Garis besar keamanan Windows

Artikel
12/08/2023

Artikel ini merinci pengaturan konfigurasi untuk tamu Windows sebagaimana berlaku dalam implementasi berikut:

[Pratinjau]: Mesin Windows harus memenuhi persyaratan untuk dasar keamanan komputasi Azure definisi konfigurasi tamu Azure Policy
Kerentanan dalam konfigurasi keamanan di komputer Anda harus diperbaiki di Azure Security Center

Untuk informasi selengkapnya, lihat Konfigurasi mesin Azure Automanage.

Penting

Konfigurasi tamu Azure Policy hanya berlaku untuk Windows Server SKU dan Azure Stack SKU. Ini tidak berlaku untuk komputasi pengguna akhir seperti SKU Windows 10 dan Windows 11.

Kebijakan Akun-Kebijakan Kata Sandi

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Durasi Penguncian Akun _{(AZ-WIN-73312)}	Deskripsi: Pengaturan kebijakan ini menentukan lamanya waktu yang harus dilewati sebelum akun terkunci tidak terkunci dan pengguna dapat mencoba masuk lagi. Pengaturan melakukan ini dengan menentukan jumlah menit akun yang dikunci akan tetap tidak tersedia. Jika nilai untuk pengaturan kebijakan ini dikonfigurasi ke 0, akun yang dikunci akan tetap terkunci sampai administrator membuka kuncinya secara manual. Meskipun mungkin tampak seperti ide yang baik untuk mengonfigurasi nilai untuk pengaturan kebijakan ini ke nilai tinggi, konfigurasi seperti itu kemungkinan akan meningkatkan jumlah panggilan yang diterima staf dukungan untuk membuka kunci akun yang dikunci secara tidak sengaja. Pengguna harus menyadari lamanya waktu kunci tetap ada, sehingga mereka menyadari bahwa mereka hanya perlu memanggil staf dukungan jika mereka memiliki kebutuhan yang sangat mendesak untuk mendapatkan kembali akses ke komputer mereka. Status yang disarankan untuk pengaturan ini adalah: `15 or more minute(s)`. Catatan: Pengaturan Kebijakan Kata Sandi (bagian 1.1) dan pengaturan Kebijakan Penguncian Akun (bagian 1.2) harus diterapkan melalui GPO Kebijakan Domain Default agar berlaku secara global pada akun pengguna domain sebagai perilaku default mereka. Jika pengaturan ini dikonfigurasi di GPO lain, pengaturan tersebut hanya akan memengaruhi akun pengguna lokal di komputer yang menerima GPO. Namun, pengecualian kustom untuk kebijakan kata sandi default dan aturan kebijakan penguncian akun untuk pengguna domain dan/atau grup tertentu dapat ditentukan menggunakan Kata Sandi Pengaturan Objek (PSO), yang sepenuhnya terpisah dari Kebijakan Grup dan paling mudah dikonfigurasi menggunakan Pusat Administratif Direktori Aktif. Jalur Kunci: [System Access]LockoutDuration OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Akun\Kebijakan Penguncian Akun\Durasi penguncian akun Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 1.2.1 CIS WS2019 1.2.1	>= 15 _{(Azure Policy)}	Peringatan

Templat Administratif - Windows Defender

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengonfigurasi deteksi untuk aplikasi yang berpotensi tidak diinginkan _{(AZ-WIN-202219)}	Deskripsi: Pengaturan kebijakan ini mengontrol deteksi dan tindakan untuk Aplikasi yang Berpotensi Tidak Diinginkan (PUA), yang merupakan bunder aplikasi yang tidak diinginkan yang licik atau aplikasi yang dibundel, yang dapat mengirimkan adware atau malware. Status yang disarankan untuk pengaturan ini adalah: `Enabled: Block`. Untuk informasi selengkapnya, lihat tautan ini: Memblokir aplikasi yang kemungkinan tidak diinginkan dengan Antivirus Microsoft Defender \| Microsoft Docs Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\Windows Components\Antivirus Microsoft Defender\Configure detection for potentially unwanted applications Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15	= 1 _(Registri)	Kritis
Pindai semua file dan lampiran yang diunduh _{(AZ-WIN-202221)}	Deskripsi: Pengaturan kebijakan ini mengonfigurasi pemindaian untuk semua file dan lampiran yang diunduh. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\Windows Components\Antivirus Microsoft Defender\Real-Time Protection\Scan all downloaded files and attachments Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1	=0 _(Registri)	Peringatan
Menonaktifkan Antivirus Microsoft Defender _{(AZ-WIN-202220)}	Deskripsi: Pengaturan kebijakan ini menonaktifkan Antivirus Microsoft Defender. Jika pengaturan dikonfigurasi ke Dinonaktifkan, Antivirus Microsoft Defender berjalan dan komputer dipindai untuk malware dan perangkat lunak lain yang kemungkinan tidak diinginkan. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\Windows Components\Antivirus Microsoft Defender\Turn off Microsoft Defender AntiVirus Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16	=0 _(Registri)	Kritis
Menonaktifkan perlindungan real-time _{(AZ-WIN-202222)}	Deskripsi: Pengaturan kebijakan ini mengonfigurasi permintaan perlindungan real time untuk deteksi malware yang diketahui. Antivirus Microsoft Defender memperingatkan Anda ketika malware atau perangkat lunak yang berpotensi tidak diinginkan mencoba menginstal dirinya sendiri atau untuk berjalan di komputer Anda. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\Windows Components\Antivirus Microsoft Defender\Real-Time Protection\Turn off real-time protection Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2	=0 _(Registri)	Peringatan
Mengaktifkan pemindaian email _{(AZ-WIN-202218)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengonfigurasi pemindaian email. Ketika pemindaian email diaktifkan, mesin akan mengurai kotak surat dan file email, sesuai dengan format spesifiknya, untuk menganalisis isi surat dan lampiran. Beberapa format email saat ini didukung, misalnya: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Antivirus Microsoft Defender\Pindai\Aktifkan pemindaian email Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2	=0 _(Registri)	Peringatan
Mengaktifkan pemindaian skrip _{(AZ-WIN-202223)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pemindaian skrip diaktifkan/dinonaktifkan. Pemindaian skrip mencegat skrip kemudian memindainya sebelum dijalankan pada sistem. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Antivirus Microsoft Defender\Perlindungan Real-Time\Aktifkan pemindaian skrip Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4	=0 _(Registri)	Peringatan

Templat Administratif - Panel Kontrol

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Izinkan Personalisasi Input _{(AZ-WIN-00168)}	Deskripsi: Kebijakan ini memungkinkan komponen pembelajaran otomatis dari personalisasi input yang mencakup ucapan, penintaan, dan pengetikan. Pembelajaran otomatis memungkinkan pengumpulan pola ucapan dan tulisan tangan, riwayat pengetikan, kontak, dan informasi kalender terbaru. Diperlukan untuk penggunaan Cortana. Beberapa informasi yang dikumpulkan ini mungkin disimpan di OneDrive pengguna, dalam kasus tinta dan pengetikan; beberapa informasi akan diunggah ke Microsoft untuk mempersonalisasi ucapan. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Panel Kontrol\Opsi Regional dan Bahasa\Izinkan pengguna mengaktifkan layanan pengenalan ucapan online Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup Globalization.admx/adml yang disertakan dengan Templat Administratif Microsoft Windows 10 RTM (Rilis 1507) (atau yang lebih baru). Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Izinkan personalisasi input, tetapi diganti namanya menjadi Izinkan pengguna mengaktifkan layanan pengenalan ucapan online yang dimulai dengan Templat Administratif Windows 10 R1809 & Server 2019. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.1.2.2	=0 _(Registri)	Peringatan

Templat Administratif - Panduan Keamanan MS

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Menonaktifkan klien SMB v1 (menghapus dependensi pada LanmanWorkstation) _{(AZ-WIN-00122)}	Deskripsi: SMBv1 adalah protokol warisan yang menggunakan algoritma MD5 sebagai bagian dari SMB. MD5 diketahui rentan terhadap sejumlah serangan seperti tabrakan dan serangan preimage serta tidak sesuai fips. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService OS: WS2008, WS2008R2, WS2012 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Templat Administratif\Panduan Keamanan MS\Konfigurasikan driver klien SMBv1 Pemetaan Standar Kepatuhan:	Tidak ada atau = Bowser\0MRxSmb20\0NSI\0\0 _(Registri)	Kritis
Autentikasi WDigest _{(AZ-WIN-73497)}	Deskripsi: Ketika autentikasi WDigest diaktifkan, Lsass.exe menyimpan salinan kata sandi teks biasa pengguna dalam memori, di mana dapat berisiko pencurian. Jika pengaturan ini tidak dikonfigurasi, autentikasi WDigest dinonaktifkan di Windows 8.1 dan di Windows Server 2012 R2; ini diaktifkan secara default di versi Windows dan Windows Server yang lebih lama. Untuk informasi selengkapnya tentang akun lokal dan pencurian kredensial, tinjau dokumen "Mitigasi Serangan Pass-the-Hash (PtH) dan Teknik Pencurian Kredensial Lainnya". Untuk informasi selengkapnya tentang `UseLogonCredential`, lihat artikel Microsoft Knowledge Base 2871997: Pembaruan Penasihat Keamanan Microsoft untuk meningkatkan perlindungan dan manajemen kredensial 13 Mei 2014. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential OS: WS2016, WS2019 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Panduan Keamanan MS\Autentikasi WDigest (penonaktifan mungkin memerlukan KB2871997) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.3.7 CIS WS2019 18.3.7	=0 _(Registri)	Penting

Templat Administratif - MSS

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
MSS: (DisableIPSourceRouting IPv6) Tingkat perlindungan perutean sumber IP (melindungi dari spoofing paket) _{(AZ-WIN-202213)}	Deskripsi: Perutean sumber IP adalah mekanisme yang memungkinkan pengirim menentukan rute IP yang harus diikuti datagram melalui jaringan. Status yang disarankan untuk pengaturan ini adalah: `Enabled: Highest protection, source routing is completely disabled`. Jalur Kunci: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\MSS (Warisan)\MSS: (DisableIPSourceRouting IPv6) Tingkat perlindungan perutean sumber IP (melindungi dari spoofing paket) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.4.2 CIS WS2019 18.4.2	= 2 _(Registri)	Informasi
MSS: (DisableIPSourceRouting) Tingkat perlindungan perutean sumber IP (melindungi dari spoofing paket) _{(AZ-WIN-202244)}	Deskripsi: Perutean sumber IP adalah mekanisme yang memungkinkan pengirim menentukan rute IP yang harus diambil datagram melalui jaringan. Disarankan untuk mengonfigurasi pengaturan ini ke Tidak Ditentukan untuk lingkungan perusahaan dan ke Perlindungan Tertinggi untuk lingkungan keamanan tinggi untuk sepenuhnya menonaktifkan perutean sumber. Status yang disarankan untuk pengaturan ini adalah: `Enabled: Highest protection, source routing is completely disabled`. Jalur Kunci: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\MSS (Warisan)\MSS: (DisableIPSourceRouting) Tingkat perlindungan perutean sumber IP (melindungi dari spoofing paket) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.4.3 CIS WS2019 18.4.3	= 2 _(Registri)	Informasi
MSS: (NoNameReleaseOnDemand) Izinkan komputer mengabaikan permintaan rilis nama NetBIOS kecuali dari server WINS _{(AZ-WIN-202214)}	Deskripsi: NetBIOS melalui TCP/IP adalah protokol jaringan yang antara lain menyediakan cara untuk dengan mudah menyelesaikan nama NetBIOS yang terdaftar pada sistem berbasis Windows ke alamat IP yang dikonfigurasi pada sistem tersebut. Pengaturan ini menentukan apakah komputer merilis nama NetBIOS ketika menerima permintaan rilis nama. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\MSS (Warisan)\MSS: (NoNameReleaseOnDemand) Izinkan komputer mengabaikan permintaan rilis nama NetBIOS kecuali dari server WINS Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.4.6 CIS WS2019 18.4.6	= 1 _(Registri)	Informasi
MSS: (SafeDllSearchMode) Aktifkan mode pencarian DLL Aman (disarankan) _{(AZ-WIN-202215)}	Deskripsi: Urutan pencarian DLL dapat dikonfigurasi untuk mencari DLL yang diminta dengan menjalankan proses dengan salah satu dari dua cara: - Cari folder yang ditentukan di jalur sistem terlebih dahulu, lalu cari folder kerja saat ini. - Cari folder kerja saat ini terlebih dahulu, lalu cari folder yang ditentukan di jalur sistem. Saat diaktifkan, nilai registri diatur ke 1. Dengan pengaturan 1, sistem terlebih dahulu mencari folder yang ditentukan di jalur sistem lalu mencari folder kerja saat ini. Ketika dinonaktifkan, nilai registri diatur ke 0 dan sistem terlebih dahulu mencari folder kerja saat ini lalu mencari folder yang ditentukan di jalur sistem. Aplikasi akan dipaksa untuk mencari DLL di jalur sistem terlebih dahulu. Untuk aplikasi yang memerlukan versi unik DARI DLL ini yang disertakan dengan aplikasi, entri ini dapat menyebabkan masalah performa atau stabilitas. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Catatan: Informasi selengkapnya tentang cara kerja mode pencarian DLL Brankas tersedia di tautan ini: Urutan Pencarian Pustaka Dynamic-Link - Aplikasi Windows \| Microsoft Docs Jalur Kunci: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\MSS (Warisan)\MSS: (Brankas DllSearchMode) Aktifkan mode pencarian DLL Brankas (disarankan) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.4.8 CIS WS2019 18.4.8	= 1 _(Registri)	Peringatan
MSS: (WarningLevel) Ambang persentase untuk log peristiwa keamanan di mana sistem akan menghasilkan peringatan _{(AZ-WIN-202212)}	Deskripsi: Pengaturan ini dapat menghasilkan audit keamanan di log Peristiwa keamanan saat log mencapai ambang batas yang ditentukan pengguna. Status yang disarankan untuk pengaturan ini adalah: `Enabled: 90% or less`. Catatan: Jika pengaturan log dikonfigurasi untuk Menimpa peristiwa sesuai kebutuhan atau Menimpa peristiwa yang lebih lama dari x hari, kejadian ini tidak akan dihasilkan. Jalur Kunci: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\MSS (Warisan)\MSS: (WarningLevel) Ambang persentase untuk log peristiwa keamanan di mana sistem akan menghasilkan peringatan Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.4.12 CIS WS2019 18.4.12	<= 90 _(Registri)	Informasi
Windows Server harus dikonfigurasi untuk mencegah pengalihan Internet Control Message Protocol (ICMP) mengesampingkan rute yang dihasilkan Open Shortest Path First (OSPF). _{(AZ-WIN-73503)}	Deskripsi: Pengalihan Internet Control Message Protocol (ICMP) menyebabkan tumpukan IPv4 ke rute host pipa. Rute ini mengambil alih rute yang dihasilkan Open Shortest Path First (OSPF). Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\MSS (Warisan)\MSS: (EnableICMPRedirect) Izinkan pengalihan ICMP untuk mengambil alih rute yang dihasilkan OSPF Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.4.4 CIS WS2019 18.4.4	=0 _(Registri)	Informasi

Templat Administratif - Jaringan

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaktifkan log masuk tamu yang tidak aman _{(AZ-WIN-00171)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah klien SMB akan mengizinkan tamu yang tidak aman masuk ke server SMB. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth OS: WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif etwork\Lanman Workstation\Aktifkan logon tamu yang tidak aman Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'LanmanWorkstation.admx/adml' yang disertakan dengan Templat Administratif Rilis Microsoft Windows 10 1511 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1	=0 _(Registri)	Kritis
Jalur UNC yang Diperketat - NETLOGON _{(AZ_WIN_202250)}	Deskripsi: Pengaturan kebijakan ini mengonfigurasi akses aman ke jalur UNC Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\\NETLOGON OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur* Kebijakan Grup: Konfigurasi Komputer\Templat Administratif\Jaringan\Penyedia Jaringan\Jalur UNC diperkeras Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1, RequireIntegrity=1 _(Registri)	Peringatan
Jalur UNC yang Diperketat - SYSVOL _{(AZ_WIN_202251)}	Deskripsi: Pengaturan kebijakan ini mengonfigurasi akses aman ke jalur UNC Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\\SySVOL OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur* Kebijakan Grup: Konfigurasi Komputer\Templat Administratif\Jaringan\Penyedia Jaringan\Jalur UNC diperkeras Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1, RequireIntegrity=1 _(Registri)	Peringatan
Meminimalkan jumlah sambungan simultan ke Internet atau Domain Windows _{(CCE-38338-0)}	Deskripsi: Pengaturan kebijakan ini mencegah komputer terhubung ke jaringan berbasis domain dan jaringan berbasis non-domain secara bersamaan. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled: 3 = Prevent Wi-Fi when on Ethernet`: Konfigurasi Komputer\Kebijakan\Templat Administratif etwork\Windows Pengelola Sambungan\Minimalkan jumlah koneksi simultan ke Internet atau Domain Windows Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'WCM.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2). Ini diperbarui dengan sub-pengaturan Opsi Kebijakan Minimalkan baru yang dimulai dengan Templat Administratif Rilis Windows 10 1903. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.5.21.1	Tidak ada atau = 1 _(Registri)	Peringatan
Melarang penginstalan dan konfigurasi Jembatan Jaringan di jaringan domain DNS Anda _{(CCE-38002-2)}	Deskripsi: Anda dapat menggunakan prosedur ini guna mengontrol kemampuan pengguna untuk memasang dan mengonfigurasi jembatan jaringan. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Jaringan\Jaringan Koneksi ions\Melarang penginstalan dan konfigurasi Jembatan Jaringan di jaringan domain DNS Anda Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `NetworkConnections.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2	=0 _(Registri)	Peringatan
Melarang penggunaan Berbagi Sambungan Internet pada jaringan domain DNS Anda _{(AZ-WIN-00172)}	Deskripsi: Meskipun pengaturan "warisan" ini secara tradisional diterapkan pada penggunaan Berbagi Koneksi Internet (ICS) di Windows 2000, Windows XP & Server 2003, pengaturan ini sekarang baru berlaku untuk fitur Hotspot Seluler di Windows 10 & Server 2016. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif etwork etwork Koneksi ions\Melarang penggunaan Berbagi Koneksi Internet di jaringan domain DNS Anda Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'Network Koneksi ions.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.5.11.3	=0 _(Registri)	Peringatan
Mematikan resolusi nama multicast _{(AZ-WIN-00145)}	Deskripsi: LLMNR adalah protokol resolusi nama sekunder. Dengan LLMNR, kueri dikirim menggunakan multicast melalui tautan jaringan lokal pada satu subnet dari komputer klien ke komputer klien lain pada subnet yang sama yang juga mengaktifkan LLMNR. LLMNR tidak memerlukan server DNS atau konfigurasi klien DNS, dan menyediakan resolusi nama dalam skenario di mana resolusi nama DNS konvensional tidak dimungkinkan. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast OS: WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif etwork\DNS Client\Nonaktifkan resolusi nama multicast Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'DnsClient.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.5.4.2	=0 _(Registri)	Peringatan

Templat Administratif - Panduan Keamanan

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaktifkan Perlindungan Timpa Penanganan Pengecualian Terstruktur (SEHOP) _{(AZ-WIN-202210)}	Deskripsi: Windows menyertakan dukungan untuk Structured Exception Handling Overwrite Protection (SEHOP). Sebaiknya aktifkan fitur ini untuk meningkatkan profil keamanan komputer. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\MS Security Guide\Enable Structured Exception Handling Overwrite Protection (SEHOP) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.3.4 CIS WS2019 18.3.4	=0 _(Registri)	Kritis
Konfigurasi NodeType NetBT _{(AZ-WIN-202211)}	Deskripsi: Pengaturan ini menentukan metode mana yang digunakan NetBIOS melalui TCP/IP (NetBT) untuk mendaftar dan mengatasi nama. Metode yang tersedia adalah: - Metode simpul B (siaran) hanya menggunakan siaran. - Metode P-node (point-to-point) hanya menggunakan kueri nama ke server nama (WINS). - Metode M-node (campuran) disiarkan terlebih dahulu, lalu meminta server nama (WINS) jika siaran gagal. - Metode H-node (hibrid) meminta server nama (WINS) terlebih dahulu, lalu menyiarkan jika kueri gagal. Status yang disarankan untuk pengaturan ini adalah: `Enabled: P-node (recommended)` (point-to-point). Catatan: Resolusi melalui LMHOSTS atau DNS mengikuti metode ini. Jika ada `NodeType` nilai registri, nilai registri akan menimpa nilai registri apa pun `DhcpNodeType` . Jika tidak atau `NodeTypeDhcpNodeType` tidak ada, komputer menggunakan simpul B (siaran) jika tidak ada server WINS yang dikonfigurasi untuk jaringan, atau H-node (hibrid) jika setidaknya ada satu server WINS yang dikonfigurasi. Jalur Kunci: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Panduan Keamanan MS\Konfigurasi NodeType NetBT Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.3.6 CIS WS2019 18.3.6	= 2 _(Registri)	Peringatan

Templat Administratif - Sistem

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Memblokir pengguna agar tidak memperlihatkan detail akun saat masuk _{(AZ-WIN-00138)}	Deskripsi: Kebijakan ini mencegah pengguna menampilkan detail akun (alamat email atau nama pengguna) di layar masuk. Jika Anda mengaktifkan pengaturan kebijakan ini, pengguna tidak dapat memilih untuk menampilkan detail akun di layar masuk. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, pengguna dapat memilih untuk menampilkan detail akun di layar masuk. Jalur Kunci: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Masuk\Blokir pengguna agar tidak menampilkan detail akun saat masuk Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'Logon.admx/adml' yang disertakan dengan Templat Administratif Rilis Microsoft Windows 10 1607 & Server 2016 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.28.1	= 1 _(Registri)	Peringatan
Memboot-Start Azure Policy Inisialisasi _{(CCE-37912-3)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda menentukan driver boot-start mana yang diinisialisasi berdasarkan klasifikasi yang ditentukan oleh driver boot-start Antimalware Peluncuran Awal. Driver boot-start Antimalware Peluncuran Awal dapat mengembalikan klasifikasi berikut untuk setiap driver boot-start: - Bagus: Driver telah ditandatangani dan belum dirusak. - Buruk: Pengemudi telah diidentifikasi sebagai malware. Disarankan agar Anda tidak mengizinkan driver buruk yang diketahui diinisialisasi. - Buruk, tetapi diperlukan untuk boot: Driver telah diidentifikasi sebagai malware, tetapi komputer tidak dapat berhasil boot tanpa memuat driver ini. - Tidak diketahui: Driver ini belum dibuktikan oleh aplikasi deteksi malware Anda dan belum diklasifikasikan oleh driver boot-start Antimalware Peluncuran Awal. Jika Anda mengaktifkan pengaturan kebijakan ini, Anda akan dapat memilih driver boot-start mana yang akan diinisialisasi kali berikutnya komputer dimulai. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, driver boot start yang ditentukan baik, tidak dikenal atau buruk tetapi Boot Critical diinisialisasi dan inisialisasi driver yang ditentukan buruk dilewati. Jika aplikasi deteksi malware Anda tidak menyertakan driver boot-start Antimalware Peluncuran Awal atau jika driver boot-start Antimalware Peluncuran Awal Anda telah dinonaktifkan, pengaturan ini tidak berpengaruh dan semua driver boot-start diinisialisasi. Jalur Kunci: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled:Good, unknown and bad but critical`: Konfigurasi Komputer\Kebijakan\Templat Administratif\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'EarlyLaunchAM.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.14.1	Tidak ada atau = 3 _(Registri)	Peringatan
Mengonfigurasi Bantuan Jarak Jauh Penawaran _{(CCE-36388-7)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengaktifkan atau mematikan Bantuan Jarak Jauh Penawaran (Tidak Diminta) pada komputer ini. Staf bantuan dan personel dukungan tidak akan dapat secara proaktif menawarkan bantuan, meskipun mereka masih dapat menanggapi permintaan bantuan pengguna. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Bantuan Jarak Jauh\Konfigurasikan Bantuan Jarak Jauh Penawaran Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat `RemoteAssistance.admx/adml` Kebijakan Grup yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1	Tidak ada atau = 0 _(Registri)	Peringatan
Mengonfigurasi Bantuan Jarak Jauh yang Diminta _{(CCE-37281-3)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengaktifkan atau mematikan Bantuan Jarak Jauh yang Diminta (Minta) pada komputer ini. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Bantuan Jarak Jauh\Konfigurasikan Bantuan Jarak Jauh yang Diminta Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat `RemoteAssistance.admx/adml` Kebijakan Grup yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2	=0 _(Registri)	Kritis
Jangan tampilkan UI pemilihan jaringan _{(CCE-38353-9)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda untuk mengontrol apakah ada yang dapat berinteraksi dengan UI jaringan yang tersedia di layar masuk. Jika Anda mengaktifkan pengaturan kebijakan ini, status konektivitas jaringan PC tak bisa diubah tanpa masuk ke Windows. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, pengguna mana pun dapat memutuskan sambungan PC dari jaringan atau dapat menyambungkan PC ke jaringan lain yang tersedia tanpa masuk ke Windows. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Masuk\Jangan tampilkan UI pemilihan jaringan Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'Logon.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.1 & Server 2012 R2 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.28.2	= 1 _(Registri)	Peringatan
Jangan menghitung pengguna yang tersambung di komputer yang bergabung dengan domain _{(AZ-WIN-202216)}	Deskripsi: Pengaturan kebijakan ini mencegah pengguna yang terhubung dijumlahkan di komputer yang bergabung dengan domain. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Logon\Jangan menghitung pengguna yang tersambung di komputer yang bergabung dengan domain Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3	= 1 _(Registri)	Peringatan
Mengaktifkan Autentikasi Klien Pemeta Titik Akhir RPC _{(CCE-37346-4)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah klien RPC mengautentikasi dengan Layanan Pemeta Titik Akhir saat panggilan yang mereka lakukan berisi informasi autentikasi. Layanan Pemetaan Titik Akhir pada komputer yang menjalankan Windows NT4 (semua paket layanan) tidak dapat memproses informasi autentikasi yang diberikan dengan cara ini. Jika Anda menonaktifkan pengaturan kebijakan ini, klien RPC tidak akan mengautentikasi ke Layanan Pemeta Titik Akhir, tetapi mereka akan dapat berkomunikasi dengan Layanan Pemetaan Titik Akhir di Windows NT4 Server. Jika Anda mengaktifkan pengaturan kebijakan ini, klien RPC akan mengautentikasi ke Layanan Pemeta Titik Akhir untuk panggilan yang berisi informasi autentikasi. Klien yang melakukan panggilan tersebut tidak akan dapat berkomunikasi dengan Layanan Pemeta Titik Akhir Windows NT4 Server. Jika Anda tidak mengonfigurasi pengaturan kebijakan ini, maka kebijakan tersebut tetap dinon-fungsikan. Klien RPC tidak akan mengautentikasi ke Layanan Pemetaan Titik Akhir, tetapi mereka akan dapat berkomunikasi dengan Layanan Pemeta Titik Akhir Windows NT4 Server. Catatan: Kebijakan ini tidak akan diterapkan hingga sistem dimulai ulang. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Panggilan Prosedur Jarak Jauh\Aktifkan Autentikasi Klien Pemeta Titik Akhir RPC Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'RPC.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.37.1	= 1 _(Registri)	Kritis
Mengaktifkan Klien NTP Windows _{(CCE-37843-0)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah Klien Windows NTP diaktifkan. Mengaktifkan Klien Windows NTP memperbolehkan komputer Anda menyinkronkan jam komputernya dengan server NTP lainnya. Anda mungkin ingin menonaktifkan layanan ini jika Anda memutuskan untuk menggunakan penyedia waktu pihak ketiga. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Layanan Waktu Windows\Penyedia Waktu\Aktifkan Klien Windows NTP Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'W32Time.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.53.1.1	= 1 _(Registri)	Kritis
Remediasi Oracle Enkripsi untuk protokol CredSSP _{(AZ-WIN-201910)}	Deskripsi: Beberapa versi protokol CredSSP yang digunakan oleh beberapa aplikasi (seperti desktop jarak jauh Koneksi ion) rentan terhadap serangan oracle enkripsi terhadap klien. Kebijakan ini mengontrol kompatibilitas dengan klien dan server yang rentan dan memungkinkan Anda mengatur tingkat perlindungan yang diinginkan untuk kerentanan oracle enkripsi. Status yang disarankan untuk pengaturan ini adalah: `Enabled: Force Updated Clients`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle OS: WS2016, WS2019 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation\Encryption Oracle Remediation Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1	=0 _(Registri)	Kritis
Pastikan 'Konfigurasikan pemrosesan kebijakan registri: Jangan terapkan selama pemrosesan latar belakang berkala' diatur ke 'Enabled: FALSE' _{(CCE-36169-1)}	Deskripsi: Opsi "Jangan terapkan selama pemrosesan latar belakang berkala" mencegah sistem memperbarui kebijakan yang terpengaruh di latar belakang saat komputer sedang digunakan. Ketika pembaruan latar belakang dinonaktifkan, perubahan kebijakan tidak akan diterapkan sampai pengguna masuk lagi atau menghidupkan ulang sistem. Status yang disarankan untuk pengaturan ini adalah: `Enabled: FALSE` (tidak dicentang). Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`, lalu atur `Process even if the Group Policy objects have not changed` opsi ke `TRUE` (dicentang): Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Kebijakan Grup\Konfigurasikan pemrosesan kebijakan registri Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat `GroupPolicy.admx/adml` Kebijakan Grup yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2	=0 _(Registri)	Kritis
Pastikan 'Konfigurasikan pemrosesan kebijakan registri: Proses meskipun objek Kebijakan Grup tidak berubah' diatur ke 'Enabled: TRUE' _{(CCE-36169-1a)}	Deskripsi: Opsi "Proses meskipun objek Kebijakan Grup tidak berubah" memperbarui dan menerapkan kembali kebijakan meskipun kebijakan tidak berubah. Status yang disarankan untuk pengaturan ini adalah: `Enabled: TRUE` (dicentang). Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`, lalu atur opsi 'Proses meskipun objek Kebijakan Grup belum berubah' menjadi 'TRUE' (dicentang): Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Kebijakan Grup\Konfigurasikan pemrosesan kebijakan registri Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'GroupPolicy.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.21.3	=0 _(Registri)	Kritis
Memastikan 'Lanjutkan pengalaman pada perangkat ini' diatur ke 'Dinon-fungsikan' _{(AZ-WIN-00170)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah perangkat Windows diizinkan untuk berpartisipasi dalam pengalaman lintas perangkat (lanjutkan pengalaman). Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Kebijakan Grup\Lanjutkan pengalaman pada perangkat ini Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'GroupPolicy.admx/adml' yang disertakan dengan Templat Administratif Rilis Microsoft Windows 10 1607 & Server 2016 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.21.4	Tidak ada atau = 0 _(Registri)	Peringatan
Menghitung pengguna lokal di komputer yang bergabung dengan domain _{(AZ_WIN_202204)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna lokal untuk dijumlahkan pada komputer yang bergabung dengan domain. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\System\Logon\Enumerate local users on domain-joined computers Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4	Tidak ada atau = 0 _(Registri)	Peringatan
Menyertakan baris perintah dalam peristiwa pembuatan proses _{(CCE-36925-6)}	Deskripsi: Pengaturan kebijakan ini menentukan informasi apa yang dicatat dalam peristiwa audit keamanan ketika proses baru telah dibuat. Pengaturan ini hanya berlaku ketika kebijakan Pembuatan Proses Audit diaktifkan. Jika Anda mengaktifkan kebijakan ini mengatur informasi baris perintah untuk setiap proses akan dicatat dalam teks biasa dalam log peristiwa keamanan sebagai bagian dari peristiwa Pembuatan Proses Audit 4688, "proses baru telah dibuat," pada stasiun kerja dan server tempat pengaturan kebijakan ini diterapkan. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, informasi baris perintah proses tidak akan disertakan dalam peristiwa Pembuatan Proses Audit. Default: Tidak dikonfigurasi Catatan: Ketika pengaturan kebijakan ini diaktifkan, setiap pengguna dengan akses untuk membaca peristiwa keamanan akan dapat membaca argumen baris perintah untuk setiap proses yang berhasil dibuat. Argumen baris perintah dapat berisi informasi sensitif atau pribadi seperti kata sandi atau data pengguna. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Proses Audit Pembuatan\Sertakan baris perintah dalam peristiwa pembuatan proses Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'Audit Pengaturan.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.1 & Server 2012 R2 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.3.1	= 1 _(Registri)	Kritis
Mencegah pengambilan metadata perangkat dari Internet _{(AZ-WIN-202251)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mencegah Windows mengambil metadata perangkat dari Internet. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Catatan: Ini tidak akan mencegah penginstalan driver perangkat keras dasar, tetapi mencegah perangkat lunak utilitas pihak ketiga terkait diinstal secara otomatis di bawah konteks `SYSTEM` akun. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Penginstalan Perangkat\Cegah pengambilan metadata perangkat dari Internet Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2	= 1 _(Registri)	Informasi
Host jarak jauh memungkinkan delegasi kredensial yang tidak dapat diekspor _{(AZ-WIN-20199)}	Deskripsi: Host jarak jauh memungkinkan delegasi kredensial yang tidak dapat diekspor. Saat menggunakan delegasi kredensial, perangkat menyediakan versi kredensial yang dapat diekspor ke host jarak jauh. Ini mengekspos pengguna terhadap risiko pencurian kredensial dari penyerang di host jarak jauh. Fitur Mode Admin Terbatas dan Windows Defender Remote Credential Guard adalah dua opsi untuk membantu melindungi dari risiko ini. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Catatan: Informasi lebih rinci tentang Windows Defender Remote Credential Guard dan bagaimana perbandingannya dengan Mode Admin Terbatas dapat ditemukan di tautan ini: Melindungi kredensial Desktop Jauh dengan Windows Defender Remote Credential Guard (Windows 10) \| Microsoft Docs Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds OS: WS2016, WS2019 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation\Remote host memungkinkan delegasi kredensial yang tidak dapat diekspor Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2	= 1 _(Registri)	Kritis
Menonaktifkan notifikasi aplikasi di layar kunci _{(CCE-35893-7)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mencegah notifikasi aplikasi muncul di layar kunci. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Masuk\Nonaktifkan pemberitahuan aplikasi di layar kunci Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'Logon.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.28.5	= 1 _(Registri)	Peringatan
Menonaktifkan refresh latar belakang Kebijakan Grup _{(CCE-14437-8)}	Deskripsi: Pengaturan kebijakan ini mencegah Kebijakan Grup diperbarui saat komputer sedang digunakan. Pengaturan kebijakan ini berlaku untuk Kebijakan Grup untuk komputer, pengguna, dan Pengendali Domain. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Kebijakan Grup\Nonaktifkan refresh latar belakang Kebijakan Grup Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5	=0 _(Registri)	Peringatan
Mematikan pengunduhan driver cetak melalui HTTP _{(CCE-36625-2)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah komputer dapat mengunduh paket driver cetak melalui HTTP. Untuk menyiapkan pencetakan HTTP, driver printer yang tidak tersedia dalam penginstalan sistem operasi standar mungkin perlu diunduh melalui HTTP. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Sistem\Manajemen Komunikasi Internet\Pengaturan Komunikasi Internet\Nonaktifkan pengunduhan driver cetak melalui HTTP Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'ICM.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.22.1.1	= 1 _(Registri)	Peringatan
Nonaktifkan Wisaya Sambungan Internet jika sambungan URL mengacu pada Microsoft.com _{(CCE-37163-3)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah Wizard Sambungan Internet bisa tersambung ke Microsoft untuk mengunduh daftar Penyedia Layanan Internet (ISP). Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Wisaya Koneksi Internet\ExitOnMSICW OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\System\Internet Communication Management\Internet Communication settings\Turn off Internet Koneksi ion Wizard jika koneksi URL mengacu pada Microsoft.com Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'ICM.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.22.1.4	= 1 _(Registri)	Peringatan
Mengaktifkan rincian masuk PIN praktis _{(CCE-37528-7)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda untuk mengontrol apakah pengguna domain dapat masuk menggunakan PIN praktis. Di Windows 10, PIN praktis diganti dengan Paspor, yang memiliki properti keamanan yang lebih kuat. Untuk mengonfigurasi Paspor bagi pengguna domain, gunakan kebijakan di bawah Computer configuration\Administrative Templates\Windows Components\Microsoft Passport for Work. Catatan: Kata sandi domain pengguna akan di-cache di kubah sistem saat menggunakan fitur ini. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\System\Logon\Aktifkan rincian masuk PIN kenyamanan Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat `CredentialProviders.admx/adml` Kebijakan Grup yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru).Catatan 2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Aktifkan masuk PIN, tetapi diganti namanya dimulai dengan Templat Administratif Windows 10 Release 1511. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7	Tidak ada atau = 0 _(Registri)	Peringatan

