történik, amelybe bejelentkezett. Ha hálózati bejelentkezés történik egy megosztás eléréséhez, ezek az események a hozzáfért erőforrást üzemeltető számítógépen jönnek létre. Ha ezt a beállítást nem naplózásra konfigurálja, nehéz vagy lehetetlen meghatározni, hogy melyik felhasználó fért hozzá vagy próbált meg hozzáférni a szervezeti számítógépekhez. Az alkategóriához tartozó események a következők: - 4624: Egy fiók sikeresen bejelentkezett. - 4625: Egy fiók nem tudott bejelentkezni. - 4648: A rendszer explicit hitelesítő adatokkal próbált meg bejelentkezni. - 4675: Az SID-k szűrése megtörtént. Ennek a beállításnak a javasolt állapota a következő: "Sikeres és sikertelen". Kulcs elérési útja: {0CCE9215-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Success and Failure`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Bejelentkezés/Kijelentkezés\Naplózási bejelentkezés Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4	= Sikeres és sikertelen _(Naplózás)	Critical
Egyéb bejelentkezési/kijelentkezési események naplózása _{(CCE-36322-6)}	Leírás: Ez az alkategóriák a bejelentkezéssel/kijelentkezéssel kapcsolatos egyéb eseményeket jelentik, például a Terminálszolgáltatások munkamenete leválasztja és újracsatlakozik, futtatások használatával futtatja a folyamatokat egy másik fiókban, valamint zárolja és feloldja a munkaállomásokat. Az alkategória eseményei a következők: – 4649: Visszajátszásos támadást észleltek. — 4778: Egy munkamenet újracsatlakozott egy ablakállomáshoz. — 4779: Egy munkamenet megszakadt egy ablakállomásról. — 4800: A munkaállomás zárolva volt. — 4801: A munkaállomás zárolása feloldva. — 4802: A képernyőkímélő meghívása megtörtént. — 4803: A képernyőkímélő el lett vetve. — 5378: A kért hitelesítő adatok delegálását a szabályzat nem engedélyezte. — 5632: Kérés érkezett a vezeték nélküli hálózat hitelesítésére. — 5633: Egy vezetékes hálózaton történő hitelesítésre irányuló kérelem érkezett. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 rendszer biztonsági eseményeinek leírása" című cikkét. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE921C-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Success and Failure`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Bejelentkezés/Kijelentkezés\Egyéb bejelentkezési/kijelentkezési események naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.5.5	= Sikeres és sikertelen _(Naplózás)	Critical
Különleges bejelentkezés naplózása _{(CCE-36266-5)}	Leírás: Ez az alkategória egy speciális bejelentkezés használatakor jelent. A speciális bejelentkezés olyan bejelentkezés, amely rendszergazdai jogosultságokkal rendelkezik, és a folyamat magasabb szintre emelésére használható. Az alkategória eseményei a következők: - 4964: Speciális csoportok lettek hozzárendelve egy új bejelentkezéshez. Ennek a beállításnak a javasolt állapota a következő: `Success`. Kulcs elérési útja: {0CCE921B-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Success`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Bejelentkezés/Kijelentkezés\Különleges bejelentkezés naplózása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6	>= Siker _(Naplózás)	Critical

Rendszernaplózási szabályzatok – Objektumhozzáférés

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Részletes fájlmegosztás naplózása _{(AZ-WIN-00100)}	Leírás: Ez az alkategória lehetővé teszi a megosztott mappák fájljainak és mappáinak elérésére tett kísérletek naplózását. Az alkategória eseményei a következők: - 5145: a hálózati megosztási objektumot ellenőriztük annak ellenőrzéséhez, hogy az ügyfél rendelkezhet-e a kívánt hozzáféréssel. A beállításhoz javasolt állapot a következő: `Failure` Kulcs elérési útja: {0CCE9244-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Objektumhozzáférés\Részletes fájlmegosztás naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.6.1 CIS WS2019 17.6.1	>= Hiba _(Naplózás)	Critical
Fájlmegosztás naplózása _{(AZ-WIN-00102)}	Leírás: Ez a házirend-beállítás lehetővé teszi a megosztott mappák elérésére tett kísérletek naplózását. Ennek a beállításnak a javasolt állapota a következő: `Success and Failure`. Megjegyzés: A megosztott mappákhoz nincsenek rendszerhozzáférés-vezérlési listák (SACLs). Ha ez a házirend-beállítás engedélyezve van, a rendszer naplóz minden megosztott mappához való hozzáférést. Kulcs elérési útja: {0CCE9224-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Objektumhozzáférés\Fájlmegosztás naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.6.2 CIS WS2019 17.6.2	= Sikeres és sikertelen _(Naplózás)	Critical
Egyéb objektum-hozzáférési események naplózása _{(AZ-WIN-00113)}	Leírás: Ez az alkategória más objektumhozzáféréssel kapcsolatos eseményeket, például feladatütemezői feladatokat és COM+ objektumokat jelent. Az alkategória eseményei a következők: – 4671: Egy alkalmazás megkísérelt hozzáférni egy blokkolt sorszámhoz a TBS-ben. — 4691: Közvetett hozzáférést kértek egy objektumhoz. — 4698: Létrejött egy ütemezett tevékenység. — 4699: Egy ütemezett tevékenység törölve lett. — 4700: Egy ütemezett tevékenység engedélyezve lett. — 4701: Egy ütemezett tevékenység le lett tiltva. — 4702: Egy ütemezett tevékenység frissült. — 5888: A COM+ katalógus egyik objektuma módosult. — 5889: Egy objektum törölve lett a COM+ katalógusból. — 5890: Egy objektum lett hozzáadva a COM+ katalógushoz. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 rendszer biztonsági eseményeinek leírása" című cikkét. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE9227-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Success and Failure`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Objektumhozzáférés\Egyéb objektumelérési események naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.6.3	= Sikeres és sikertelen _(Naplózás)	Critical
Cserélhető tároló naplózása _{(CCE-37617-8)}	Leírás: Ezzel a házirend-beállítással naplózhatja, hogy a felhasználók megpróbálnak-e hozzáférni a fájlrendszer-objektumokhoz egy cserélhető tárolóeszközön. A biztonsági naplózási esemény csak az összes objektumhoz jön létre minden kért hozzáférés-típushoz. Ha ezt a házirend-beállítást konfigurálja, a rendszer minden alkalommal naplóeseményt hoz létre, amikor egy fiók hozzáfér egy fájlrendszer-objektumhoz egy cserélhető tárolón. A sikeres auditok rögzítik a sikeres kísérleteket, a sikertelen kísérleteket pedig sikertelen naplók rögzítik. Ha nem konfigurálja ezt a házirend-beállítást, a rendszer nem hoz létre naplózási eseményt, amikor egy fiók hozzáfér egy fájlrendszer-objektumhoz egy cserélhető tárolón. Ennek a beállításnak a javasolt állapota a következő: `Success and Failure`. Megjegyzés: Ennek az értéknek a csoportházirendben való eléréséhez és beállításához Windows 8, Server 2012 (nem R2) vagy újabb operációs rendszer szükséges. Kulcs elérési útja: {0CCE9245-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Success and Failure`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend-konfiguráció\Naplózási szabályzatok\Objektumhozzáférés\Cserélhető tároló naplózása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4	= Sikeres és sikertelen _(Naplózás)	Critical

Rendszernaplózási szabályzatok – Szabályzatmódosítás

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Hitelesítési házirend-módosítások naplózása _{(CCE-38327-3)}	Leírás: Ez az alkategóriák a hitelesítési házirend változásait jelentik. Az alkategória eseményei a következők: – 4706: Új megbízhatósági kapcsolat jött létre egy tartományhoz. — 4707: Egy tartomány megbízhatóságát eltávolították. — 4713: A Kerberos-szabályzat megváltozott. — 4716: A megbízható tartomány adatai módosultak. — 4717: Rendszerbiztonsági hozzáférést adtak egy fióknak. — 4718: A rendszerbiztonsági hozzáférés el lett távolítva egy fiókból. — 4739: A tartományházirend megváltozott. — 4864: A rendszer névtér ütközést észlelt. — 4865: Egy megbízható erdőinformációs bejegyzés lett hozzáadva. — 4866: Egy megbízható erdőinformációs bejegyzés el lett távolítva. — 4867: Módosult egy megbízható erdőinformációs bejegyzés. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 rendszer biztonsági eseményeinek leírása" című cikkét. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE9230-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Success`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend-konfiguráció\Naplózási szabályzatok\Házirend módosítása\Naplózási hitelesítési házirend módosítása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.7.2	>= Siker _(Naplózás)	Critical
Engedélyezési házirend-módosítások naplózása _{(CCE-36320-0)}	Leírás: Ez az alkategóriák az engedélyezési szabályzat változásait jelentik. Az alkategóriához tartozó események a következők: - 4704: Felhasználói jogosultság lett hozzárendelve. - 4705: A felhasználói jog el lett távolítva. - 4706: Új megbízhatósági kapcsolat jött létre egy tartományhoz. - 4707: A tartomány megbízhatósága el lett távolítva. - 4714: A titkosított adat-helyreállítási szabályzat megváltozott. Ennek a beállításnak a javasolt állapota a következő: `Success`. Kulcs elérési útja: {0CCE9231-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Házirend módosítása\Naplózási engedélyezési házirend módosítása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.7.3 CIS WS2019 17.7.3	>= Siker _(Naplózás)	Critical
MPSSVC szabályszintű házirend-módosítások naplózása _{(AZ-WIN-00111)}	Leírás: Ez az alkategóriák a Microsoft Protection Service (MPSSVC.exe) által használt szabályzatszabályok változásait jelentik. Ezt a szolgáltatást a Windows tűzfal és a Microsoft OneCare használja. Az alkategória eseményei a következők: – 4944: Az alábbi szabályzat aktív volt a Windows tűzfal indításakor. — 4945: A Windows tűzfal indításakor egy szabály volt felsorolva. — 4946: Módosult a Windows tűzfal kivétellistája. Egy szabály lett hozzáadva. — 4947: Módosult a Windows tűzfal kivétellistája. Módosítottak egy szabályt. — 4948: Módosult a Windows tűzfal kivétellistája. Egy szabály törölve lett. — 4949: A Windows tűzfal beállításai az alapértelmezett értékekre lettek visszaállítva. — 4950: A Windows tűzfalbeállítása megváltozott. — 4951: A rendszer figyelmen kívül hagyott egy szabályt, mert főverziószámát nem ismerte fel a Windows tűzfal. — 4952: A rendszer figyelmen kívül hagyta a szabály egyes részeit, mert az alverziószámát a Windows tűzfal nem ismerte fel. A szabály többi része kényszerítve lesz. — 4953: A Windows tűzfal figyelmen kívül hagyott egy szabályt, mert nem tudta elemezni a szabályt. — 4954: A Windows tűzfal csoportházirend-beállításai megváltoztak. Az új beállításokat alkalmaztuk. — 4956: A Windows tűzfal módosította az aktív profilt. — 4957: A Windows tűzfal nem alkalmazta a következő szabályt: — 4958: A Windows tűzfal nem alkalmazta a következő szabályt, mert a szabály a számítógépen nem konfigurált elemekre hivatkozott: A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 biztonsági eseményeinek leírása" című cikkét. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE9232-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Success and Failure`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend-konfiguráció\Naplózási szabályzatok\Házirend módosítása\MPSSVC szabályszintű szabályzatmódosítás naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.7.4	= Sikeres és sikertelen _(Naplózás)	Critical
Egyéb házirend-módosítási események naplózása _{(AZ-WIN-00114)}	Leírás: Ez az alkategória az EFS Data Recovery Agent házirendváltozásairól, a Windows szűrőplatform szűrőjének változásairól, a helyi csoportházirend-beállítások biztonsági házirend-beállításainak frissítési állapotáról, a központi hozzáférési szabályzat módosításairól és a titkosítási következő generációs (CNG) műveletek részletes hibaelhárítási eseményeiről tartalmaz eseményeket. - 5063: Titkosítási szolgáltatói műveletet kíséreltek meg. - 5064: Titkosítási környezeti műveletet kíséreltek meg. - 5065: Titkosítási környezet módosítását kísérelték meg. - 5066: Titkosítási függvényműveletet kíséreltek meg. - 5067: Titkosítási függvény módosítását kísérelték meg. - 5068: Titkosítási függvényszolgáltatói műveletet kíséreltek meg. - 5069: Titkosítási függvény tulajdonságműveletet kíséreltek meg. - 5070: Titkosítási függvény tulajdonságának módosítását kísérelték meg. - 6145: Egy vagy több hiba történt a csoportházirend-objektumok biztonsági szabályzatának feldolgozása során. Ennek a beállításnak a javasolt állapota a következő: `Failure`. Kulcs elérési útja: {0CCE9234-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend-konfiguráció\Naplózási szabályzatok\Házirendváltozás\Egyéb szabályzatmódosítási események naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.7.5 CIS WS2019 17.7.5	>= Hiba _(Naplózás)	Critical
Naplózási szabályzat módosítása _{(CCE-38028-7)}	Leírás: Ez az alkategóriák az auditszabályzat változásait jelentik, beleértve a SACL-módosításokat is. Az alkategóriához tartozó események a következők: – 4715: Az objektum naplózási szabályzata (SACL) módosult. — 4719: A rendszer auditszabályzata megváltozott. — 4902: Létrejött a felhasználónkénti naplózási házirend tábla. — 4904: Kísérlet történt egy biztonsági eseményforrás regisztrálására. — 4905: Megkísérelték megszüntetni egy biztonsági eseményforrás regisztrációját. — 4906: A CrashOnAuditFail érték megváltozott. — 4907: Az objektum naplózási beállításai megváltoztak. — 4908: A különleges csoportok bejelentkezési táblája módosult. — 4912: Felhasználói naplózási szabályzatonként módosult. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 rendszer biztonsági eseményeinek leírása" című cikkét. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE922F-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Házirend módosítása\Naplózási házirend módosítása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.7.1	>= Siker _(Naplózás)	Critical