Templat Administratif - Komponen Windows

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Menonaktifkan konten status akun konsumen cloud _{(AZ-WIN-202217)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah konten status akun konsumen cloud diizinkan di semua pengalaman Windows. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Konten Cloud\Nonaktifkan konten status akun konsumen cloud Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1	= 1 _(Registri)	Peringatan

Templat Administratif - Komponen Windows

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Jangan izinkan pengalihan drive _{(AZ-WIN-73569)}	Deskripsi: Pengaturan kebijakan ini mencegah pengguna berbagi drive lokal di komputer klien mereka ke Server Desktop Jauh yang mereka akses. Drive yang dipetakan muncul di pohon folder sesi di Windows Explorer dalam format berikut: `\\TSClient\<driveletter>$` Jika drive lokal dibagikan, drive tersebut dibiarkan rentan terhadap penyusup yang ingin mengeksploitasi data yang disimpan di dalamnya. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Desktop Jarak Jauh\Host Sesi Desktop Jarak Jauh\Perangkat dan Pengalihan Sumber Daya\Jangan izinkan pengalihan drive Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2	= 1 _(Registri)	Peringatan
Mengaktifkan Transkripsi PowerShell _{(AZ-WIN-202208)}	Deskripsi: Pengaturan Kebijakan ini memungkinkan Anda mengambil input dan output perintah Windows PowerShell ke dalam transkrip berbasis teks. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Windows PowerShell\Aktifkan Transkripsi PowerShell Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2	=0 _(Registri)	Peringatan

Templat Administratif - Keamanan Windows

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mencegah pengguna mengubah pengaturan _{(AZ-WIN-202209)}	Deskripsi: Pengaturan kebijakan ini mencegah pengguna membuat perubahan pada area Pengaturan perlindungan eksploitasi di pengaturan Keamanan Windows. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\Windows Components\Keamanan Windows\App and browser protection\Prevent users from moding settings Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1	= 1 _(Registri)	Peringatan

Templat administratif - Windows Defender

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengonfigurasi aturan Pengurangan Permukaan Serangan _{(AZ_WIN_202205)}	Deskripsi: Pengaturan kebijakan ini mengontrol status untuk aturan Attack Surface Reduction (ASR). Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\Windows Components\Antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Attack Surface Reduction\Configure Attack Surface Reduction rules Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1	= 1 _(Registri)	Peringatan
Mencegah pengguna dan aplikasi mengakses situs berbahaya _{(AZ_WIN_202207)}	Deskripsi: Pengaturan kebijakan ini mengontrol perlindungan jaringan Microsoft Defender Exploit Guard. Status yang disarankan untuk pengaturan ini adalah: `Enabled: Block`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\Windows Components\Antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Network Protection\Prevent users and apps from accessing dangerous websites Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1	= 1 _(Registri)	Peringatan

Mengaudit Manajemen Akun Komputer

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit Manajemen Akun Komputer _{(CCE-38004-8)}	Deskripsi: Subkataan ini melaporkan setiap peristiwa manajemen akun komputer, seperti saat akun komputer dibuat, diubah, dihapus, diganti namanya, dinonaktifkan, atau diaktifkan. Peristiwa untuk subkataan ini meliputi: - 4741: Akun komputer dibuat. - 4742: Akun komputer diubah. - 4743: Akun komputer dihapus. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Success`. Jalur Kunci: {0CCE9236-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Computer Account Management Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.2.2 CIS WS2019 17.2.2	= Berhasil _(Audit)	Kritis

Inti Aman

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaktifkan perlindungan DMA boot _{(AZ-WIN-202250)}	Deskripsi: Server berkemampuan secured-core mendukung firmware sistem yang memberikan perlindungan terhadap serangan Direct Memory Access (DMA) berbahaya dan tidak diinginkan untuk semua perangkat berkemampuan DMA selama proses boot. Jalur Kunci: BootDMAProtection OSEx: WSASHCI22H2 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: NA Pemetaan Standar Kepatuhan:	= 1 _(OsConfig)	Kritis
Mengaktifkan integritas kode yang diberlakukan hypervisor _{(AZ-WIN-202246)}	Deskripsi: HVCI dan VBS meningkatkan model ancaman Windows dan memberikan perlindungan yang lebih kuat terhadap malware yang mencoba mengeksploitasi Windows Kernel. HVCI adalah komponen penting yang melindungi dan mengeraskan lingkungan virtual terisolasi yang dibuat oleh VBS dengan menjalankan integritas kode mode kernel di dalamnya dan membatasi alokasi memori kernel yang dapat digunakan untuk membahayakan sistem. Jalur Kunci: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: NA Pemetaan Standar Kepatuhan:	=0 _(OsConfig)	Kritis
Mengaktifkan boot aman _{(AZ-WIN-202248)}	Deskripsi: Boot aman adalah standar keamanan yang dikembangkan oleh anggota industri PC untuk membantu memastikan bahwa boot perangkat hanya menggunakan perangkat lunak yang dipercaya oleh Original Equipment Manufacturer (OEM). Jalur Kunci: SecureBootState OSEx: WSASHCI22H2 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: NA Pemetaan Standar Kepatuhan:	= 1 _(OsConfig)	Kritis
Mengaktifkan penjaga sistem _{(AZ-WIN-202247)}	Deskripsi: Menggunakan dukungan prosesor untuk teknologi Dynamic Root of Trust of Measurement (DRTM), System Guard menempatkan firmware dalam kotak pasir berbasis perangkat keras yang membantu membatasi dampak kerentanan dalam jutaan baris kode firmware yang sangat istimewa. Jalur Kunci: SystemGuardStatus OSEx: WSASHCI22H2 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: NA Pemetaan Standar Kepatuhan:	=0 _(OsConfig)	Kritis
Mengaktifkan keamanan berbasis virtualisasi _{(AZ-WIN-202245)}	Deskripsi: Keamanan berbasis virtualisasi, atau VBS, menggunakan fitur virtualisasi perangkat keras untuk membuat dan mengisolasi wilayah memori yang aman dari sistem operasi normal. Ini membantu memastikan bahwa server tetap dikhususkan untuk menjalankan beban kerja penting dan membantu melindungi aplikasi dan data terkait dari serangan dan penyelundupan. VBS diaktifkan dan dikunci secara default di Azure Stack HCI. Jalur Kunci: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: NA Pemetaan Standar Kepatuhan:	=0 _(OsConfig)	Kritis
Mengatur versi TPM _{(AZ-WIN-202249)}	Deskripsi: Teknologi Trusted Platform Module (TPM) dirancang untuk menyediakan fungsi terkait keamanan berbasis perangkat keras. TPM2.0 diperlukan untuk fitur Secured-core. Jalur Kunci: TPMVersion OSEx: WSASHCI22H2 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: NA Pemetaan Standar Kepatuhan:	Berisi 2.0 _(OsConfig)	Kritis

Opsi Keamanan - Akun

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Akun: Memblokir akun Microsoft _{(AZ-WIN-202201)}	Deskripsi: Pengaturan kebijakan ini mencegah pengguna menambahkan akun Microsoft baru di komputer ini. Status yang disarankan untuk pengaturan ini adalah: `Users can't add or log on with Microsoft accounts`. Jalur Kunci: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Akun: Blokir akun Microsoft Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2	= 3 _(Registri)	Peringatan
Akun: Status akun tamu _{(CCE-37432-2)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah akun Tamu diaktifkan atau dinonaktifkan. Akun Tamu memungkinkan pengguna jaringan yang tidak diautentikasi untuk mendapatkan akses ke sistem. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Catatan: Pengaturan ini tidak akan berdampak ketika diterapkan ke unit organisasi pengendali domain melalui kebijakan grup karena pengendali domain tidak memiliki database akun lokal. Ini dapat dikonfigurasi di tingkat domain melalui kebijakan grup, mirip dengan penguncian akun dan pengaturan kebijakan kata sandi. Jalur Kunci: [System Access]EnableGuestAccount OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Akun: Status akun tamu Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3	=0 _{(Azure Policy)}	Kritis
Akun: Batasi penggunaan kata sandi kosong oleh akun lokal hanya untuk konsol masuk _{(CCE-37615-2)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah akun lokal yang tidak dilindungi kata sandi dapat digunakan untuk masuk dari lokasi selain konsol komputer fisik. Jika Anda memfungsikan pengaturan kebijakan ini, maka akun lokal yang memiliki sandi kosong takkan bisa masuk ke jaringan dari komputer klien jauh. Akun tersebut hanya akan dapat masuk di keyboard komputer. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Akun: Batasi penggunaan akun lokal kata sandi kosong hanya untuk masuk konsol Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4	Tidak ada atau = 1 _(Registri)	Kritis
Akun: Mengganti nama akun tamu _{(AZ-WIN-202255)}	Deskripsi: Akun tamu lokal bawaan adalah nama terkenal lainnya bagi penyerang. Disarankan untuk mengganti nama akun ini menjadi sesuatu yang tidak menunjukkan tujuannya. Bahkan jika Anda menonaktifkan akun ini, yang direkomendasikan, pastikan Anda mengganti namanya untuk keamanan tambahan. Pada Pengendali Domain, karena mereka tidak memiliki akun lokal mereka sendiri, aturan ini mengacu pada akun Tamu bawaan yang dibuat saat domain pertama kali dibuat. Jalur Kunci: [Akses Sistem]NewGuestName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Akun: Mengganti nama akun tamu Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6	!= Tamu _{(Azure Policy)}	Peringatan
Akses jaringan: Izinkan terjemahan SID/Nama anonim _{(CCE-10024-8)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah pengguna anonim dapat meminta atribut pengidentifikasi keamanan (SID) untuk pengguna lain, atau menggunakan SID untuk mendapatkan nama pengguna yang sesuai. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: [System Access]LSAAnonymousNameLookup OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\Network access: Allow anonymous SID/Name translation Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1	=0 _{(Azure Policy)}	Peringatan

Opsi Keamanan - Audit

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Audit: Memaksa pengaturan subkategori kebijakan audit (Windows Vista atau yang lebih baru) untuk menimpa pengaturan kategori kebijakan audit _{(CCE-37850-5)}	Deskripsi: Pengaturan kebijakan ini memungkinkan admin untuk mengaktifkan kapabilitas audit yang lebih tepat yang ada di Windows Vista. Pengaturan Azure Policy Audit yang tersedia di Direktori Aktif Windows Server 2003 belum memuat pengaturan untuk mengelola subkategori audit baru. Untuk menerapkan kebijakan audit yang ditentukan dengan benar dalam garis besar ini, pengaturan subkategori kebijakan audit: Paksa (Windows Vista atau yang lebih baru) untuk mengambil alih pengaturan pengaturan kategori kebijakan audit perlu dikonfigurasi ke Diaktifkan. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Audit: Paksa pengaturan subkategori kebijakan audit (Windows Vista atau yang lebih baru) untuk menimpa pengaturan kategori kebijakan audit Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.2.1	Tidak ada atau = 1 _(Registri)	Kritis
Audit: Mematikan sistem segera jika tidak dapat mencatat audit keamanan _{(CCE-35907-5)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah sistem dimatikan jika tidak dapat mencatat peristiwa Keamanan. Ini adalah persyaratan untuk sertifikasi Kriteria Evaluasi Sistem Komputer Tepercaya (TCSEC)-C2 dan Kriteria Umum untuk mencegah kejadian yang dapat diaudit terjadi jika sistem audit tidak dapat mencatatnya. Microsoft telah memilih untuk memenuhi persyaratan ini dengan menghentikan sistem dan menampilkan pesan berhenti jika sistem audit mengalami kegagalan. Ketika pengaturan kebijakan ini difungsikan, sistem akan dimatikan jika audit keamanan tak bisa dicatat dengan alasan apa pun. Jika audit: Matikan sistem segera jika tidak dapat mencatat pengaturan audit keamanan diaktifkan, kegagalan sistem yang tidak direncanakan dapat terjadi. Beban administratif bisa signifikan, terutama jika Anda juga mengonfigurasi metode Retensi untuk log Keamanan untuk Jangan menimpa peristiwa (hapus log secara manual). Konfigurasi ini menyebabkan ancaman penolakan (operator cadangan dapat menyangkal bahwa mereka mencadangkan atau memulihkan data) menjadi kerentanan penolakan layanan (DoS), karena server dapat dipaksa untuk mematikan jika kewalahan dengan peristiwa masuk dan peristiwa keamanan lainnya yang ditulis ke log Keamanan. Selain itu, karena mematikan dengan tidak semestinya, ada kemungkinan bahwa kerusakan yang tidak dapat diperbaiki pada sistem operasi, aplikasi, atau data dapat mengakibatkan. Meskipun sistem file NTFS menjamin integritasnya ketika mematikan komputer yang tidak dapat disesalkan terjadi, itu tidak dapat menjamin bahwa setiap file data untuk setiap aplikasi masih akan berada dalam bentuk yang dapat digunakan ketika komputer dimulai ulang. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Audit: Matikan sistem segera jika tidak dapat mencatat audit keamanan Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2	Tidak ada atau = 0 _(Registri)	Kritis

Opsi Keamanan - Perangkat

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Perangkat: Diizinkan memformat dan mengeluarkan media yang dapat dilepas _{(CCE-37701-0)}	Deskripsi: Pengaturan kebijakan ini menentukan siapa yang diizinkan untuk memformat dan mengeluarkan media yang dapat dilepas. Anda bisa menggunakan pengaturan kebijakan ini untuk mencegah pengguna yang tidak sah menghapus data pada satu komputer untuk mengaksesnya pada komputer lain di mana mereka memiliki hak istimewa admin lokal. Jalur Kunci: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Perangkat: Diizinkan untuk memformat dan mengeluarkan media yang dapat dilepas Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.4.1	Tidak ada atau = 0 _(Registri)	Peringatan
Perangkat: Mencegah pengguna memasang driver printer _{(CCE-37942-0)}	Deskripsi: Agar komputer bisa mencetak ke printer berbagi, driver untuk printer berbagi tersebut harus dipasang pada komputer lokal. Pengaturan keamanan ini menentukan siapa yang diperbolehkan memasang driver printer sebagai bagian dari menyambungkan ke printer berbagi. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Catatan: Pengaturan ini tidak mempengaruhi kemampuan untuk menambahkan printer lokal. Pengaturan ini tak memengaruhi Admin. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Perangkat: Mencegah pengguna menginstal driver printer Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2	Tidak ada atau = 1 _(Registri)	Peringatan
Membatasi penginstalan pengandar cetak untuk Administrator _{(AZ_WIN_202202)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah pengguna yang bukan Administrator dapat menginstal driver cetak pada sistem. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Catatan: Pada 10 Agustus 2021, Microsoft mengumumkan Perubahan Perilaku Default Titik dan Cetak yang memodifikasi perilaku penginstalan dan pembaruan pengandar Point and Print default untuk memerlukan hak istimewa Administrator. Ini didokumenkan dalam KB5005652 Mengelola perilaku penginstalan driver default Titik dan Cetak baru (CVE-2021-34481). Jalur Kunci: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Administrative Templates\MS Security Guide\Limits print driver installation to Administrators Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.3.5 CIS WS2019 18.3.5	= 1 _(Registri)	Peringatan

Opsi Keamanan - Anggota domain

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Pastikan 'Anggota domain: Mengenkripsi atau menandatangani data saluran aman secara digital (selalu)' diatur ke 'Enabled' _{(CCE-36142-8)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah semua lalu lintas saluran aman yang dimulai oleh anggota domain harus ditandatangani atau dienkripsi. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Anggota domain: Mengenkripsi atau menandatangani data saluran aman secara digital (selalu) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1	Tidak ada atau = 1 _(Registri)	Kritis
Pastikan 'Anggota domain: Mengenkripsi data saluran aman secara digital (jika memungkinkan)' diatur ke 'Enabled' _{(CCE-37130-2)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah anggota domain harus mencoba menegosiasikan enkripsi untuk semua lalu lintas saluran aman yang dimulainya. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Anggota domain: Mengenkripsi data saluran aman secara digital (jika memungkinkan) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2	Tidak ada atau = 1 _(Registri)	Kritis
Pastikan 'Anggota domain: Menandatangani data saluran aman secara digital (jika memungkinkan)' diatur ke 'Enabled' _{(CCE-37222-7)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah anggota domain harus mencoba menegosiasikan apakah semua lalu lintas saluran aman yang dimulainya harus ditandatangani secara digital. Tanda tangan digital melindungi lalu lintas agar tidak dimodifikasi oleh siapa pun yang menangkap data saat melintasi jaringan. Status yang disarankan untuk pengaturan ini adalah: 'Diaktifkan'. Jalur Kunci: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Anggota domain: Menandatangani data saluran aman secara digital (jika memungkinkan) Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3	Tidak ada atau = 1 _(Registri)	Kritis
Pastikan 'Anggota domain: Nonaktifkan perubahan kata sandi akun komputer' diatur ke 'Disabled' _{(CCE-37508-9)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah anggota domain dapat mengubah kata sandi akun komputernya secara berkala. Komputer yang tidak dapat secara otomatis mengubah kata sandi akun berpotensi rentan, karena penyerang mungkin dapat menebak kata sandi untuk akun domain sistem. Status yang disarankan untuk pengaturan ini adalah: 'Dinonaktifkan'. Jalur Kunci: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Anggota domain: Nonaktifkan perubahan kata sandi akun komputer Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4	Tidak ada atau = 0 _(Registri)	Kritis
Pastikan 'Anggota domain: Usia kata sandi akun komputer maksimum' diatur ke '30 hari atau kurang, tetapi bukan 0' _{(CCE-37431-4)}	Deskripsi: Pengaturan kebijakan ini menentukan usia maksimum yang diizinkan untuk kata sandi akun komputer. Secara default, anggota domain secara otomatis mengubah kata sandi domain mereka setiap 30 hari. Jika Anda meningkatkan interval ini secara signifikan sehingga komputer tidak lagi mengubah kata sandinya, penyerang akan memiliki lebih banyak waktu untuk melakukan serangan brute force terhadap salah satu akun komputer. Status yang disarankan untuk pengaturan ini adalah: `30 or fewer days, but not 0`. Catatan: Nilai `0` tidak sesuai dengan tolok ukur karena menonaktifkan usia kata sandi maksimum. Jalur Kunci: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `30 or fewer days, but not 0`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Anggota domain: Usia kata sandi akun komputer maksimum Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5	Dalam 1-30 _(Registri)	Kritis
Pastikan 'Anggota domain: Memerlukan kunci sesi yang kuat (Windows 2000 atau yang lebih baru)' diatur ke 'Enabled' _{(CCE-37614-5)}	Deskripsi: Ketika pengaturan kebijakan ini diaktifkan, saluran aman hanya dapat dibuat dengan Pengendali Domain yang mampu mengenkripsi data saluran aman dengan kunci sesi yang kuat (128-bit). Untuk mengaktifkan pengaturan kebijakan ini, semua Pengendali Domain di domain harus dapat mengenkripsi data saluran aman dengan kunci yang kuat, yang berarti semua Pengendali Domain harus menjalankan Microsoft Windows 2000 atau yang lebih baru. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Anggota domain: Memerlukan kunci sesi yang kuat (Windows 2000 atau yang lebih baru) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6	Tidak ada atau = 1 _(Registri)	Kritis

Opsi Keamanan - Masuk Interaktif

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Penembolokan informasi masuk harus dibatasi _{(AZ-WIN-73651)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah pengguna dapat masuk ke domain Windows menggunakan informasi akun yang di-cache. Informasi masuk untuk akun domain dapat di-cache secara lokal untuk memungkinkan pengguna masuk meskipun Pengendali Domain tidak dapat dihubungi. Pengaturan kebijakan ini menentukan jumlah pengguna unik yang informasi masuknya di-cache secara lokal. Jika nilai ini diatur ke 0, fitur cache masuk dinonaktifkan. Penyerang yang dapat mengakses sistem file server dapat menemukan informasi yang di-cache ini dan menggunakan serangan brute force untuk menentukan kata sandi pengguna. Status yang disarankan untuk pengaturan ini adalah: `4 or fewer logon(s)`. Jalur Kunci: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\Interactive logon: Jumlah logon sebelumnya ke cache (jika pengendali domain tidak tersedia) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6	Dalam 1-4 _(Registri)	Informasi
Masuk interaktif: Jangan tampilkan nama pengguna terakhir _{(CCE-36056-0)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah nama akun pengguna terakhir yang masuk ke komputer klien di organisasi Anda akan ditampilkan di setiap layar masuk Windows masing-masing komputer. Aktifkan pengaturan kebijakan ini untuk mencegah penyusup mengumpulkan nama akun secara visual dari layar komputer desktop atau laptop di organisasi Anda. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Masuk interaktif: Jangan tampilkan masuk terakhir kali Catatan: Dalam versi Microsoft Windows yang lebih lama, pengaturan ini diberi nama Masuk Interaktif: Jangan tampilkan nama pengguna terakhir, tetapi diganti namanya dimulai dengan Windows Server 2019. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2	= 1 _(Registri)	Kritis
Masuk interaktif: Tidak memerlukan CTRL+ALT+DEL = Dinonaktifkan _{(CCE-37637-6)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah pengguna harus menekan CTRL+ALT+DEL sebelum mereka masuk. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Masuk interaktif: Tidak memerlukan CTRL+ALT+DEL Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1	Tidak ada atau = 0 _(Registri)	Kritis
Masuk interaktif: Batas tidak aktif komputer _{(AZ-WIN-73645)}	Deskripsi: Windows melihat tidak aktifnya sesi masuk, dan jika jumlah waktu tidak aktif melebihi batas tidak aktif, maka pengaman layar akan berjalan, mengunci sesi. Status yang disarankan untuk pengaturan ini adalah: `900 or fewer second(s), but not 0`. Catatan: Nilai `0` tidak sesuai dengan tolok ukur karena menonaktifkan batas tidak aktif komputer. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\Interactive logon: Batas ketidakaktifan mesin Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3	Dalam 1-900 _(Registri)	Penting
Masuk interaktif: Teks pesan untuk pengguna yang mencoba masuk _{(AZ-WIN-202253)}	Deskripsi: Pengaturan kebijakan ini menentukan pesan teks yang ditampilkan kepada pengguna saat mereka masuk. Konfigurasikan pengaturan ini dengan cara yang konsisten dengan persyaratan keamanan dan operasional organisasi Anda. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\Interactive logon: Teks pesan untuk pengguna yang mencoba masuk Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4	!= _(Registri)	Peringatan
Masuk interaktif: Judul pesan untuk pengguna yang mencoba masuk _{(AZ-WIN-202254)}	Deskripsi: Pengaturan kebijakan ini menentukan teks yang ditampilkan di bilah judul jendela yang dilihat pengguna saat mereka masuk ke sistem. Konfigurasikan pengaturan ini dengan cara yang konsisten dengan persyaratan keamanan dan operasional organisasi Anda. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\Interactive logon: Judul pesan untuk pengguna yang mencoba masuk Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5	!= _(Registri)	Peringatan
Masuk interaktif: Meminta pengguna untuk mengubah kata sandi sebelum kedaluwarsa _{(CCE-10930-6)}	Deskripsi: Pengaturan kebijakan ini menentukan seberapa jauh pengguna sebelumnya diperingatkan bahwa kata sandi mereka akan kedaluwarsa. Disarankan agar Anda mengonfigurasi pengaturan kebijakan ini setidaknya 5 hari tetapi tidak lebih dari 14 hari untuk cukup memperingatkan pengguna ketika kata sandi mereka akan kedaluwarsa. Status yang disarankan untuk pengaturan ini adalah: `between 5 and 14 days`. Jalur kunci: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\Interactive logon: Minta pengguna untuk mengubah kata sandi sebelum kedaluwarsa Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7	Dalam 5-14 _(Registri)	Informasi

Opsi Keamanan - Klien Jaringan Microsoft

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Klien jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) _{(CCE-36325-9)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah penandatanganan paket diperlukan oleh komponen klien SMB. Catatan: Ketika komputer berbasis Vista Windows mengaktifkan pengaturan kebijakan ini dan mereka terhubung ke file atau mencetak saham di server jarak jauh, penting bahwa pengaturan disinkronkan dengan pengaturan pendampingnya, server jaringan Microsoft: Komunikasi tanda tangan digital (selalu), pada server tersebut. Untuk informasi selengkapnya tentang pengaturan ini, lihat bagian "Klien dan server jaringan Microsoft: Komunikasi tanda digital (empat pengaturan terkait)" di Bab 5 panduan Ancaman dan Tindakan Balasan. Status yang disarankan untuk pengaturan ini adalah: 'Diaktifkan'. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Klien jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1	= 1 _(Registri)	Kritis
Klien jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) _{(CCE-36269-9)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah klien SMB akan mencoba menegosiasikan penandatanganan paket SMB. Catatan: Mengaktifkan pengaturan kebijakan ini pada klien SMB di jaringan Anda membuat mereka sepenuhnya efektif untuk penandatanganan paket dengan semua klien dan server di lingkungan Anda. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Klien jaringan Microsoft: Menandatangani komunikasi secara digital (jika server setuju) Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2	Tidak ada atau = 1 _(Registri)	Kritis
Klien jaringan Microsoft: Kirim kata sandi yang tidak terenkripsi ke server SMB pihak ketiga _{(CCE-37863-8)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah redirector SMB akan mengirim kata sandi teks biasa selama autentikasi ke server SMB pihak ketiga yang tidak mendukung enkripsi kata sandi. Disarankan agar Anda menonaktifkan pengaturan kebijakan ini kecuali ada kasus bisnis yang kuat guna mengaktifkannya. Jika pengaturan kebijakan ini diaktifkan, kata sandi yang tidak terenkripsi akan diizinkan di seluruh jaringan. Status yang disarankan untuk pengaturan ini adalah: 'Dinonaktifkan'. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Klien jaringan Microsoft: Kirim kata sandi yang tidak terenkripsi ke server SMB pihak ketiga Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3	Tidak ada atau = 0 _(Registri)	Kritis
Server jaringan Microsoft: Jumlah waktu diam yang diperlukan sebelum menangguhkan sesi _{(CCE-38046-9)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda menentukan jumlah waktu menganggur berkelanjutan yang harus lulus dalam sesi SMB sebelum sesi ditangguhkan karena tidak aktif. Admin dapat menggunakan pengaturan kebijakan ini untuk mengontrol ketika komputer menangguhkan sesi SMB yang tidak aktif. Jika aktivitas klien dilanjutkan, sesi akan dipublikasikan kembali secara otomatis. Nilai 0 tampaknya memungkinkan sesi bertahan tanpa batas waktu. Nilai maksimum adalah 99999, yaitu lebih dari 69 hari; berlaku, nilai ini menonaktifkan pengaturan. Status yang disarankan untuk pengaturan ini adalah: `15 or fewer minute(s), but not 0`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `15 or fewer minute(s)`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Server jaringan Microsoft: Jumlah waktu diam yang diperlukan sebelum menangguhkan sesi Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.9.1	Dalam 1-15 _(Registri)	Kritis
Server jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) _{(CCE-37864-6)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah penandatanganan paket diperlukan oleh komponen server SMB. Aktifkan pengaturan kebijakan ini dalam lingkungan campuran untuk mencegah klien hilir menggunakan stasiun kerja sebagai server jaringan. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Server jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2	= 1 _(Registri)	Kritis
Server jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) _{(CCE-35988-5)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah server SMB akan menegosiasikan penandatanganan paket SMB dengan klien yang memintanya. Jika tidak ada permintaan penandatanganan yang berasal dari klien, koneksi akan diizinkan tanpa tanda tangan jika pengaturan server jaringan Microsoft: Komunikasi tanda secara digital (selalu) tidak diaktifkan. Catatan: Aktifkan pengaturan kebijakan ini pada klien SMB di jaringan Anda untuk membuat mereka sepenuhnya efektif untuk penandatanganan paket dengan semua klien dan server di lingkungan Anda. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Server jaringan Microsoft: Menandatangani komunikasi secara digital (jika klien setuju) Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3	= 1 _(Registri)	Kritis
Server jaringan Microsoft: Putuskan koneksi klien ketika jam masuk kedaluwarsa _{(CCE-37972-7)}	Deskripsi: Pengaturan keamanan ini menentukan apakah akan memutuskan koneksi pengguna yang terhubung ke komputer lokal di luar jam masuk akun pengguna mereka yang valid. Pengaturan ini memengaruhi komponen Blok Pesan Server (SMB). Jika Anda mengaktifkan pengaturan kebijakan ini, Anda juga harus mengaktifkan keamanan Jaringan: Paksa keluar saat jam masuk kedaluwarsa (Aturan 2.3.11.6). Jika organisasi Anda mengonfigurasi jam masuk untuk pengguna, pengaturan kebijakan ini diperlukan untuk memastikannya efektif. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Server jaringan Microsoft: Putuskan sambungan klien saat jam masuk kedaluwarsa Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4	Tidak ada atau = 1 _(Registri)	Kritis
Server jaringan Microsoft: Tingkat validasi nama target SPN server _{(CCE-10617-9)}	Deskripsi: Pengaturan kebijakan ini mengontrol tingkat validasi komputer dengan folder atau printer bersama (server) yang dilakukan pada nama prinsipal layanan (SPN) yang disediakan oleh komputer klien saat membuat sesi menggunakan protokol blok pesan server (SMB). Protokol blok pesan server (SMB) menyediakan dasar untuk berbagi file dan cetak dan operasi jaringan lainnya, seperti administrasi Windows jarak jauh. Protokol SMB mendukung validasi nama prinsipal layanan server SMB (SPN) dalam blob autentikasi yang disediakan oleh klien SMB untuk mencegah kelas serangan terhadap server SMB yang disebut sebagai serangan relai SMB. Pengaturan ini akan memengaruhi SMB1 dan SMB2. Status yang disarankan untuk pengaturan ini adalah: `Accept if provided by client`. Mengonfigurasi pengaturan ini agar `Required from client` juga sesuai dengan tolok ukur. Catatan: Karena rilis patch keamanan MS KB3161561 , pengaturan ini dapat menyebabkan masalah signifikan (seperti masalah replikasi, masalah pengeditan kebijakan grup dan crash layar biru) pada Pengendali Domain saat digunakan secara bersamaan dengan pengerasan jalur UNC (yaitu Aturan 18.5.14.1). Oleh karena itu CIS merekomendasikan untuk tidak menyebarkan pengaturan ini pada Pengendali Domain. Jalur Kunci: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Server jaringan Microsoft: Tingkat validasi nama target SPN Server Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5	= 1 _(Registri)	Peringatan

Opsi Keamanan - Microsoft Network Server

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Menonaktifkan server SMB v1 _{(AZ-WIN-00175)}	Deskripsi: Menonaktifkan pengaturan ini menonaktifkan pemrosesan sisi server dari protokol SMBv1. (Disarankan.) Mengaktifkan pengaturan ini akan mengaktifkan pemrosesan sisi server protokol SMBv1. (Default.) Lakukan reboot untuk memberlakukan perubahan pada pengaturan ini. Untuk informasi selengkapnya, lihat https://support.microsoft.com/kb/2696547 Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Tidak Berlaku Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.3.3	Tidak ada atau = 0 _(Registri)	Kritis

Opsi Keamanan - Akses Jaringan

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Akun: Mengganti nama akun administrator _{(CCE-10976-9)}	Deskripsi: Akun administrator lokal bawaan adalah nama akun terkenal yang akan ditargetkan penyerang. Disarankan untuk memilih nama lain untuk akun ini, dan untuk menghindari nama yang menunjukkan akun akses administratif atau yang ditingkatkan. Pastikan juga untuk mengubah deskripsi default untuk administrator lokal (melalui konsol Manajemen Komputer). Pada Pengendali Domain, karena mereka tidak memiliki akun lokal mereka sendiri, aturan ini mengacu pada akun Administrator bawaan yang dibuat saat domain pertama kali dibuat. Jalur Kunci: [System Access]NewAdministratorName OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\Accounts: Ganti nama akun administrator Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5	!= Administrator _{(Azure Policy)}	Peringatan
Akses jaringan: Jangan izinkan enumerasi akun SAM secara anonim _{(CCE-36316-8)}	Deskripsi: Pengaturan kebijakan ini mengontrol kemampuan pengguna anonim untuk menghitung akun di Manajer Akun Keamanan (SAM). Jika Anda mengaktifkan pengaturan kebijakan ini, pengguna dengan koneksi anonim tidak akan dapat menghitung nama pengguna akun domain pada sistem di lingkungan Anda. Pengaturan kebijakan ini juga memungkinkan pembatasan tambahan pada koneksi anonim. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Catatan: Kebijakan ini tidak berpengaruh pada pengendali domain. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan akses etwork: Jangan izinkan enumerasi anonim akun SAM Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.10.2	Tidak ada atau = 1 _(Registri)	Kritis
Akses jaringan: Jangan izinkan enumerasi akun dan berbagi SAM secara anonim _{(CCE-36077-6)}	Deskripsi: Pengaturan kebijakan ini mengontrol kemampuan pengguna anonim untuk meng-enumerasi akun SAM serta berbagi. Jika Anda mengaktifkan pengaturan kebijakan ini, pengguna anonim tidak akan dapat meng-enumerasi nama pengguna akun domain dan nama berbagi jaringan pada sistem di lingkungan Anda. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Catatan: Kebijakan ini tidak berpengaruh pada pengendali domain. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan akses etwork: Jangan izinkan enumerasi anonim akun dan berbagi SAM Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.10.3	= 1 _(Registri)	Kritis
Akses jaringan: Izinkan Semua Orang berlaku untuk pengguna anonim _{(CCE-36148-5)}	Deskripsi: Pengaturan kebijakan ini menentukan izin tambahan apa yang ditetapkan untuk koneksi anonim ke komputer. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Akses jaringan: Izinkan Semua Orang berlaku untuk pengguna anonim Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5	Tidak ada atau = 0 _(Registri)	Kritis
Akses jaringan: Jalur registri yang dapat diakses dari jarak jauh _{(CCE-37194-8)}	Deskripsi: Pengaturan kebijakan ini menentukan jalur registri mana yang akan dapat diakses setelah merujuk kunci WinReg untuk menentukan izin akses ke jalur. Catatan: Pengaturan ini tidak ada di Windows XP. Ada pengaturan dengan nama itu di Windows XP, tetapi disebut "Akses jaringan: Jalur registri dan subjalur yang dapat diakses dari jarak jauh" di Windows Server 2003, Windows Vista, dan Windows Server 2008. Catatan: Saat mengonfigurasi pengaturan ini, Anda menentukan daftar satu atau beberapa objek. Pembatas yang digunakan saat memasukkan daftar adalah umpan baris atau pengembalian kereta, yaitu ketik objek pertama dalam daftar, tekan tombol Enter, ketik objek berikutnya, tekan Enter lagi, dll. Nilai pengaturan disimpan sebagai daftar dibatasi koma dalam templat keamanan kebijakan grup. Ini juga dirender sebagai daftar yang dibatasi koma di panel tampilan Editor Kebijakan Grup dan konsol Kumpulan Kebijakan Yang Dihasilkan. Ini dicatat dalam registri sebagai daftar dibatasi umpan baris dalam nilai REG_MULTI_SZ. Jalur Kunci: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Akses jaringan: Jalur registri yang dapat diakses dari jarak jauh Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.10.8	Tidak ada atau = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 _(Registri)	Kritis
Akses jaringan: Jalur dan subjalur registri yang dapat diakses dari jarak jauh _{(CCE-36347-3)}	Deskripsi: Pengaturan kebijakan ini menentukan jalur registri dan subjalur mana yang akan dapat diakses ketika aplikasi atau proses mereferensikan kunci WinReg untuk menentukan izin akses. Catatan: Di Windows XP pengaturan ini disebut "Akses jaringan: Jalur registri yang dapat diakses dari jarak jauh," pengaturan dengan nama yang sama di Windows Vista, Windows Server 2008, dan Windows Server 2003 tidak ada di Windows XP. Catatan: Saat mengonfigurasi pengaturan ini, Anda menentukan daftar satu atau beberapa objek. Pembatas yang digunakan saat memasukkan daftar adalah umpan baris atau pengembalian kereta, yaitu ketik objek pertama dalam daftar, tekan tombol Enter, ketik objek berikutnya, tekan Enter lagi, dll. Nilai pengaturan disimpan sebagai daftar dibatasi koma dalam templat keamanan kebijakan grup. Ini juga dirender sebagai daftar yang dibatasi koma di panel tampilan Editor Kebijakan Grup dan konsol Kumpulan Kebijakan Yang Dihasilkan. Ini dicatat dalam registri sebagai daftar dibatasi umpan baris dalam nilai REG_MULTI_SZ. Jalur Kunci: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan akses etwork: Jalur dan sub-jalur registri yang dapat diakses dari jarak jauh Saat server memegang Peran Layanan Sertifikat Direktori Aktif dengan Layanan Peran Otoritas Sertifikasi, daftar di atas juga harus mencakup: 'System\CurrentControlSet\Services\CertSvc'. Ketika server menginstal Fitur Server WINS, daftar di atas juga harus mencakup: 'System\CurrentControlSet\Services\WINS' Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.10.9	Tidak ada atau = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 _(Registri)	Kritis
Akses jaringan: Membatasi akses anonim ke Pipa yang dinamai dan Berbagi _{(CCE-36021-4)}	Deskripsi: Ketika diaktifkan, pengaturan kebijakan ini membatasi akses anonim hanya ke berbagi dan pipa yang dinamai dalam pengaturan `Network access: Named pipes that can be accessed anonymously`dan `Network access: Shares that can be accessed anonymously`. Pengaturan kebijakan ini mengontrol akses sesi null untuk berbagi pada komputer Anda dengan menambahkan `RestrictNullSessAccess` dengan nilai dalam `1` nilai di kunci registri `HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters`. Nilai registri ini mengaktifkan atau menonaktifkan berbagi sesi null untuk mengontrol apakah layanan server membatasi akses klien yang tidak diautentikasi ke sumber daya bernama. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Akses jaringan: Membatasi akses anonim ke Pipa dan Berbagi Bernama Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10	Tidak ada atau = 1 _(Registri)	Kritis
Akses jaringan: Membatasi klien yang diizinkan melakukan panggilan jarak jauh ke SAM _{(AZ-WIN-00142)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda membatasi koneksi RPC jarak jauh ke SAM. Jika tidak dipilih, deskriptor keamanan asali akan digunakan. Kebijakan ini didukung setidaknya pada Windows Server 2016. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM OS: WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators: Remote Access: Allow`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan akses etwork: Membatasi klien yang diizinkan untuk melakukan panggilan jarak jauh ke SAM Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.10.11	Tidak ada atau = O:BAG:BAD:(A;;RC;;;BA) _(Registri)	Kritis
Akses jaringan: Akses bersama yang dapat diakses secara anonim _{(CCE-38095-6)}	Deskripsi: Pengaturan kebijakan ini menentukan berbagi jaringan mana yang dapat diakses oleh pengguna anonim. Konfigurasi default untuk pengaturan kebijakan ini tidak banyak berpengaruh karena semua pengguna harus diautentikasi sebelum mereka dapat mengakses sumber daya yang dibagi di server. Catatan: Mungkin sangat berbahaya untuk menambahkan saham lain ke pengaturan Kebijakan Grup ini. Setiap pengguna jaringan dapat mengakses berbagi apa pun yang tercantum, yang dapat terpapar atau merusak data sensitif. Catatan: Saat mengonfigurasi pengaturan ini, Anda menentukan daftar satu atau beberapa objek. Pembatas yang digunakan saat memasukkan daftar adalah umpan baris atau pengembalian kereta, yaitu ketik objek pertama dalam daftar, tekan tombol Enter, ketik objek berikutnya, tekan Enter lagi, dll. Nilai pengaturan disimpan sebagai daftar dibatasi koma dalam templat keamanan kebijakan grup. Ini juga dirender sebagai daftar yang dibatasi koma di panel tampilan Editor Kebijakan Grup dan konsol Kumpulan Kebijakan Yang Dihasilkan. Ini dicatat dalam registri sebagai daftar dibatasi umpan baris dalam nilai REG_MULTI_SZ. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `<blank>` (yaitu Tidak Ada): Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan akses etwork: Berbagi yang dapat diakses secara anonim Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.10.12	Tidak ada atau = _(Registri)	Kritis
Akses jaringan: Berbagi dan model keamanan untuk akun lokal _{(CCE-37623-6)}	Deskripsi: Pengaturan kebijakan ini menentukan bagaimana masuk jaringan yang menggunakan akun lokal diautentikasi. Opsi Klasik memungkinkan kontrol yang tepat atas akses ke sumber daya, termasuk kemampuan untuk menetapkan berbagai jenis akses ke pengguna yang berbeda untuk sumber daya yang sama. Opsi Tamu saja memungkinkan Anda memperlakukan semua pengguna secara merata. Dalam konteks ini, semua pengguna mengautentikasi sebagai Tamu hanya untuk menerima tingkat akses yang sama ke sumber daya tertentu. Status yang disarankan untuk pengaturan ini adalah: `Classic - local users authenticate as themselves`. Catatan: Pengaturan ini tidak memengaruhi masuk interaktif yang dilakukan dari jarak jauh dengan menggunakan layanan seperti Telnet atau Layanan Desktop Jarak Jauh (sebelumnya disebut Layanan Terminal). Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Classic - local users authenticate as themselves`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Akses jaringan: Berbagi dan model keamanan untuk akun lokal Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13	Tidak ada atau = 0 _(Registri)	Kritis

Opsi Keamanan - Keamanan Jaringan

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Keamanan jaringan: Mengizinkan Sistem Lokal untuk menggunakan identitas komputer untuk NTLM _{(CCE-38341-4)}	Deskripsi: Ketika diaktifkan, pengaturan kebijakan ini menyebabkan layanan Sistem Lokal yang menggunakan Negosiasi untuk menggunakan identitas komputer ketika autentikasi NTLM dipilih oleh negosiasi. Kebijakan ini didukung setidaknya pada Windows 7 atau Windows Server 2008 R2. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan Keamanan etwork: Izinkan Sistem Lokal menggunakan identitas komputer untuk NTLM Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.11.1	= 1 _(Registri)	Kritis
Keamanan jaringan: Mengizinkan fallback sesi LocalSystem NULL _{(CCE-37035-3)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah NTLM diizinkan untuk mundur ke sesi NULL saat digunakan dengan LocalSystem. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Keamanan jaringan: Izinkan fallback sesi NULL LocalSystem Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2	Tidak ada atau = 0 _(Registri)	Kritis
Keamanan Jaringan: Perbolehkan permintaan autentikasi PKU2U ke komputer ini untuk menggunakan identitas online _{(CCE-38047-7)}	Deskripsi: Pengaturan ini menentukan apakah identitas online bisa diautentikasi ke komputer ini. Protokol User-to-User (PKU2U) Berbasis Kriptografi Kunci Umum yang diperkenalkan di Windows 7 dan Windows Server 2008 R2 diimplementasikan sebagai penyedia dukungan keamanan (SSP). SSP memungkinkan autentikasi peer-to-peer, terutama melalui media Windows 7 dan fitur berbagi file yang disebut Grup Rumah, yang memungkinkan berbagi antara komputer yang bukan anggota domain. Dengan PKU2U, ekstensi baru diperkenalkan ke paket autentikasi Negosiasi, `Spnego.dll`. Di versi Windows sebelumnya, Negosiasi memutuskan apakah akan menggunakan Kerberos atau NTLM untuk autentikasi. Ekstensi SSP untuk Negosiasi, `Negoexts.dll` yang diperlakukan sebagai protokol autentikasi oleh Windows, mendukung SSP Microsoft termasuk PKU2U. Ketika komputer dikonfigurasi untuk menerima permintaan autentikasi dengan menggunakan ID online, panggil `Negoexts.dll` SSP PKU2U di komputer yang digunakan untuk masuk. SSP PKU2U memperoleh sertifikat lokal dan menukarkan kebijakan antara komputer serekan. Ketika divalidasi pada komputer serekan, sertifikat dalam metadata dikirim ke serekan masuk untuk validasi dan mengaitkan sertifikat pengguna ke token keamanan dan proses masuk selesai. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Keamanan Jaringan: Izinkan permintaan autentikasi PKU2U ke komputer ini untuk menggunakan identitas daring Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3	Tidak ada atau = 0 _(Registri)	Peringatan
Keamanan Jaringan: Mengonfigurasi tipe enkripsi yang diizinkan untuk Kerberos _{(CCE-37755-6)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda untuk mengatur jenis enkripsi yang diizinkan digunakan Kerberos. Kebijakan ini didukung setidaknya pada Windows 7 atau Windows Server 2008 R2. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Keamanan Jaringan: Mengonfigurasi jenis enkripsi yang diizinkan untuk Kerberos Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.11.4	Tidak ada atau = 2147483640 _(Registri)	Kritis
Keamanan jaringan: Jangan simpan nilai hash LAN Manager pada perubahan kata sandi berikutnya _{(CCE-36326-7)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah nilai hash LAN Manager (LM) untuk kata sandi baru disimpan saat kata sandi diubah. Hash LM relatif lemah dan rentan terhadap serangan dibandingkan dengan hash Microsoft Windows NT yang lebih kuat secara kriptografis. Karena hash LM disimpan di komputer lokal dalam database keamanan, kata sandi kemudian dapat dengan mudah dikompromikan jika database diserang. Catatan: Sistem operasi lama dan beberapa aplikasi pihak ketiga mungkin gagal saat pengaturan kebijakan ini diaktifkan. Juga, perhatikan bahwa kata sandi perlu diubah di semua akun setelah Anda mengaktifkan pengaturan ini untuk mendapatkan manfaat yang tepat. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Keamanan jaringan: Jangan simpan nilai hash Manajer LAN pada perubahan kata sandi berikutnya Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5	Tidak ada atau = 1 _(Registri)	Kritis
Keamanan jaringan: Tingkat autentikasi Pengelola LAN _{(CCE-36173-3)}	Deskripsi: LAN Manager (LM) adalah keluarga perangkat lunak klien/server Microsoft awal yang memungkinkan pengguna untuk menautkan komputer pribadi bersama-sama pada satu jaringan. Kemampuan jaringan termasuk berbagi file dan cetak transparan, fitur keamanan pengguna, dan alat administrasi jaringan. Di domain Direktori Aktif, protokol Kerberos adalah protokol autentikasi default. Namun, jika protokol Kerberos tidak dinegosiasikan karena alasan tertentu, Layanan Domain Active Directory akan menggunakan LM, NTLM, atau NTLMv2. Autentikasi LAN Manager mencakup varian LM, NTLM, dan NTLM versi 2 (NTLMv2), dan adalah protokol yang digunakan untuk mengautentikasi semua klien Windows ketika mereka melakukan operasi berikut: - Gabungkan domain - Autentikasi antara forest Direktori Aktif - Autentikasi ke domain tingkat bawah - Autentikasi ke komputer yang tidak menjalankan Windows 2000, Windows Server 2003, atau Windows XP) - Autentikasi ke komputer yang tidak ada di domain Nilai yang mungkin untuk keamanan Jaringan: Pengaturan tingkat autentikasi MANAJER LAN adalah: - Kirim respons LM &NTLM - Kirim LM &NTLM — gunakan keamanan sesi NTLMv2 jika dinegosiasikan - Kirim respons NTLM saja - Kirim respons NTLMv2 saja - Kirim NT ResponsLMv2 saja\tolak LM - Kirim respons NTLMv2 saja\tolak LM & NTLM - Tidak Ditentukan Keamanan jaringan: Pengaturan tingkat autentikasi LAN Manager menentukan protokol autentikasi tantangan/respons mana yang digunakan untuk masuk jaringan. Pilihan ini memengaruhi tingkat protokol autentikasi yang digunakan klien, tingkat keamanan sesi yang dinegosiasikan komputer, dan tingkat autentikasi yang diterima server sebagai berikut: - Kirim LM & respons NTLM. Klien menggunakan autentikasi LM dan NTLM dan tidak pernah menggunakan keamanan sesi NTLMv2. Pengendali domain menerima autentikasi LM, NTLM, dan NTLMv2. - Kirim LM &NTLM — gunakan keamanan sesi NTLMv2 jika dinegosiasikan. Klien menggunakan autentikasi LM dan NTLM dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menerima autentikasi LM, NTLM, dan NTLMv2. - Kirim respons NTLM saja. Klien hanya menggunakan autentikasi NTLM dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menerima autentikasi LM, NTLM, dan NTLMv2. - Kirim respons NTLMv2 saja. Klien hanya menggunakan autentikasi NTLMv2 dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menerima autentikasi LM, NTLM, dan NTLMv2. - Kirim respons NTLMv2 saja\tolak LM. Klien hanya menggunakan autentikasi NTLMv2 dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menolak LM (hanya menerima autentikasi NTLM dan NTLMv2). - Kirim respons NTLMv2 saja\tolak LM & NTLM. Klien hanya menggunakan autentikasi NTLMv2 dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menolak LM dan NTLM (hanya menerima autentikasi NTLMv2). Pengaturan ini sesuai dengan tingkat yang dibahas di dokumen Microsoft lainnya sebagai berikut: - Tingkat 0 — Kirim respons LM dan NTLM; tidak pernah menggunakan keamanan sesi NTLMv2. Klien menggunakan autentikasi LM dan NTLM, dan tidak pernah menggunakan keamanan sesi NTLMv2. Pengendali domain menerima autentikasi LM, NTLM, dan NTLMv2. - Tingkat 1 — Gunakan keamanan sesi NTLMv2 jika dinegosiasikan. Klien menggunakan autentikasi LM dan NTLM, dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menerima autentikasi LM, NTLM, dan NTLMv2. - Tingkat 2 - Kirim respons NTLM saja. Klien hanya menggunakan autentikasi NTLM, dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menerima autentikasi LM, NTLM, dan NTLMv2. - Tingkat 3 — Kirim respons NTLMv2 saja. Klien menggunakan autentikasi NTLMv2, dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menerima autentikasi LM, NTLM, dan NTLMv2. - Tingkat 4 - Pengendali domain menolak respons LM. Klien menggunakan autentikasi NTLM, dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menolak autentikasi LM, yaitu, mereka menerima NTLM dan NTLMv2. - Tingkat 5 — Pengendali domain menolak respons LM dan NTLM (hanya menerima NTLMv2). Klien menggunakan autentikasi NTLMv2, penggunaan, dan keamanan sesi NTLMv2 jika server mendukungnya. Pengendali domain menolak autentikasi NTLM dan LM (mereka hanya menerima NTLMv2). Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke: 'Kirim respons NTLMv2 saja. Menolak LM &NTLM': Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan keamanan etwork: Tingkat autentikasi Manajer LAN Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.11.7	= 5 _(Registri)	Kritis
Keamanan jaringan: Persyaratan penandatanganan klien LDAP _{(CCE-36858-9)}	Deskripsi: Pengaturan kebijakan ini menentukan tingkat penandatanganan data yang diminta atas nama klien yang mengeluarkan permintaan BIND LDAP. Catatan: Pengaturan kebijakan ini tidak berdampak pada ikatan sederhana LDAP (`ldap_simple_bind`) atau LDAP yang terikat sederhana melalui SSL (`ldap_simple_bind_s`). Tidak ada klien Microsoft LDAP yang disertakan dengan Windows XP Professional yang ldap_simple_bind atau ldap_simple_bind_s untuk berkomunikasi dengan pengendali domain. Status yang disarankan untuk pengaturan ini adalah: `Negotiate signing`. Mengonfigurasi pengaturan ini juga `Require signing` agar sesuai dengan tolok ukur. Jalur Kunci: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Negotiate signing` (mengonfigurasi agar `Require signing` juga sesuai dengan tolok ukur): Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Keamanan jaringan: Persyaratan penandatanganan klien LDAP Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8	Tidak ada atau = 1 _(Registri)	Kritis
Keamanan jaringan: Keamanan sesi minimum untuk klien berbasis SSP NTLM (termasuk RPC yang aman) _{(CCE-37553-5)}	Deskripsi: Pengaturan kebijakan ini menentukan perilaku mana yang diizinkan oleh klien untuk aplikasi menggunakan Penyedia Dukungan Keamanan (SSP) NTLM. Antarmuka SSP (SSPI) digunakan oleh aplikasi yang membutuhkan layanan autentikasi. Pengaturan tidak mengubah cara kerja urutan autentikasi tetapi sebaliknya memerlukan perilaku tertentu dalam aplikasi yang menggunakan SSPI. Status yang disarankan untuk pengaturan ini adalah: `Require NTLMv2 session security, Require 128-bit encryption`. Catatan: Nilai-nilai ini bergantung pada nilai pengaturan keamanan Keamanan jaringan: Tingkat Autentikasi Manajer LAN. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Require NTLMv2 session security, Require 128-bit encryption`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Keamanan jaringan: Keamanan sesi minimum untuk klien berbasis NTLM SSP (termasuk RPC aman) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.11.9	= 537395200 _(Registri)	Kritis
Keamanan jaringan: Keamanan sesi minimum untuk server berbasis SSP NTLM (termasuk RPC yang aman) _{(CCE-37835-6)}	Deskripsi: Pengaturan kebijakan ini menentukan perilaku mana yang diizinkan oleh server untuk aplikasi yang menggunakan Penyedia Dukungan Keamanan (SSP) NTLM. Antarmuka SSP (SSPI) digunakan oleh aplikasi yang membutuhkan layanan autentikasi. Pengaturan tidak mengubah cara kerja urutan autentikasi tetapi sebaliknya memerlukan perilaku tertentu dalam aplikasi yang menggunakan SSPI. Status yang disarankan untuk pengaturan ini adalah: `Require NTLMv2 session security, Require 128-bit encryption`. Catatan: Nilai-nilai ini bergantung pada nilai pengaturan keamanan Keamanan jaringan: Tingkat Autentikasi Manajer LAN. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasikan nilai kebijakan untuk Konfigurasi Komputer\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\Network security: Keamanan sesi minimum untuk server berbasis NTLM SSP (termasuk RPC aman) untuk Memerlukan keamanan sesi NTLMv2 dan Memerlukan enkripsi 128-bit (semua opsi dipilih). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.11.10	= 537395200 _(Registri)	Kritis