Rendszernaplózási szabályzatok – Jogosultságok használata

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Érzékeny jogosultságok használatának naplózása _{(CCE-36267-3)}	Leírás: Ez az alkategóriák jelentik, ha egy felhasználói fiók vagy szolgáltatás bizalmas jogosultságot használ. A bizalmas jogosultságok a következő felhasználói jogosultságokat tartalmazzák: Az operációs rendszer részeként való működés, Fájlok és könyvtárak biztonsági mentése, Jogkivonat-objektum létrehozása, Hibakeresési programok, A számítógép és a felhasználói fiókok megbízhatóságának engedélyezése a delegáláshoz, Biztonsági auditok létrehozása, Ügyfél megszemélyesítése a hitelesítés után, Eszközillesztők betöltése és eltávolítása, Naplózás és biztonsági napló kezelése, Belső vezérlőprogram-környezet értékeinek módosítása, Cserélje le a folyamatszintű jogkivonatot, állítsa vissza a fájlokat és könyvtárakat, és vegye át a fájlok vagy más objektumok tulajdonjogát. Az alkategóriák naplózása nagy mennyiségű eseményt hoz létre. Az alkategória eseményei a következők: – 4672: Az új bejelentkezéshez rendelt különleges jogosultságok. — 4673: Egy emelt szintű szolgáltatást hívtak meg. — 4674: Műveletet kíséreltek meg egy emelt szintű objektumon. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 biztonsági eseményeinek leírása" című cikket. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE9228-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Success and Failure`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Jogosultságok használata\Bizalmas jogosultságok naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.8.1	= Sikeres és sikertelen _(Naplózás)	Critical

Rendszernaplózási szabályzatok – Rendszer

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
IPsec-illesztőprogram naplózása _{(CCE-37853-9)}	Leírás: Ez az alkategóriás jelentés az Internet Protocol biztonsági (IPsec) illesztőprogram tevékenységeiről. Az alkategóriához tartozó események a következők: - 4960: Az IPsec elvetett egy bejövő csomagot, amely nem tudott integritás-ellenőrzést végrehajtani. Ha a probléma továbbra is fennáll, az hálózati problémát jelezhet, vagy hogy a csomagok a számítógépre való átvitel során módosulnak. Ellenőrizze, hogy a távoli számítógépről küldött csomagok megegyeznek-e a számítógép által fogadott csomagokkal. Ez a hiba más IPsec-implementációkkal kapcsolatos együttműködési problémákat is jelezhet. - 4961: Az IPsec elvetett egy bejövő csomagot, amely nem tudta visszajátszani az ellenőrzést. Ha a probléma továbbra is fennáll, az a számítógép ellen irányuló visszajátszási támadást jelezhet. - 4962: Az IPsec elvetett egy bejövő csomagot, amely nem tudta visszajátszani az ellenőrzést. A bejövő csomag sorszáma túl alacsony volt ahhoz, hogy ne legyen visszajátszás. - 4963: Az IPsec elvetett egy bejövő tiszta szöveges csomagot, amelyet biztonságosnak kellett volna lennie. Ennek oka általában az, hogy a távoli számítógép a számítógép értesítése nélkül módosította az IPsec-házirendjét. Ez hamisításos támadási kísérlet is lehet. - 4965: Az IPsec egy csomagot kapott egy távoli számítógépről, amely helytelen biztonsági paraméterindexet (SPI) kapott. Ezt általában a csomagok sérülését okozó hibás hardver okozza. Ha ezek a hibák továbbra is fennállnak, ellenőrizze, hogy a távoli számítógépről küldött csomagok megegyeznek-e a számítógép által fogadott csomagokkal. Ez a hiba más IPsec-implementációkkal kapcsolatos együttműködési problémákat is jelezhet. Ebben az esetben, ha a kapcsolat nem akadályozza, akkor ezeket az eseményeket figyelmen kívül lehet hagyni. - 5478: Az IPsec Services sikeresen elindult. - 5479: Az IPsec-szolgáltatások leállítása sikeresen megtörtént. Az IPsec-szolgáltatások leállítása nagyobb hálózati támadást okozhat a számítógépen, vagy potenciális biztonsági kockázatoknak teheti ki a számítógépet. - 5480: Az IPsec Services nem tudta lekérni a hálózati adapterek teljes listáját a számítógépen. Ez potenciális biztonsági kockázatot jelenthet, mert előfordulhat, hogy egyes hálózati adapterek nem kapják meg az alkalmazott IPsec-szűrők által biztosított védelmet. A probléma diagnosztizálásához használja az IP Security Monitor beépülő modult. - 5483: Az IPsec Services nem tudta inicializálni az RPC-kiszolgálót. Az IPsec-szolgáltatások nem indíthatók el. - 5484: Az IPsec Services kritikus hibát tapasztalt, és leállt. Az IPsec-szolgáltatások leállítása nagyobb hálózati támadást okozhat a számítógépen, vagy potenciális biztonsági kockázatoknak teheti ki a számítógépet. - 5485: Az IPsec Services nem tudott feldolgozni néhány IPsec-szűrőt a hálózati adapterek plug-and-play eseményén. Ez potenciális biztonsági kockázatot jelenthet, mert előfordulhat, hogy egyes hálózati adapterek nem kapják meg az alkalmazott IPsec-szűrők által biztosított védelmet. A probléma diagnosztizálásához használja az IP Security Monitor beépülő modult. Ennek a beállításnak a javasolt állapota a következő: `Success and Failure`. Kulcs elérési útja: {0CCE9213-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Rendszer\IPsec-illesztőprogram naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.9.1 CIS WS2019 17.9.1	>= Sikeres és sikertelen _(Naplózás)	Critical
Egyéb rendszeresemények naplózása _{(CCE-38030-3)}	Leírás: Ez az alkategóriás jelentés más rendszereseményekről. Az alkategória eseményei a következők: - 5024: A Windows tűzfalszolgáltatás sikeresen elindult. - 5025: A Windows tűzfalszolgáltatás leállt. - 5027: A Windows tűzfalszolgáltatás nem tudta lekérni a biztonsági szabályzatot a helyi tárolóból. A szolgáltatás továbbra is kikényszeríteni fogja az aktuális szabályzatot. - 5028: A Windows tűzfalszolgáltatás nem tudta elemezni az új biztonsági szabályzatot. A szolgáltatás a jelenleg érvényes szabályzattal folytatódik. - 5029: A Windows tűzfalszolgáltatás nem tudta inicializálni az illesztőprogramot. A szolgáltatás továbbra is érvényesíteni fogja az aktuális szabályzatot. - 5030: A Windows tűzfalszolgáltatás nem indult el. - 5032: A Windows tűzfal nem tudta értesíteni a felhasználót arról, hogy letiltotta az alkalmazás számára a bejövő kapcsolatok elfogadását a hálózaton. - 5033 : A Windows tűzfalillesztő sikeresen elindult. - 5034: A Windows tűzfalillesztő leállt. - 5035: A Windows tűzfalillesztő nem indult el. - 5037: A Windows tűzfalillesztő kritikus futásidejű hibát észlelt. Megszüntetéséről. - 5058: Kulcsfájl-művelet. - 5059: Kulcsáttelepítési művelet. Ennek a beállításnak a javasolt állapota a következő: `Success and Failure`. Kulcs elérési útja: {0CCE9214-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Rendszer\Egyéb rendszeresemények naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 17.9.2 CIS WS2019 17.9.2	= Sikeres és sikertelen _(Naplózás)	Critical
Biztonsági állapotmódosítások naplózása _{(CCE-38114-5)}	Leírás: Ez az alkategóriák a rendszer biztonsági állapotának változásait jelentik, például amikor a biztonsági alrendszer elindul és leáll. Az alkategóriához tartozó események a következők: – 4608: A Windows elindul. — 4609: A Windows leáll. — 4616: A rendszer ideje megváltozott. — 4621: Rendszergazda istrator helyreállította a rendszer CrashOnAuditFail. A nem rendszergazdák mostantól bejelentkezhetnek. Előfordulhat, hogy néhány naplózható tevékenységet nem rögzítettek. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 biztonsági eseményeinek leírása" című cikket. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE9210-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Success`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend-konfiguráció\Naplózási szabályzatok\Rendszer\Biztonsági állapotváltozás naplózása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.9.3	>= Siker _(Naplózás)	Critical
Biztonsági rendszerbővítmény naplózása _{(CCE-36144-4)}	Leírás: Ez az alkategória a bővítménykód, például a hitelesítési csomagok biztonsági alrendszer általi betöltését jelenti. Az alkategóriához tartozó események a következők: – 4610: A helyi biztonsági hatóság betöltött egy hitelesítési csomagot. — 4611: Megbízható bejelentkezési folyamatot regisztráltak a helyi biztonsági hatóságnál. — 4614: A Security Account Manager betöltött egy értesítési csomagot. — 4622: A helyi biztonsági hatóság betöltött egy biztonsági csomagot. — 4697: A rendszerben egy szolgáltatás lett telepítve. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 rendszer biztonsági eseményeinek leírása" című cikkét. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE9211-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Success`: Computer Configuration\Policies\Windows Gépház\Security Gépház\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security System Extension Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.9.4	>= Siker _(Naplózás)	Critical
Rendszer-integritás naplózása _{(CCE-37132-8)}	Leírás: Ez az alkategóriás jelentés a biztonsági alrendszer integritásának megsértéséről. Az alkategóriához tartozó események a következők: – 4612: A naplóüzenetek sorba állításához lefoglalt belső erőforrások kimerültek, ami egyes auditok elvesztéséhez vezetett. — 4615: Az LPC-port használata érvénytelen. — 4618: Figyelt biztonsági eseményminta történt. — 4816: Az RPC integritási szabálysértést észlelt egy bejövő üzenet visszafejtése közben. — 5038: A kódintegritás megállapította, hogy a fájl képkivonata érvénytelen. A fájl sérült lehet jogosulatlan módosítás miatt, vagy az érvénytelen kivonat potenciális lemezeszköz-hibát jelezhet. — 5056: Titkosítási öntesztet hajtottak végre. — 5057: A titkosítási primitív művelet meghiúsult. — 5060: Az ellenőrzési művelet nem sikerült. — 5061: Titkosítási művelet. — 5062: Kernel módú titkosítási öntesztet hajtottak végre. A beállítással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Tudásbázis "A Windows Vista és a Windows Server 2008 biztonsági eseményeinek leírása" című cikket. https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Kulcs elérési útja: {0CCE9212-69AE-11D9-BED3-505054503030} Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához állítsa a következő felhasználói felület elérési útját a "Sikeresség és hiba"-ra: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Rendszer\Naplózási rendszer integritása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 17.9.5	= Sikeres és sikertelen _(Naplózás)	Critical