Opsi Keamanan - Matikan

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Matikan: Izinkan sistem dimatikan tanpa harus masuk _{(CCE-36788-8)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah komputer dapat dimatikan ketika pengguna tidak masuk. Jika pengaturan kebijakan ini difungsikan, maka perintah matikan tersedia pada layar masuk Windows. Disarankan untuk menonaktifkan pengaturan kebijakan ini untuk membatasi kemampuan mematikan komputer kepada pengguna yang memiliki info masuk pada sistem. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Catatan: Di Server 2008 R2 dan versi yang lebih lama, pengaturan ini tidak berdampak pada sesi Desktop Jarak Jauh (RDP)/Layanan Terminal - itu hanya memengaruhi konsol lokal. Namun, Microsoft mengubah perilaku di Windows Server 2012 (non-R2) ke atas, di mana jika diatur ke Diaktifkan, sesi RDP juga diizinkan untuk mematikan atau memulai ulang server. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Matikan: Izinkan sistem dimatikan tanpa harus masuk Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1	Tidak ada atau = 0 _(Registri)	Peringatan
Matikan: Hapus file halaman memori virtual _{(AZ-WIN-00181)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah pagefile memori virtual dibersihkan saat sistem dimatikan. Ketika pengaturan kebijakan ini diaktifkan, pagefile sistem dihapus setiap kali sistem dimatikan dengan benar. Jika Anda mengaktifkan pengaturan keamanan ini, berkas hibernasi (Hiberfil.sys) nol ketika hibernasi dinon-fungsikan pada sistem komputer portabel. Ini akan memakan waktu lebih lama untuk mematikan dan menghidupkan ulang komputer, dan akan sangat terlihat pada komputer dengan file paging besar. Jalur Kunci: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasikan nilai kebijakan untuk Computer Configuration\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\Shutdown: Clear virtual memory pagefile to `Disabled`. Pemetaan Standar Kepatuhan:	Tidak ada atau = 0 _(Registri)	Kritis

Opsi Keamanan - Kriptografi sistem

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Pengguna diharuskan untuk memasukkan kata sandi guna mengakses kunci privat yang disimpan di komputer. _{(AZ-WIN-73699)}	Deskripsi: Jika kunci privat ditemukan, penyerang dapat menggunakan kunci untuk mengautentikasi sebagai pengguna yang berwenang dan mendapatkan akses ke infrastruktur jaringan. Landasan PKI adalah kunci privat yang digunakan untuk mengenkripsi atau menandatangani informasi secara digital. Jika kunci privat dicuri, ini akan menyebabkan penyusupan autentikasi dan non-penolakan yang diperoleh melalui PKI karena penyerang dapat menggunakan kunci privat untuk menandatangani dokumen secara digital dan berpura-pura menjadi pengguna yang berwenang. Baik pemegang sertifikat digital maupun otoritas penerbit harus melindungi komputer, perangkat penyimpanan, atau apa pun yang mereka gunakan untuk menyimpan kunci privat. Jalur Kunci: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\System cryptography: Paksa perlindungan kunci yang kuat untuk kunci pengguna yang disimpan di komputer Pemetaan Standar Kepatuhan:	= 2 _(Registri)	Penting
Windows Server harus dikonfigurasi untuk menggunakan algoritma yang sesuai dengan FIPS untuk enkripsi, hash, dan penandatanganan. _{(AZ-WIN-73701)}	Deskripsi: Pengaturan ini memastikan sistem menggunakan algoritma yang sesuai dengan FIPS untuk enkripsi, hash, dan penandatanganan. Algoritma yang mematuhi FIPS memenuhi standar tertentu yang ditetapkan oleh Pemerintah AS dan harus menjadi algoritma yang digunakan untuk semua fungsi enkripsi OS. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled OS: WS2016, WS2019, WS2022 Jenis Server: Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kriptografi sistem: Gunakan algoritma yang sesuai dengan FIPS untuk enkripsi, hash, dan penandatanganan Pemetaan Standar Kepatuhan:	= 1 _(Registri)	Penting

Opsi Keamanan - Objek sistem

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Objek sistem: Memerlukan ketidakpekaan kasus untuk subsistem non-Windows _{(CCE-37885-1)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah ketidakpekaan kasus diberlakukan untuk semua subsistem. Subsistem Microsoft Win32 tidak sensitif. Namun, kernel mendukung sensitivitas kasus untuk subsistem lain, seperti Portable Operating System Interface for UNIX (POSIX). Karena Windows tidak sensitif huruf besar/kecil (tetapi subsistem POSIX akan mendukung sensitivitas kasus), kegagalan untuk menegakkan pengaturan kebijakan ini memungkinkan pengguna subsistem POSIX untuk membuat file dengan nama yang sama dengan file lain dengan menggunakan kotak campuran untuk melabelinya. Situasi seperti itu dapat memblokir akses ke file-file ini oleh pengguna lain yang menggunakan alat Win32 khas, karena hanya salah satu file yang akan tersedia. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Objek sistem: Memerlukan ketidakpekaan huruf besar/kecil untuk subsistem non-Windows Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1	Tidak ada atau = 1 _(Registri)	Peringatan
Objek sistem: Memperkuat izin default objek sistem internal (misalnya Tautan Simbolik) _{(CCE-37644-2)}	Deskripsi: Pengaturan kebijakan ini menentukan kekuatan daftar kontrol akses diskresi default (DACL) untuk objek. Layanan Domain Active Directory mempertahankan daftar sumber daya sistem bersama global, seperti nama perangkat DOS, mutex, dan semafor. Dengan cara ini, objek dapat ditemukan dan dibagi di antara proses. Setiap jenis objek dibuat dengan DACL default yang menentukan siapa yang dapat mengakses objek dan izin apa yang diberikan. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Mengonfigurasi nilai kebijakan untuk Konfigurasi Komputer\Windows Pengaturan\Security Pengaturan\Local Policies\Security Options\System objects: Memperkuat izin default objek sistem internal (misalnya, Symbolic Links) ke`Enabled` Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.3.15.2	= 1 _(Registri)	Kritis

Opsi Keamanan - Pengaturan sistem

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Pengaturan sistem: Gunakan Aturan Sertifikat di Hal yang Dapat dieksekusi Windows untuk Kebijakan Pembatasan Perangkat Lunak _{(AZ-WIN-00155)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah sertifikat digital diproses ketika kebijakan pembatasan perangkat lunak diaktifkan dan pengguna atau proses mencoba menjalankan perangkat lunak dengan ekstensi nama file .exe yang berbeda. Ini memungkinkan atau menonaktifkan aturan sertifikat (jenis aturan kebijakan pembatasan perangkat lunak). Dengan kebijakan pembatasan perangkat lunak, Anda dapat membuat aturan sertifikat yang akan memungkinkan atau melarang eksekusi perangkat lunak yang bertanda Authenticode ®, berdasarkan sertifikat digital yang terkait dengan perangkat lunak. Agar aturan sertifikat berlaku dalam kebijakan pembatasan piranti lunak, Anda harus memfungsikan pengaturan kebijakan ini. Jalur Kunci: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Pengaturan sistem: Gunakan Aturan Sertifikat pada Windows Yang Dapat Dieksekusi untuk Kebijakan Pembatasan Perangkat Lunak Pemetaan Standar Kepatuhan:	= 1 _(Registri)	Peringatan

Opsi Keamanan - Kontrol Akun Pengguna

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
UAC: Mode Persetujuan Admin untuk akun Admin Internal _{(CCE-36494-3)}	Deskripsi: Pengaturan kebijakan ini mengontrol perilaku Mode Persetujuan Admin untuk akun Admin bawaan. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kontrol Akun Pengguna: Mode Persetujuan Admin untuk akun Administrator Bawaan Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1	= 1 _(Registri)	Kritis
Kontrol Akun Pengguna: Mengizinkan aplikasi UIAccess untuk meminta elevasi tanpa menggunakan desktop aman _{(CCE-36863-9)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah program Aksesibilitas Antarmuka Pengguna (UIAccess atau UIA) dapat secara otomatis menonaktifkan desktop aman untuk permintaan elevasi yang digunakan oleh pengguna standar. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kontrol Akun Pengguna: Izinkan aplikasi UIAccess meminta elevasi tanpa menggunakan desktop aman Pemetaan Standar Kepatuhan:	=0 _(Registri)	Kritis
UAC: Perilaku perintah elevasi untuk admin dalam Mode Persetujuan Admin _{(CCE-37029-6)}	Deskripsi: Pengaturan kebijakan ini mengontrol perilaku permintaan elevasi untuk admin. Status yang disarankan untuk pengaturan ini adalah: `Prompt for consent on the secure desktop`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Prompt for consent on the secure desktop`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kontrol Akun Pengguna: Perilaku permintaan elevasi untuk administrator dalam Mode Persetujuan Admin Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2	= 2 _(Registri)	Kritis
Kontrol Akun Pengguna: Perilaku permintaan ketinggian untuk pengguna standar _{(CCE-36864-7)}	Deskripsi: Pengaturan kebijakan ini mengontrol perilaku permintaan elevasi untuk pengguna standar. Status yang disarankan untuk pengaturan ini adalah: `Automatically deny elevation requests`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Automatically deny elevation requests:` Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kontrol Akun Pengguna: Perilaku permintaan elevasi untuk pengguna standar Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3	=0 _(Registri)	Kritis
UAC: Mendeteksi penginstalan aplikasi dan permintaan untuk elevasi _{(CCE-36533-8)}	Deskripsi: Pengaturan kebijakan ini mengontrol perilaku deteksi penginstalan aplikasi untuk komputer. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kontrol Akun Pengguna: Mendeteksi penginstalan aplikasi dan meminta elevasi Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4	= 1 _(Registri)	Kritis
Kontrol Akun Pengguna: Hanya meningkatkan aplikasi UIAccess yang dipasang di lokasi aman _{(CCE-37057-7)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah aplikasi yang meminta untuk berjalan dengan tingkat integritas Aksesibilitas Antarmuka Pengguna (UIAccess) harus berada di lokasi yang aman dalam sistem file. Lokasi aman terbatas pada yang berikut: - `…\Program Files\`, termasuk subfolder - `…\Windows\system32\` - `…\Program Files (x86)\`, termasuk subfolder untuk versi Windows 64-bit Note: Windows memberlakukan pemeriksaan tanda tangan infrastruktur kunci publik (PKI) pada aplikasi interaktif apa pun yang meminta untuk berjalan dengan tingkat integritas UIAccess terlepas dari keadaan pengaturan keamanan ini. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kontrol Akun Pengguna: Hanya tingkatkan aplikasi UIAccess yang diinstal di lokasi aman Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5	= 1 _(Registri)	Kritis
Kontrol Akun Pengguna: Menjalankan semua admin dalam Mode Persetujuan Admin _{(CCE-36869-6)}	Deskripsi: Pengaturan kebijakan ini mengontrol perilaku semua pengaturan kebijakan Kontrol Akun Pengguna (UAC) untuk komputer. Jika Anda mengubah pengaturan kebijakan ini, Anda harus memulai-ulang komputer. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Catatan: Jika pengaturan kebijakan ini dinonaktifkan, Azure Security Center memberi tahu Anda bahwa keamanan keseluruhan sistem operasi telah berkurang. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6	= 1 _(Registri)	Kritis
Kontrol Akun Pengguna: Beralih ke desktop aman saat meminta elevasi _{(CCE-36866-2)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah prompt permintaan elevasi ditampilkan di desktop pengguna interaktif atau desktop aman. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kontrol Akun Pengguna: Beralih ke desktop aman saat meminta elevasi Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7	= 1 _(Registri)	Kritis
Kontrol Akun Pengguna: Mem virtualisasi kegagalan penulisan file dan registri ke lokasi per pengguna _{(CCE-37064-3)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah kegagalan penulisan aplikasi dialihkan ke lokasi registri dan sistem file yang ditentukan. Pengaturan kebijakan ini mengurangi aplikasi yang berjalan sebagai admin dan menulis data aplikasi run-time untuk: - `%ProgramFiles%`, - `%Windir%`, - `%Windir%\system32`, atau - `HKEY_LOCAL_MACHINE\Software`. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Kontrol Akun Pengguna: Virtualisasi kegagalan penulisan file dan registri ke lokasi per pengguna Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8	= 1 _(Registri)	Kritis

Pengaturan Keamanan - Kebijakan Akun

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Ambang penguncian akun _{(AZ-WIN-73311)}	Deskripsi: Pengaturan kebijakan ini menentukan jumlah upaya masuk yang gagal sebelum akun dikunci. Mengatur kebijakan ini agar `0` tidak sesuai dengan tolok ukur karena akan menonaktifkan ambang batas penguncian akun. Status yang disarankan untuk pengaturan ini adalah: `5 or fewer invalid logon attempt(s), but not 0`. Catatan: Pengaturan Kebijakan Kata Sandi (bagian 1.1) dan pengaturan Kebijakan Penguncian Akun (bagian 1.2) harus diterapkan melalui GPO Kebijakan Domain Default agar berlaku secara global pada akun pengguna domain sebagai perilaku default mereka. Jika pengaturan ini dikonfigurasi di GPO lain, pengaturan tersebut hanya akan memengaruhi akun pengguna lokal di komputer yang menerima GPO. Namun, pengecualian kustom untuk kebijakan kata sandi default dan aturan kebijakan penguncian akun untuk pengguna domain dan/atau grup tertentu dapat ditentukan menggunakan Kata Sandi Pengaturan Objek (PSO), yang sepenuhnya terpisah dari Kebijakan Grup dan paling mudah dikonfigurasi menggunakan Pusat Administratif Direktori Aktif. Jalur Kunci: [System Access]LockoutBadCount OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Akun\Kebijakan Penguncian Akun\Ambang penguncian akun Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 1.2.2 CIS WS2019 1.2.2	Dalam 1-3 _{(Azure Policy)}	Penting
Terapkan riwayat kata sandi _{(CCE-37166-6)}	Deskripsi: Pengaturan kebijakan ini menentukan jumlah kata sandi unik yang diperbarui yang harus dikaitkan dengan akun pengguna sebelum Anda dapat menggunakan kembali kata sandi lama. Nilai untuk pengaturan kebijakan ini harus antara 0 dan 24 kata sandi. Nilai default untuk Windows Vista adalah 0 kata sandi, tetapi pengaturan default dalam domain adalah 24 kata sandi. Untuk menjaga efektivitas pengaturan kebijakan ini, gunakan pengaturan usia kata sandi minimum guna mencegah pengguna berulang kali mengubah kata sandi mereka. Status yang disarankan untuk pengaturan ini adalah: '24 kata sandi atau lebih'. Jalur Kunci: [Akses Sistem]PasswordHistorySize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `24 or more password(s)`: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Account Policies\Password Policy\Enforce password history Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 1.1.1	>= 24 _{(Azure Policy)}	Kritis
Usia kata sandi maksimum _{(CCE-37167-4)}	Deskripsi: Pengaturan kebijakan ini menentukan berapa lama pengguna dapat menggunakan kata sandi mereka sebelum kedaluwarsa. Nilai untuk pengaturan kebijakan ini berkisar antara 0 hingga 999 hari. Jika Anda menetapkan nilai ke 0, kata sandi tidak akan pernah kedaluwarsa. Karena penyerang dapat memecahkan kata sandi, semakin sering Anda mengubah kata sandi semakin sedikit peluang penyerang harus menggunakan kata sandi yang retak. Namun, semakin rendah nilai ini ditetapkan, semakin tinggi potensi peningkatan panggilan ke dukungan meja bantuan karena pengguna harus mengubah kata sandi mereka atau melupakan kata sandi mana yang terkini. Status yang disarankan untuk pengaturan ini adalah: `60 or fewer days, but not 0`. Jalur Kunci: [System Access]MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `365 or fewer days, but not 0`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Akun\Kebijakan Kata Sandi\Usia kata sandi maksimum Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 1.1.2	Dalam 1-70 _{(Azure Policy)}	Kritis
Usia kata sandi minimum _{(CCE-37073-4)}	Deskripsi: Pengaturan kebijakan ini menentukan jumlah hari Anda harus menggunakan kata sandi sebelum Anda dapat mengubahnya. Rentang nilai untuk pengaturan kebijakan ini adalah antara 1 dan 999 hari. (Anda juga dapat mengatur nilai ke 0 untuk memungkinkan perubahan kata sandi segera.) Nilai default untuk pengaturan ini adalah 0 hari. Status yang disarankan untuk pengaturan ini adalah: `1 or more day(s)`. Jalur Kunci: [System Access]MinimumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `1 or more day(s)`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Akun\Kebijakan Kata Sandi\Usia kata sandi minimum Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 1.1.3	>= 1 _{(Azure Policy)}	Kritis
Panjang kata sandi minimum _{(CCE-36534-6)}	Deskripsi: Pengaturan kebijakan ini menentukan jumlah karakter paling sedikit yang membuat kata sandi untuk akun pengguna. Ada banyak teori yang berbeda tentang bagaimana menentukan panjang kata sandi terbaik untuk suatu organisasi, tetapi mungkin "frasa sandi" adalah istilah yang lebih baik daripada "kata sandi." Di Microsoft Windows tahun 2000 atau lebih baru, frasa sandi bisa sangat panjang dan dapat mencakup spasi. Oleh karena itu, frasa seperti "Saya ingin minum milkshake $ 5" adalah frasa lulus yang valid; ini adalah kata sandi yang jauh lebih kuat daripada string 8 atau 10 karakter angka dan huruf acak, namun lebih mudah diingat. Pengguna harus dididik tentang pemilihan dan pemeliharaan kata sandi yang tepat, terutama yang berkaitan dengan panjang kata sandi. Di lingkungan perusahaan, nilai ideal untuk pengaturan panjang kata sandi minimum adalah 14 karakter, namun Anda harus menyesuaikan nilai ini untuk memenuhi persyaratan bisnis organisasi Anda. Status yang disarankan untuk pengaturan ini adalah: `14 or more character(s)`. Jalur Kunci: [System Access]MinimumPasswordLength OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `14 or more character(s)`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Akun\Kebijakan Kata Sandi\Panjang kata sandi minimum Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 1.1.4	>= 14 _{(Azure Policy)}	Kritis
Kata sandi harus memenuhi persyaratan kompleksitas _{(CCE-37063-5)}	Deskripsi: Pengaturan kebijakan ini memeriksa semua kata sandi baru untuk memastikan bahwa mereka memenuhi persyaratan dasar untuk kata sandi yang kuat. Saat kebijakan ini diaktifkan, kata sandi harus memenuhi persyaratan minimum berikut: - Tidak berisi nama akun pengguna atau bagian dari nama lengkap pengguna yang melebihi dua karakter berurutan - Panjangnya setidaknya enam karakter - Mengandung karakter dari tiga dari empat kategori berikut ini: - Karakter huruf besar bahasa Inggris (A hingga Z) - Karakter huruf kecil bahasa Inggris (a hingga z) - Basis 10 digit (0 hingga 9) - Karakter non-abjad (misalnya !, $, #, %) - Kategori semua karakter Unicode apa pun yang tidak termasuk dalam empat kategori sebelumnya. Kategori kelima ini dapat secara regional spesifik. Setiap karakter tambahan dalam kata sandi meningkatkan kompleksitasnya secara eksponensial. Misalnya, kata sandi alfabet tujuh karakter, semua huruf kecil akan memiliki 267 (sekitar 8 x 109 atau 8 miliar) kemungkinan kombinasi. Pada 1.000.000 upaya per detik (kemampuan banyak utilitas retak kata sandi), hanya akan memakan waktu 133 menit untuk retak. Kata sandi alfabet tujuh karakter dengan sensitivitas kasus memiliki 527 kombinasi. Kata sandi alfanumerik sensitif huruf tujuh karakter tanpa tanda baca memiliki 627 kombinasi. Kata sandi delapan karakter memiliki kombinasi 268 (atau 2 x 1011). Meskipun ini mungkin tampak jumlah yang besar, pada 1.000.000 upaya per detik hanya akan memakan waktu 59 jam untuk mencoba semua kata sandi yang mungkin. Ingat, waktu ini akan meningkat secara signifikan untuk kata sandi yang menggunakan karakter ALT dan karakter keyboard khusus lainnya seperti "!" atau "@". Penggunaan pengaturan kata sandi yang tepat dapat membantu menyulitkan pemasangan serangan brute force. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: [System Access]PasswordComplexity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Akun\Kebijakan Kata Sandi\Kata Sandi harus memenuhi persyaratan kompleksitas Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5	= 1 _{(Azure Policy)}	Kritis
Mengatur ulang penghitung penguncian akun setelah _{(AZ-WIN-73309)}	Deskripsi: Pengaturan kebijakan ini menentukan lamanya waktu sebelum ambang batas penguncian Akun diatur ulang menjadi nol. Nilai default untuk pengaturan kebijakan ini Tidak Ditentukan. Jika ambang batas penguncian Akun ditentukan, waktu reset ini harus kurang dari atau sama dengan nilai untuk pengaturan durasi penguncian Akun. Jika Anda membiarkan pengaturan kebijakan ini pada nilai defaultnya atau mengonfigurasi nilai ke interval yang terlalu panjang, lingkungan Anda mungkin rentan terhadap serangan DoS. Penyerang dapat dengan berbahaya melakukan sejumlah upaya masuk yang gagal pada semua pengguna di organisasi, yang akan mengunci akun mereka. Jika tidak ada kebijakan yang ditentukan untuk mengatur ulang penguncian akun, itu akan menjadi tugas manual bagi administrator. Sebaliknya, jika nilai waktu yang wajar dikonfigurasi untuk pengaturan kebijakan ini, pengguna akan dikunci untuk periode yang ditetapkan hingga semua akun dibuka kuncinya secara otomatis. Status yang disarankan untuk pengaturan ini adalah: `15 or more minute(s)`. Catatan: Pengaturan Kebijakan Kata Sandi (bagian 1.1) dan pengaturan Kebijakan Penguncian Akun (bagian 1.2) harus diterapkan melalui GPO Kebijakan Domain Default agar berlaku secara global pada akun pengguna domain sebagai perilaku default mereka. Jika pengaturan ini dikonfigurasi di GPO lain, pengaturan tersebut hanya akan memengaruhi akun pengguna lokal di komputer yang menerima GPO. Namun, pengecualian kustom untuk kebijakan kata sandi default dan aturan kebijakan penguncian akun untuk pengguna domain dan/atau grup tertentu dapat ditentukan menggunakan Kata Sandi Pengaturan Objek (PSO), yang sepenuhnya terpisah dari Kebijakan Grup dan paling mudah dikonfigurasi menggunakan Pusat Administratif Direktori Aktif. Jalur Kunci: [System Access]ResetLockoutCount OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Account Policies\Account Lockout Policy\Reset account lockout counter after Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 1.2.3 CIS WS2019 1.2.3	>= 15 _{(Azure Policy)}	Penting
Simpan kata sandi menggunakan enkripsi yang dapat dibalik _{(CCE-36286-3)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah sistem operasi menyimpan kata sandi dengan cara yang menggunakan enkripsi yang dapat dibalik, yang menyediakan dukungan untuk protokol aplikasi yang memerlukan pengetahuan tentang kata sandi pengguna untuk tujuan autentikasi. Kata sandi yang disimpan dengan enkripsi yang dapat dibalik pada dasarnya sama dengan versi kata sandi teks biasa. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: [System Access]ClearTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Account Policies\Password Policy\Store passwords using reversible encryption Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7	=0 _{(Azure Policy)}	Kritis

Pengaturan Keamanan - Windows Firewall

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Windows Firewall: Domain: Mengizinkan respons siartunggal _{(AZ-WIN-00088)}	Deskripsi: Opsi ini berguna jika Anda perlu mengontrol apakah komputer ini menerima respons unicast terhadap pesan multicast atau siaran keluarnya. Kami merekomendasikan pengaturan ini ke 'Ya' untuk profil Privat dan Domain, ini akan mengatur nilai registri ke 0. Jalur Kunci: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasikan nilai kebijakan untuk Konfigurasi Komputer\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties (tautan ini akan berada di panel kanan)\Tab Profil Domain\Pengaturan (pilih Sesuaikan)\Respons Unicast, Izinkan respons unicast Pemetaan Standar Kepatuhan:	=0 _(Registri)	Peringatan
Firewall Windows: Domain: Status Firewall _{(CCE-36062-8)}	Deskripsi: Pilih Hidup (disarankan) agar Firewall Windows dengan Keamanan Tingkat Lanjut menggunakan pengaturan untuk profil ini untuk memfilter lalu lintas jaringan. Jika Anda memilih Mati, Firewall Windows dengan Keamanan Tingkat Lanjut tidak akan menggunakan aturan firewall atau aturan keamanan sambungan untuk profil ini. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `On (recommended)`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Domain Profile\Firewall state Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.1.1	= 1 _(Registri)	Kritis
Windows Firewall: Domain: Koneksi masuk _{(AZ-WIN-202252)}	Deskripsi: Pengaturan ini menentukan perilaku untuk koneksi masuk yang tidak cocok dengan aturan firewall masuk. Status yang disarankan untuk pengaturan ini adalah: `Block (default)`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Domain Profile\Koneksi masuk Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.1.2 CIS WS2019 9.1.2	= 1 _(Registri)	Kritis
Windows Firewall: Domain: Pengelogan: Mencatat paket yang dihilangkan _{(AZ-WIN-202226)}	Deskripsi: Gunakan opsi ini untuk mencatat ketika Windows Firewall dengan Advanced Security membuang paket masuk karena alasan apa pun. Log mencatat mengapa dan kapan paket dihilangkan. Cari entri dengan kata `DROP` di kolom tindakan log. Status yang disarankan untuk pengaturan ini adalah: `Yes`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Domain Profile\Logging Customize\Log dropped packets Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.1.7 CIS WS2019 9.1.7	= 1 _(Registri)	Informasi
Windows Firewall: Domain: Pengelogan: Mencatat koneksi yang berhasil _{(AZ-WIN-202227)}	Deskripsi: Gunakan opsi ini untuk mencatat kapan Windows Firewall dengan Keamanan Tingkat Lanjut mengizinkan koneksi masuk. Log mencatat mengapa dan kapan koneksi terbentuk. Cari entri dengan kata `ALLOW` di kolom tindakan log. Status yang disarankan untuk pengaturan ini adalah: `Yes`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Domain Profile\Logging Customize\Log successful connections Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.1.8 CIS WS2019 9.1.8	= 1 _(Registri)	Peringatan
Windows Firewall: Domain: Pengelogan: Nama _{(AZ-WIN-202224)}	Deskripsi: Gunakan opsi ini untuk menentukan jalur dan nama file tempat Windows Firewall akan menulis informasi lognya. Status yang disarankan untuk pengaturan ini adalah: `%SystemRoot%\System32\logfiles\firewall\domainfw.log`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Domain Profile\Logging Customize\Name Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.1.5 CIS WS2019 9.1.5	= %SystemRoot%\System32\logfiles\firewall\domainfw.log _(Registri)	Informasi
Windows Firewall: Domain: Pengelogan: Batas ukuran (KB) _{(AZ-WIN-202225)}	Deskripsi: Gunakan opsi ini untuk menentukan batas ukuran file tempat Windows Firewall akan menulis informasi lognya. Status yang disarankan untuk pengaturan ini adalah: `16,384 KB or greater`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Logging Customize\Size limit (KB) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.1.6 CIS WS2019 9.1.6	>= 16384 _(Registri)	Peringatan
Firewall Windows: Domain: Sambungan keluar _{(CCE-36146-9)}	Deskripsi: Pengaturan ini menentukan perilaku untuk koneksi keluar yang tidak cocok dengan aturan firewall keluar. Di Windows Vista, perilaku asali adalah memperbolehkan sambungan kecuali ada aturan firewall yang memblokir sambungan. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Allow (default)`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Domain Profile\Outbound connections Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.1.3	=0 _(Registri)	Kritis
Firewall Windows: Domain: Pengaturan: Terapkan aturan keamanan sambungan lokal _{(CCE-38040-2)}	Deskripsi: Pengaturan ini mengontrol apakah administrator lokal diizinkan untuk membuat aturan koneksi lokal yang berlaku bersama dengan aturan firewall yang dikonfigurasi oleh Kebijakan Grup. Status yang direkomendasikan untuk pengaturan ini adalah 'Ya', ini akan mengatur nilai registri ke 1. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Mengonfigurasi nilai kebijakan untuk Konfigurasi Komputer\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties (tautan ini akan berada di panel kanan)\Tab Profil Domain\Pengaturan (pilih Sesuaikan)\Penggabungan aturan, Terapkan aturan keamanan koneksi lokal Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.3.6	= 1 _(Registri)	Kritis
Firewall Windows: Domain: Pengaturan: Terapkan aturan firewall lokal _{(CCE-37860-4)}	Deskripsi: Pengaturan ini mengontrol apakah admin lokal diperbolehkan membuat aturan firewall lokal yang berlaku bersama dengan aturan firewall yang dikonfigurasi oleh Kebijakan Grup. Status yang direkomendasikan untuk pengaturan ini adalah Ya, ini akan mengatur nilai registri ke 1. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Windows Pengaturan\Keamanan Pengaturan\Windows Firewall dengan Keamanan Tingkat Lanjut\Windows Firewall dengan Keamanan Tingkat Lanjut\Properti Firewall Windows (tautan ini akan berada di panel kanan)\Tab Profil Domain\Pengaturan (pilih Kustomisasi)\Penggabungan aturan, Terapkan aturan firewall lokal Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.3.5	Tidak ada atau = 1 _(Registri)	Kritis
Firewall Windows: Domain: Pengaturan: Menampilkan pemberitahuan _{(CCE-38041-0)}	Deskripsi: Dengan memilih opsi ini, tidak ada pemberitahuan yang ditampilkan kepada pengguna saat program diblokir dari menerima koneksi masuk. Di lingkungan server, popup tidak berguna karena pengguna tidak masuk, popup tidak diperlukan dan dapat menambah kebingungan bagi administrator. Konfigurasikan pengaturan kebijakan ini ke 'Tidak', ini akan mengatur nilai registri ke 1. Windows Firewall tidak akan menampilkan pemberitahuan saat sebuah program diblokir dari menerima koneksi masuk. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Domain Profile\Pengaturan Customize\Display a notification Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.1.4	= 1 _(Registri)	Peringatan
Windows Firewall: Pribadi: Izinkan respons unicast _{(AZ-WIN-00089)}	Deskripsi: Opsi ini berguna jika Anda perlu mengontrol apakah komputer ini menerima respons unicast terhadap pesan multicast atau siaran keluarnya. Kami merekomendasikan pengaturan ini ke 'Ya' untuk profil Privat dan Domain, ini akan mengatur nilai registri ke 0. Jalur Kunci: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Windows Pengaturan\Keamanan Pengaturan\Windows Firewall dengan Keamanan Tingkat Lanjut\Windows Firewall dengan Keamanan Tingkat Lanjut\Properti Firewall Windows (tautan ini akan berada di panel kanan)\Tab Profil Privat\Pengaturan (pilih Kustomisasi)\Respons Unicast, Izinkan respons unicast Pemetaan Standar Kepatuhan:	=0 _(Registri)	Peringatan
Firewall Windows: Privat: Status firewall _{(CCE-38239-0)}	Deskripsi: Pilih Hidup (disarankan) agar Firewall Windows dengan Keamanan Tingkat Lanjut menggunakan pengaturan untuk profil ini untuk memfilter lalu lintas jaringan. Jika Anda memilih Mati, Firewall Windows dengan Keamanan Tingkat Lanjut tidak akan menggunakan aturan firewall atau aturan keamanan sambungan untuk profil ini. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `On (recommended)`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Private Profile\Firewall state Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.2.1	= 1 _(Registri)	Kritis
Windows Firewall: Privat: Koneksi masuk _{(AZ-WIN-202228)}	Deskripsi: Pengaturan ini menentukan perilaku untuk koneksi masuk yang tidak cocok dengan aturan firewall masuk. Status yang disarankan untuk pengaturan ini adalah: `Block (default)`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Private Profile\Inbound connections Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.2.2 CIS WS2019 9.2.2	= 1 _(Registri)	Kritis
Windows Firewall: Privat: Pengelogan: Mencatat paket yang dihilangkan _{(AZ-WIN-202231)}	Deskripsi: Gunakan opsi ini untuk mencatat ketika Windows Firewall dengan Advanced Security membuang paket masuk karena alasan apa pun. Log mencatat mengapa dan kapan paket dihilangkan. Cari entri dengan kata `DROP` di kolom tindakan log. Status yang disarankan untuk pengaturan ini adalah: `Yes`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Logging Customize\Log dropped packets Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.2.7 CIS WS2019 9.2.7	= 1 _(Registri)	Informasi
Windows Firewall: Privat: Pengelogan: Mencatat koneksi yang berhasil _{(AZ-WIN-202232)}	Deskripsi: Gunakan opsi ini untuk mencatat kapan Windows Firewall dengan Keamanan Tingkat Lanjut mengizinkan koneksi masuk. Log mencatat mengapa dan kapan koneksi terbentuk. Cari entri dengan kata `ALLOW` di kolom tindakan log. Status yang disarankan untuk pengaturan ini adalah: `Yes`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Private Profile\Logging Customize\Log successful connections Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.2.8 CIS WS2019 9.2.8	= 1 _(Registri)	Peringatan
Windows Firewall: Privat: Pengelogan: Nama _{(AZ-WIN-202229)}	Deskripsi: Gunakan opsi ini untuk menentukan jalur dan nama file tempat Windows Firewall akan menulis informasi lognya. Status yang disarankan untuk pengaturan ini adalah: `%SystemRoot%\System32\logfiles\firewall\privatefw.log`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Private Profile\Logging Customize\Name Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.2.5 CIS WS2019 9.2.5	= %SystemRoot%\System32\logfiles\firewall\privatefw.log _(Registri)	Informasi
Windows Firewall: Privat: Pengelogan: Batas ukuran (KB) _{(AZ-WIN-202230)}	Deskripsi: Gunakan opsi ini untuk menentukan batas ukuran file tempat Windows Firewall akan menulis informasi lognya. Status yang disarankan untuk pengaturan ini adalah: `16,384 KB or greater`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Logging Customize\Size limit (KB) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.2.6 CIS WS2019 9.2.6	>= 16384 _(Registri)	Peringatan
Firewall Windows: Privat: Sambungan keluar _{(CCE-38332-3)}	Deskripsi: Pengaturan ini menentukan perilaku untuk koneksi keluar yang tidak cocok dengan aturan firewall keluar. Perilaku default adalah untuk memperbolehkan koneksi kecuali ada aturan firewall yang memblokir koneksi. Penting Jika Anda menetapkan koneksi keluar ke Blokir lalu menerapkan kebijakan firewall dengan menggunakan GPO, komputer yang menerima pengaturan GPO tidak dapat menerima pembaruan Kebijakan Grup berikutnya kecuali Anda membuat dan menerapkan aturan keluar yang memungkinkan Kebijakan Grup berfungsi. Aturan yang telah ditentukan sebelumnya untuk Jaringan Inti mencakup aturan keluar yang memungkinkan Kebijakan Grup berfungsi. Pastikan bahwa aturan keluar ini aktif, dan uji profil firewall secara menyeluruh sebelum menyebarkan. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Allow (default)`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Private Profile\Outbound connections Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.2.3	=0 _(Registri)	Kritis
Firewall Windows: Privat: Pengaturan: Terapkan aturan keamanan sambungan lokal _{(CCE-36063-6)}	Deskripsi: Pengaturan ini mengontrol apakah administrator lokal diizinkan untuk membuat aturan koneksi lokal yang berlaku bersama dengan aturan firewall yang dikonfigurasi oleh Kebijakan Grup. Status yang direkomendasikan untuk pengaturan ini adalah 'Ya', ini akan mengatur nilai registri ke 1. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Keamanan Tingkat Lanjut\Windows Firewall dengan Keamanan Tingkat Lanjut\Properti Firewall Windows (tautan ini akan berada di panel kanan)\Tab Profil Privat\Pengaturan (pilih Sesuaikan)\Penggabungan aturan, Terapkan aturan keamanan koneksi lokal Pemetaan Standar Kepatuhan:	= 1 _(Registri)	Kritis
Firewall Windows: Privat: Pengaturan: Terapkan aturan firewall lokal _{(CCE-37438-9)}	Deskripsi: Pengaturan ini mengontrol apakah admin lokal diperbolehkan membuat aturan firewall lokal yang berlaku bersama dengan aturan firewall yang dikonfigurasi oleh Kebijakan Grup. Status yang direkomendasikan untuk pengaturan ini adalah Ya, ini akan mengatur nilai registri ke 1. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasikan nilai kebijakan untuk Konfigurasi Komputer\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Keamanan Tingkat Lanjut\Windows Firewall dengan Keamanan Tingkat Lanjut\Properti Firewall Windows (tautan ini akan berada di panel kanan)\Tab Profil Privat\Pengaturan (pilih Kustomisasi)\Penggabungan aturan, Terapkan aturan firewall lokal Pemetaan Standar Kepatuhan:	Tidak ada atau = 1 _(Registri)	Kritis
Firewall Windows: Privat: Pengaturan: Menampilkan pemberitahuan _{(CCE-37621-0)}	Deskripsi: Dengan memilih opsi ini, tidak ada pemberitahuan yang ditampilkan kepada pengguna saat program diblokir dari menerima koneksi masuk. Di lingkungan server, popup tidak berguna karena pengguna tidak masuk, popup tidak diperlukan dan dapat menambah kebingungan bagi administrator. Konfigurasikan pengaturan kebijakan ini ke 'Tidak', ini akan mengatur nilai registri ke 1. Windows Firewall tidak akan menampilkan pemberitahuan saat sebuah program diblokir dari menerima koneksi masuk. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Private Profile\Pengaturan Customize\Display a notification Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.2.4	= 1 _(Registri)	Peringatan
Windows Firewall: Publik: Izinkan respons unicast _{(AZ-WIN-00090)}	Deskripsi: Opsi ini berguna jika Anda perlu mengontrol apakah komputer ini menerima respons unicast terhadap pesan multicast atau siaran keluarnya. Ini dapat dilakukan dengan mengubah status untuk pengaturan ini menjadi 'Tidak', ini akan mengatur nilai registri ke 1. Jalur Kunci: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Mengonfigurasi nilai kebijakan untuk Konfigurasi Komputer\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties (tautan ini akan berada di panel kanan)\Tab Profil Publik\Pengaturan (pilih Sesuaikan)\Respons Unicast, Izinkan respons unicast Pemetaan Standar Kepatuhan:	= 1 _(Registri)	Peringatan
Firewall Windows: Publik: Status firewall _{(CCE-37862-0)}	Deskripsi: Pilih Hidup (disarankan) agar Firewall Windows dengan Keamanan Tingkat Lanjut menggunakan pengaturan untuk profil ini untuk memfilter lalu lintas jaringan. Jika Anda memilih Mati, Firewall Windows dengan Keamanan Tingkat Lanjut tidak akan menggunakan aturan firewall atau aturan keamanan sambungan untuk profil ini. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `On (recommended)`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Public Profile\Firewall state Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.3.1	= 1 _(Registri)	Kritis
Windows Firewall: Publik: Koneksi keluar _{(AZ-WIN-202234)}	Deskripsi: Pengaturan ini menentukan perilaku untuk koneksi masuk yang tidak cocok dengan aturan firewall masuk. Status yang disarankan untuk pengaturan ini adalah: `Block (default)`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Inbound connections Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.3.2 CIS WS2019 9.3.2	= 1 _(Registri)	Kritis
Windows Firewall: Publik: Pengelogan: Mencatat paket yang dihilangkan _{(AZ-WIN-202237)}	Deskripsi: Gunakan opsi ini untuk mencatat ketika Windows Firewall dengan Advanced Security membuang paket masuk karena alasan apa pun. Log mencatat mengapa dan kapan paket dihilangkan. Cari entri dengan kata `DROP` di kolom tindakan log. Status yang disarankan untuk pengaturan ini adalah: `Yes`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Public Profile\Logging Customize\Log dropped packets Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.3.9 CIS WS2019 9.3.9	= 1 _(Registri)	Informasi
Windows Firewall: Publik: Pengelogan: Mencatat koneksi yang berhasil _{(AZ-WIN-202233)}	Deskripsi: Gunakan opsi ini untuk mencatat kapan Windows Firewall dengan Keamanan Tingkat Lanjut mengizinkan koneksi masuk. Log mencatat mengapa dan kapan koneksi terbentuk. Cari entri dengan kata `ALLOW` di kolom tindakan log. Status yang disarankan untuk pengaturan ini adalah: `Yes`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Public Profile\Logging Customize\Log successful connections Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.3.10 CIS WS2019 9.3.10	= 1 _(Registri)	Peringatan
Windows Firewall: Publik: Pengelogan: Nama _{(AZ-WIN-202235)}	Deskripsi: Gunakan opsi ini untuk menentukan jalur dan nama file tempat Windows Firewall akan menulis informasi lognya. Status yang disarankan untuk pengaturan ini adalah: `%SystemRoot%\System32\logfiles\firewall\publicfw.log`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Public Profile\Logging Customize\Name Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.3.7 CIS WS2019 9.3.7	= %SystemRoot%\System32\logfiles\firewall\publicfw.log _(Registri)	Informasi
Windows Firewall: Publik: Pengelogan: Batas ukuran (KB) _{(AZ-WIN-202236)}	Deskripsi: Gunakan opsi ini untuk menentukan batas ukuran file tempat Windows Firewall akan menulis informasi lognya. Status yang disarankan untuk pengaturan ini adalah: `16,384 KB or greater`. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Public Profile\Logging Customize\Size limit (KB) Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 9.3.8 CIS WS2019 9.3.8	>= 16384 _(Registri)	Informasi
Firewall Windows: Publik: Sambungan keluar _{(CCE-37434-8)}	Deskripsi: Pengaturan ini menentukan perilaku untuk koneksi keluar yang tidak cocok dengan aturan firewall keluar. Perilaku default adalah untuk memperbolehkan koneksi kecuali ada aturan firewall yang memblokir koneksi. Penting Jika Anda menetapkan koneksi keluar ke Blokir lalu menerapkan kebijakan firewall dengan menggunakan GPO, komputer yang menerima pengaturan GPO tidak dapat menerima pembaruan Kebijakan Grup berikutnya kecuali Anda membuat dan menerapkan aturan keluar yang memungkinkan Kebijakan Grup berfungsi. Aturan yang telah ditentukan sebelumnya untuk Jaringan Inti mencakup aturan keluar yang memungkinkan Kebijakan Grup berfungsi. Pastikan bahwa aturan keluar ini aktif, dan uji profil firewall secara menyeluruh sebelum menyebarkan. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Allow (default)`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Public Profile\Outbound connections Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.3.3	=0 _(Registri)	Kritis
Firewall Windows: Publik: Pengaturan: Terapkan aturan keamanan sambungan lokal _{(CCE-36268-1)}	Deskripsi: Pengaturan ini mengontrol apakah administrator lokal diizinkan untuk membuat aturan koneksi lokal yang berlaku bersama dengan aturan firewall yang dikonfigurasi oleh Kebijakan Grup. Status yang direkomendasikan untuk pengaturan ini adalah 'Ya', ini akan mengatur nilai registri ke 1. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Public Profile\Pengaturan Customize\Apply local connection security rules Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.3.6	= 1 _(Registri)	Kritis
Firewall Windows: Publik: Pengaturan: Terapkan aturan firewall lokal _{(CCE-37861-2)}	Deskripsi: Pengaturan ini mengontrol apakah admin lokal diperbolehkan membuat aturan firewall lokal yang berlaku bersama dengan aturan firewall yang dikonfigurasi oleh Kebijakan Grup. Status yang direkomendasikan untuk pengaturan ini adalah Ya, ini akan mengatur nilai registri ke 1. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Public Profile\Pengaturan Customize\Apply local firewall rules Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.3.5	Tidak ada atau = 1 _(Registri)	Kritis
Firewall Windows: Publik: Pengaturan: Menampilkan pemberitahuan _{(CCE-38043-6)}	Deskripsi: Dengan memilih opsi ini, tidak ada pemberitahuan yang ditampilkan kepada pengguna saat program diblokir dari menerima koneksi masuk. Di lingkungan server, popup tidak berguna karena pengguna tidak masuk, popup tidak diperlukan dan dapat menambah kebingungan bagi administrator. Konfigurasikan pengaturan kebijakan ini ke 'Tidak', ini akan mengatur nilai registri ke 1. Windows Firewall tidak akan menampilkan pemberitahuan saat sebuah program diblokir dari menerima koneksi masuk. Jalur Kunci: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Windows Firewall dengan Advanced Security\Windows Firewall dengan Advanced Security\Windows Firewall Properties\Public Profile\Pengaturan Customize\Display a notification Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 9.3.4	= 1 _(Registri)	Peringatan

Kebijakan Audit Sistem - Masuk Akun

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit Validasi Informasi Masuk _{(CCE-37741-6)}	Deskripsi: Subkategori ini melaporkan hasil pengujian validasi pada info masuk yang dikirimkan untuk permintaan masuk akun pengguna. Peristiwa ini terjadi pada komputer yang diberi otorisasi untuk info masuk. Untuk akun domain, pengendali domain diberi otorisasi, sedangkan untuk akun lokal, komputer lokal diberi otorisasi. Di lingkungan domain, sebagian besar peristiwa Masuk Akun terjadi di log Keamanan pengendali domain yang diberi otorisasi untuk akun domain. Namun, peristiwa ini dapat terjadi pada komputer lain dalam organisasi saat akun lokal digunakan untuk masuk. Peristiwa untuk subkategori ini meliputi: - 4774: Sebuah akun telah dipetakan untuk masuk. - 4775: Akun tidak dapat dipetakan untuk masuk. - 4776: Pengendali domain berusaha memvalidasi info masuk untuk sebuah akun. - 4777: Pengendali domain gagal memvalidasi info masuk untuk akun. Status yang disarankan untuk pengaturan ini adalah: 'Sukses dan Gagal'. Jalur Kunci: {0CCE923F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Success and Failure`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Credential Validation Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1	= Keberhasilan dan Kegagalan _(Audit)	Kritis
Mengaudit Layanan Autentikasi Kerberos _{(AZ-WIN-00004)}	Deskripsi: Subkataan ini melaporkan hasil peristiwa yang dihasilkan setelah permintaan TGT autentikasi Kerberos. Kerberos adalah layanan autentikasi terdistribusi yang memungkinkan klien yang berjalan atas nama pengguna untuk membuktikan identitasnya ke server tanpa mengirim data di seluruh jaringan. Ini membantu mengurangi penyerang atau server dari meniru pengguna. - 4768: Tiket autentikasi Kerberos (TGT) diminta. - 4771: Pra-autentikasi Kerberos gagal. - 4772: Permintaan tiket autentikasi Kerberos gagal. Status yang disarankan untuk pengaturan ini adalah: `Success and Failure`. Jalur Kunci: {0CCE9242-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Kerberos Authentication Service Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.1.2 CIS WS2019 17.1.2	>= Keberhasilan dan Kegagalan _(Audit)	Kritis

Kebijakan Audit Sistem - Manajemen Akun

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit Manajemen Grup Distribusi _{(CCE-36265-7)}	Deskripsi: Subkategrasi ini melaporkan setiap peristiwa manajemen grup distribusi, seperti saat grup distribusi dibuat, diubah, atau dihapus atau saat anggota ditambahkan ke atau dihapus dari grup distribusi. Jika Anda mengaktifkan pengaturan kebijakan Audit ini, administrator dapat melacak peristiwa untuk mendeteksi pembuatan akun grup yang berbahaya, tidak disengaja, dan sah. Peristiwa untuk subkataan ini meliputi: - 4744: Grup lokal yang dinonaktifkan keamanan dibuat. - 4745: Grup lokal yang dinonaktifkan keamanan diubah. - 4746: Anggota ditambahkan ke grup lokal yang dinonaktifkan keamanan. - 4747: Anggota dihapus dari grup lokal yang dinonaktifkan keamanan. - 4748: Grup lokal yang dinonaktifkan keamanan dihapus. - 4749: Grup global yang dinonaktifkan keamanan dibuat. - 4750: Grup global yang dinonaktifkan keamanan diubah. - 4751: Anggota ditambahkan ke grup global yang dinonaktifkan keamanan. - 4752: Anggota dihapus dari grup global yang dinonaktifkan keamanan. - 4753: Grup global yang dinonaktifkan keamanan dihapus. - 4759: Grup universal yang dinonaktifkan keamanan dibuat. - 4760: Grup universal yang dinonaktifkan keamanan diubah. - 4761: Anggota ditambahkan ke grup universal yang dinonaktifkan keamanan. - 4762: Anggota dihapus dari grup universal yang dinonaktifkan keamanan. - 4763: Grup universal yang dinonaktifkan keamanan dihapus. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Success`. Jalur Kunci: {0CCE9238-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Distribution Group Management Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.2.3 CIS WS2019 17.2.3	>= Berhasil _(Audit)	Kritis
Mengaudit Manajemen Akun Lainnya _{(CCE-37855-4)}	Deskripsi: Subkategori ini melaporkan peristiwa manajemen akun lainnya. Peristiwa untuk subkategori ini meliputi: - 4782: Kata sandi hash akun diakses. — 4793: API Pemeriksaan Azure Policy Kata Sandi dipanggil. Lihat artikel Microsoft Knowledgebase "Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008" untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE923A-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Success`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Other Account Management Events Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.2.4	>= Berhasil _(Audit)	Kritis
Mengaudit Manajemen Kelompok Keamanan _{(CCE-38034-5)}	Deskripsi: Subkategori ini melaporkan setiap peristiwa manajemen grup keamanan, seperti saat grup keamanan dibuat, diubah, atau dihapus atau saat anggota ditambahkan atau dihapus dari grup keamanan. Jika Anda mengaktifkan pengaturan kebijakan Audit ini, admin dapat melacak kejadian untuk mendeteksi pembuatan akun grup keamanan yang berbahaya, tidak disengaja, dan resmi. Peristiwa untuk subkategori ini meliputi: - 4727: Grup global yang mendukung keamanan dibuat. - 4728: Seorang anggota ditambahkan ke grup global yang mendukung keamanan. - 4729: Seorang anggota dihapus dari grup global yang mendukung keamanan. - 4730: Grup global yang mendukung keamanan dihapus. - 4731: Grup lokal yang mendukung keamanan dibuat. - 4732: Seorang anggota ditambahkan ke grup lokal yang mendukung keamanan. - 4733: Seorang anggota dihapus dari grup lokal yang mendukung keamanan. - 4734: Grup lokal yang mendukung keamanan telah dihapus. - 4735: Grup lokal yang mendukung keamanan diubah. - 4737: Grup global yang mendukung keamanan diubah. - 4754: Grup universal yang mendukung keamanan dibuat. - 4755: Sebuah kelompok universal yang mendukung keamanan diubah. - 4756: Seorang anggota ditambahkan ke grup universal yang mendukung keamanan. - 4757: Seorang anggota dihapus dari grup universal yang mendukung keamanan. - 4758: Grup universal yang mendukung keamanan dihapus. - 4764: Jenis grup diubah. Status yang disarankan untuk pengaturan ini adalah: `Success and Failure`. Jalur Kunci: {0CCE9237-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Success`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Security Group Management Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.2.5	>= Berhasil _(Audit)	Kritis
Mengaudit Manajemen Akun Pengguna _{(CCE-37856-2)}	Deskripsi: Subkategori ini melaporkan setiap peristiwa manajemen akun pengguna, seperti saat akun pengguna dibuat, diubah, atau dihapus; akun pengguna diganti namanya, dinonaktifkan, atau diaktifkan; atau kata sandi diatur atau diubah. Jika Anda mengaktifkan pengaturan kebijakan Audit ini, admin dapat melacak kejadian untuk mendeteksi pembuatan akun pengguna yang berbahaya, tidak disengaja, dan resmi. Peristiwa untuk subkategori ini meliputi: - 4720: Akun pengguna dibuat. - 4722: Akun pengguna diaktifkan. - 4723: Upaya dilakukan untuk mengubah kata sandi akun. - 4724: Upaya dilakukan untuk mereset kata sandi akun. - 4725: Akun pengguna dinonaktifkan. - 4726: Akun pengguna dihapus. - 4738: Akun pengguna diubah. - 4740: Akun pengguna dikunci. - 4765: Sejarah SID ditambahkan ke akun. - 4766: Upaya untuk menambahkan Riwayat SID ke akun gagal. - 4767: Akun pengguna tidak terkunci. - 4780: ACL ditetapkan pada akun yang merupakan anggota grup admin. - 4781: Nama akun diubah: - 4794: Upaya dilakukan untuk mengatur Mode Pemulihan Layanan Direktori. - 5376: Info Masuk Manajer Info Masuk dicadangkan. - 5377: Info Masuk Manajer Info Masuk dipulihkan dari cadangan. Status yang disarankan untuk pengaturan ini adalah: `Success and Failure`. Jalur Kunci: {0CCE9235-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Success and Failure`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit User Account Management Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6	= Keberhasilan dan Kegagalan _(Audit)	Kritis

Kebijakan Audit Sistem - Pelacakan Terperinci

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit aktivitas PNP _{(AZ-WIN-00182)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda untuk mengaudit saat plug and play mendeteksi perangkat eksternal. Status yang disarankan untuk pengaturan ini adalah: `Success`. Catatan: Windows 10, Server 2016 atau OS yang lebih tinggi diperlukan untuk mengakses dan menetapkan nilai ini dalam Kebijakan Grup. Jalur Kunci: {0CCE9248-69AE-11D9-BED3-505054503030} OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan\Audit: Paksa pengaturan subkategori kebijakan audit (Windows Vista atau yang lebih baru) untuk menimpa pengaturan kategori kebijakan audit Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.3.1 CIS WS2022 17.3.1	>= Berhasil _(Audit)	Kritis
Mengaudit Pembuatan Proses _{(CCE-36059-4)}	Deskripsi: Subkategori ini melaporkan pembuatan proses dan nama program atau pengguna yang membuatnya. Peristiwa untuk subkategori ini meliputi: - 4688: Proses baru telah dibuat. - 4696: Token utama ditugaskan untuk diproses. Lihat artikel Microsoft Knowledge Base 947226 untuk informasi terbaru tentang pengaturan ini. Status yang disarankan untuk pengaturan ini adalah: `Success`. Jalur Kunci: {0CCE922B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Success`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Detailed Tracking\Audit Process Creation Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2	>= Berhasil _(Audit)	Kritis

Kebijakan Audit Sistem - Akses DS

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit Akses Layanan Direktori _{(CCE-37433-0)}	Deskripsi: Subkataan ini melaporkan saat objek AD DS diakses. Hanya objek dengan SACL yang menyebabkan peristiwa audit dihasilkan, dan hanya ketika diakses dengan cara yang cocok dengan SACL mereka. Peristiwa ini mirip dengan peristiwa akses layanan direktori di versi Windows Server sebelumnya. Subkataan ini hanya berlaku untuk Pengendali Domain. Peristiwa untuk subkataan ini meliputi: - 4662 : Operasi dilakukan pada objek. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Failure`. Jalur Kunci: {0CCE923B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Access Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.4.1 CIS WS2019 17.4.1	>= Gagal _(Audit)	Kritis
Mengaudit Perubahan Layanan Direktori _{(CCE-37616-0)}	Deskripsi: Subkataan ini melaporkan perubahan pada objek di Active Directory Domain Services (AD DS). Jenis perubahan yang dilaporkan adalah membuat, memodifikasi, memindahkan, dan membatalkan penghapusan operasi yang dilakukan pada objek. Audit Perubahan DS, jika sesuai, menunjukkan nilai lama dan baru dari properti yang diubah dari objek yang diubah. Hanya objek dengan SACL yang menyebabkan peristiwa audit dihasilkan, dan hanya ketika diakses dengan cara yang cocok dengan SACL mereka. Beberapa objek dan properti tidak menyebabkan peristiwa audit dihasilkan karena pengaturan pada kelas objek dalam skema. Subkataan ini hanya berlaku untuk Pengendali Domain. Peristiwa untuk subkataan ini meliputi: - 5136 : Objek layanan direktori dimodifikasi. - 5137 : Objek layanan direktori dibuat. - 5138 : Objek layanan direktori tidak dihapus. - 5139 : Objek layanan direktori dipindahkan. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Success`. Jalur Kunci: {0CCE923C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Changes Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.4.2 CIS WS2019 17.4.2	>= Berhasil _(Audit)	Kritis
Mengaudit Replikasi Layanan Direktori _{(AZ-WIN-00093)}	Deskripsi: Subkataan ini melaporkan saat replikasi antara dua pengontrol domain dimulai dan berakhir. Peristiwa untuk subkataan ini meliputi: - 4932: Sinkronisasi replika konteks penamaan Direktori Aktif telah dimulai. – 4933: Sinkronisasi replika konteks penamaan Direktori Aktif telah berakhir. Lihat artikel Microsoft Knowledgebase "Deskripsi peristiwa keamanan di Windows Vista dan di Windows Server 2008" untuk informasi terbaru tentang pengaturan ini: http:--support.microsoft.com-default.aspx-kb-947226 Jalur Kunci: {0CCE923D-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Replication Pemetaan Standar Kepatuhan:	>= Tanpa Pengauditan _(Audit)	Kritis