Felhasználói jogok kiosztása

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Hozzáférés a hitelesítő adatok kezelőjéhez megbízható hívóként _{(CCE-37056-9)}	Leírás: Ezt a biztonsági beállítást a Credential Manager használja a biztonsági mentés és visszaállítás során. Egyetlen fiók sem rendelkezhet ezzel a felhasználóval, mivel csak a Winlogonhoz van hozzárendelve. A felhasználók mentett hitelesítő adatai sérülhetnek, ha ez a felhasználói jogosultság más entitásokhoz van rendelve. Ennek a beállításnak a javasolt állapota a következő: `No One`. Kulcs elérési útja: [Privilege Rights]SeTrustedCredManAccessPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No One`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Access Credential Manager megbízható hívóként Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1	= Senki _{(Szabályzat)}	Figyelmeztetés
Számítógép elérésre a hálózatról _{(CCE-35818-4)}	Leírás: Ez a házirend-beállítás lehetővé teszi a hálózat többi felhasználójának, hogy csatlakozzanak a számítógéphez, és ezt különböző hálózati protokollok teszik szükségessé, például a Kiszolgálói üzenetblokk (SMB) protokollok, a NetBIOS, a Common Internet File System (CIFS) és a Component Object Model Plus (COM+) protokollok. - 1. szint – Tartományvezérlő. Ennek a beállításnak a javasolt állapota a következő: "Rendszergazda istrators, Hitelesített felhasználók, ENTERPRI Standard kiadás TARTOMÁNYVEZÉRLŐK". - 1. szint – Tagkiszolgáló. Ennek a beállításnak a javasolt állapota a következő: "Rendszergazda istrators, Hitelesített felhasználók". Kulcs elérési útja: [Privilege Rights]SeNetworkLogonRight Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához konfigurálja a következő felhasználói felület elérési útját: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\A számítógép elérése a hálózatról Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3	<= Rendszergazda istrators, hitelesített felhasználók _{(Szabályzat)}	Critical
Az operációs rendszer részeként való működés _{(CCE-36876-1)}	Leírás: Ez a házirend-beállítás lehetővé teszi egy folyamat számára, hogy bármely felhasználó identitását feltételezze, és így hozzáférést kapjon a felhasználó által hozzáférésre jogosult erőforrásokhoz. Ennek a beállításnak a javasolt állapota a következő: `No One`. Kulcs elérési útja: [Privilege Rights]SeTcbPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No One`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Az operációs rendszer részeként történő működés Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4	= Senki _{(Szabályzat)}	Critical
Allow log on locally _{(CCE-37659-0)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely felhasználók jelentkezhetnek be interaktívan a környezet számítógépeire. Az ügyfélszámítógép billentyűzetén a CTRL+ALT+DEL billentyűkombináció lenyomásával indított bejelentkezésekhez a felhasználónak joga van. Azok a felhasználók, akik a Terminálszolgáltatásokon vagy az IIS-en keresztül próbálnak bejelentkezni, szintén igénylik ezt a felhasználói jogosultságot. A vendégfiók alapértelmezés szerint közvetlenül a felhasználóhoz van rendelve. Bár ez a fiók alapértelmezés szerint le van tiltva, a Microsoft azt javasolja, hogy csoportházirenddel engedélyezze ezt a beállítást. Ezt a felhasználói jogot azonban általában a Rendszergazda istratorokra és a Felhasználók csoportokra kell korlátozni. Rendelje hozzá ezt a felhasználót a Biztonsági mentési operátorok csoporthoz, ha a szervezet megköveteli, hogy rendelkezik ezzel a képességgel. Ha közvetlenül az SCM-ben konfigurál egy felhasználót, adja meg a fiókok vesszővel tagolt listáját. A fiókok lehetnek helyiek vagy az Active Directoryban, lehetnek csoportok, felhasználók vagy számítógépek. Kulcs elérési útja: [Privilege Rights]SeInteractiveLogonRight Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához konfigurálja a következő felhasználói felület elérési útját: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Helyi bejelentkezés engedélyezése Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.2.7	= Rendszergazda istratorok _{(Szabályzat)}	Critical
Távoli asztali szolgáltatásokkal történő bejelentkezés engedélyezése _{(CCE-37072-6)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely felhasználók vagy csoportok jelentkezhetnek be Terminálszolgáltatások-ügyfélként. A távoli asztali felhasználóknak szükségük van erre a felhasználóra. Ha a szervezet az ügyfélszolgálati stratégia részeként távsegítséget használ, hozzon létre egy csoportot, és rendelje hozzá ezt a felhasználót közvetlenül a csoportházirenden keresztül. Ha a szervezet ügyfélszolgálata nem használja a távsegítséget, ezt a felhasználót csak a Rendszergazda istrators csoporthoz rendelje hozzá, vagy használja a korlátozott csoportok funkciót annak biztosítására, hogy egyetlen felhasználói fiók sem része a Távoli asztali felhasználók csoportnak. Korlátozza a felhasználó jogosultságát a Rendszergazda istrators csoportra, és esetleg a Távoli asztali felhasználók csoportra, hogy megakadályozza, hogy a nemkívánatos felhasználók a távsegítség szolgáltatással hozzáférjenek a hálózat számítógépeihez. - 1. szint – Tartományvezérlő. Ennek a beállításnak a javasolt állapota a következő: "Rendszergazda istrators". - 1. szint – Tagkiszolgáló. Ennek a beállításnak a javasolt állapota a következő: "Rendszergazda istrators, Remote Desktop Users". Megjegyzés: A Távoli asztali szolgáltatások szerepkört távoli asztali Csatlakozás ion broker szerepkör-szolgáltatással rendelkező tagkiszolgáló különleges kivételt igényel a javaslattól, hogy a "Hitelesített felhasználók" csoport megkapja ezt a felhasználói jogosultságot. 2. megjegyzés: A fenti listákat engedélyezési listákként kell kezelni, ami azt jelenti, hogy a fenti tagoknak nem kell jelen lenniük az ajánlás értékeléséhez. Kulcs elérési útja: [Privilege Rights]SeRemoteInteractiveLogonRight Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához konfigurálja a következő felhasználói felület elérési útját: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Bejelentkezés engedélyezése távoli asztali szolgáltatásokon keresztül Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9	<= Rendszergazda istrators, Távoli asztali felhasználók _{(Szabályzat)}	Critical
Fájlok és mappák biztonsági mentése _{(CCE-35912-5)}	Leírás: Ez a házirend-beállítás lehetővé teszi, hogy a felhasználók megkerüljék a rendszer biztonsági mentéséhez szükséges fájl- és címtárengedélyeket. Ez a felhasználói jogosultság csak akkor engedélyezett, ha egy alkalmazás (például az NTBACKUP) az NTFS fájlrendszer biztonsági mentési alkalmazásprogramozási felületén (API) keresztül próbál hozzáférni egy fájlhoz vagy könyvtárhoz. Ellenkező esetben a hozzárendelt fájl- és könyvtárengedélyek érvényesek. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeBackupPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`. Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Fájlok és könyvtárak biztonsági mentése Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10	<= Rendszergazda istratorok, biztonsági mentési operátorok, kiszolgálói operátorok _{(Szabályzat)}	Critical
Bypass traverse checking _{(AZ-WIN-00184)}	Leírás: Ez a házirend-beállítás lehetővé teszi, hogy azok a felhasználók, akik nem rendelkeznek a Traverse mappa hozzáférési engedélyével, átengedhessék a mappákat, amikor az NTFS fájlrendszerben vagy a beállításjegyzékben tallóznak egy objektum elérési útján. Ez a felhasználói jog nem teszi lehetővé a felhasználók számára a mappa tartalmának listázását. Ha közvetlenül az SCM-ben konfigurál egy felhasználót, adja meg a fiókok vesszővel tagolt listáját. A fiókok lehetnek helyiek vagy az Active Directoryban, lehetnek csoportok, felhasználók vagy számítógépek. Kulcs elérési útja: [Privilege Rights]SeChangeNotifyPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Konfigurálja a házirend értékét a Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\A bejárási ellenőrzés megkerülése csak a következő fiókokat vagy csoportokat foglalja magában:`Administrators, Authenticated Users, Backup Operators, Local Service, Network Service` Megfelelőségi standard leképezések:	<= Rendszergazda istrators, hitelesített felhasználók, biztonsági mentési operátorok, helyi szolgáltatás, hálózati szolgáltatás _{(Szabályzat)}	Critical
A rendszeridő megváltoztatása _{(CCE-37452-0)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely felhasználók és csoportok módosíthatják az időt és a dátumot a környezet számítógépeinek belső óráján. A felhasználói jogosultságokkal rendelkező felhasználók befolyásolhatják az eseménynaplók megjelenését. A számítógép időbeállításának módosításakor a naplózott események az új időpontot tükrözik, nem pedig az események tényleges időpontját. Ha közvetlenül az SCM-ben konfigurál egy felhasználót, adja meg a fiókok vesszővel tagolt listáját. A fiókok lehetnek helyiek vagy az Active Directoryban, lehetnek csoportok, felhasználók vagy számítógépek. Megjegyzés: A helyi számítógépen és a környezet tartományvezérlőin töltött idő közötti eltérések problémákat okozhatnak a Kerberos hitelesítési protokoll esetében, ami lehetetlenné teheti a felhasználók számára a tartományba való bejelentkezést vagy a tartományi erőforrásokhoz való hozzáférés engedélyezését a bejelentkezés után. Emellett problémák lépnek fel a csoportházirend ügyfélszámítógépekre való alkalmazásakor, ha a rendszer nem szinkronizálja a rendszeridőt a tartományvezérlőkkel. Ennek a beállításnak a javasolt állapota a következő: `Administrators, LOCAL SERVICE`. Kulcs elérési útja: [Privilege Rights]SeSystemtimePrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators, LOCAL SERVICE`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\A rendszeridő módosítása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.2.11 CIS WS2022 2.2.11	<= Rendszergazda istratorok, kiszolgálói operátorok, LOCAL Standard kiadás RVICE _{(Szabályzat)}	Critical
Időzóna módosítása _{(CCE-37700-2)}	Leírás: Ez a beállítás határozza meg, hogy mely felhasználók módosíthatják a számítógép időzónáját. Ez a képesség nem jelent nagy veszélyt a számítógép számára, és hasznos lehet a mobilmunkások számára. Ennek a beállításnak a javasolt állapota a következő: `Administrators, LOCAL SERVICE`. Kulcs elérési útja: [Privilege Rights]SeTimeZonePrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators, LOCAL SERVICE`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Az időzóna módosítása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.2.12 CIS WS2022 2.2.12	<= Rendszergazda istrators, LOCAL Standard kiadás RVICE _{(Szabályzat)}	Critical
Lapozófájl létrehozása _{(CCE-35821-8)}	Leírás: Ezzel a házirend-beállítással a felhasználók módosíthatják a lapfájl méretét. A pagefile rendkívül nagy vagy rendkívül kicsivé tételével a támadók könnyen befolyásolhatják a feltört számítógép teljesítményét. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeCreatePagefilePrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Lapfájl létrehozása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13	= Rendszergazda istratorok _{(Szabályzat)}	Critical
Tokenobjektum létrehozása _{(CCE-36861-3)}	Leírás: Ez a házirend-beállítás lehetővé teszi, hogy egy folyamat hozzáférési jogkivonatot hozzon létre, amely emelt szintű jogosultságokat biztosíthat a bizalmas adatokhoz való hozzáféréshez. Ennek a beállításnak a javasolt állapota a következő: `No One`. Kulcs elérési útja: [Privilege Rights]SeCreateTokenPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No One`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Jogkivonat-objektum létrehozása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14	= Senki _{(Szabályzat)}	Figyelmeztetés
Globális objektumok létrehozása _{(CCE-37453-8)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a felhasználók létrehozhatnak-e minden munkamenet számára elérhető globális objektumokat. A felhasználók akkor is létrehozhatnak olyan objektumokat, amelyek a saját munkamenetükre vonatkoznak, ha nem rendelkeznek ezzel a felhasználói jogosultságokkal. Azok a felhasználók, akik globális objektumokat hozhatnak létre, hatással lehetnek a más felhasználók munkamenetei alatt futó folyamatokra. Ez a képesség számos problémát okozhat, például alkalmazáshibát vagy adatsérülést. Ennek a beállításnak a javasolt állapota a következő: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. Megjegyzés: A Microsoft SQL Serverrel rendelkező tagkiszolgálók és a telepített opcionális "Integration Services" összetevő különleges kivételt igényelnek a jelen javaslattól, hogy további SQL által létrehozott bejegyzések is megkapják ezt a felhasználói jogosultságot. Kulcs elérési útja: [Privilege Rights]SeCreateGlobalPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Globális objektumok létrehozása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15	<= Rendszergazda istrators, Standard kiadás RVICE, LOCAL Standard kiadás RVICE, NETWORK Standard kiadás RVICE _{(Szabályzat)}	Figyelmeztetés
Állandó megosztott objektum létrehozása _{(CCE-36532-0)}	Leírás: Ez a felhasználói jogosultság hasznos az objektumnévteret kiterjesztő kernel módú összetevők számára. A kernel módban futó összetevők azonban eleve jogosultak erre a felhasználóra. Ezért általában nem szükséges külön hozzárendelni ezt a felhasználói jogosultságot. Ennek a beállításnak a javasolt állapota a következő: `No One`. Kulcs elérési útja: [Privilege Rights]SeCreatePermanentPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No One`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Állandó megosztott objektumok létrehozása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16	= Senki _{(Szabályzat)}	Figyelmeztetés
Szimbolikus hivatkozás létrehozása _{(CCE-35823-4)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely felhasználók hozhatnak létre szimbolikus hivatkozásokat. Windows Vista rendszerben a meglévő NTFS fájlrendszer-objektumok, például fájlok és mappák egy új típusú, szimbolikus hivatkozásnak nevezett fájlrendszer-objektumra hivatkozva érhetők el. A szimbolikus hivatkozás egy mutató (hasonlóan egy parancsikonhoz vagy .lnk fájlhoz) egy másik fájlrendszer-objektumhoz, amely lehet fájl, mappa, parancsikon vagy más szimbolikus hivatkozás. A billentyűparancsok és a szimbolikus hivatkozások közötti különbség az, hogy egy parancsikon csak a Windows rendszerhéjból működik. Más programok és alkalmazások esetében a billentyűparancsok csak egy fájl, míg szimbolikus hivatkozások esetén a parancsikon fogalma az NTFS fájlrendszer egyik funkciójaként van implementálva. A szimbolikus hivatkozások potenciálisan biztonsági réseket tehetnek elérhetővé olyan alkalmazásokban, amelyek nem ezek használatára lettek tervezve. Ezért a szimbolikus hivatkozások létrehozásának jogosultságát csak megbízható felhasználókhoz szabad hozzárendelni. Alapértelmezés szerint csak Rendszergazda istratorok hozhatnak létre szimbolikus hivatkozásokat. - 1. szint – Tartományvezérlő. Ennek a beállításnak a javasolt állapota a következő: "Rendszergazda istrators". - 1. szint – Tagkiszolgáló. Ennek a beállításnak a javasolt állapota a következő: "Rendszergazda istrators" és (a Hyper-V szerepkör telepítésekor) "NT VIRTUAL MACHINE\Virtual Machines". Kulcs elérési útja: [Privilege Rights]SeCreateSymbolicLinkPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfigurációs állapot implementálásához konfigurálja a következő felhasználói felület elérési útját: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Szimbolikus hivatkozások létrehozása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18	<= Rendszergazda istrators, NT VIRTUAL MACHINE\Virtual Machines _{(Szabályzat)}	Critical
Hibakeresés programokban _{(AZ-WIN-73755)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely felhasználói fiókok jogosultak lesznek hibakeresőt csatolni bármilyen folyamathoz vagy kernelhez, amely teljes hozzáférést biztosít a bizalmas és kritikus operációsrendszer-összetevőkhöz. A saját alkalmazásaikat hibakereső fejlesztőknek nem kell ehhez a felhasználóhoz hozzárendelni a jogosultságot; az új rendszerösszetevőket hibakereső fejlesztőknek azonban szükségük lesz rá. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Megjegyzés: Ez a felhasználói jog "bizalmas jogosultságnak" minősül naplózás céljából. Kulcs elérési útja: [Privilege Rights]SeDebugPrivilege OPERÁCIÓS RENDSZER: WS2016, WS2019 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Hibakeresési programok Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.2.19 CIS WS2019 2.2.19	= Rendszergazda istratorok _{(Szabályzat)}	Critical
A számítógép hálózati elérésének megtagadása _{(CCE-37954-5)}	Leírás: Ez a házirend-beállítás megtiltja, hogy a felhasználók a hálózaton keresztül csatlakozzanak egy számítógéphez, ami lehetővé tenné a felhasználók számára az adatok távoli elérését és esetleges módosítását. Magas biztonsági környezetekben nem szükséges, hogy a távoli felhasználók hozzáférjenek a számítógépen tárolt adatokhoz. Ehelyett a fájlmegosztást hálózati kiszolgálók használatával kell elvégezni. - 1. szint – Tartományvezérlő. Ennek a beállításnak a javasolt állapota a következő: "Vendégek, helyi fiók". - 1. szint – Tagkiszolgáló. Ennek a beállításnak a javasolt állapota a következő: "Vendégek, helyi fiók és Rendszergazda istrators csoport tagja". Figyelem: Ha a fent leírt módon konfigurál egy önálló (nem tartományhoz csatlakoztatott) kiszolgálót, az azt eredményezheti, hogy nem lehet távolról felügyelni a kiszolgálót. Megjegyzés: Ha egy tagkiszolgálót vagy önálló kiszolgálót a fent leírtak szerint konfigurál, az hátrányosan érintheti a helyi szolgáltatásfiókot létrehozó és a Rendszergazda istratorok csoportjába helyezett alkalmazásokat – ebben az esetben vagy át kell alakítania az alkalmazást tartomány által üzemeltetett szolgáltatásfiók használatára, vagy el kell távolítania a helyi fiókot és a Rendszergazda istrators csoport tagját ebből a felhasználói jogú hozzárendelésből. Ha lehetséges, a tartomány által üzemeltetett szolgáltatásfiók használata javasolt a szabály alóli kivétellel szemben. Kulcs elérési útja: [Privilege Rights]SeDenyNetworkLogonRight Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához konfigurálja a következő felhasználói felület elérési útját: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Hozzáférés megtagadása a hálózathoz Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21	>= Vendégek _{(Szabályzat)}	Critical
Kötegelt munka bejelentkezésének megtagadása _{(CCE-36923-1)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely fiókok nem tudnak kötegelt feladatként bejelentkezni a számítógépre. A kötegfeladatok nem kötegelt (.bat) fájlok, hanem batch-queue-létesítmények. A feladatok ütemezéséhez a Feladatütemezőt használó fiókoknak szükségük van erre a felhasználóra. A megtagadási bejelentkezés kötegelt feladat felhasználói jogosultsága felülbírálja a bejelentkezést kötegelt feladat felhasználójaként, amely lehetővé teszi a fiókok számára a túlzott rendszererőforrásokat használó feladatok ütemezését. Az ilyen előfordulás DoS-feltételt okozhat. A felhasználónak az ajánlott fiókokhoz való hozzárendelésének elmulasztása biztonsági kockázatot jelenthet. Ennek a beállításnak a javasolt állapota a következő: `Guests`. Kulcs elérési útja: [Privilege Rights]SeDenyBatchLogonRight Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Guests`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Bejelentkezés megtagadása kötegelt feladatként Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22	>= Vendégek _{(Szabályzat)}	Critical
Szolgáltatáskénti bejelentkezés megtagadása _{(CCE-36877-9)}	Leírás: Ez a biztonsági beállítás határozza meg, hogy mely szolgáltatásfiókok ne regisztrálják a folyamatot szolgáltatásként. Ez a házirend-beállítás felülírja a bejelentkezést szolgáltatásházirend-beállításként , ha egy fiókra mindkét szabályzat vonatkozik. Ennek a beállításnak a javasolt állapota a következő: `Guests`. Megjegyzés: Ez a biztonsági beállítás nem vonatkozik a Rendszer, a Helyi szolgáltatás vagy a Hálózati szolgáltatás fiókra. Kulcs elérési útja: [Privilege Rights]SeDenyServiceLogonRight Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Guests`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Szolgáltatásként való bejelentkezés megtagadása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23	>= Vendégek _{(Szabályzat)}	Critical