Kebijakan Audit Sistem - Masuk-Keluar

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit Penguncian Akun _{(CCE-37133-6)}	Deskripsi: Subkategori ini melaporkan ketika akun pengguna dikunci sebagai akibat dari terlalu banyak upaya masuk yang gagal. Peristiwa untuk subkategori ini meliputi: — 4625: Akun gagal masuk. Lihat artikel Microsoft Knowledgebase 'Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008' untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE9217-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Failure`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Account Lockout Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.5.1	>= Gagal _(Audit)	Kritis
Mengaudit Keanggotaan Grup _{(AZ-WIN-00026)}	Deskripsi: Keanggotaan Grup Audit memungkinkan Anda untuk mengaudit keanggotaan grup ketika mereka dimaklumi di komputer klien. Kebijakan ini memungkinkan Anda untuk mengaudit informasi keanggotaan grup dalam token masuk pengguna. Kejadian dalam subkategori ini dihasilkan pada komputer tempat sesi masuk dibuat. Untuk masuk interaktif, kejadian audit keamanan dihasilkan pada komputer tempat pengguna masuk. Untuk masuk jaringan, seperti mengakses folder bersama di jaringan, peristiwa audit keamanan dihasilkan pada komputer yang meng-hosting sumber daya. Anda juga harus memfungsikan subkategori Masuk Audit. Beberapa peristiwa dihasilkan jika informasi keanggotaan grup tidak dapat masuk dalam satu peristiwa audit keamanan. Peristiwa yang diaudit meliputi: yang berikut: - 4627(S): informasi keanggotaan grup. Jalur Kunci: {0CCE9249-69AE-11D9-BED3-505054503030} OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Success`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Group Membership Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.5.2	>= Berhasil _(Audit)	Kritis
Mengaudit Logoff _{(CCE-38237-4)}	Deskripsi: Subkategori ini melaporkan saat pengguna keluar dari sistem. Peristiwa ini terjadi pada komputer yang diakses. Untuk masuk interaktif, pembuatan peristiwa ini terjadi pada komputer yang masuk. Jika masuk jaringan terjadi guna mengakses berbagi, peristiwa ini muncul di komputer yang menghosting sumber daya yang diakses. Jika Anda mengonfigurasi pengaturan ini ke Tidak ada audit, sulit atau tidak mungkin untuk menentukan pengguna mana yang telah mengakses atau mencoba mengakses komputer organisasi. Peristiwa untuk subkategori ini meliputi: - 4634: Sebuah akun telah keluar. - 4647: Keluar yang dimulai pengguna. Status yang disarankan untuk pengaturan ini adalah: 'Berhasil'. Jalur Kunci: {0CCE9216-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Success`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logoff Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3	>= Berhasil _(Audit)	Kritis
Mengaudit Logon _{(CCE-38036-0)}	Deskripsi: Subkategori ini melaporkan saat pengguna mencoba masuk ke sistem. Peristiwa ini terjadi pada komputer yang diakses. Untuk masuk interaktif, pembuatan peristiwa ini terjadi pada komputer yang masuk. Jika masuk jaringan terjadi guna mengakses berbagi, peristiwa ini muncul di komputer yang menghosting sumber daya yang diakses. Jika Anda mengonfigurasi pengaturan ini ke Tidak ada audit, sulit atau tidak mungkin untuk menentukan pengguna mana yang telah mengakses atau mencoba mengakses komputer organisasi. Peristiwa untuk subkategori ini meliputi: - 4624: Sebuah akun berhasil masuk. - 4625: Akun gagal masuk. - 4648: Sebuah masuk dicoba menggunakan info masuk eksplisit. - 4675: SID difilter. Status yang disarankan untuk pengaturan ini adalah: 'Sukses dan Gagal'. Jalur Kunci: {0CCE9215-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Success and Failure`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4	= Keberhasilan dan Kegagalan _(Audit)	Kritis
Mengaudit Peristiwa Logon/Logoff Lainnya _{(CCE-36322-6)}	Deskripsi: Subkategori ini melaporkan kejadian terkait masuk/keluar lainnya, seperti pemutusan dan koneksi ulang sesi Layanan Terminal, menggunakan RunAs untuk menjalankan proses di bawah akun lain, serta mengunci dan membuka kunci stasiun kerja. Peristiwa untuk subkategori ini meliputi: — 4649: Serangan ulang terdeteksi. — 4778: Sesi terhubung kembali ke Stasiun Jendela. — 4779: Sesi terputus dari Stasiun Jendela. - 4800: Stasiun kerja dikunci. — 4801: Stasiun kerja tidak terkunci. — 4802: Pengaman layar dipanggil. — 4803: Pengaman layar diberhentikan. — 5378: Delegasi info masuk yang diminta tidak diizinkan oleh kebijakan. — 5632: Permintaan dibuat untuk mengautentikasi ke jaringan nirkabel. — 5633: Permintaan dibuat untuk mengautentikasi ke jaringan kabel. Lihat artikel Microsoft Knowledgebase "Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008" untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE921C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Success and Failure`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Other Logon/Logoff Events Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.5.5	= Keberhasilan dan Kegagalan _(Audit)	Kritis
Mengaudit Logon Khusus _{(CCE-36266-5)}	Deskripsi: Subkategori ini melaporkan ketika masuk khusus digunakan. Masuk khusus adalah masuk yang memiliki hak istimewa setara admin dan dapat digunakan untuk meningkatkan proses ke tingkat yang lebih tinggi. Acara untuk subkategori ini meliputi: - 4964 : Grup khusus telah ditetapkan ke masuk baru. Status yang disarankan untuk pengaturan ini adalah: `Success`. Jalur Kunci: {0CCE921B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Success`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Special Logon Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6	>= Berhasil _(Audit)	Kritis

Kebijakan Audit Sistem - Akses Objek

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit Berbagi File Terperinci _{(AZ-WIN-00100)}	Deskripsi: Subkataan ini memungkinkan Anda mengaudit upaya untuk mengakses file dan folder di folder bersama. Peristiwa untuk subkataan ini meliputi: - 5145: objek berbagi jaringan diperiksa untuk melihat apakah klien dapat diberikan akses yang diinginkan. Status yang direkomendasikan untuk pengaturan ini adalah menyertakan: `Failure` Jalur Kunci: {0CCE9244-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit DetailEd File Share Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.6.1 CIS WS2019 17.6.1	>= Gagal _(Audit)	Kritis
Mengaudit Berbagi File _{(AZ-WIN-00102)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengaudit upaya untuk mengakses folder bersama. Status yang disarankan untuk pengaturan ini adalah: `Success and Failure`. Catatan: Tidak ada daftar kontrol akses sistem (SACL) untuk folder bersama. Jika pengaturan kebijakan ini diaktifkan, akses ke semua folder bersama pada sistem diaudit. Jalur Kunci: {0CCE9224-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit File Share Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.6.2 CIS WS2019 17.6.2	= Keberhasilan dan Kegagalan _(Audit)	Kritis
Mengaudit Peristiwa Akses Objek Lainnya _{(AZ-WIN-00113)}	Deskripsi: Subkategori ini melaporkan peristiwa terkait akses objek lainnya seperti pekerjaan Microsoft Azure Scheduler Tugas dan objek COM+. Peristiwa untuk subkategori ini meliputi: - 4671: Aplikasi yang mencoba mengakses ordinal yang diblokir melalui TBS. — 4691: Akses tidak langsung ke objek diminta. — 4698: Tugas terjadwal dibuat. — 4699 : Tugas terjadwal dihapus. — 4700 : Tugas terjadwal diaktifkan. — 4701: Tugas terjadwal dinonaktifkan. — 4702 : Tugas terjadwal diperbarui. — 5888: Objek dalam Katalog COM+ dimodifikasi. — 5889: Objek dihapus dari Katalog COM+. — 5890: Objek ditambahkan ke Katalog COM+. Lihat artikel Microsoft Knowledgebase "Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008" untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE9227-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Success and Failure`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Kejadian Akses Objek Lainnya Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.6.3	= Keberhasilan dan Kegagalan _(Audit)	Kritis
Mengaudit Penyimpanan yang Dapat Dilepas _{(CCE-37617-8)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda untuk mengaudit upaya pengguna untuk mengakses objek sistem file pada perangkat penyimpanan yang dapat dilepas. Kejadian audit keamanan hanya dibuat untuk semua objek untuk semua jenis akses yang diminta. Jika Anda mengonfigurasi pengaturan kebijakan ini, peristiwa audit dibuat setiap kali akun mengakses objek sistem file pada penyimpanan yang dapat dilepas. Audit keberhasilan mencatat upaya yang berhasil dan audit Kegagalan mencatat upaya yang gagal. Jika Anda tidak mengonfigurasi pengaturan kebijakan ini, tidak ada peristiwa audit yang dihasilkan ketika akun mengakses objek sistem file pada penyimpanan yang dapat dilepas. Status yang disarankan untuk pengaturan ini adalah: `Success and Failure`. Catatan: OS Windows 8, Server 2012 (non-R2) atau yang lebih tinggi diperlukan untuk mengakses dan menetapkan nilai ini dalam Kebijakan Grup. Jalur Kunci: {0CCE9245-69AE-11D9-BED3-505054503030} OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Success and Failure`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Removable Storage Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4	= Keberhasilan dan Kegagalan _(Audit)	Kritis

Azure Policy Audit Sistem - Perubahan Azure Policy

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit Perubahan Kebijakan Autentikasi _{(CCE-38327-3)}	Deskripsi: Subkategori ini melaporkan perubahan dalam kebijakan autentikasi. Peristiwa untuk subkategori ini meliputi: — 4706: Kepercayaan baru dibuat ke domain. — 4707: Kepercayaan ke domain telah dihapus. — 4713: Kebijakan Kerberos diubah. — 4716: Informasi domain tepercaya dimodifikasi. — 4717: Akses keamanan sistem diberikan ke akun. — 4718: Akses keamanan sistem dihapus dari akun. — 4739: Azure Policy Domain diubah. — 4864: Tabrakan namespace layanan terdeteksi. — 4865: Entri informasi hutan tepercaya ditambahkan. — 4866: Entri informasi hutan tepercaya dihapus. — 4867: Entri informasi hutan tepercaya dimodifikasi. Lihat artikel Microsoft Knowledgebase "Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008" untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE9230-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Success`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Authentication Policy Change Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.7.2	>= Berhasil _(Audit)	Kritis
Mengaudit Perubahan Kebijakan Otorisasi _{(CCE-36320-0)}	Deskripsi: Subkataan ini melaporkan perubahan kebijakan otorisasi. Peristiwa untuk subkataan ini meliputi: - 4704: Hak pengguna ditetapkan. - 4705: Hak pengguna dihapus. - 4706: Kepercayaan baru dibuat ke domain. - 4707: Kepercayaan kepada domain dihapus. - 4714: Kebijakan pemulihan data terenkripsi diubah. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Success`. Jalur Kunci: {0CCE9231-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Authorization Policy Change Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.7.3 CIS WS2019 17.7.3	>= Berhasil _(Audit)	Kritis
Mengaudit Perubahan Kebijakan Tingkat Aturan MPSSVC _{(AZ-WIN-00111)}	Deskripsi: Subkategori ini melaporkan perubahan aturan kebijakan yang digunakan oleh Microsoft Protection Service (MPSSVC.exe). Layanan ini digunakan oleh Windows Firewall dan oleh Microsoft OneCare. Peristiwa untuk subkategori ini meliputi: - 4944: Kebijakan berikut aktif ketika Windows Firewall dimulai. — 4945: Aturan dicantumkan ketika Windows Firewall dimulai. — 4946: Perubahan telah dilakukan pada daftar pengecualian Windows Firewall. Sebuah aturan ditambahkan. — 4947: Perubahan telah dilakukan pada daftar pengecualian Windows Firewall. Sebuah aturan telah diubah. — 4948: Perubahan telah dilakukan pada daftar pengecualian Windows Firewall. Aturan telah dihapus. — 4949: Pengaturan Windows Firewall dipulihkan ke nilai default. — 4950: Pengaturan Windows Firewall telah berubah. — 4951: Aturan telah diabaikan karena nomor versi utamanya tidak dikenali oleh Windows Firewall. — 4952 : Bagian dari aturan telah diabaikan karena nomor versi minornya tidak dikenali oleh Windows Firewall. Bagian lain dari aturan akan diberlakukan. — 4953: Aturan telah diabaikan oleh Windows Firewall karena tidak dapat mengurai aturan. — 4954: Pengaturan Kebijakan Grup Firewall Windows telah berubah. Pengaturan baru telah diterapkan. — 4956: Windows Firewall telah mengubah profil aktif. — 4957: Windows Firewall tidak menerapkan aturan berikut: — 4958: Windows Firewall tidak menerapkan aturan berikut karena aturan yang dirujuk ke item yang tidak dikonfigurasi di komputer ini: Lihat artikel Microsoft Knowledgebase "Deskripsi peristiwa keamanan di Windows Vista dan windows Server 2008" untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE9232-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Success and Failure`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit MPSSVC Rule-Level Policy Change Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.7.4	= Keberhasilan dan Kegagalan _(Audit)	Kritis
Mengaudit Peristiwa Perubahan Kebijakan Lainnya _{(AZ-WIN-00114)}	Deskripsi: Subkataan ini berisi peristiwa tentang perubahan kebijakan Agen Pemulihan Data EFS, perubahan filter Platform Pemfilteran Windows, status pembaruan pengaturan kebijakan Keamanan untuk pengaturan Kebijakan Grup lokal, perubahan Kebijakan Akses Pusat, dan peristiwa pemecahan masalah terperinci untuk operasi Generasi Berikutnya Kriptografi (CNG). - 5063: Operasi penyedia kriptografi dicoba. - 5064: Operasi konteks kriptografi dicoba. - 5065: Modifikasi konteks kriptografi dicoba. - 5066: Operasi fungsi kriptografi dicoba. - 5067: Modifikasi fungsi kriptografi dicoba. - 5068: Operasi penyedia fungsi kriptografi dicoba. - 5069: Operasi properti fungsi kriptografi dicoba. - 5070: Modifikasi properti fungsi kriptografi dicoba. - 6145: Satu atau beberapa kesalahan terjadi saat memproses kebijakan keamanan dalam objek kebijakan grup. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Failure`. Jalur Kunci: {0CCE9234-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Other Policy Change Events Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.7.5 CIS WS2019 17.7.5	>= Gagal _(Audit)	Kritis
Perubahan Azure Policy Audit _{(CCE-38028-7)}	Deskripsi: Subkategori ini melaporkan perubahan kebijakan audit termasuk perubahan SACL. Peristiwa untuk subkategori ini meliputi: — 4715: Kebijakan audit (SACL) pada objek diubah. — 4719: Kebijakan audit sistem diubah. — 4902: Tabel kebijakan audit per pengguna dibuat. — 4904: Upaya dilakukan untuk mendaftarkan sumber peristiwa keamanan. — 4905: Upaya dilakukan untuk membatalkan pendaftaran sumber peristiwa keamanan. — 4906: Nilai CrashOnAuditFail telah berubah. — 4907: Pengaturan audit pada objek diubah. — 4908: Tabel Masuk Grup Khusus dimodifikasi. — 4912: Azure Policy Audit Per Pengguna diubah. Lihat artikel Microsoft Knowledgebase "Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008" untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE922F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Policy Change Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.7.1	>= Berhasil _(Audit)	Kritis

Kebijakan Audit Sistem - Penggunaan Hak Istimewa

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit Penggunaan Hak Istimewa Sensitif _{(CCE-36267-3)}	Deskripsi: Subkategori ini melaporkan saat akun pengguna atau layanan menggunakan hak istimewa sensitif. Hak istimewa sensitif mencakup hak pengguna berikut: Bertindak sebagai bagian dari sistem operasi, Mencadangkan file dan direktori, Membuat objek token, Melakukan debug pada program, Mengaktifkan akun komputer dan pengguna untuk dipercayai untuk delegasi, Menghasilkan audit keamanan, Menyamar sebagai klien setelah autentikasi, Memuat dan membongkar driver perangkat, Mengelola audit dan log keamanan, Mengubah nilai lingkungan firmware, Mengganti token tingkat proses, Memulihkan file dan direktori, dan Mengambil kepemilikan file atau objek lainnya. Mengaudit subkategori ini akan menciptakan kejadian dalam volume tinggi. Acara untuk subkategori ini meliputi: — 4672: Hak istimewa yang ditetapkan untuk masuk baru. — 4673: Layanan istimewa dipanggil. — 4674: Sebuah operasi dicoba pada objek istimewa. Lihat artikel Microsoft Knowledgebase 'Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008' untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE9228-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Success and Failure`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Privilege Use\Audit Sensitive Privilege Use Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.8.1	= Keberhasilan dan Kegagalan _(Audit)	Kritis

Kebijakan Audit Sistem - Sistem

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengaudit Driver IPsec _{(CCE-37853-9)}	Deskripsi: Subkataan ini melaporkan aktivitas driver keamanan Protokol Internet (IPsec). Peristiwa untuk subkataan ini meliputi: - 4960: IPsec menjatuhkan paket masuk yang gagal dalam pemeriksaan integritas. Jika masalah ini berlanjut, itu bisa menunjukkan masalah jaringan atau bahwa paket sedang dimodifikasi saat transit ke komputer ini. Verifikasi bahwa paket yang dikirim dari komputer jarak jauh sama dengan yang diterima oleh komputer ini. Kesalahan ini mungkin juga menunjukkan masalah interoperabilitas dengan implementasi IPsec lainnya. - 4961: IPsec menjatuhkan paket masuk yang gagal pemeriksaan pemutaran ulang. Jika masalah ini berlanjut, itu bisa menunjukkan serangan pemutaran ulang terhadap komputer ini. - 4962: IPsec menjatuhkan paket masuk yang gagal pemeriksaan pemutaran ulang. Paket masuk memiliki nomor urutan yang terlalu rendah untuk memastikannya bukan pemutaran ulang. - 4963: IPsec menjatuhkan paket teks jelas masuk yang seharusnya diamankan. Ini biasanya disebabkan oleh komputer jarak jauh yang mengubah kebijakan IPsec-nya tanpa menginformasikan komputer ini. Ini juga bisa menjadi upaya serangan spoofing. - 4965: IPsec menerima paket dari komputer jarak jauh dengan Indeks Parameter Keamanan (SPI) yang salah. Ini biasanya disebabkan oleh perangkat keras yang tidak berfungsi yang merusak paket. Jika kesalahan ini berlanjut, verifikasi bahwa paket yang dikirim dari komputer jarak jauh sama dengan yang diterima oleh komputer ini. Kesalahan ini juga dapat menunjukkan masalah interoperabilitas dengan implementasi IPsec lainnya. Dalam hal ini, jika konektivitas tidak terhambat, maka peristiwa ini dapat diabaikan. - 5478: Layanan IPsec telah berhasil dimulai. - 5479: Layanan IPsec berhasil dimatikan. Penonaktifan Layanan IPsec dapat menempatkan komputer pada risiko serangan jaringan yang lebih besar atau mengekspos komputer terhadap potensi risiko keamanan. - 5480: Layanan IPsec gagal mendapatkan daftar lengkap antarmuka jaringan di komputer. Ini menimbulkan potensi risiko keamanan karena beberapa antarmuka jaringan mungkin tidak mendapatkan perlindungan yang disediakan oleh filter IPsec yang diterapkan. Gunakan snap-in Monitor Keamanan IP untuk mendiagnosis masalah. - 5483: Layanan IPsec gagal menginisialisasi server RPC. Layanan IPsec tidak dapat dimulai. - 5484: Layanan IPsec telah mengalami kegagalan kritis dan telah dimatikan. Penonaktifan Layanan IPsec dapat menempatkan komputer pada risiko serangan jaringan yang lebih besar atau mengekspos komputer terhadap potensi risiko keamanan. - 5485: Layanan IPsec gagal memproses beberapa filter IPsec pada peristiwa plug-and-play untuk antarmuka jaringan. Ini menimbulkan potensi risiko keamanan karena beberapa antarmuka jaringan mungkin tidak mendapatkan perlindungan yang disediakan oleh filter IPsec yang diterapkan. Gunakan snap-in Monitor Keamanan IP untuk mendiagnosis masalah. Status yang disarankan untuk pengaturan ini adalah: `Success and Failure`. Jalur Kunci: {0CCE9213-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\System\Audit IPsec Driver Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.9.1 CIS WS2019 17.9.1	>= Keberhasilan dan Kegagalan _(Audit)	Kritis
Mengaudit Peristiwa Sistem Lainnya _{(CCE-38030-3)}	Deskripsi: Subkataan ini melaporkan peristiwa sistem lainnya. Peristiwa untuk subkataan ini meliputi: - 5024 : Layanan Firewall Windows telah berhasil dimulai. - 5025: Layanan Firewall Windows telah dihentikan. - 5027 : Layanan Firewall Windows tidak dapat mengambil kebijakan keamanan dari penyimpanan lokal. Layanan akan terus memberlakukan kebijakan saat ini. - 5028 : Layanan Firewall Windows tidak dapat mengurai kebijakan keamanan baru. Layanan akan dilanjutkan dengan kebijakan yang saat ini diberlakukan. - 5029: Layanan Firewall Windows gagal menginisialisasi driver. Layanan akan terus memberlakukan kebijakan saat ini. - 5030: Layanan Firewall Windows gagal dimulai. - 5032: Windows Firewall tidak dapat memberi tahu pengguna bahwa aplikasi tersebut memblokir aplikasi agar tidak menerima koneksi masuk pada jaringan. - 5033 : Driver Windows Firewall telah berhasil dimulai. - 5034: Driver Windows Firewall telah dihentikan. - 5035 : Driver Windows Firewall gagal dimulai. - 5037 : Driver Windows Firewall mendeteksi kesalahan runtime kritis. Mengakhiri. - 5058: Operasi file kunci. - 5059: Operasi migrasi utama. Status yang disarankan untuk pengaturan ini adalah: `Success and Failure`. Jalur Kunci: {0CCE9214-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\System\Audit Other System Events Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 17.9.2 CIS WS2019 17.9.2	= Keberhasilan dan Kegagalan _(Audit)	Kritis
Mengaudit Perubahan Status Keamanan _{(CCE-38114-5)}	Deskripsi: Subkategori ini melaporkan perubahan status keamanan sistem, seperti saat subsistem keamanan dimulai dan dihentikan. Peristiwa untuk subkategori ini meliputi: - 4608: Windows sedang dimulai. — 4609: Windows dimatikan. — 4616: Waktu sistem diubah. — 4621: Admin memulihkan sistem dari CrashOnAuditFail. Pengguna yang bukan admin sekarang akan diizinkan untuk masuk. Beberapa aktivitas yang dapat diaudit mungkin belum direkam. Lihat artikel Microsoft Knowledgebase 'Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008' untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE9210-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Success`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security State Change Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.9.3	>= Berhasil _(Audit)	Kritis
Mengaudit Ekstensi Sistem Keamanan _{(CCE-36144-4)}	Deskripsi: Subkategori ini melaporkan pemuatan kode ekstensi seperti paket autentikasi oleh subsistem keamanan. Peristiwa untuk subkategori ini meliputi: — 4610: Paket autentikasi telah dimuat oleh Otoritas Keamanan Setempat. — 4611: Proses masuk tepercaya telah terdaftar di Otoritas Keamanan Setempat. — 4614: Paket notifikasi telah dimuat oleh Manajer Akun Keamanan. — 4622: Paket keamanan telah dimuat oleh Otoritas Keamanan Setempat. — 4697: Layanan dipasang dalam sistem. Lihat artikel Microsoft Knowledgebase "Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008" untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE9211-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Success`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security System Extension Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.9.4	>= Berhasil _(Audit)	Kritis
Mengaudit Integritas Sistem _{(CCE-37132-8)}	Deskripsi: Subkategori ini melaporkan pelanggaran integritas subsistem keamanan. Peristiwa untuk subkategori ini meliputi: — 4612 : Sumber daya internal yang dialokasikan untuk antrean pesan audit telah habis, yang menyebabkan hilangnya beberapa audit. — 4615 : Penggunaan port LPC tidak valid. — 4618 : Pola peristiwa keamanan yang dipantau telah terjadi. — 4816 : RPC mendeteksi pelanggaran integritas saat mendekripsi pesan masuk. — 5038 : Integritas kode menentukan bahwa hash gambar file tidak valid. File bisa rusak karena modifikasi yang tidak sah atau hash yang tak-sahih bisa mengindikasikan adanya potensi kesalahan perangkat disk. — 5056: Tes kriptografi mandiri telah dilakukan. — 5057: Operasi primitif kriptografi gagal. — 5060: Operasi verifikasi gagal. — 5061: Operasi kriptografi. — 5062: Tes kriptografi mandiri mode kernel telah dilakukan. Lihat artikel Microsoft Knowledgebase 'Deskripsi peristiwa keamanan di Windows Vista dan Windows Server 2008' untuk informasi terbaru tentang pengaturan ini: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Jalur Kunci: {0CCE9212-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke 'Berhasil dan Gagal:' Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\System\Audit System Integrity Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 17.9.5	= Keberhasilan dan Kegagalan _(Audit)	Kritis