Helyi bejelentkezés megtagadása _{(CCE-37146-8)}	Leírás: Ez a biztonsági beállítás határozza meg, hogy mely felhasználók ne jelentkezzenek be a számítógépen. Ez a házirend-beállítás felülírja az Engedélyezés helyi házirendbeállítást, ha egy fiókra mindkét szabályzat vonatkozik. Fontos: Ha ezt a biztonsági szabályzatot a Mindenki csoportra alkalmazza, senki sem fog tudni helyileg bejelentkezni. Ennek a beállításnak a javasolt állapota a következő: `Guests`. Kulcs elérési útja: [Privilege Rights]SeDenyInteractiveLogonRight Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, adja meg a következő felhasználói felület elérési útját `Guests`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Helyi bejelentkezés megtagadása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24	>= Vendégek _{(Szabályzat)}	Critical
Távoli asztali szolgáltatások használatával történő bejelentkezés tiltása _{(CCE-36867-0)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a felhasználók bejelentkezhetnek-e Terminálszolgáltatások-ügyfelekként. Miután az alapkonfiguráció tagkiszolgálója csatlakozott egy tartományi környezethez, nincs szükség helyi fiókok használatára a kiszolgáló hálózatról való eléréséhez. A tartományi fiókok hozzáférhetnek a kiszolgálóhoz felügyelet és végfelhasználói feldolgozás céljából. Ennek a beállításnak a javasolt állapota a következő: `Guests, Local account`. Figyelem: Ha a fent leírt módon konfigurál egy önálló (nem tartományhoz csatlakoztatott) kiszolgálót, az azt eredményezheti, hogy nem lehet távolról felügyelni a kiszolgálót. Kulcs elérési útja: [Privilege Rights]SeDenyRemoteInteractiveLogonRight Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához konfigurálja a következő felhasználói felület elérési útját: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Bejelentkezés megtagadása távoli asztali szolgáltatásokon keresztül Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.2.26	>= Vendégek _{(Szabályzat)}	Critical
Delegálás engedélyezése számítógépeknek és felhasználói fiókoknak _{(CCE-36860-5)}	Leírás: Ezzel a házirend-beállítással a felhasználók módosíthatják a Megbízható delegálás beállítását egy számítógép-objektumon az Active Directoryban. A jogosultsággal való visszaélés lehetővé teheti, hogy jogosulatlan felhasználók megszemélyesíthessenek más felhasználókat a hálózaton. - 1. szint – Tartományvezérlő. Ennek a beállításnak a javasolt állapota a következő: "Rendszergazda istrators" – 1. szintű tagkiszolgáló. Ennek a beállításnak a javasolt állapota a következő: "Senki". Kulcs elérési útja: [Privilege Rights]SeEnableDelegationPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához konfigurálja a következő felhasználói felület elérési útját: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Számítógép és felhasználói fiókok megbízhatóságának engedélyezése a delegáláshoz Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28	= Senki _{(Szabályzat)}	Critical
Kényszerített leállítás távoli rendszerről _{(CCE-37877-8)}	Leírás: Ez a házirend-beállítás lehetővé teszi, hogy a felhasználók kikapcsolják a Windows Vista-alapú számítógépeket a hálózat távoli pontjairól. Bárki, aki ehhez a felhasználói jogosultsághoz van hozzárendelve, szolgáltatásmegtagadási (DoS-) állapotot okozhat, amely miatt a számítógép nem érhető el a szolgáltatás felhasználói kéréseihez. Ezért javasoljuk, hogy csak a megbízható rendszergazdák rendelje hozzá ezt a felhasználói jogosultságot. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeRemoteShutdownPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Leállítás kényszerítése távoli rendszerről Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29	= Rendszergazda istratorok _{(Szabályzat)}	Critical
Biztonsági naplók létrehozása _{(CCE-37639-2)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely felhasználók vagy folyamatok hozhatnak létre naplózási rekordokat a biztonsági naplóban. Ennek a beállításnak a javasolt állapota a következő: `LOCAL SERVICE, NETWORK SERVICE`. Megjegyzés: A webkiszolgálói (IIS)-szerepkört webkiszolgálói szerepkörrel rendelkező tagkiszolgáló különleges kivételt igényel a javaslattól, hogy az IIS-alkalmazáskészlet(ek) megkapják ezt a felhasználói jogosultságot. 2. megjegyzés: A Active Directory összevonási szolgáltatások (AD FS) szerepkörrel rendelkező tagkiszolgálók különleges kivételt igényelnek a javaslattól, hogy engedélyezve legyen a `NT SERVICE\ADFSSrv` szolgáltatások és `NT SERVICE\DRS` a kapcsolódó Active Directory összevonási szolgáltatások (AD FS) szolgáltatásfiókot, hogy megkapja ezt a felhasználói jogosultságot. Kulcs elérési útja: [Privilege Rights]SeAuditPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `LOCAL SERVICE, NETWORK SERVICE`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Biztonsági auditok létrehozása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30	<= Local Service, Network Service, IIS APPPOOL\DefaultAppPool _{(Szabályzat)}	Critical
Folyamat munkakészletének növelése _{(AZ-WIN-00185)}	Leírás: Ez a jogosultság határozza meg, hogy mely felhasználói fiókok növelhetik vagy csökkenthetik a folyamat munkakészletének méretét. A folyamat munkakészlete a fizikai RAM-memóriában a folyamat számára jelenleg látható memórialapok készlete. Ezek a lapok rezidensek, és az alkalmazások laphiba aktiválása nélkül használhatók. A minimális és maximális munkakészlet-méretek befolyásolják a folyamat virtuális memória lapozási viselkedését. Ha közvetlenül az SCM-ben konfigurál egy felhasználót, adja meg a fiókok vesszővel tagolt listáját. A fiókok lehetnek helyiek vagy az Active Directoryban, lehetnek csoportok, felhasználók vagy számítógépek. Kulcs elérési útja: [Privilege Rights]SeIncreaseWorkingSetPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Számítógép konfigurációja\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Folyamat munkakészletének növelése Megfelelőségi standard leképezések:	<= Rendszergazda istrators, Local Service _{(Szabályzat)}	Figyelmeztetés
Ütemezési prioritás növelése _{(CCE-38326-5)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a felhasználók növelhetik-e egy folyamat alap prioritási osztályát. (Ez nem egy kiemelt művelet, amely növeli a relatív prioritást egy prioritási osztályon belül.) Ezt a felhasználói jogosultságot nem igénylik az operációs rendszerhez biztosított felügyeleti eszközök, de előfordulhat, hogy a szoftverfejlesztői eszközök igénylik. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeIncreaseBasePriorityPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators, Window Manager\Window Manager Group`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Ütemezési prioritás növelése Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33	= Rendszergazda istratorok _{(Szabályzat)}	Figyelmeztetés
Eszközillesztők betöltése és eltávolítása a memóriából _{(CCE-36318-4)}	Leírás: Ez a házirend-beállítás lehetővé teszi, hogy a felhasználók dinamikusan betölthessenek egy új eszközillesztőt egy rendszerre. A támadó ezzel a képességgel telepítheti az eszközillesztőnek tűnő rosszindulatú kódot. Ez a felhasználói jogosultság szükséges ahhoz, hogy a felhasználók helyi nyomtatókat vagy nyomtatóillesztőket vegyenek fel a Windows Vista rendszerben. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeLoadDriverPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Eszközillesztők betöltése és eltávolítása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34	<= Rendszergazda istratorok, nyomtatási operátorok _{(Szabályzat)}	Figyelmeztetés
Memórialapok zárolása _{(CCE-36495-0)}	Leírás: Ez a házirend-beállítás lehetővé teszi, hogy egy folyamat fizikai memóriában tárolja az adatokat, ami megakadályozza, hogy a rendszer a lemezen lévő virtuális memóriába lapozza az adatokat. Ha ez a felhasználói jogosultság hozzá van rendelve, a rendszer teljesítményének jelentős romlása fordulhat elő. Ennek a beállításnak a javasolt állapota a következő: `No One`. Kulcs elérési útja: [Privilege Rights]SeLockMemoryPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No One`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Lapok zárolása a memóriában Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35	= Senki _{(Szabályzat)}	Figyelmeztetés
A naplózás és a biztonsági napló felügyelete _{(CCE-35906-7)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely felhasználók módosíthatják a fájlok és könyvtárak naplózási beállításait, és törölhetik a biztonsági naplót. A Microsoft Exchange Servert futtató környezetek esetében az "Exchange Servers" csoportnak rendelkeznie kell ezzel a jogosultsággal a tartományvezérlőken a megfelelő működéshez. Ennek megfelelően az "Exchange Servers" csoportot ezt a jogosultságot engedélyező tartományvezérlők megfelelnek ennek a teljesítménytesztnek. Ha a környezet nem használja a Microsoft Exchange Servert, akkor ezt a jogosultságot csak "Rendszergazda istratorokra" kell korlátozni a számítógépeken. - 1. szint – Tartományvezérlő. Ennek a beállításnak a javasolt állapota a következő: "Rendszergazda istrators és (ha az Exchange fut a környezetben) "Exchange Servers". - 1. szint – Tagkiszolgáló. Ennek a beállításnak a javasolt állapota a következő: "Rendszergazda istrators" Kulcs elérési útja: [Privilege Rights]SeSecurityPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához konfigurálja a következő felhasználói felület elérési útját: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Naplózás és biztonsági napló kezelése Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38	= Rendszergazda istratorok _{(Szabályzat)}	Critical
Objektumcímke módosítása _{(CCE-36054-5)}	Leírás: Ez a jogosultság határozza meg, hogy mely felhasználói fiókok módosíthatják az objektumok integritáscímkéjét, például fájlokat, beállításkulcsokat vagy más felhasználók által birtokolt folyamatokat. A felhasználói fiók alatt futó folyamatok ezen jogosultság nélkül módosíthatják a felhasználó tulajdonában lévő objektumok címkéjét egy alacsonyabb szintre. Ennek a beállításnak a javasolt állapota a következő: `No One`. Kulcs elérési útja: [Privilege Rights]SeRelabelPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `No One`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Objektumcímke módosítása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.2.39 CIS WS2022 2.2.39	= Senki _{(Szabályzat)}	Figyelmeztetés
Belső vezérlőprogram környezeti értékeinek módosítása _{(CCE-38113-7)}	Leírás: Ez a házirend-beállítás lehetővé teszi, hogy a felhasználók konfigurálják a hardverkonfigurációt befolyásoló, rendszerszintű környezeti változókat. Ezek az információk általában az utolsó ismert helyes konfigurációban találhatók. Ezeknek az értékeknek a módosítása hardverhibához vezethet, amely szolgáltatásmegtagadási feltételhez vezethet. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeSystemEnvironmentPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Belső vezérlőprogram környezeti értékeinek módosítása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40	= Rendszergazda istratorok _{(Szabályzat)}	Figyelmeztetés
Kötet-karbantartási műveletek végrehajtása _{(CCE-36143-6)}	Leírás: Ez a házirend-beállítás lehetővé teszi a felhasználók számára a rendszer kötet- vagy lemezkonfigurációjának kezelését, amely lehetővé teszi, hogy a felhasználó töröljön egy kötetet, és adatvesztést, valamint szolgáltatásmegtagadási feltételt okozzon. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeManageVolumePrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Kötetkarbantartási feladatok végrehajtása Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41	= Rendszergazda istratorok _{(Szabályzat)}	Figyelmeztetés
Egyetlen folyamat kiértékelése _{(CCE-37131-0)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely felhasználók használhatnak eszközöket a nem rendszerszintű folyamatok teljesítményének figyelésére. Általában nem kell konfigurálnia ezt a felhasználót a Microsoft Management Console (MMC) Teljesítmény beépülő modul használatához. Szükség van azonban erre a felhasználóra, ha a System Monitor úgy van konfigurálva, hogy adatokat gyűjtsön a Windows Management Instrumentation (WMI) használatával. Az egyfolyamatos profil felhasználói jogosultságának korlátozása megakadályozza, hogy a betolakodók további információkat szerezzenek, amelyekkel támadást indíthatnak a rendszeren. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeProfileSingleProcessPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi szabályzatok\Felhasználói jogok hozzárendelése\Profil önálló folyamata Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42	= Rendszergazda istratorok _{(Szabályzat)}	Figyelmeztetés
Rendszerteljesítmény kiértékelése _{(CCE-36052-9)}	Leírás: Ez a házirend-beállítás lehetővé teszi, hogy a felhasználók eszközökkel tekinthetik meg a különböző rendszerfolyamatok teljesítményét, amelyek visszaélhetnek, hogy a támadók meghatározhatják a rendszer aktív folyamatait, és betekintést nyerhetnek a számítógép lehetséges támadási felületébe. Ennek a beállításnak a javasolt állapota a következő: `Administrators, NT SERVICE\WdiServiceHost`. Kulcs elérési útja: [Privilege Rights]SeSystemProfilePrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators, NT SERVICE\WdiServiceHost`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Profilrendszer teljesítménye Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.2.43 CIS WS2022 2.2.43	<= Rendszergazda istrators, NT Standard kiadás RVICE\WdiServiceHost _{(Szabályzat)}	Figyelmeztetés
Folyamatszintű token lecserélése _{(CCE-37430-6)}	Leírás: Ez a házirend-beállítás lehetővé teszi, hogy egy folyamat vagy szolgáltatás egy másik szolgáltatást vagy folyamatot indítson el egy másik biztonsági hozzáférési jogkivonattal, amely az alfolyamat biztonsági hozzáférési jogkivonatának módosítására használható, és a jogosultságok eszkalálódását eredményezi. Ennek a beállításnak a javasolt állapota a következő: `LOCAL SERVICE, NETWORK SERVICE`. Megjegyzés: A webkiszolgálói (IIS)-szerepkört webkiszolgálói szerepkörrel rendelkező tagkiszolgáló különleges kivételt igényel a javaslattól, hogy az IIS-alkalmazáskészlet(ek) megkapják ezt a felhasználói jogosultságot. 2. megjegyzés: A Telepített Microsoft SQL Serverrel rendelkező tagkiszolgálók különleges kivételt igényelnek a javaslattól, hogy további SQL által létrehozott bejegyzéseket is megkapjon a felhasználó. Kulcs elérési útja: [Privilege Rights]SeAssignPrimaryTokenPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `LOCAL SERVICE, NETWORK SERVICE`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Folyamatszintű jogkivonat cseréje Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.2.44 CIS WS2022 2.2.44	<= LOCAL Standard kiadás RVICE, NETWORK Standard kiadás RVICE _{(Szabályzat)}	Figyelmeztetés
Fájlok és mappák visszaállítása _{(CCE-37613-7)}	Leírás: Ez a házirend-beállítás határozza meg, hogy mely felhasználók kerülhetik át a fájl-, könyvtár-, beállításjegyzék- és egyéb állandó objektumengedélyeket a Windows Vista rendszert futtató számítógépek biztonsági mentési fájljainak és könyvtárainak visszaállításakor a környezetben. Ez a felhasználói jog azt is meghatározza, hogy mely felhasználók állíthatnak be érvényes biztonsági tagokat objektumtulajdonosokként; hasonló a Biztonsági mentési fájlok és könyvtárak felhasználói jogához. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeRestorePrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Fájlok és könyvtárak visszaállítása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.2.45	<= Rendszergazda istratorok, biztonsági mentési operátorok _{(Szabályzat)}	Figyelmeztetés
A rendszer leállítása _{(CCE-38328-1)}	Leírás: Ez a házirend-beállítás határozza meg, hogy a környezet számítógépeire helyileg bejelentkezett felhasználók mely felhasználók állíthatják le az operációs rendszert a Leállítás paranccsal. A felhasználói jogosultsággal való visszaélés szolgáltatásmegtagadási feltételt eredményezhet. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeShutdownPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\A rendszer leállítása Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 2.2.46 CIS WS2022 2.2.46	<= Rendszergazda istratorok, biztonsági mentési operátorok _{(Szabályzat)}	Figyelmeztetés
Fájlok és más objektumok saját tulajdonba vétele _{(CCE-38325-7)}	Leírás: Ez a házirend-beállítás lehetővé teszi a felhasználók számára a fájlok, mappák, beállításkulcsok, folyamatok vagy szálak tulajdonjogát. Ez a felhasználó jogosultsága átadja azokat az engedélyeket, amelyek az objektumok védelmére szolgálnak, hogy tulajdonjogot adjanak a megadott felhasználónak. Ennek a beállításnak a javasolt állapota a következő: `Administrators`. Kulcs elérési útja: [Privilege Rights]SeTakeOwnershipPrivilege Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Administrators`: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Fájlok vagy egyéb objektumok tulajdonjogának átvétele Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48	= Rendszergazda istratorok _{(Szabályzat)}	Critical
Az ügyfél hitelesítés utáni megszemélyesítése csak Rendszergazda istratorokhoz, szolgáltatáshoz, helyi szolgáltatáshoz és hálózati szolgáltatáshoz rendelhető. _{(AZ-WIN-73785)}	Leírás: A házirend-beállítás lehetővé teszi, hogy a felhasználó nevében futó programok megszemélyesíthassék a felhasználót (vagy egy másik megadott fiókot), hogy a felhasználó nevében cselekedhessenek. Ha ez a felhasználói jogosultság szükséges az ilyen megszemélyesítéshez, a jogosulatlan felhasználó nem tudja meggyőzni az ügyfelet, hogy például távoli eljáráshívással (RPC) vagy elnevezett csövekkel csatlakozzon egy olyan szolgáltatáshoz, amelyet az ügyfél megszemélyesítéséhez hoztak létre, ami emelheti a jogosulatlan felhasználó rendszergazdai vagy rendszerszintű engedélyeit. A Service Control Manager által indított szolgáltatásokhoz alapértelmezés szerint hozzá van adva a beépített szolgáltatáscsoport a hozzáférési jogkivonataikhoz. A COM-infrastruktúra által indított és egy adott fiókon való futtatásra konfigurált COM-kiszolgálókhoz hozzáadják a szolgáltatáscsoportot is a hozzáférési jogkivonataikhoz. Ennek eredményeképpen ezek a folyamatok közvetlenül az indításukkor lesznek hozzárendelve ehhez a felhasználóhoz. Emellett a felhasználó megszemélyesíthet egy hozzáférési jogkivonatot, ha az alábbi feltételek valamelyike létezik: - A megszemélyesített hozzáférési jogkivonat erre a felhasználóra vonatkozik. - A felhasználó ebben a bejelentkezési munkamenetben explicit hitelesítő adatokkal jelentkezett be a hálózatba a hozzáférési jogkivonat létrehozásához. - A kért szint kisebb, mint a megszemélyesítés, például névtelen vagy azonos. A hitelesítést követően az ügyfél megszemélyesítésével rendelkező támadó létrehozhat egy szolgáltatást, becsaphat egy ügyfelet, hogy csatlakozzon a szolgáltatáshoz, majd megszemélyesítse az ügyfelet, hogy emelje a támadó hozzáférési szintjét az ügyfélhez. Ennek a beállításnak a javasolt állapota a következő: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. Megjegyzés: Ez a felhasználói jog "bizalmas jogosultságnak" minősül naplózás céljából. 2. megjegyzés: A Microsoft SQL Serverrel és annak opcionális "Integration Services" összetevőjével rendelkező tagkiszolgálók különleges kivételt igényelnek a jelen javaslattól, hogy a felhasználónak további SQL-t generáló bejegyzéseket kell megadnia. Kulcs elérési útja: [Privilege Rights]SeImpersonatePrivilege OPERÁCIÓS RENDSZER: WS2016, WS2019 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Ügyfél megszemélyesítése hitelesítés után Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.2.31 CIS WS2019 2.2.31	<= Rendszergazda istrators,Szolgáltatás,Helyi szolgáltatás,Hálózati szolgáltatás _{(Szabályzat)}	Fontos