Penetapan Hak Pengguna

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Mengakses Pengelola Info Masuk sebagai penelepon tepercaya _{(CCE-37056-9)}	Deskripsi: Pengaturan keamanan ini digunakan oleh Pengelola Info Masuk selama Microsoft Azure Backup dan Pemulihan. Tidak ada akun yang harus memiliki hak pengguna ini, karena hanya ditugaskan ke Winlogon. Info masuk yang disimpan pengguna mungkin disusupi jika hak pengguna ini ditetapkan ke entitas lain. Status yang disarankan untuk pengaturan ini adalah: `No One`. Jalur Kunci: [Privilege Rights]SeTrustedCredManAccessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No One`: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignment\Access Credential Manager sebagai penelepon tepercaya Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1	= Tidak ada _{(Azure Policy)}	Peringatan
Akses komputer ini dari jaringan _{(CCE-35818-4)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna lain di jaringan untuk terhubung ke komputer dan diperlukan oleh berbagai protokol jaringan yang mencakup protokol berbasis Server Message Block (SMB), NetBIOS, Common Internet File System (CIFS), dan Component Object Model Plus (COM+). - Level 1 - Pengendali Domain. Status yang disarankan untuk pengaturan ini adalah: 'Administrator, Pengguna Terautentikasi, PENGENDALI DOMAIN PERUSAHAAN'. - Level 1 - Anggota Server. Status yang disarankan untuk pengaturan ini adalah: 'Administrator, Pengguna Terautentikasi'. Jalur Kunci: [Privilege Rights]SeNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, konfigurasikan jalur UI berikut: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Akses komputer ini dari jaringan Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3	<= Administrator, Pengguna Terautentikasi _{(Azure Policy)}	Kritis
Bertindak sebagai bagian dari sistem operasi _{(CCE-36876-1)}	Deskripsi: Pengaturan kebijakan ini memungkinkan proses untuk mengasumsikan identitas pengguna mana pun dan dengan demikian mendapatkan akses ke sumber daya yang diizinkan untuk diakses oleh pengguna. Status yang disarankan untuk pengaturan ini adalah: `No One`. Jalur Kunci: [Privilege Rights]SeTcbPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No One`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Bertindak sebagai bagian dari sistem operasi Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4	= Tidak ada _{(Azure Policy)}	Kritis
Perbolehkan masuk secara lokal _{(CCE-37659-0)}	Deskripsi: Pengaturan kebijakan ini menentukan pengguna mana yang dapat secara interaktif masuk ke komputer di lingkungan Anda. Log-masuk yang dimulai dengan menekan urutan tombol CTRL+ALT+DEL pada keyboard komputer klien memerlukan hak pengguna ini. Pengguna yang mencoba masuk melalui Layanan Terminal atau IIS juga memerlukan hak pengguna ini. Akun Tamu ditetapkan pengguna ini secara default. Meskipun akun ini dinonaktifkan secara default, Microsoft menyarankan agar Anda mengaktifkan pengaturan ini melalui Kebijakan Grup. Namun, hak pengguna ini umumnya harus dibatasi untuk grup Admin dan Pengguna. Tetapkan hak pengguna ini ke grup Operator Microsoft Azure Backup jika organisasi Anda mengharuskan mereka memiliki kapabilitas ini. Saat mengonfigurasi pengguna langsung di SCM, masukkan daftar akun yang dibatasi koma. Akun dapat berupa lokal atau terletak di Direktori Aktif, mereka dapat berupa grup, pengguna, atau komputer. Jalur Kunci: [Privilege Rights]SeInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, konfigurasikan jalur UI berikut: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Izinkan masuk secara lokal Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.2.7	= Administrator _{(Azure Policy)}	Kritis
Perbolehkan masuk melalui Layanan Desktop Jarak Jauh _{(CCE-37072-6)}	Deskripsi: Pengaturan kebijakan ini menentukan pengguna atau grup mana yang memiliki hak untuk masuk sebagai klien Layanan Terminal. Pengguna desktop jarak jauh membutuhkan pengguna ini dengan benar. Jika organisasi Anda menggunakan Bantuan Jarak Jauh sebagai bagian dari strategi help desk-nya, buat grup dan tetapkan pengguna ini langsung melalui Kebijakan Grup. Jika help desk di organisasi Anda tidak menggunakan Bantuan Jarak Jauh, tetapkan hak pengguna ini hanya ke grup Administrator atau gunakan fitur grup terbatas guna memastikan bahwa tidak ada akun pengguna yang menjadi bagian dari grup Pengguna Desktop Jarak Jauh. Batasi hak pengguna ini ke grup Administrator, dan mungkin grup Pengguna Desktop Jarak Jauh, guna mencegah pengguna yang tidak diinginkan mendapatkan akses ke komputer di jaringan Anda melalui fitur Bantuan Jarak Jauh. - Level 1 - Pengendali Domain. Status yang disarankan untuk pengaturan ini adalah: 'Administrator'. - Level 1 - Anggota Server. Status yang disarankan untuk pengaturan ini adalah: 'Administrator, Pengguna Desktop Jauh'. Catatan: Server Anggota yang memegang Peran Layanan Desktop Jarak Jauh dengan Layanan Peran Broker Koneksi Desktop Jarak Jauh akan memerlukan pengecualian khusus untuk rekomendasi ini, untuk memungkinkan grup 'Pengguna Terautentikasi' diberikan hak pengguna ini. Catatan 2: Daftar di atas harus diperlakukan sebagai daftar yang diizinkan, yang menyiratkan bahwa prinsip-prinsip di atas tidak perlu hadir untuk penilaian rekomendasi ini untuk lulus. Jalur Kunci: [Privilege Rights]SeRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, konfigurasikan jalur UI berikut: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Izinkan masuk melalui Layanan Desktop Jarak Jauh Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9	<= Administrator, Pengguna Desktop Jarak Jauh _{(Azure Policy)}	Kritis
untuk file dan direktori _{(CCE-35912-5)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna untuk menghindari izin file dan direktori untuk mencadangkan sistem. Hak pengguna ini hanya diaktifkan ketika aplikasi (seperti NTBACKUP) mencoba mengakses file atau direktori melalui antarmuka pemrograman aplikasi cadangan sistem (API) file NTFS. Jika tidak, izin file dan direktori yang ditetapkan berlaku. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeBackupPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`. Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Cadangkan file dan direktori Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10	<= Administrator, Operator Cadangan, Operator Server _{(Azure Policy)}	Kritis
Lalui pemeriksaan transversal _{(AZ-WIN-00184)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna yang tidak memiliki izin akses Folder Traverse untuk melewati folder ketika mereka menelusuri jalur objek dalam sistem file NTFS atau registri. Hak pengguna ini tidak memperbolehkan pengguna mencantumkan isi map. Saat mengonfigurasi pengguna langsung di SCM, masukkan daftar akun yang dibatasi koma. Akun dapat berupa lokal atau terletak di Direktori Aktif, mereka dapat berupa grup, pengguna, atau komputer. Jalur Kunci: [Privilege Rights]SeChangeNotifyPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasikan nilai kebijakan untuk Computer Configuration\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignment\Bypass traverse checking untuk hanya menyertakan akun atau grup berikut:`Administrators, Authenticated Users, Backup Operators, Local Service, Network Service` Pemetaan Standar Kepatuhan:	<= Administrator, Pengguna Terautentikasi, Operator Cadangan, Layanan Lokal, Layanan Jaringan _{(Azure Policy)}	Kritis
Mengubah waktu sistem _{(CCE-37452-0)}	Deskripsi: Pengaturan kebijakan ini menentukan pengguna dan grup mana yang dapat mengubah waktu dan tanggal pada jam internal komputer di lingkungan Anda. Pengguna yang ditetapkan hak pengguna ini dapat mempengaruhi tampilan log kejadian. Ketika pengaturan waktu komputer diubah, peristiwa yang dicatat mencerminkan waktu baru, bukan waktu aktual kejadian terjadi. Saat mengonfigurasi pengguna langsung di SCM, masukkan daftar akun yang dibatasi koma. Akun dapat berupa lokal atau terletak di Direktori Aktif, mereka dapat berupa grup, pengguna, atau komputer. Catatan: Perbedaan antara waktu di komputer lokal dan pengendali domain di lingkungan Anda dapat menyebabkan masalah untuk protokol autentikasi Kerberos, yang dapat membuat pengguna tidak mungkin masuk ke domain atau mendapatkan otorisasi untuk mengakses sumber daya domain setelah mereka masuk. Juga, masalah akan terjadi ketika Kebijakan Grup diterapkan ke komputer klien jika waktu sistem tidak disinkronkan dengan pengendali domain. Status yang disarankan untuk pengaturan ini adalah: `Administrators, LOCAL SERVICE`. Jalur Kunci: [Privilege Rights]SeSystemtimePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators, LOCAL SERVICE`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Ubah waktu sistem Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.2.11 CIS WS2022 2.2.11	<= Administrator, Operator Server, LAYANAN LOKAL _{(Azure Policy)}	Kritis
Ubah zona waktu _{(CCE-37700-2)}	Deskripsi: Pengaturan ini menentukan pengguna mana yang dapat mengubah zona waktu komputer. Kemampuan ini tidak memiliki bahaya besar bagi komputer dan mungkin berguna bagi pekerja seluler. Status yang disarankan untuk pengaturan ini adalah: `Administrators, LOCAL SERVICE`. Jalur Kunci: [Privilege Rights]SeTimeZonePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators, LOCAL SERVICE`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Ubah zona waktu Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.2.12 CIS WS2022 2.2.12	<= Administrator, LAYANAN LOKAL _{(Azure Policy)}	Kritis
Membuat pagefile _{(CCE-35821-8)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna untuk mengubah ukuran pagefile. Dengan membuat pagefile sangat besar atau sangat kecil, penyerang dapat dengan mudah mempengaruhi kinerja komputer yang disusupi. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeCreatePagefilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Buat pagefile Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13	= Administrator _{(Azure Policy)}	Kritis
Membuat objek token _{(CCE-36861-3)}	Deskripsi: Pengaturan kebijakan ini memungkinkan proses untuk membuat token akses, yang dapat memberikan hak yang ditinggikan untuk mengakses data sensitif. Status yang disarankan untuk pengaturan ini adalah: `No One`. Jalur Kunci: [Privilege Rights]SeCreateTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No One`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Buat objek token Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14	= Tidak ada _{(Azure Policy)}	Peringatan
Membuat objek global _{(CCE-37453-8)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah pengguna dapat membuat objek global yang tersedia untuk semua sesi. Pengguna masih dapat membuat objek yang spesifik untuk sesi mereka sendiri jika mereka tidak memiliki hak pengguna ini. Pengguna yang dapat membuat objek global dapat memengaruhi proses yang berjalan di bawah sesi pengguna lain. Kemampuan ini dapat menyebabkan berbagai masalah, seperti kegagalan aplikasi atau kerusakan data. Status yang disarankan untuk pengaturan ini adalah: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. Catatan: Server Anggota dengan Microsoft SQL Server dan komponen "Layanan Integrasi" opsional yang dipasang akan memerlukan pengecualian khusus untuk rekomendasi ini untuk entri tambahan yang dihasilkan SQL untuk diberikan hak pengguna ini. Jalur Kunci: [Privilege Rights]SeCreateGlobalPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Buat objek global Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15	<= Administrator, LAYANAN, LAYANAN LOKAL, LAYANAN JARINGAN _{(Azure Policy)}	Peringatan
Membuat objek bersama permanen _{(CCE-36532-0)}	Deskripsi: Hak pengguna ini berguna untuk komponen mode kernel yang memperluas ruang nama objek. Namun, komponen yang berjalan dalam mode kernel memiliki hak pengguna ini secara inheren. Oleh karena itu, biasanya tidak perlu secara khusus menetapkan hak pengguna ini. Status yang disarankan untuk pengaturan ini adalah: `No One`. Jalur Kunci: [Privilege Rights]SeCreatePermanentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No One`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Buat objek bersama permanen Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16	= Tidak ada _{(Azure Policy)}	Peringatan
Membuat tautan simbolik _{(CCE-35823-4)}	Deskripsi: Pengaturan kebijakan ini menentukan pengguna mana yang dapat membuat link simbolik. Dalam Windows Vista, objek sistem file NTFS yang ada, seperti file dan folder, dapat diakses dengan mengacu pada jenis baru objek sistem file yang disebut link simbolik. Link simbolik adalah penunjuk (seperti pintasan atau file .lnk) ke objek sistem file lain, yang dapat menjadi file, folder, pintasan, atau link simbolik lainnya. Perbedaan antara pintasan dan link simbolik adalah pintasan hanya berfungsi dari dalam shell Windows. Untuk program dan aplikasi lain, pintasan hanyalah file lain, sedangkan dengan link simbolik, konsep pintasan diimplementasikan sebagai fitur sistem file NTFS. Link simbolik berpotensi mengekspos kerentanan keamanan dalam aplikasi yang tidak dirancang untuk menggunakannya. Untuk alasan ini, hak istimewa untuk membuat link simbolik hanya boleh diberikan kepada pengguna tepercaya. Secara default, hanya Administrator yang dapat membuat link simbolik. - Level 1 - Pengendali Domain. Status yang disarankan untuk pengaturan ini adalah: 'Administrator'. - Level 1 - Server Anggota. Status yang disarankan untuk pengaturan ini adalah: 'Administrator' dan (saat Peran Hyper-V diinstal) 'NT VIRTUAL MACHINE\Virtual Machines'. Jalur Kunci: [Privilege Rights]SeCreateSymbolicLinkPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menerapkan status konfigurasi yang direkomendasikan, konfigurasikan jalur UI berikut: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Buat tautan simbolis Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18	<= Administrator, NT VIRTUAL MACHINE\Virtual Machines _{(Azure Policy)}	Kritis
Program debug _{(AZ-WIN-73755)}	Deskripsi: Pengaturan kebijakan ini menentukan akun pengguna mana yang akan memiliki hak untuk melampirkan debugger ke proses apa pun atau ke kernel, yang menyediakan akses lengkap ke komponen sistem operasi sensitif dan penting. Pengembang yang men-debug aplikasi mereka sendiri tidak perlu diberi hak pengguna ini; namun, pengembang yang menelusuri kesalahan komponen sistem baru akan membutuhkannya. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Catatan: Hak pengguna ini dianggap sebagai "hak istimewa sensitif" untuk tujuan audit. Jalur Kunci: [Privilege Rights]SeDebugPrivilege OS: WS2016, WS2019 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Program Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignment\Debug Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.2.19 CIS WS2019 2.2.19	= Administrator _{(Azure Policy)}	Kritis
Tolak akses ke komputer ini dari jaringan _{(CCE-37954-5)}	Deskripsi: Pengaturan kebijakan ini melarang pengguna terhubung ke komputer dari seluruh jaringan, yang akan memungkinkan pengguna mengakses dan berpotensi memodifikasi data dari jarak jauh. Dalam lingkungan keamanan tinggi, seharusnya tidak perlu bagi pengguna jarak jauh mengakses data di komputer. Sebaliknya, berbagi file harus dilakukan melalui penggunaan server jaringan. - Level 1 - Pengendali Domain. Status yang disarankan untuk pengaturan ini adalah untuk menyertakan: 'Tamu, akun Lokal'. - Level 1 - Server Anggota. Status yang disarankan untuk pengaturan ini adalah untuk menyertakan: 'Tamu, akun Lokal, dan anggota grup Administrator'. Perhatian: Mengonfigurasi server mandiri (non-domain-joined) seperti yang dijelaskan di atas dapat mengakibatkan ketidakmampuan untuk mengelola server dari jarak jauh. Catatan: Mengonfigurasi server anggota atau server mandiri seperti yang dijelaskan di atas dapat berdampak buruk pada aplikasi yang membuat akun layanan lokal dan menempatkannya di grup Administrator - dalam hal ini Anda harus mengonversi aplikasi untuk menggunakan akun layanan yang dihosting domain, atau menghapus akun Lokal dan anggota grup Administrator dari Tugas Hak Pengguna ini. Menggunakan akun layanan yang dihosting domain sangat disukai daripada membuat pengecualian untuk aturan ini, jika memungkinkan. Jalur Kunci: [Privilege Rights]SeDenyNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, konfigurasikan jalur UI berikut: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Tolak akses ke komputer ini dari jaringan Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21	>= Tamu _{(Azure Policy)}	Kritis
Tolak masuk sebagai pekerjaan batch _{(CCE-36923-1)}	Deskripsi: Pengaturan kebijakan ini menentukan akun mana yang tidak akan dapat masuk ke komputer sebagai pekerjaan batch. Pekerjaan batch bukan file batch (.bat), melainkan fasilitas batch-antrean. Akun yang menggunakan Microsoft Azure Scheduler Tugas untuk menjadwalkan tugas memerlukan hak pengguna ini. Hak pengguna Menolak masuk sebagai tugas batch mengambil alih hak pengguna Masuk sebagai tugas batch, yang dapat digunakan untuk mengizinkan akun untuk menjadwalkan pekerjaan yang mengonsumsi sumber daya sistem yang berlebihan. Kejadian seperti itu dapat menyebabkan kondisi DoS. Kegagalan untuk menetapkan hak pengguna ini ke akun yang direkomendasikan bisa menjadi risiko keamanan. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Guests`. Jalur Kunci: [Privilege Rights]SeDenyBatchLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Guests`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Tolak masuk sebagai pekerjaan batch Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22	>= Tamu _{(Azure Policy)}	Kritis
Menolak masuk sebagai layanan _{(CCE-36877-9)}	Deskripsi: Pengaturan keamanan ini menentukan akun layanan mana yang dicegah untuk mendaftarkan proses sebagai layanan. Pengaturan kebijakan ini menggantikan pengaturan kebijakan Masuk sebagai layanan jika akun tunduk kepada kedua kebijakan tersebut. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Guests`. Catatan: Pengaturan keamanan ini tak berlaku pada akun Sistem, Layanan Lokal, atau Layanan Jaringan. Jalur Kunci: [Privilege Rights]SeDenyServiceLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Guests`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Tolak masuk sebagai layanan Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23	>= Tamu _{(Azure Policy)}	Kritis
Tolak masuk secara lokal _{(CCE-37146-8)}	Deskripsi: Pengaturan keamanan ini menentukan pengguna mana yang dicegah untuk masuk di komputer. Pengaturan kebijakan ini menggantikan pengaturan Izinkan masuk secara lokal jika akun tunduk pada kedua kebijakan tersebut. Penting: Jika Anda menerapkan kebijakan keamanan ini ke grup Semua Orang, tidak ada yang akan dapat masuk secara lokal. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Guests`. Jalur Kunci: [Privilege Rights]SeDenyInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk menetapkan konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut untuk menyertakan `Guests`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Tolak masuk secara lokal Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24	>= Tamu _{(Azure Policy)}	Kritis
Tolak masuk melalui Layanan Desktop Jarak Jauh _{(CCE-36867-0)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah pengguna dapat masuk sebagai klien Layanan Terminal. Setelah server anggota dasar bergabung ke lingkungan domain, tidak perlu menggunakan akun lokal untuk mengakses server dari jaringan. Akun domain dapat mengakses server untuk pemrosesan administrasi dan pengguna akhir. Status yang direkomendasikan untuk pengaturan ini adalah mencakup: `Guests, Local account`. Perhatian: Mengonfigurasi server mandiri (non-domain-joined) seperti yang dijelaskan di atas dapat mengakibatkan ketidakmampuan untuk mengelola server dari jarak jauh. Jalur Kunci: [Privilege Rights]SeDenyRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, konfigurasikan jalur UI berikut: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Tolak masuk melalui Layanan Desktop Jarak Jauh Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.2.26	>= Tamu _{(Azure Policy)}	Kritis
Mengaktifkan komputer dan akun pengguna agar dipercayai untuk delegasi _{(CCE-36860-5)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna mengubah pengaturan Trusted for Delegation pada objek komputer di Active Directory. Penyalahgunaan hak istimewa ini dapat memungkinkan pengguna yang tidak diotorisasi menyamar sebagai pengguna lain di jaringan. - Level 1 - Pengendali Domain. Status yang disarankan untuk pengaturan ini adalah: 'Administrator' - Level 1 - Server Anggota. Status yang disarankan untuk pengaturan ini adalah: 'Tidak Ada'. Jalur Kunci: [Privilege Rights]SeEnableDelegationPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, konfigurasikan jalur UI berikut: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignment\Enable computer and user accounts to be trusted for delegation Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28	= Tidak ada _{(Azure Policy)}	Kritis
Mematikan paksa dari sistem jarak jauh _{(CCE-37877-8)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna untuk mematikan komputer berbasis Windows Vista dari lokasi jauh pada jaringan. Siapa pun yang telah ditetapkan hak pengguna ini dapat menyebabkan kondisi penolakan layanan (DoS), yang akan membuat komputer tidak tersedia untuk permintaan pengguna layanan. Oleh karena itu, disarankan agar hanya admin yang sangat tepercaya yang ditetapkan hak pengguna ini. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeRemoteShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignment\Force shutdown dari sistem jarak jauh Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29	= Administrator _{(Azure Policy)}	Kritis
Membuat PIN Keamanan _{(CCE-37639-2)}	Deskripsi: Pengaturan kebijakan ini menentukan pengguna atau proses mana yang dapat menghasilkan catatan audit dalam log Keamanan. Status yang disarankan untuk pengaturan ini adalah: `LOCAL SERVICE, NETWORK SERVICE`. Catatan: Server Anggota yang memegang Peran Server Web (IIS) dengan Layanan Peran Server Web akan memerlukan pengecualian khusus untuk rekomendasi ini, untuk memungkinkan kumpulan aplikasi IIS diberikan hak pengguna ini. Catatan #2: Server Anggota yang memegang Peran Layanan Federasi Direktori Aktif akan memerlukan pengecualian khusus untuk rekomendasi ini, untuk memungkinkan dan `NT SERVICE\ADFSSrvNT SERVICE\DRS` layanan, serta akun layanan Layanan Federasi Direktori Aktif terkait, untuk diberikan hak pengguna ini. Jalur Kunci: [Privilege Rights]SeAuditPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `LOCAL SERVICE, NETWORK SERVICE`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Hasilkan audit keamanan Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30	<= Layanan Lokal, Layanan Jaringan, IIS APPPOOL\DefaultAppPool _{(Azure Policy)}	Kritis
Meningkatkan kumpulan kerja proses _{(AZ-WIN-00185)}	Deskripsi: Hak istimewa ini menentukan akun pengguna mana yang dapat meningkatkan atau mengurangi ukuran set kerja proses. Kumpulan proses yang berfungsi adalah kumpulan halaman memori yang saat ini terlihat oleh proses dalam memori RAM fisik. Halaman-halaman ini adalah residen dan tersedia untuk digunakan aplikasi tanpa memicu kesalahan halaman. Ukuran set kerja minimum dan maksimum mempengaruhi perilaku halaman memori virtual dari sebuah proses. Saat mengonfigurasi pengguna langsung di SCM, masukkan daftar akun yang dibatasi koma. Akun dapat berupa lokal atau terletak di Direktori Aktif, mereka dapat berupa grup, pengguna, atau komputer. Jalur Kunci: [Privilege Rights]SeIncreaseWorkingSetPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Tingkatkan set kerja proses Pemetaan Standar Kepatuhan:	<= Administrator, Layanan Lokal _{(Azure Policy)}	Peringatan
Meningkatkan prioritas penjadwalan _{(CCE-38326-5)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah pengguna dapat meningkatkan kelas prioritas dasar proses. (Ini bukan operasi istimewa untuk meningkatkan prioritas relatif dalam kelas prioritas.) Hak pengguna ini tidak diperlukan oleh alat administratif yang disediakan dengan sistem operasi tetapi mungkin diperlukan oleh alat pengembangan perangkat lunak. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeIncreaseBasePriorityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators, Window Manager\Window Manager Group`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Tingkatkan prioritas penjadwalan Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33	= Administrator _{(Azure Policy)}	Peringatan
Memuat dan membongkar driver perangkat _{(CCE-36318-4)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna untuk secara dinamis memuat driver perangkat baru pada sistem. Penyerang berpotensi menggunakan kemampuan ini untuk memasang kode berbahaya yang tampaknya merupakan driver perangkat. Hak pengguna ini diperlukan bagi pengguna untuk menambahkan printer lokal atau driver printer di Windows Vista. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeLoadDriverPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Memuat dan membongkar driver perangkat Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34	<= Administrator, Operator Cetak _{(Azure Policy)}	Peringatan
Mengunci halaman dalam memori _{(CCE-36495-0)}	Deskripsi: Pengaturan kebijakan ini memungkinkan proses untuk menyimpan data dalam memori fisik, yang mencegah sistem dari paging data ke memori virtual pada disk. Jika hak pengguna ini ditetapkan, degradasi kinerja sistem yang signifikan dapat terjadi. Status yang disarankan untuk pengaturan ini adalah: `No One`. Jalur Kunci: [Privilege Rights]SeLockMemoryPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No One`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Kunci halaman dalam memori Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35	= Tidak ada _{(Azure Policy)}	Peringatan
Mengelola audit dan log keamanan _{(CCE-35906-7)}	Deskripsi: Pengaturan kebijakan ini menentukan pengguna mana yang dapat mengubah opsi audit untuk file dan direktori dan menghapus log Keamanan. Untuk lingkungan yang menjalankan Microsoft Exchange Server, grup 'Server Exchange' harus memiliki hak istimewa ini di Pengendali Domain agar berfungsi dengan benar. Mengingat hal ini, DC yang memberikan grup 'Server Exchange' hak istimewa ini sesuai dengan tolok ukur ini. Jika lingkungan tidak menggunakan Microsoft Exchange Server, maka hak istimewa ini harus dibatasi hanya untuk 'Administrator' di DC. - Level 1 - Pengendali Domain. Status yang disarankan untuk pengaturan ini adalah: 'Administrator dan (saat Exchange berjalan di lingkungan) 'Exchange Server'. - Level 1 - Anggota Server. Status yang disarankan untuk pengaturan ini adalah: 'Administrator' Jalur Kunci: [Privilege Rights]SeSecurityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, konfigurasikan jalur UI berikut: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Kelola audit dan log keamanan Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38	= Administrator _{(Azure Policy)}	Kritis
Mengubah label objek _{(CCE-36054-5)}	Deskripsi: Hak istimewa ini menentukan akun pengguna mana yang dapat memodifikasi label integritas objek, seperti file, kunci registri, atau proses yang dimiliki oleh pengguna lain. Proses yang berjalan di bawah akun pengguna dapat mengubah label objek yang dimiliki oleh pengguna tersebut ke tingkat yang lebih rendah tanpa hak istimewa ini. Status yang disarankan untuk pengaturan ini adalah: `No One`. Jalur Kunci: [Privilege Rights]SeRelabelPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `No One`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Ubah label objek Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.2.39 CIS WS2022 2.2.39	= Tidak ada _{(Azure Policy)}	Peringatan
Mengubah nilai lingkungan firmware _{(CCE-38113-7)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna untuk mengonfigurasi variabel lingkungan di seluruh sistem yang memengaruhi konfigurasi perangkat keras. Informasi ini biasanya disimpan dalam Konfigurasi Baik Terakhir yang Diketahui. Modifikasi nilai-nilai ini dan dapat menyebabkan kegagalan perangkat keras yang akan mengakibatkan penolakan kondisi layanan. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeSystemEnvironmentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Ubah nilai lingkungan firmware Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40	= Administrator _{(Azure Policy)}	Peringatan
Melakukan tugas pemeliharaan volume _{(CCE-36143-6)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna untuk mengelola konfigurasi volume atau disk sistem, yang dapat memungkinkan pengguna untuk menghapus volume dan menyebabkan kehilangan data serta kondisi penolakan layanan. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeManageVolumePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Lakukan tugas pemeliharaan volume Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41	= Administrator _{(Azure Policy)}	Peringatan
Proses tunggal profil _{(CCE-37131-0)}	Deskripsi: Pengaturan kebijakan ini menentukan pengguna mana yang dapat menggunakan alat untuk memantau kinerja proses non-sistem. Biasanya, Anda tidak perlu mengonfigurasi hak pengguna ini untuk menggunakan lekatan Performa Microsoft Management Console (MMC). Namun, Anda memerlukan hak pengguna ini jika Monitor Sistem dikonfigurasi untuk mengumpulkan data menggunakan Instrumentasi Manajemen Windows (WMI). Membatasi hak pengguna proses tunggal Profil mencegah penyusup mendapatkan informasi tambahan yang dapat digunakan untuk memasang serangan pada sistem. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeProfileSingleProcessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Proses tunggal Profil Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42	= Administrator _{(Azure Policy)}	Peringatan
Melihat Performa Sistem _{(CCE-36052-9)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna untuk menggunakan alat untuk melihat kinerja proses sistem yang berbeda, yang dapat disalahgunakan untuk memungkinkan penyerang menentukan proses aktif sistem dan memberikan wawasan tentang permukaan serangan potensial komputer. Status yang disarankan untuk pengaturan ini adalah: `Administrators, NT SERVICE\WdiServiceHost`. Jalur Kunci: [Privilege Rights]SeSystemProfilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators, NT SERVICE\WdiServiceHost`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Performa sistem Profil Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.2.43 CIS WS2022 2.2.43	<= Administrator, NT SERVICE\WdiServiceHost _{(Azure Policy)}	Peringatan
Mengganti token tingkat proses _{(CCE-37430-6)}	Deskripsi: Pengaturan kebijakan ini memungkinkan satu proses atau layanan untuk memulai layanan atau proses lain dengan token akses keamanan yang berbeda, yang dapat digunakan untuk memodifikasi token akses keamanan dari sub-proses itu dan mengakibatkan eskalasi hak istimewa. Status yang disarankan untuk pengaturan ini adalah: `LOCAL SERVICE, NETWORK SERVICE`. Catatan: Server Anggota yang memegang Peran Server Web (IIS) dengan Layanan Peran Server Web akan memerlukan pengecualian khusus untuk rekomendasi ini, untuk memungkinkan kumpulan aplikasi IIS diberikan hak pengguna ini. Catatan #2: Server Anggota dengan Microsoft SQL Server yang terpasang akan memerlukan pengecualian khusus untuk rekomendasi ini untuk entri tambahan yang dihasilkan SQL untuk diberikan hak pengguna ini. Jalur Kunci: [Privilege Rights]SeAssignPrimaryTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `LOCAL SERVICE, NETWORK SERVICE`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Ganti token tingkat proses Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.2.44 CIS WS2022 2.2.44	<= LAYANAN LOKAL, LAYANAN JARINGAN _{(Azure Policy)}	Peringatan
Hapus file dan direktori _{(CCE-37613-7)}	Deskripsi: Pengaturan kebijakan ini menentukan pengguna mana yang dapat melewati file, direktori, registri, dan izin objek persisten lainnya saat memulihkan file dan direktori yang dicadangkan pada komputer yang menjalankan Windows Vista di lingkungan Anda. Hak pengguna ini juga menentukan pengguna mana yang dapat menetapkan prinsip keamanan yang valid sebagai pemilik objek; hal ini serupa dengan hak pengguna direktori dan Pencadangan file. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeRestorePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Pulihkan file dan direktori Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.2.45	<= Administrator, Operator Cadangan _{(Azure Policy)}	Peringatan
Matikan sistem _{(CCE-38328-1)}	Deskripsi: Pengaturan kebijakan ini menentukan pengguna mana yang masuk secara lokal ke komputer di lingkungan Anda dapat mematikan sistem operasi dengan perintah Matikan. Penyalahgunaan hak pengguna ini dapat mengakibatkan penolakan kondisi layanan. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Matikan sistem Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 2.2.46 CIS WS2022 2.2.46	<= Administrator, Operator Cadangan _{(Azure Policy)}	Peringatan
Mengambil-alih kepemilikan atas file atau objek lainnya _{(CCE-38325-7)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna untuk mengambil kepemilikan file, folder, kunci registri, proses, atau utas. Hak pengguna ini melewati izin apa pun yang ada untuk melindungi objek untuk memberikan kepemilikan kepada pengguna yang ditentukan. Status yang disarankan untuk pengaturan ini adalah: `Administrators`. Jalur Kunci: [Privilege Rights]SeTakeOwnershipPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Administrators`: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Ambil kepemilikan file atau objek lainnya Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48	= Administrator _{(Azure Policy)}	Kritis
Hak pengguna "Meniru klien setelah autentikasi" hanya boleh ditetapkan ke Administrator, Layanan, Layanan Lokal, dan Layanan Jaringan. _{(AZ-WIN-73785)}	Deskripsi: Pengaturan kebijakan memungkinkan program yang berjalan atas nama pengguna untuk meniru pengguna tersebut (atau akun lain yang ditentukan) sehingga mereka dapat bertindak atas nama pengguna. Jika hak pengguna ini diperlukan untuk peniruan semacam ini, pengguna yang tidak sah tidak akan dapat meyakinkan klien untuk terhubung misalnya, dengan panggilan prosedur jarak jauh (RPC) atau pipa bernama ke layanan yang telah mereka buat untuk meniru klien tersebut, yang dapat meningkatkan izin pengguna yang tidak sah ke tingkat administratif atau sistem. Layanan yang dimulai oleh Service Control Manager memiliki grup Layanan bawaan yang ditambahkan secara default ke token akses mereka. Server COM yang dimulai oleh infrastruktur COM dan dikonfigurasi untuk dijalankan di bawah akun tertentu juga memiliki grup Layanan yang ditambahkan ke token akses mereka. Akibatnya, proses ini ditetapkan pengguna ini tepat ketika mereka dimulai. Selain itu, pengguna dapat meniru token akses jika salah satu kondisi berikut ada: - Token akses yang ditiru adalah untuk pengguna ini. - Pengguna, dalam sesi masuk ini, masuk ke jaringan dengan kredensial eksplisit untuk membuat token akses. - Tingkat yang diminta kurang dari Impersonate, seperti Anonim atau Identifikasi. Penyerang dengan peniru klien setelah hak pengguna autentikasi dapat membuat layanan, menipu klien untuk membuatnya terhubung ke layanan, dan kemudian meniru klien tersebut untuk meningkatkan tingkat akses penyerang ke klien tersebut. Status yang disarankan untuk pengaturan ini adalah: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. Catatan: Hak pengguna ini dianggap sebagai "hak istimewa sensitif" untuk tujuan audit. Catatan #2: Server Anggota dengan Microsoft SQL Server dan komponen "Layanan Integrasi" opsional yang diinstal akan memerlukan pengecualian khusus untuk rekomendasi ini agar entri tambahan yang dihasilkan SQL diberikan hak pengguna ini. Jalur Kunci: [Privilege Rights]SeImpersonatePrivilege OS: WS2016, WS2019 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignment\Impersonate a client after authentication Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.2.31 CIS WS2019 2.2.31	<= Administrator, Layanan, Layanan Lokal, Layanan Jaringan _{(Azure Policy)}	Penting