Windows-összetevők

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Alapszintű hitelesítés engedélyezése _{(CCE-36254-1)}	Leírás: Ez a házirend-beállítás lehetővé teszi annak kezelését, hogy a Windows Remote Management (WinRM) szolgáltatás elfogadja-e az alapszintű hitelesítést egy távoli ügyféltől. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow Basic Authentication Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `WindowsRemoteManagement.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Diagnosztikai adatok engedélyezése _{(AZ-WIN-00169)}	Leírás: Ez a házirend-beállítás határozza meg a Microsoftnak jelentett diagnosztikai és használati adatok mennyiségét. A 0 érték minimális adatokat küld a Microsoftnak. Ezek az adatok közé tartoznak a kártevő szoftvereltávolító eszköz (MSRT) & Windows Defender-adatok, ha engedélyezve van, és telemetriai ügyfélbeállítások. A 0 érték beállítása csak nagyvállalati, EDU, IoT- és kiszolgálóeszközökre vonatkozik. A 0 érték beállítása más eszközök esetében egyenértékű az 1 érték kiválasztásával. Az 1 érték csak alapszintű diagnosztikai és használati adatokat küld. Vegye figyelembe, hogy a 0 vagy az 1 érték beállítása rontja az eszköz bizonyos felhasználói élményét. A 2 érték továbbfejlesztett diagnosztikai és használati adatokat küld. A 3 érték ugyanazokat az adatokat küldi el, mint a 2 értéket, valamint további diagnosztikai adatokat, beleértve a problémát okozó fájlokat és tartalmakat. A Windows 10 telemetriai beállításai a Windows operációs rendszerre és néhány belső alkalmazásra vonatkoznak. Ez a beállítás nem vonatkozik a Windows 10-en futó külső alkalmazásokra. Ennek a beállításnak a javasolt állapota a következő: `Enabled: 0 - Security [Enterprise Only]`. Megjegyzés: Ha a "Telemetria engedélyezése" beállítás "0 – Biztonság [Csak vállalati]" értékre van konfigurálva, akkor a Windows Update frissítéseinek és frissítéseinek elhalasztására vonatkozó beállításai nem lesznek hatással. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa be a következő felhasználói felület elérési útját a következőre`Enabled: Diagnostic data off (not recommended)`:`Enabled: Send required diagnostic data` Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Data Collection and Preview Builds\Allow Diagnostic Data Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "DataCollection.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 11 Release 21H2 Rendszergazda istrative templates (vagy újabb) része. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ezt a beállítást eredetileg Allow Telemetry (Telemetria engedélyezése) névre nevezték át, de a Windows 11 Release 21H2 Rendszergazda istrative sablonoktól kezdve átnevezték diagnosztikai adatok engedélyezésére. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1	>= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Titkosított fájlok indexelésének engedélyezése _{(CCE-38277-0)}	Leírás: Ez a házirend-beállítás szabályozza, hogy a titkosított elemek indexelhetők-e. Ha ez a beállítás módosul, az index teljesen újraépül. A titkosított fájlok biztonságának fenntartása érdekében teljes kötettitkosítást (például BitLocker meghajtótitkosítást vagy nem Microsoft-megoldást) kell használni az index helyéhez. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Search\Allow indexing of encrypted files Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `Search.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
A Microsoft-fiókok megadása nem kötelező _{(CCE-38354-7)}	Leírás: Ez a házirend-beállítás lehetővé teszi annak szabályozását, hogy a Microsoft-fiókok nem kötelezőek-e olyan Windows Áruházbeli alkalmazásokhoz, amelyekhez fiók szükséges a bejelentkezéshez. Ez a szabályzat csak az azt támogató Windows Áruházbeli alkalmazásokat érinti. Ha engedélyezi ezt a házirend-beállítást, az általában Microsoft-fiókot igénylő Windows Áruházbeli alkalmazások engedélyezik, hogy a felhasználók inkább vállalati fiókkal jelentkezzenek be. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a felhasználóknak Microsoft-fiókkal kell bejelentkezni. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional Operációs rendszer: WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\App Runtime\Allow Microsoft accounts to optional Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt az "AppXRuntime.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.1 & Server 2012 R2 Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.6.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Titkosítatlan forgalom engedélyezése _{(CCE-38223-4)}	Leírás: Ez a házirend-beállítás lehetővé teszi annak kezelését, hogy a Windows Remote Management (WinRM) szolgáltatás titkosítatlan üzeneteket küld-e és fogad-e a hálózaton keresztül. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Titkosítatlan forgalom engedélyezése Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `WindowsRemoteManagement.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
A telepítések felhasználói vezérlésének engedélyezése _{(CCE-36400-0)}	Leírás: Lehetővé teszi a felhasználók számára, hogy módosítják a telepítési beállításokat, amelyek általában csak a rendszergazdák számára érhetők el. A Windows Installer biztonsági funkciói megakadályozzák, hogy a felhasználók módosítják a rendszerint a rendszergazdák számára fenntartott telepítési beállításokat, például megadják azt a könyvtárat, amelyre a fájlok telepítve vannak. Ha a Windows Installer azt észleli, hogy egy telepítési csomag engedélyezte a felhasználónak a védett beállítás módosítását, leállítja a telepítést, és üzenetet jelenít meg. Ezek a biztonsági funkciók csak akkor működnek, ha a telepítőprogram olyan kiemelt biztonsági környezetben fut, amelyben hozzáféréssel rendelkezik a felhasználó számára megtagadott könyvtárakhoz. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Installer\Felhasználói vezérlés engedélyezése a telepítések felett Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `MSI.admx/adml` biztosítja. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ez a beállítás a telepítések felhasználói vezérlésének engedélyezése nevet kapta, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Mindig emelt szintű jogosultságokkal rendelkező telepítés _{(CCE-37490-0)}	Leírás: Ez a beállítás azt szabályozza, hogy a Windows Installer rendszerengedélyeket használjon-e, amikor bármilyen programot telepít a rendszeren. Megjegyzés: Ez a beállítás a Számítógép konfigurációja és a Felhasználói konfiguráció mappában is megjelenik. A beállítás hatékonyságának eléréséhez engedélyeznie kell a beállítást mindkét mappában. Figyelem: Ha engedélyezve van, a képzett felhasználók kihasználhatják a beállítás által biztosított engedélyeket a jogosultságaik módosításához és a korlátozott fájlokhoz és mappákhoz való állandó hozzáféréshez. Vegye figyelembe, hogy a beállítás felhasználói konfigurációs verziója nem garantáltan biztonságos. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag, Munkacsoport-tag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: User Configuration\Policies\Rendszergazda istrative Templates\Windows Components\Windows Installer\Always install with emelt jogosultságokkal Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `MSI.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
Mindig kérje a jelszót a csatlakozáskor _{(CCE-37929-7)}	Leírás: Ez a házirend-beállítás azt határozza meg, hogy a Terminálszolgáltatások mindig jelszót kérnek-e az ügyfélszámítógépnek a csatlakozáskor. Ezzel a házirend-beállítással jelszókérést kényszeríthet ki a terminálszolgáltatásokba bejelentkező felhasználók számára, még akkor is, ha már megadták a jelszót a távoli asztali Csatlakozás ion-ügyfélben. Alapértelmezés szerint a Terminálszolgáltatások lehetővé teszik a felhasználók számára, hogy automatikusan bejelentkezhessenek, ha jelszót adnak meg a távoli asztali Csatlakozás ion-ügyfélben. Megjegyzés: Ha nem konfigurálja ezt a házirend-beállítást, a helyi számítógép rendszergazdája a Terminálszolgáltatások konfigurációs eszközével engedélyezheti vagy megakadályozhatja a jelszavak automatikus küldését. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Always prompt for password upon connection Megjegyzés: Ezt a csoportházirend-elérési utat a "TerminalServer.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A Microsoft Windows Vista Rendszergazda istrative sablonjaiban ez a beállítás az Always prompt client for password for connection (Always prompt client for password in connection) nevet kapta, de a Windows Server 2008 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.65.3.9.1	= 1 _{(Beállításjegyzék)}	Critical
Alkalmazás: Az eseménynapló viselkedésének szabályozása, amikor a naplófájl eléri a maximális méretét _{(CCE-37775-4)}	Leírás: Ez a házirend-beállítás szabályozza az eseménynapló viselkedését, amikor a naplófájl eléri a maximális méretét. Ha engedélyezi ezt a házirend-beállítást, és egy naplófájl eléri a maximális méretét, a rendszer nem ír új eseményeket a naplóba, és elvesznek. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, és egy naplófájl eléri a maximális méretét, az új események felülírják a régi eseményeket. Megjegyzés: Előfordulhat, hogy a régi eseményeket a "Biztonsági mentési napló automatikusan, ha megtelik" házirend-beállítás szerint őrzi meg. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Event Log Service\Application\Control Event Log behavior, amikor a naplófájl eléri a maximális méretét Megjegyzés: Ezt a csoportházirend-elérési utat az "EventLog.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ez a beállítás eredetileg a Régi események megőrzése nevet kapta, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.27.1.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Alkalmazás: Adja meg a naplófájl maximális méretét (KB) _{(CCE-37948-7)}	Leírás: Ez a házirend-beállítás a naplófájl maximális méretét adja meg kilobájtban. Ha engedélyezi ezt a házirend-beállítást, a naplófájl maximális méretét 1 megabájt (1024 kilobájt) és 2 terabájt (2147483647 kilobájt) közöttire konfigurálhatja kilobájtos lépésekben. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a naplófájl maximális mérete a helyileg konfigurált értékre lesz állítva. Ezt az értéket a helyi rendszergazda módosíthatja a Napló tulajdonságai párbeszédpanelen, és alapértelmezés szerint 20 megabájtra. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled: 32,768 or greater`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Event Log Service\Application\Adja meg a naplófájl maximális méretét (KB) Megjegyzés: Ezt a csoportházirend-elérési utat az "EventLog.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ezt a beállítást eredetileg Maximális naplóméret (KB) néven nevezték el, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.27.1.2	>= 32768 _{(Beállításjegyzék)}	Critical
Az összes fogyasztói Microsoft-fiók felhasználói hitelesítésének letiltása _{(AZ-WIN-20198)}	Leírás: Ez a beállítás határozza meg, hogy az eszközön lévő alkalmazások és szolgáltatások használhatják-e az új fogyasztói Microsoft-fiókhitelesítést a Windows `OnlineID` és `WebAccountManager` AZ API-k használatával. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth OPERÁCIÓS RENDSZER: WS2016, WS2019 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Microsoft accounts\Block all consumer Microsoft account user authentication Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1	= 1 _{(Beállításjegyzék)}	Critical
Helyi beállítás felülbírálásának konfigurálása a Microsoft MAPS-nek való jelentéshez _{(AZ-WIN-00173)}	Leírás: Ez a házirend-beállítás helyi felülbírálást konfigurál a konfigurációhoz a Microsoft MAPS-hez való csatlakozáshoz. Ezt a beállítást csak csoportházirenddel lehet beállítani. Ha engedélyezi ezt a beállítást, a helyi beállítás elsőbbséget élvez a csoportházirenddel szemben. Ha letiltja vagy nem konfigurálja ezt a beállítást, a csoportházirend elsőbbséget élvez a helyi beállítással szemben. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Defender Antivirus\MAPS\Helyi beállítás felülbírálása a Microsoft MAPS-nek való jelentéskészítéshez Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 8.1 & Server 2012 R2 Rendszergazda istrative sablonok (vagy újabb) részét képező csoportházirend-sablon `WindowsDefender.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
A Windows SmartScreen konfigurálása _{(CCE-35859-8)}	Leírás: Ez a házirend-beállítás lehetővé teszi a Windows SmartScreen viselkedésének kezelését. A Windows SmartScreen segít a számítógépek biztonságának megőrzésében azáltal, hogy figyelmezteti a felhasználókat az internetről letöltött ismeretlen programok futtatása előtt. A rendszer bizonyos információkat küld a Microsoftnak a számítógépeken futó fájlokról és programokról, amelyeken ez a funkció engedélyezve van. Ha engedélyezi ezt a házirend-beállítást, a Windows SmartScreen viselkedését a következő lehetőségek egyikének beállításával szabályozhatja: * Figyelmeztetést adhat a felhasználónak a letöltött ismeretlen szoftverek futtatása előtt * Kapcsolja ki a SmartScreent Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a Windows SmartScreen viselkedését a rendszergazdák a pc-n a Windows SmartScreen Gépház használatával felügyelik a Biztonság és karbantartás szolgáltatásban. Beállítások: * Figyelmeztetés küldése a felhasználónak a letöltött ismeretlen szoftverek futtatása előtt * A SmartScreen kikapcsolása Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Az ajánlott konfiguráció gp-en keresztüli létrehozásához állítsa a következő felhasználói felület elérési útját `Enabled`a következőre: Figyelmeztetés és megkerülés megakadályozása: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Defender SmartScreen\Explorer\Configure Windows Defender SmartScreen Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a WindowsExplorer.admx/adml csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ez a beállítás kezdetben a Windows SmartScreen konfigurálása nevet kapta, de a Windows 10 Release 1703 Rendszergazda istrative templates-tól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.85.1.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Változás észlelése az alapértelmezett RDP-portról _{(AZ-WIN-00156)}	Leírás: Ez a beállítás határozza meg, hogy a távoli asztali Csatlakozás figyelő hálózati port módosult-e az alapértelmezett 3389-ről Kulcs elérési útja: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Nem alkalmazható Megfelelőségi standard leképezések:	= 3389 _{(Beállításjegyzék)}	Critical
A Windows Keresési szolgáltatás letiltása _{(AZ-WIN-00176)}	Leírás: Ez a beállításjegyzék-beállítás letiltja a Windows Keresési szolgáltatást Kulcs elérési útja: System\CurrentControlSet\Services\Wsearch\Start Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Nem alkalmazható Megfelelőségi standard leképezések:	Nem létezik vagy = 4 _{(Beállításjegyzék)}	Critical
Nem kötetes eszközök automatikus lejátszásának letiltása _{(CCE-37636-8)}	Leírás: Ez a házirend-beállítás letiltja az automatikus lejátszást az MTP-eszközökhöz, például kamerákhoz vagy telefonokhoz. Ha engedélyezi ezt a házirend-beállítást, az Automatikus lejátszás nem engedélyezett az MTP-eszközök, például kamerák vagy telefonok esetében. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, az Automatikus lejátszás engedélyezve van a nem kötetes eszközökön. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume Operációs rendszer: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\AutoPlay Policies\Disallow Autoplay for non-volume devices Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt az "AutoPlay.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.8.1	= 1 _{(Beállításjegyzék)}	Critical
Kivonatoló hitelesítés letiltása _{(CCE-38318-2)}	Leírás: Ez a házirend-beállítás lehetővé teszi annak kezelését, hogy a Windows Remote Management (WinRM) ügyfél nem használja-e a Kivonatoló hitelesítést. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client\Disallow Digest authentication Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `WindowsRemoteManagement.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3	= 0 _{(Beállításjegyzék)}	Critical
A WinRM letiltása futtatókörnyezeti hitelesítő adatok tárolásából _{(CCE-36000-8)}	Leírás: Ez a házirend-beállítás lehetővé teszi annak kezelését, hogy a Windows Remote Management (WinRM) szolgáltatás nem engedélyezi-e a Futtató rendszerek hitelesítő adatainak tárolását beépülő modulokhoz. Ha engedélyezi ezt a házirend-beállítást, a WinRM szolgáltatás nem engedélyezi a RunAsUser vagy a RunAsPassword konfigurációs értékeinek beállítását a beépülő modulokhoz. Ha egy beépülő modul már beállította a RunAsUser és a RunAsPassword konfigurációs értékeit, a RunAsPassword konfigurációs értéke törlődik a számítógépen található hitelesítőadat-tárolóból. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a WinRM szolgáltatás engedélyezi a RunAsUser és a RunAsPassword konfigurációs értékeinek beállítását a beépülő modulokhoz, és a RunAsPassword érték biztonságosan lesz tárolva. Ha engedélyezi, majd letiltja ezt a házirend-beállítást, a RunAsPasswordhez korábban konfigurált értékeket alaphelyzetbe kell állítani. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Disallow WinRM from storageing RunAs credentials Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "WindowsRemoteManagement.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.102.2.4	= 1 _{(Beállításjegyzék)}	Critical
Jelszavak mentésének tiltása _{(CCE-36223-6)}	Leírás: Ez a házirend-beállítás megakadályozza, hogy a Terminálszolgáltatások ügyfelei jelszavakat mentsenek a számítógépen. Megjegyzés: Ha ezt a házirend-beállítást korábban letiltottként vagy nem konfiguráltként konfigurálták, a korábban mentett jelszavak törlődnek, amikor egy Terminálszolgáltatások-ügyfél először leválasztja a kapcsolatot a kiszolgálóról. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Csatlakozás ion Client\Ne engedélyezze a jelszavak mentését Megjegyzés: Ezt a csoportházirend-elérési utat a "TerminalServer.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.65.2.2	= 1 _{(Beállításjegyzék)}	Critical
Ne töröljön ideiglenes mappákat kilépéskor _{(CCE-37946-1)}	Leírás: Ez a házirend-beállítás azt határozza meg, hogy a Távoli asztali szolgáltatások megtartják-e a felhasználó munkamenetenkénti ideiglenes mappáit a kijelentkezéskor. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Remote Desktop Services\Távoli asztali munkamenetgazda\Ideiglenes mappák\Ne töröljön ideiglenes mappákat kilépéskor Megjegyzés: Ezt a csoportházirend-elérési utat a "TerminalServer.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ez a beállítás a Kilépéskor ne törölje az ideiglenes mappát, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.65.3.11.1	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Figyelmeztetés
Ne jelenítse meg a jelszómegjelenítés gombot _{(CCE-37534-5)}	Leírás: Ez a házirend-beállítás lehetővé teszi a jelszó-felfedés gomb megjelenítésének konfigurálását a jelszóbevitel felhasználói felületeiben. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal Operációs rendszer: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Credential User Interface\Ne jelenjen meg a jelszófelfedés gomb Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "CredUI.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.16.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Ne jelenjenek meg visszajelzési értesítések _{(AZ-WIN-00140)}	Leírás: Ez a házirend-beállítás lehetővé teszi a szervezet számára, hogy megakadályozza az eszközeinek a Microsofttól érkező visszajelzési kérdések megjelenítését. Ha engedélyezi ezt a házirend-beállítást, a felhasználók többé nem fognak visszajelzési értesítéseket látni a Windows Visszajelzés alkalmazáson keresztül. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a felhasználók értesítéseket láthatnak a Windows Visszajelzés alkalmazáson keresztül, amely visszajelzést kér a felhasználóktól. Megjegyzés: Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a felhasználók szabályozhatják, hogy milyen gyakran kapnak visszajelzési kérdéseket. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Data Collection and Preview Builds\Ne jelenjenek meg visszajelzési értesítések Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "FeedbackNotifications.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 10 Release 1511 Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.17.4	= 1 _{(Beállításjegyzék)}	Critical
Munkamenetenként ne használjon ideiglenes mappákat _{(CCE-38180-6)}	Leírás: Alapértelmezés szerint a Távoli asztali szolgáltatások létrehoznak egy külön ideiglenes mappát a távoli asztali munkamenetgazda-kiszolgálón minden olyan aktív munkamenethez, amelyet a felhasználó tart fenn a távoli asztali munkamenetgazda-kiszolgálón. Az ideiglenes mappa a távoli asztali munkamenetgazda-kiszolgálón jön létre a felhasználó profilmappája alatti Temp mappában, és a "sessionid" névvel van elnevezve. Ez az ideiglenes mappa az egyes ideiglenes fájlok tárolására szolgál. A lemezterület visszaszerzéséhez az ideiglenes mappa törlődik, amikor a felhasználó kijelentkezik egy munkamenetből. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Remote Desktop Services\Távoli asztali munkamenetgazda\Ideiglenes mappák\Munkamenetenként ne használjon ideiglenes mappákat Megjegyzés: Ezt a csoportházirend-elérési utat a "TerminalServer.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.65.3.11.2	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Rendszergazdai fiókok számbavétele jogosultságszint-emelés esetén _{(CCE-36512-2)}	Leírás: Ez a házirend-beállítás azt szabályozza, hogy a rendszergazdai fiókok megjelenjenek-e, amikor egy felhasználó egy futó alkalmazást próbál felemelni. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\Enumerate Rendszergazda istrators Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Credential User Interface\Enumerate administrator accounts on elevation Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `CredUI.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
Ház letöltésének megakadályozása _{(CCE-37126-0)}	Leírás: Ez a házirend-beállítás megakadályozza, hogy a felhasználó letöltse a dobozokat (fájlmellékleteket) a hírcsatornából a felhasználó számítógépére. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\RSS Feeds\Preventing downloading of enclosures Megjegyzés: Ezt a csoportházirend-elérési utat az "InetRes.admx/adml" csoportházirendsablon biztosítja, amely a Microsoft Windows Rendszergazda istrative templates összes verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ez a beállítás a ház letöltésének kikapcsolása volt, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.66.1	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Biztonságos RPC-kommunikáció megkövetelése _{(CCE-37567-5)}	Leírás: Meghatározza, hogy egy távoli asztali munkamenetgazda-kiszolgáló biztonságos RPC-kommunikációt igényel-e az összes ügyféllel, vagy engedélyezi-e a nem biztonságos kommunikációt. Ezzel a beállítással megerősítheti az ügyfelekkel folytatott RPC-kommunikáció biztonságát, ha csak hitelesített és titkosított kéréseket engedélyez. Ha az állapot engedélyezve van, a Távoli asztali szolgáltatások fogadják a biztonságos kéréseket támogató RPC-ügyfelektől érkező kéréseket, és nem teszik lehetővé a nem biztonságos kommunikációt a nem megbízható ügyfelekkel. Ha az állapot le van tiltva, a Távoli asztali szolgáltatások mindig minden RPC-forgalom biztonságát kérik. A nem biztonságos kommunikáció azonban engedélyezett azon RPC-ügyfelek számára, amelyek nem válaszolnak a kérésre. Ha az állapot nincs konfigurálva, a nem biztonságos kommunikáció engedélyezett. Megjegyzés: Az RPC-felület a távoli asztali szolgáltatások felügyeletére és konfigurálására szolgál. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Require secure RPC communication Megjegyzés: Ezt a csoportházirend-elérési utat a "TerminalServer.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.65.3.9.2	= 1 _{(Beállításjegyzék)}	Critical
Felhasználói hitelesítés megkövetelése távoli kapcsolatokhoz hálózati szintű hitelesítéssel _{(AZ-WIN-00149)}	Leírás: Felhasználói hitelesítés megkövetelése távoli kapcsolatokhoz hálózati szintű hitelesítéssel Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Felhasználói hitelesítés megkövetelése távoli kapcsolatokhoz hálózati szintű hitelesítéssel Megjegyzés: Ezt a csoportházirend-elérési utat a "TerminalServer.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A Microsoft Windows Vista Rendszergazda istrative sablonjaiban ezt a beállítást eredetileg felhasználóhitelesítés megkövetelése rdP 6.0-val távoli kapcsolatokhoz, de átnevezték a Windows Server 2008 (nem R2) Rendszergazda istrative sablonoktól kezdve. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.65.3.9.4	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Critical
Cserélhető meghajtók vizsgálata _{(AZ-WIN-00177)}	Leírás: Ez a házirend-beállítás lehetővé teszi annak kezelését, hogy a teljes vizsgálat futtatásakor rosszindulatú szoftvereket és nemkívánatos szoftvereket keressen-e a cserélhető meghajtók( például USB flash meghajtók) tartalmában. Ha engedélyezi ezt a beállítást, a rendszer bármilyen típusú vizsgálat során megvizsgálja a cserélhető meghajtókat. Ha letiltja vagy nem konfigurálja ezt a beállítást, a rendszer nem ellenőrzi a cserélhető meghajtókat a teljes vizsgálat során. Előfordulhat, hogy a cserélhető meghajtók a gyors vizsgálat és az egyéni vizsgálat során is beolvashatók. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Defender Antivirus\Scan\Scan cserélhető meghajtók Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 8.1 & Server 2012 R2 Rendszergazda istrative sablonok (vagy újabb) részét képező csoportházirend-sablon `WindowsDefender.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1	= 0 _{(Beállításjegyzék)}	Critical
Biztonság: Az eseménynapló viselkedésének szabályozása, amikor a naplófájl eléri a maximális méretét _{(CCE-37145-0)}	Leírás: Ez a házirend-beállítás szabályozza az eseménynapló viselkedését, amikor a naplófájl eléri a maximális méretét. Ha engedélyezi ezt a házirend-beállítást, és egy naplófájl eléri a maximális méretét, a rendszer nem ír új eseményeket a naplóba, és elvesznek. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, és egy naplófájl eléri a maximális méretét, az új események felülírják a régi eseményeket. Megjegyzés: Előfordulhat, hogy a régi eseményeket a "Biztonsági mentési napló automatikusan, ha megtelik" házirend-beállítás szerint őrzi meg. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Event Log Service\Security\Control Event Log behavior, amikor a naplófájl eléri a maximális méretét Megjegyzés: Ezt a csoportházirend-elérési utat az "EventLog.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ez a beállítás eredetileg a Régi események megőrzése nevet kapta, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.27.2.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Biztonság: Adja meg a naplófájl maximális méretét (KB) _{(CCE-37695-4)}	Leírás: Ez a házirend-beállítás a naplófájl maximális méretét adja meg kilobájtban. Ha engedélyezi ezt a házirend-beállítást, beállíthatja, hogy a naplófájl maximális mérete 1 megabájt (1024 kilobájt) és 2 terabájt (2 147 483 647 kilobájt) között legyen kilobájtos növekményekben. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a naplófájl maximális mérete a helyileg konfigurált értékre lesz állítva. Ezt az értéket a helyi rendszergazda módosíthatja a Napló tulajdonságai párbeszédpanelen, és alapértelmezés szerint 20 megabájtra. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled: 196,608 or greater`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Event Log Service\Security\Adja meg a naplófájl maximális méretét (KB) Megjegyzés: Ezt a csoportházirend-elérési utat az "EventLog.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ezt a beállítást eredetileg Maximális naplóméret (KB) néven nevezték el, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.27.2.2	>= 196608 _{(Beállításjegyzék)}	Critical
Fájlminták küldése, ha további elemzésre van szükség _{(AZ-WIN-00126)}	Leírás: Ez a házirend-beállítás konfigurálja a minták elküldésének viselkedését, ha a MAPS-telemetria-regisztráció be van állítva. Lehetséges lehetőségek: (0x0) Mindig kérje (0x1) Biztonságos minták automatikus küldése (0x2) Soha ne küldjön (0x3) Az összes minta automatikus küldése Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\MAPS\Fájlminták küldése, ha további elemzésre van szükség Megfelelőségi standard leképezések:	= 1 _{(Beállításjegyzék)}	Figyelmeztetés
Ügyfélkapcsolat titkosítási szintjének beállítása _{(CCE-36627-8)}	Leírás: Ez a házirend-beállítás azt határozza meg, hogy a távoli kapcsolatot futtató számítógép kikényszerítse-e a titkosítási szintet a közötte és az ügyfélszámítógép között a távoli munkamenethez küldött összes adathoz. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled: High Level`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Set client connection encryption level Megjegyzés: Ezt a csoportházirend-elérési utat a "TerminalServer.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.65.3.9.5	Nem létezik vagy = 3 _{(Beállításjegyzék)}	Critical
Az automatikus futtatás alapértelmezett viselkedésének beállítása _{(CCE-38217-6)}	Leírás: Ez a házirend-beállítás állítja be az automatikus futtatás parancsainak alapértelmezett viselkedését. Az automatikus futtatás parancsai általában autorun.inf fájlokban vannak tárolva. Gyakran elindítják a telepítési programot vagy más rutinokat. A Windows Vista előtt az automatikus futtatási parancsot tartalmazó adathordozó beszúrásakor a rendszer felhasználói beavatkozás nélkül automatikusan végrehajtja a programot. Ez jelentős biztonsági problémát okoz, mivel a kód a felhasználó tudta nélkül is végrehajtható. A Windows Vista-tól kezdődő alapértelmezett viselkedés az, hogy megkérdezi a felhasználót, hogy fut-e az automatikus futtatási parancs. Az automatikus futtatás parancs kezelőként jelenik meg az Automatikus lejátszás párbeszédpanelen. Ha engedélyezi ezt a házirend-beállítást, a Rendszergazda istrator módosíthatja az automatikus futtatás alapértelmezett Windows Vista vagy újabb viselkedését a következőre: a) Az automatikus futtatási parancsok teljes letiltása, vagy b) Az automatikus futtatás parancs automatikus végrehajtásának Windows Vista előtti viselkedésére való visszatérés. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a Windows Vista vagy újabb rendszer megkérdezi a felhasználótól, hogy fut-e az automatikus futtatási parancs. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled: Do not execute any autorun commands`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\AutoPlay Policies\Az automatikus futtatás alapértelmezett viselkedésének beállítása Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt az "AutoPlay.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.8.2	= 1 _{(Beállításjegyzék)}	Critical
Beállítás: Az eseménynapló viselkedésének szabályozása, amikor a naplófájl eléri a maximális méretét _{(CCE-38276-2)}	Leírás: Ez a házirend-beállítás szabályozza az eseménynapló viselkedését, amikor a naplófájl eléri a maximális méretét. Ha engedélyezi ezt a házirend-beállítást, és egy naplófájl eléri a maximális méretét, a rendszer nem ír új eseményeket a naplóba, és elvesznek. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, és egy naplófájl eléri a maximális méretét, az új események felülírják a régi eseményeket. Megjegyzés: Előfordulhat, hogy a régi eseményeket a "Biztonsági mentési napló automatikusan, ha megtelik" házirend-beállítás szerint őrzi meg. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Event Log Service\Setup\Control Event Log behavior, amikor a naplófájl eléri a maximális méretét Megjegyzés: Ezt a csoportházirend-elérési utat az "EventLog.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ez a beállítás eredetileg a Régi események megőrzése nevet kapta, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.27.3.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Beállítás: Adja meg a naplófájl maximális méretét (KB) _{(CCE-37526-1)}	Leírás: Ez a házirend-beállítás a naplófájl maximális méretét adja meg kilobájtban. Ha engedélyezi ezt a házirend-beállítást, beállíthatja, hogy a naplófájl maximális mérete 1 megabájt (1024 kilobájt) és 2 terabájt (2 147 483 647 kilobájt) között legyen kilobájtos növekményekben. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a naplófájl maximális mérete a helyileg konfigurált értékre lesz állítva. Ezt az értéket a helyi rendszergazda módosíthatja a Napló tulajdonságai párbeszédpanelen, és alapértelmezés szerint 20 megabájtra. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled: 32,768 or greater`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Event Log Service\Setup\Adja meg a naplófájl maximális méretét (KB) Megjegyzés: Ezt a csoportházirend-elérési utat az "EventLog.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ezt a beállítást eredetileg Maximális naplóméret (KB) néven nevezték el, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.27.3.2	>= 32768 _{(Beállításjegyzék)}	Critical
A rendszer által kezdeményezett újraindítás után automatikusan bejelentkezik az utolsó interaktív felhasználóba _{(CCE-36977-7)}	Leírás: Ez a házirend-beállítás szabályozza, hogy egy eszköz automatikusan bejelentkezik-e az utolsó interaktív felhasználóba, miután a Windows Update újraindította a rendszert. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn Operációs rendszer: WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre: `Disabled:` Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Bejelentkezési beállítások\Bejelentkezés az utolsó interaktív felhasználóhoz automatikusan a rendszer által kezdeményezett újraindítás után Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 8.1 & Server 2012 R2 Rendszergazda istrative sablonok (vagy újabb) részét képező csoportházirend-sablon `WinLogon.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1	= 1 _{(Beállításjegyzék)}	Critical
Adja meg a definíciófrissítések ellenőrzéséhez szükséges időközt _{(AZ-WIN-00152)}	Leírás: Ezzel a házirend-beállítással megadhatja, hogy milyen időközönként ellenőrizze a definíciófrissítéseket. Az időérték a frissítési ellenőrzések közötti órák száma. Az érvényes értékek 1 (óránként) és 24 (naponta egyszer) között mozognak. Ha engedélyezi ezt a beállítást, a definíciófrissítések ellenőrzése a megadott időközönként történik. Ha letiltja vagy nem konfigurálja ezt a beállítást, a definíciófrissítések ellenőrzése az alapértelmezett időközön történik. Kulcs elérési útja: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Frissítések\SignatureUpdateInterval Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Rendszergazda istrative Templates\Windows Components\Microsoft Defender víruskereső\Security Intelligence Frissítések\Adja meg a biztonságiintelligencia-frissítések keresésének időközét Megfelelőségi standard leképezések:	8= _{(Beállításjegyzék)}	Critical
Rendszer: Az eseménynapló viselkedésének szabályozása, amikor a naplófájl eléri a maximális méretét _{(CCE-36160-0)}	Leírás: Ez a házirend-beállítás szabályozza az eseménynapló viselkedését, amikor a naplófájl eléri a maximális méretét. Ha engedélyezi ezt a házirend-beállítást, és egy naplófájl eléri a maximális méretét, a rendszer nem ír új eseményeket a naplóba, és elvesznek. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, és egy naplófájl eléri a maximális méretét, az új események felülírják a régi eseményeket. Megjegyzés: Előfordulhat, hogy a régi eseményeket a "Biztonsági mentési napló automatikusan, ha megtelik" házirend-beállítás szerint őrzi meg. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Event Log Service\System\Control Event Log behavior, amikor a naplófájl eléri a maximális méretét Megjegyzés: Ezt a csoportházirend-elérési utat az "EventLog.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ez a beállítás eredetileg a Régi események megőrzése nevet kapta, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.27.4.1	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
Rendszer: Adja meg a naplófájl maximális méretét (KB) _{(CCE-36092-5)}	Leírás: Ez a házirend-beállítás a naplófájl maximális méretét adja meg kilobájtban. Ha engedélyezi ezt a házirend-beállítást, beállíthatja, hogy a naplófájl maximális mérete 1 megabájt (1024 kilobájt) és 2 terabájt (2 147 483 647 kilobájt) között legyen kilobájtos növekményekben. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a naplófájl maximális mérete a helyileg konfigurált értékre lesz állítva. Ezt az értéket a helyi rendszergazda módosíthatja a Napló tulajdonságai párbeszédpanelen, és alapértelmezés szerint 20 megabájtra. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled: 32,768 or greater`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Event Log Service\System\Adja meg a maximális naplófájlméretet (KB) Megjegyzés: Ezt a csoportházirend-elérési utat az "EventLog.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. 2. megjegyzés: A régebbi Microsoft Windows Rendszergazda istrative sablonokban ezt a beállítást eredetileg Maximális naplóméret (KB) néven nevezték el, de a Windows 8.0 & Server 2012 (nem R2) Rendszergazda istrative sablonoktól kezdve átnevezték. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.27.4.2	>= 32768 _{(Beállításjegyzék)}	Critical
Az alkalmazáskompatibilitási program leltárát meg kell akadályozni az adatok gyűjtésében és a Microsoftnak való elküldésében. _{(AZ-WIN-73543)}	Leírás: Egyes funkciók kommunikálhatnak a szállítóval, rendszerinformációkat küldhetnek, vagy adatokat vagy összetevőket tölthetnek le a szolgáltatáshoz. A funkció kikapcsolása megakadályozza, hogy a potenciálisan bizalmas információk a vállalaton kívülre érkezhessenek, és megakadályozza a rendszer ellenőrizetlen frissítéseit. Ez a beállítás megakadályozza, hogy a programleltár adatokat gyűjtsön a rendszerről, és elküldje az adatokat a Microsoftnak. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartománytag Csoportházirend elérési útja: Számítógép konfigurációja\Rendszergazda istrative Templates\Windows Components\Application Compatibility\Off Inventory Collector Megfelelőségi standard leképezések:	= 1 _{(Beállításjegyzék)}	Tájékoztató
Automatikus lejátszás kikapcsolása _{(CCE-36875-3)}	Leírás: Az automatikus lejátszás azonnal elindul a meghajtóról, amint médiatartalmat szúr be a meghajtóba, ami miatt a programok vagy hanganyagok telepítőfájlja azonnal elindul. A támadó ezzel a funkcióval elindíthat egy programot, amely kárt okoz a számítógépen vagy az adatokban. Az Automatikus lejátszás kikapcsolása beállítás engedélyezéséhez tiltsa le az automatikus lejátszás funkciót. Az automatikus lejátszás alapértelmezés szerint le van tiltva bizonyos cserélhető meghajtótípusokon, például hajlékonylemezeken és hálózati meghajtókon, de CD-ROM-meghajtókon nem. Megjegyzés: Ezzel a házirend-beállítással nem engedélyezheti az automatikus lejátszást azon számítógép-meghajtókon, amelyeken alapértelmezés szerint le van tiltva, például hajlékonylemez és hálózati meghajtók esetén. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled: All drives`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\AutoPlay Policies\Off Autoplay Megjegyzés: Ezt a csoportházirend-elérési utat az "AutoPlay.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.8.3	= 255 _{(Beállításjegyzék)}	Critical
Az Adatvégrehajtás-megelőzés kikapcsolása az Explorerben _{(CCE-37809-1)}	Leírás: Az adatvégrehajtás megelőzésének letiltása lehetővé teszi, hogy bizonyos régi beépülő modulok az Explorer leállítása nélkül működjenek. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Megjegyzés: Előfordulhat, hogy egyes régi beépülő modulok és egyéb szoftverek nem működnek az adatvégrehajtás megelőzésével, és kivételt kell meghatározni az adott beépülő modulhoz/szoftverhez. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention Operációs rendszer: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Fájlkezelő\Az Explorer adatvégrehajtás-megelőzésének kikapcsolása Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 7 & Server 2008 R2 Rendszergazda istrative sablonok (vagy újabb) részét képező csoportházirend-sablon `Explorer.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
A halomvégzítés kikapcsolása sérülés esetén _{(CCE-36660-9)}	Leírás: Ha nem szűnik meg a halomvégzítés sérülése, előfordulhat, hogy a régi beépülő modulalkalmazások továbbra is működnie kell, ha egy Fájlkezelő-munkamenet sérült. Ha a halomvégzítés aktív a sérülés esetén, az megakadályozza ezt. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Fájlkezelő\A halom leállásának kikapcsolása sérülés esetén Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `Explorer.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Critical
A Microsoft felhasználói élményének kikapcsolása _{(AZ-WIN-00144)}	Leírás: Ez a házirend-beállítás kikapcsolja azokat a szolgáltatásokat, amelyek segítségével a felhasználók a lehető legtöbbet hozhatják ki eszközeikből és Microsoft-fiókjukból. Ha engedélyezi ezt a házirend-beállítást, a felhasználók többé nem fogják látni a Microsoft személyre szabott javaslatait és a Microsoft-fiókjukkal kapcsolatos értesítéseket. Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a felhasználók javaslatokat láthatnak a Microsofttól, és értesítést kaphatnak a Microsoft-fiókjukról. Megjegyzés: Ez a beállítás csak nagyvállalati és oktatási termékváltozatokra vonatkozik. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Cloud Content\A Microsoft felhasználói élményének kikapcsolása Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a "CloudContent.admx/adml" csoportházirend-sablon biztosítja, amely a Microsoft Windows 10 Release 1511 Rendszergazda istrative Templates (vagy újabb) része. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.14.2	Nem létezik vagy = 1 _{(Beállításjegyzék)}	Figyelmeztetés
A shell protokoll által védett üzemmód kikapcsolása _{(CCE-36809-2)}	Leírás: Ezzel a házirend-beállítással konfigurálhatja a rendszerhéjprotokoll funkcióinak mennyiségét. A protokollalkalmazások teljes funkcionalitásának használatakor mappákat nyithatnak meg és fájlokat indíthatnak el. A védett mód csökkenti a protokoll funkcióit, így az alkalmazások csak korlátozott számú mappát nyitnak meg. Az alkalmazások nem tudnak fájlokat megnyitni ezzel a protokollal, ha védett módban vannak. A Windows biztonságának növelése érdekében ajánlott ezt a protokollt védett módban hagyni. Ennek a beállításnak a javasolt állapota a következő: `Disabled`. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior Operációs rendszer: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Disabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Fájlkezelő\A rendszerhéjprotokoll védett üzemmódjának kikapcsolása Megjegyzés: Ezt a csoportházirend-elérési utat a Microsoft Windows Rendszergazda istrative sablonok minden verziójában megtalálható csoportházirend-sablon `WindowsExplorer.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
Viselkedésfigyelés bekapcsolása _{(AZ-WIN-00178)}	Leírás: Ez a házirend-beállítás lehetővé teszi a viselkedésfigyelés konfigurálását. Ha engedélyezi vagy nem konfigurálja ezt a beállítást, a viselkedésfigyelés engedélyezve lesz. Ha letiltja ezt a beállítást, a viselkedés figyelése le lesz tiltva. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows Defender\Valós idejű védelem\DisableBehaviorMonitoring Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Ha gp-en keresztül szeretné létrehozni az ajánlott konfigurációt, állítsa a következő felhasználói felület elérési útját a következőre `Enabled`: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows Defender Antivirus\Valós idejű védelem\Viselkedésfigyelés bekapcsolása Megjegyzés: Ez a csoportházirend-elérési út alapértelmezés szerint nem létezik. Ezt a Microsoft Windows 8.1 & Server 2012 R2 Rendszergazda istrative sablonok (vagy újabb) részét képező csoportházirend-sablon `WindowsDefender.admx/adml` biztosítja. Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3	Nem létezik, vagy = 0 _{(Beállításjegyzék)}	Figyelmeztetés
A PowerShell-szkriptblokkok naplózásának bekapcsolása _{(AZ-WIN-73591)}	Leírás: Ez a házirend-beállítás lehetővé teszi az összes PowerShell-szkript bemenetének naplózását az `Applications and Services Logs\Microsoft\Windows\PowerShell\Operational` eseménynapló-csatornára. Ennek a beállításnak a javasolt állapota a következő: `Enabled`. Megjegyzés: Ha engedélyezve van a szkriptblokk meghívásának indítása/leállítása (a beállításmező be van jelölve), a PowerShell további eseményeket naplóz, amikor parancsot, szkriptblokkot, függvényt vagy szkriptet hív meg vagy leáll. A beállítás engedélyezése nagy mennyiségű eseménynaplót generál. A CIS szándékosan úgy döntött, hogy nem tesz javaslatot erre a lehetőségre, mivel nagy mennyiségű eseményt hoz létre. Ha egy szervezet úgy dönt, hogy engedélyezi az opcionális beállítást (bejelölve), az is megfelel a teljesítménytesztnek. Kulcs elérési útja: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging Operációs rendszer: WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő, munkacsoporttag Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Rendszergazda istrative Templates\Windows Components\Windows PowerShell\Kapcsolja be a PowerShell-szkript blokknaplózását Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1	= 1 _{(Beállításjegyzék)}	Fontos

Windows Gépház – Biztonsági Gépház

Név _{(azonosító)}	Részletek	Várt érték _(Típus)	Severity
Adjust memory quotas for a process _{(CCE-10849-8)}	Leírás: Ez a házirend-beállítás lehetővé teszi a felhasználó számára, hogy a folyamat számára elérhető maximális memóriamennyiséget módosítsa. A memóriakvóták módosításának lehetősége hasznos a rendszerhangoláshoz, de vissza lehet élni vele. Rossz kezekben használható szolgáltatásmegtagadási (DoS-) támadás indítására. Ennek a beállításnak a javasolt állapota a következő: `Administrators, LOCAL SERVICE, NETWORK SERVICE`. Megjegyzés: A webkiszolgálói (IIS)-szerepkört webkiszolgálói szerepkörrel rendelkező tagkiszolgáló különleges kivételt igényel a javaslattól, hogy az IIS-alkalmazáskészlet(ek) megkapják ezt a felhasználói jogosultságot. 2. megjegyzés: A Telepített Microsoft SQL Serverrel rendelkező tagkiszolgálók különleges kivételt igényelnek a javaslattól, hogy további SQL által létrehozott bejegyzéseket is megkapjon a felhasználó. Kulcs elérési útja: [Privilege Rights]SeIncreaseQuotaPrivilege Operációs rendszer: WS2012, WS2012R2, WS2016, WS2019, WS2022 Kiszolgáló típusa: Tartományvezérlő, tartományvezérlő Csoportházirend elérési útja: Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése\Memóriakvóták beállítása egy folyamathoz Megfelelőségi standard leképezések: Névplatformazonosítója CIS WS2022 2.2.6 CIS WS2019 2.2.6	<= Rendszergazda istrators, Local Service, Network Service _{(Szabályzat)}	Figyelmeztetés

Megjegyzés:

Az Azure Policy adott vendégkonfigurációs beállításainak elérhetősége az Azure Governmentben és más nemzeti felhőkben eltérő lehet.

További lépések

További cikkek az Azure Policyról és a vendégkonfigurációról:

Azure Policy-vendégkonfiguráció.
A jogszabályi megfelelőség áttekintése.
Tekintse át az Azure Policy-minták egyéb példáit.
A Szabályzatok hatásainak ismertetése.
Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.