Komponen Windows

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Perbolehkan Autentikasi Dasar _{(CCE-36254-1)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengelola apakah layanan Manajemen Jarak Jauh Windows (WinRM) menerima autentikasi Dasar dari klien jarak jauh. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Manajemen Jarak Jauh Windows (WinRM)\WinRM Service\Izinkan Autentikasi Dasar Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `WindowsRemoteManagement.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1	Tidak ada atau = 0 _(Registri)	Kritis
Izinkan Data Diagnostik _{(AZ-WIN-00169)}	Deskripsi: Pengaturan kebijakan ini menentukan jumlah data diagnostik dan penggunaan yang dilaporkan ke Microsoft. Nilai 0 akan mengirim data minimal ke Microsoft. Data ini mencakup data Malicious Software Removal Tool (MSRT) & Pertahanan Windows, jika diaktifkan, dan pengaturan klien telemetri. Menetapkan nilai 0 hanya berlaku untuk perangkat perusahaan, EDU, IoT, dan server. Menetapkan nilai 0 untuk perangkat lain setara dengan memilih nilai 1. Nilai 1 hanya mengirimkan sejumlah dasar data diagnostik dan penggunaan. Perhatikan bahwa menetapkan nilai 0 atau 1 akan menurunkan pengalaman tertentu di perangkat. Nilai 2 mengirimkan data diagnostik dan penggunaan yang disempurnakan. Nilai 3 mengirim data yang sama dengan nilai 2, ditambah data diagnostik tambahan, termasuk file dan konten yang mungkin menyebabkan masalah. Pengaturan telemetri Windows 10 berlaku untuk sistem operasi Windows dan beberapa aplikasi pihak pertama. Pengaturan ini tidak berlaku untuk aplikasi pihak ketiga yang berjalan di Windows 10. Status yang disarankan untuk pengaturan ini adalah: `Enabled: 0 - Security [Enterprise Only]`. Catatan: Jika pengaturan "Izinkan Telemetri" dikonfigurasi ke "0 - Keamanan [Hanya Perusahaan]", maka opsi di Pembaruan Windows untuk menunda peningkatan dan pembaruan tidak akan berpengaruh. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled: Diagnostic data off (not recommended)` atau `Enabled: Send required diagnostic data`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Pengumpulan Data dan Pratinjau Build\Izinkan Data Diagnostik Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'DataCollection.admx/adml' yang disertakan dengan Templat Administratif Rilis Microsoft Windows 11 21H2 (atau yang lebih baru). Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Izinkan Telemetri, tetapi diganti namanya menjadi Izinkan Data Diagnostik dimulai dengan Templat Administratif Rilis Windows 11 21H2. Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1	>= 1 _(Registri)	Peringatan
Perbolehkan pengindeksan file terenkripsi _{(CCE-38277-0)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah item terenkripsi diperbolehkan untuk diindeks. Ketika pengaturan ini diubah, indeks dibangun kembali sepenuhnya. Enkripsi volume penuh (seperti Enkripsi Drive BitLocker atau solusi non-Microsoft) harus digunakan untuk lokasi indeks untuk menjaga keamanan untuk file terenkripsi. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Pencarian\Izinkan pengindeksan file terenkripsi Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `Search.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3	Tidak ada atau = 0 _(Registri)	Peringatan
Mengizinkan akun Microsoft bersifat opsional _{(CCE-38354-7)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengontrol apakah akun Microsoft bersifat opsional untuk aplikasi Bursa Windows yang memerlukan akun untuk masuk. Kebijakan ini hanya mempengaruhi aplikasi Bursa Windows yang mendukungnya. Jika Anda mengaktifkan pengaturan kebijakan ini, aplikasi Bursa Windows yang biasanya memerlukan akun Microsoft untuk masuk akan memungkinkan pengguna untuk masuk dengan akun perusahaan sebagai gantinya. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, pengguna harus masuk dengan akun Microsoft. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional OS: WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Runtime aplikasi\Izinkan akun Microsoft menjadi opsional Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'AppXRuntime.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.1 & Server 2012 R2 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.6.1	= 1 _(Registri)	Peringatan
Mengizinkan lalu lintas yang tidak terenkripsi _{(CCE-38223-4)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengelola apakah layanan Manajemen Jarak Jauh Windows (WinRM) mengirim dan menerima pesan yang tidak terenkripsi melalui jaringan. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Manajemen Jarak Jauh Windows (WinRM)\WinRM Service\Izinkan lalu lintas yang tidak terenkripsi Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `WindowsRemoteManagement.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3	Tidak ada atau = 0 _(Registri)	Kritis
Perbolehkan kontrol pengguna atas penginstalan _{(CCE-36400-0)}	Deskripsi: Mengizinkan pengguna untuk mengubah opsi penginstalan yang biasanya hanya tersedia untuk admin sistem. Fitur keamanan Pemasang Windows mencegah pengguna mengubah opsi penginstalan yang biasanya disediakan untuk admin sistem, seperti menentukan direktori tempat file dipasang. Jika Pemasang Windows mendeteksi bahwa paket penginstalan telah mengizinkan pengguna untuk mengubah opsi yang dilindungi, maka akan menghentikan penginstalan dan menampilkan pesan. Fitur keamanan ini hanya beroperasi ketika program penginstalan berjalan dalam konteks keamanan istimewa di mana ia memiliki akses ke direktori yang ditolak oleh pengguna. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Windows Components\Windows Installer\Allow user control over installs Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `MSI.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini diberi nama Aktifkan kontrol pengguna atas penginstalan, tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1	Tidak ada atau = 0 _(Registri)	Kritis
Selalu pasang dengan hak istimewa yang ditinggikan _{(CCE-37490-0)}	Deskripsi: Pengaturan ini mengontrol apakah Pemasang Windows harus menggunakan ijin sistem atau tidak ketika memasang program apa pun pada sistem. Catatan: Pengaturan ini muncul baik di folder Konfigurasi Komputer maupun Konfigurasi Pengguna. Agar pengaturan ini efektif, Anda harus memfungsikan pengaturan di kedua map tersebut. Perhatian: Jika diaktifkan, pengguna yang terampil dapat memanfaatkan izin yang diberikan pengaturan ini untuk mengubah hak istimewa mereka dan mendapatkan akses permanen ke file dan folder yang dibatasi. Perhatikan bahwa versi Konfigurasi Pengguna dari pengaturan ini tidak dijamin aman. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: User Configuration\Policies\Administrative Templates\Windows Components\Windows Installer\Always install with elevated privileges Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `MSI.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2	Tidak ada atau = 0 _(Registri)	Peringatan
Selalu meminta kata sandi sebelum menyambungkan koneksi _{(CCE-37929-7)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah Layanan Terminal selalu meminta komputer klien untuk kata sandi saat koneksi. Anda dapat menggunakan pengaturan kebijakan ini untuk menerapkan permintaan kata sandi bagi pengguna yang masuk ke Layanan Terminal, meskipun mereka sudah memberikan kata sandi di klien Sambungan Desktop Jarak Jauh. Secara default, Layanan Terminal memungkinkan pengguna untuk secara otomatis masuk jika mereka memasukkan kata sandi di klien Koneksi Desktop Jarak Jauh. Catatan Jika Anda tidak mengonfigurasi pengaturan kebijakan ini, admin komputer lokal dapat menggunakan alat Konfigurasi Layanan Terminal untuk mengizinkan atau mencegah kata sandi dikirim secara otomatis. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Desktop Jarak Jauh\Host Sesi Desktop Jarak Jauh\Keamanan\Selalu minta kata sandi saat koneksi Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'TerminalServer.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Dalam Templat Administratif Microsoft Windows Vista, pengaturan ini diberi nama klien Always prompt untuk kata sandi saat koneksi, tetapi diganti namanya dimulai dengan Templat Administratif Windows Server 2008 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.65.3.9.1	= 1 _(Registri)	Kritis
Aplikasi: Mengontrol perilaku Log Kejadian ketika file log mencapai ukuran maksimumnya _{(CCE-37775-4)}	Deskripsi: Pengaturan kebijakan ini mengontrol perilaku Log Kejadian ketika file log mencapai ukuran maksimumnya. Jika Anda mengaktifkan pengaturan kebijakan ini dan file log mencapai ukuran maksimumnya, kejadian baru tidak ditulis ke log dan hilang. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini dan file log mencapai ukuran maksimumnya, kejadian baru menimpa kejadian lama. Catatan: Peristiwa lama mungkin atau mungkin tidak dipertahankan sesuai dengan pengaturan kebijakan "Log cadangan secara otomatis saat penuh". Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Windows Components\Event Log Service\Application\Control Event Log behavior ketika file log mencapai ukuran maksimumnya Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'EventLog.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Pertahankan peristiwa lama, tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.27.1.1	Tidak ada atau = 0 _(Registri)	Kritis
Aplikasi: Tentukan ukuran file log maksimal (KB) _{(CCE-37948-7)}	Deskripsi: Pengaturan kebijakan ini menentukan ukuran maksimum file log dalam kilobyte. Jika Anda mengaktifkan pengaturan kebijakan ini, Anda dapat mengonfigurasi ukuran file log maksimum menjadi antara 1 megabyte (1024 kilobyte) dan 2 terabyte (2147483647 kilobyte) dengan kenaikan kilobyte. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, ukuran maksimum file log akan diatur ke nilai yang dikonfigurasi secara lokal. Nilai ini dapat diubah oleh admin lokal menggunakan dialog Properti Log dan defaultnya menjadi 20 megabyte. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled: 32,768 or greater`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Log Peristiwa\Aplikasi\Tentukan ukuran file log maksimum (KB) Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'EventLog.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Ukuran Log Maksimum (KB), tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.27.1.2	>= 32768 _(Registri)	Kritis
Memblokir semua autentikasi pengguna akun Microsoft konsumen _{(AZ-WIN-20198)}	Deskripsi: Pengaturan ini menentukan apakah aplikasi dan layanan pada perangkat dapat menggunakan autentikasi akun Microsoft konsumen baru melalui Windows `OnlineID` dan `WebAccountManager` API. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth OS: WS2016, WS2019 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Akun Microsoft\Blokir semua autentikasi pengguna akun Microsoft konsumen Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1	= 1 _(Registri)	Kritis
Mengonfigurasi pengaturan lokal untuk pelaporan ke Microsoft MAPS _{(AZ-WIN-00173)}	Deskripsi: Pengaturan kebijakan ini mengonfigurasi pengambilalihan lokal agar konfigurasi bergabung dengan Microsoft MAPS. Pengaturan ini hanya bisa disetel oleh Kebijakan Grup. Jika Anda mengaktifkan pengaturan ini, pengaturan preferensi lokal akan lebih diprioritaskan daripada Kebijakan Grup. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan ini, Kebijakan Grup akan lebih diprioritaskan daripada pengaturan preferensi lokal. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Windows Defender Antivirus\MAPS\Konfigurasikan pengabaian pengaturan lokal untuk pelaporan ke Microsoft MAPS Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat `WindowsDefender.admx/adml` Kebijakan Grup yang disertakan dengan Templat Administratif Microsoft Windows 8.1 & Server 2012 R2 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1	Tidak ada atau = 0 _(Registri)	Peringatan
Mengonfigurasi SmartScreen Windows _{(CCE-35859-8)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengelola perilaku Windows SmartScreen. Windows SmartScreen membantu menjaga PC lebih aman dengan memperingatkan pengguna sebelum menjalankan program yang tidak dikenal diunduh dari Internet. Beberapa informasi dikirim ke Microsoft tentang file dan program yang dijalankan pada PC dengan fitur ini diaktifkan. Jika Anda mengaktifkan pengaturan kebijakan ini, perilaku Windows SmartScreen dapat dikontrol dengan mengatur salah satu opsi berikut: * Beri pengguna peringatan sebelum menjalankan perangkat lunak tidak dikenal yang diunduh * Nonaktifkan SmartScreen Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, perilaku Windows SmartScreen dikelola oleh administrator pada PC dengan menggunakan Windows SmartScreen Pengaturan di Keamanan dan Pemeliharaan. Opsi: * Beri pengguna peringatan sebelum menjalankan perangkat lunak tidak dikenal yang diunduh * Nonaktifkan SmartScreen Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Peringatkan dan cegah bypass: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender SmartScreen\Explorer\Configure Windows Defender SmartScreen Note: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup WindowsExplorer.admx/adml yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Konfigurasikan Windows SmartScreen, tetapi diganti namanya dimulai dengan Templat Administratif Windows 10 Release 1703. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.85.1.1	= 1 _(Registri)	Peringatan
Mendeteksi perubahan dari port RDP default _{(AZ-WIN-00156)}	Deskripsi: Pengaturan ini menentukan apakah port jaringan yang mendengarkan Sambungan Desktop Jarak Jauh telah diubah dari default 3389 Jalur Kunci: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Tidak Berlaku Pemetaan Standar Kepatuhan:	= 3389 _(Registri)	Kritis
Menonaktifkan Layanan Windows Search _{(AZ-WIN-00176)}	Deskripsi: Pengaturan registri ini menonaktifkan Layanan Pencarian Windows Jalur Kunci: System\CurrentControlSet\Services\Wsearch\Start OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Tidak Berlaku Pemetaan Standar Kepatuhan:	Tidak ada atau = 4 _(Registri)	Kritis
Tidak mengizinkan Putar Otomatis untuk perangkat non-volume _{(CCE-37636-8)}	Deskripsi: Pengaturan kebijakan ini melarang AutoPlay untuk perangkat MTP seperti kamera atau ponsel. Jika Anda mengaktifkan pengaturan kebijakan ini, AutoPlay tidak diperbolehkan untuk perangkat MTP seperti kamera atau ponsel. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, AutoPlay diaktifkan untuk perangkat non-volume. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Kebijakan AutoPlay\Larang Pemutaran Otomatis untuk perangkat non-volume Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'AutoPlay.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.8.1	= 1 _(Registri)	Kritis
Melarang autentikasi Ringkasan _{(CCE-38318-2)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengelola apakah klien Manajemen Jarak Jauh Windows (WinRM) tidak akan menggunakan autentikasi Digest. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Windows Components\Windows Remote Management (WinRM)\WinRM Client\Disallow Digest authentication Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `WindowsRemoteManagement.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3	=0 _(Registri)	Kritis
Jangan izinkan WinRM menyimpan info masuk RunAs _{(CCE-36000-8)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengelola apakah layanan Manajemen Jarak Jauh Windows (WinRM, Windows Remote Management) tidak akan mengizinkan info masuk RunAs disimpan untuk plug-in apa pun. Jika Anda mengaktifkan pengaturan kebijakan ini, layanan WinRM tidak akan mengizinkan nilai konfigurasi RunAsUser atau RunAsPassword diatur untuk plug-in apa pun. Jika plug-in telah menetapkan nilai konfigurasi RunAsUser dan RunAsPassword, nilai konfigurasi RunAsPassword akan dihapus dari penyimpanan info masuk di komputer ini. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, layanan WinRM akan memungkinkan nilai konfigurasi RunAsUser dan RunAsPassword diatur untuk plug-in dan nilai RunAsPassword akan disimpan dengan aman. Jika Anda mengaktifkan lalu menonaktifkan pengaturan kebijakan ini, nilai apa pun yang sebelumnya dikonfigurasi untuk RunAsPassword harus direset. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Manajemen Jarak Jauh Windows (WinRM)\WinRM Service\Larang WinRM menyimpan kredensial RunAs Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'WindowsRemoteManagement.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.102.2.4	= 1 _(Registri)	Kritis
Jangan izinkan kata sandi disimpan _{(CCE-36223-6)}	Deskripsi: Pengaturan kebijakan ini membantu mencegah klien Layanan Terminal menyimpan kata sandi di komputer. Catatan Jika pengaturan kebijakan ini sebelumnya dikonfigurasi sebagai Dinonaktifkan atau Tidak dikonfigurasi, kata sandi yang disimpan sebelumnya akan dihapus pertama kali klien Layanan Terminal terputus dari server apa pun. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Desktop Jarak Jauh\Klien Koneksi ion Desktop Jarak Jauh\Jangan izinkan kata sandi disimpan Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'TerminalServer.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.65.2.2	= 1 _(Registri)	Kritis
Jangan hapus folder sementara saat keluar _{(CCE-37946-1)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah Layanan Desktop Jarak Jauh mempertahankan folder sementara per sesi pengguna saat keluar. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Desktop Jarak Jauh\Host Sesi Desktop Jarak Jauh\Folder Sementara\Jangan hapus folder sementara saat keluar Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'TerminalServer.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini diberi nama Jangan hapus folder sementara saat keluar, tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.65.3.11.1	Tidak ada atau = 1 _(Registri)	Peringatan
Jangan tampilkan tombol yang memperlihatkan kata sandi _{(CCE-37534-5)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda untuk mengonfigurasi tampilan tombol ungkapkan kata sandi dalam pengalaman pengguna entri kata sandi. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Antarmuka Pengguna Kredensial\Jangan tampilkan tombol ungkap kata sandi Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'CredUI.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.16.1	= 1 _(Registri)	Peringatan
Jangan perlihatkan pemberitahuan umpan balik _{(AZ-WIN-00140)}	Deskripsi: Pengaturan kebijakan ini memungkinkan organisasi untuk mencegah perangkatnya menampilkan pertanyaan umpan balik dari Microsoft. Jika Anda mengaktifkan pengaturan kebijakan ini, pengguna tidak akan lagi melihat pemberitahuan umpan balik melalui aplikasi Umpan Balik Windows. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, pengguna mungkin melihat pemberitahuan melalui aplikasi Umpan Balik Windows yang meminta umpan balik kepada pengguna. Catatan: Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, pengguna dapat mengontrol seberapa sering mereka menerima pertanyaan umpan balik. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Pengumpulan Data dan Pratinjau Build\Jangan tampilkan pemberitahuan umpan balik Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'FeedbackNotifications.admx/adml' yang disertakan dengan Templat Administratif Rilis Microsoft Windows 10 1511 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.17.4	= 1 _(Registri)	Kritis
Jangan gunakan folder sementara per sesi _{(CCE-38180-6)}	Deskripsi: Secara default, Layanan Desktop Jarak Jauh membuat folder sementara terpisah di server HOST Sesi RD untuk setiap sesi aktif yang dipertahankan pengguna di server Host Sesi RD. Folder sementara dibuat di server RD Session Host di folder Temp di bawah folder profil pengguna dan dinamai dengan "sessionid." Folder sementara ini digunakan untuk menyimpan file-file sementara individu. Untuk merebut kembali ruang cakram, folder sementara akan dihapus ketika pengguna log keluar dari sesi. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Desktop Jarak Jauh\Host Sesi Desktop Jarak Jauh\Folder Sementara\Jangan gunakan folder sementara per sesi Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'TerminalServer.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.65.3.11.2	Tidak ada atau = 1 _(Registri)	Kritis
Menghitung akun admin pada ketinggian _{(CCE-36512-2)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah akun admin ditampilkan saat pengguna mencoba untuk meningkatkan aplikasi yang sedang berjalan. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Antarmuka Pengguna Kredensial\Menghitung akun administrator pada elevasi Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `CredUI.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2	Tidak ada atau = 0 _(Registri)	Peringatan
Mencegah pengunduhan penutup _{(CCE-37126-0)}	Deskripsi: Pengaturan kebijakan ini mencegah pengguna memiliki penutup (lampiran file) yang diunduh dari umpan ke komputer pengguna. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Umpan RSS\Cegah pengunduhan penutup Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'InetRes.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini diberi nama Nonaktifkan pengunduhan penutup, tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.66.1	= 1 _(Registri)	Peringatan
Perlu komunikasi RPC yang aman _{(CCE-37567-5)}	Deskripsi: Menentukan apakah server Host Sesi Desktop Jarak Jauh memerlukan komunikasi RPC yang aman dengan semua klien atau memungkinkan komunikasi yang tidak aman. Anda dapat menggunakan pengaturan ini untuk memperkuat keamanan komunikasi RPC dengan klien dengan hanya mengizinkan permintaan yang diautentikasi dan dienkripsi. Jika status diatur ke Diaktifkan, Layanan Desktop Jarak Jauh menerima permintaan dari klien RPC yang mendukung permintaan aman, dan tidak mengizinkan komunikasi tanpa jaminan dengan klien yang tidak tepercaya. Jika status disetel ke Dinonaktifkan, Layanan Desktop Jarak Jauh selalu meminta keamanan untuk semua lalu lintas RPC. Namun, komunikasi tanpa jaminan diizinkan untuk klien RPC yang tidak menanggapi permintaan tersebut. Jika status disetel ke Tidak Dikonfigurasi, komunikasi tidak aman diperbolehkan. Catatan: Antarmuka RPC digunakan untuk mengelola dan mengonfigurasi Layanan Desktop Jarak Jauh. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Desktop Jarak Jauh\Host Sesi Desktop Jarak Jauh\Keamanan\Memerlukan komunikasi RPC yang aman Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'TerminalServer.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.65.3.9.2	= 1 _(Registri)	Kritis
Memerlukan autentikasi pengguna untuk sambungan jarak jauh dengan menggunakan Autentikasi Tingkat Jaringan _{(AZ-WIN-00149)}	Deskripsi: Memerlukan autentikasi pengguna untuk sambungan jarak jauh dengan menggunakan Autentikasi Tingkat Jaringan Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Desktop Jarak Jauh\Host Sesi Desktop Jarak Jauh\Keamanan\Memerlukan autentikasi pengguna untuk koneksi jarak jauh dengan menggunakan Autentikasi Tingkat Jaringan Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'TerminalServer.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Dalam Templat Administratif Microsoft Windows Vista, pengaturan ini awalnya bernama Memerlukan autentikasi pengguna menggunakan RDP 6.0 untuk koneksi jarak jauh, tetapi diganti namanya dimulai dengan Templat Administratif Windows Server 2008 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.65.3.9.4	Tidak ada atau = 1 _(Registri)	Kritis
Memindai drive yang dapat dilepas _{(AZ-WIN-00177)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda untuk mengelola apakah akan memindai atau tidak untuk perangkat lunak berbahaya dan perangkat lunak yang tidak diinginkan dalam konten drive yang dapat dilepas seperti USB flash drive saat menjalankan pemindaian penuh. Jika Anda mengaktifkan drive yang dapat dilepas pengaturan ini akan dipindai selama semua jenis pemindaian. Jika Anda menonaktifkan atau tidak mengonfigurasi drive yang bisa dilepas pengaturan ini tidak akan dipindai selama pemindaian penuh. Drive yang bisa dilepas mungkin masih dipindai selama pemindaian cepat dan pemindaian kustom. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Antivirus Pertahanan Windows\Pindai\Pindai drive yang dapat dilepas Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat `WindowsDefender.admx/adml` Kebijakan Grup yang disertakan dengan Templat Administratif Microsoft Windows 8.1 & Server 2012 R2 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1	=0 _(Registri)	Kritis
Keamanan: Mengontrol perilaku Log Kejadian ketika file log mencapai ukuran maksimumnya _{(CCE-37145-0)}	Deskripsi: Pengaturan kebijakan ini mengontrol perilaku Log Kejadian ketika file log mencapai ukuran maksimumnya. Jika Anda mengaktifkan pengaturan kebijakan ini dan file log mencapai ukuran maksimumnya, kejadian baru tidak ditulis ke log dan hilang. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini dan file log mencapai ukuran maksimumnya, kejadian baru menimpa kejadian lama. Catatan: Peristiwa lama mungkin atau mungkin tidak dipertahankan sesuai dengan pengaturan kebijakan "Log cadangan secara otomatis saat penuh". Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Log Peristiwa\Keamanan\Kontrol Perilaku Log Peristiwa saat file log mencapai ukuran maksimumnya Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'EventLog.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Pertahankan peristiwa lama, tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.27.2.1	Tidak ada atau = 0 _(Registri)	Kritis
Keamanan: Tentukan ukuran file log maksimal (KB) _{(CCE-37695-4)}	Deskripsi: Pengaturan kebijakan ini menentukan ukuran maksimum file log dalam kilobyte. Jika Anda mengaktifkan pengaturan kebijakan ini, Anda dapat mengonfigurasi ukuran file log maksimum menjadi antara 1 megabyte (1024 kilobyte) dan 2 terabyte (2.147.483.647 kilobyte) dengan tahapan kilobyte. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, ukuran maksimum file log akan diatur ke nilai yang dikonfigurasi secara lokal. Nilai ini dapat diubah oleh admin lokal menggunakan dialog Properti Log dan defaultnya menjadi 20 megabyte. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled: 196,608 or greater`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Log Peristiwa\Keamanan\Tentukan ukuran file log maksimum (KB) Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'EventLog.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Ukuran Log Maksimum (KB), tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.27.2.2	>= 196608 _(Registri)	Kritis
Kirim sampel file ketika analisis lebih lanjut diperlukan _{(AZ-WIN-00126)}	Deskripsi: Pengaturan kebijakan ini mengonfigurasi perilaku pengiriman sampel saat keikutsertaan untuk telemetri MAPS diatur. Opsi yang mungkin adalah: (0x0) Selalu prompt (0x1) Kirim sampel yang aman secara otomatis (0x2) Jangan pernah mengirim (0x3) Mengirim semua sampel secara otomatis Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Templat Administratif\Komponen Windows\Antivirus Microsoft Defender\MAPS\Kirim sampel file saat analisis lebih lanjut diperlukan Pemetaan Standar Kepatuhan:	= 1 _(Registri)	Peringatan
Atur tingkat enkripsi koneksi klien _{(CCE-36627-8)}	Deskripsi: Pengaturan kebijakan ini menentukan apakah komputer yang akan meng-hosting koneksi jarak jauh akan memberlakukan tingkat enkripsi untuk semua data yang dikirim antara itu dan komputer klien untuk sesi jarak jauh. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled: High Level`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Desktop Jarak Jauh\Host Sesi Desktop Jarak Jauh\Keamanan\Atur tingkat enkripsi koneksi klien Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'TerminalServer.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.65.3.9.5	Tidak ada atau = 3 _(Registri)	Kritis
Menetapkan perilaku default untuk AutoRun _{(CCE-38217-6)}	Deskripsi: Pengaturan kebijakan ini menetapkan perilaku default untuk perintah Autorun. Perintah Autorun umumnya disimpan dalam file autorun.inf. Mereka sering meluncurkan program penginstalan atau rutinitas lainnya. Sebelum Windows Vista, ketika media yang berisi perintah autorun dimasukkan, sistem akan secara otomatis menjalankan program tanpa intervensi pengguna. Ini menciptakan masalah keamanan utama karena kode dapat dijalankan tanpa sepengetahuan pengguna. Perilaku asali yang dimulai dengan Windows Vista adalah meminta pengguna apakah perintah autorun akan dijalankan. Perintah autorun direpresentasikan sebagai peng-handel dalam dialog Putar Otomatis. Jika Anda memfungsikan pengaturan kebijakan ini, Admin bisa mengubah perilaku default Windows Vista atau yang lebih baru untuk menjalankan otomatis ke: a) Nonaktifkan perintah menjalankan otomatis sepenuhnya, atau b) Kembalikan kembali ke perilaku pra-Windows Vista secara otomatis menjalankan perintah menjalankan otomatis. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, Windows Vista atau yang lebih baru akan meminta pengguna apakah perintah autorun akan dijalankan. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled: Do not execute any autorun commands`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Kebijakan AutoPlay\Atur perilaku default untuk Jalankan Otomatis Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'AutoPlay.admx/adml' yang disertakan dengan Templat Administratif Microsoft Windows 8.0 & Server 2012 (non-R2) (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.8.2	= 1 _(Registri)	Kritis
Penyiapan: Mengontrol perilaku Log Kejadian ketika file log mencapai ukuran maksimumnya _{(CCE-38276-2)}	Deskripsi: Pengaturan kebijakan ini mengontrol perilaku Log Kejadian ketika file log mencapai ukuran maksimumnya. Jika Anda mengaktifkan pengaturan kebijakan ini dan file log mencapai ukuran maksimumnya, kejadian baru tidak ditulis ke log dan hilang. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini dan file log mencapai ukuran maksimumnya, kejadian baru menimpa kejadian lama. Catatan: Peristiwa lama mungkin atau mungkin tidak dipertahankan sesuai dengan pengaturan kebijakan "Log cadangan secara otomatis saat penuh". Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Windows Components\Event Log Service\Setup\Control Event Log behavior saat file log mencapai ukuran maksimumnya Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'EventLog.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Pertahankan peristiwa lama, tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.27.3.1	Tidak ada atau = 0 _(Registri)	Kritis
Penyiapan: Tentukan ukuran file log maksimal (KB) _{(CCE-37526-1)}	Deskripsi: Pengaturan kebijakan ini menentukan ukuran maksimum file log dalam kilobyte. Jika Anda mengaktifkan pengaturan kebijakan ini, Anda dapat mengonfigurasi ukuran file log maksimum menjadi antara 1 megabyte (1024 kilobyte) dan 2 terabyte (2.147.483.647 kilobyte) dengan tahapan kilobyte. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, ukuran maksimum file log akan diatur ke nilai yang dikonfigurasi secara lokal. Nilai ini dapat diubah oleh admin lokal menggunakan dialog Properti Log dan defaultnya menjadi 20 megabyte. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled: 32,768 or greater`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Log Peristiwa\Pengaturan\Tentukan ukuran file log maksimum (KB) Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'EventLog.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Ukuran Log Maksimum (KB), tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.27.3.2	>= 32768 _(Registri)	Kritis
Masuk pengguna interaktif terakhir secara otomatis setelah restart yang dimulai sistem _{(CCE-36977-7)}	Deskripsi: Pengaturan kebijakan ini mengontrol apakah perangkat akan otomatis masuk ke pengguna interaktif terakhir setelah Windows Update memulai ulang sistem. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticrestartSignOn OS: WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled:` Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Opsi Masuk Windows\Masuk pengguna interaktif terakhir secara otomatis setelah mulai ulang yang dimulai sistem Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat `WinLogon.admx/adml` Kebijakan Grup yang disertakan dengan Templat Administratif Microsoft Windows 8.1 & Server 2012 R2 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1	= 1 _(Registri)	Kritis
Menentukan interval untuk memeriksa pemutakhiran definisi _{(AZ-WIN-00152)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda menentukan interval untuk memeriksa pembaruan definisi. Nilai waktu dinyatakan sebagai jumlah jam antara pemeriksaan pembaruan. Nilai yang valid berkisar dari 1 (setiap jam) hingga 24 (sekali per hari). Jika Anda mengaktifkan pengaturan ini, memeriksa pemutakhiran definisi akan terjadi pada interval yang ditentukan. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan ini, memeriksa pembaruan definisi akan terjadi pada interval default. Jalur Kunci: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval OS: WS2008, WS2008R2, WS2012, WS2012R2 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Templat Administratif\Komponen Windows\Antivirus Microsoft Defender\Pembaruan Inteligensi Keamanan\Tentukan interval untuk memeriksa pembaruan inteligensi keamanan Pemetaan Standar Kepatuhan:	= 8 _(Registri)	Kritis
Sistem: Mengontrol perilaku Log Kejadian ketika file log mencapai ukuran maksimumnya _{(CCE-36160-0)}	Deskripsi: Pengaturan kebijakan ini mengontrol perilaku Log Kejadian ketika file log mencapai ukuran maksimumnya. Jika Anda mengaktifkan pengaturan kebijakan ini dan file log mencapai ukuran maksimumnya, kejadian baru tidak ditulis ke log dan hilang. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini dan file log mencapai ukuran maksimumnya, kejadian baru menimpa kejadian lama. Catatan: Peristiwa lama mungkin atau mungkin tidak dipertahankan sesuai dengan pengaturan kebijakan "Log cadangan secara otomatis saat penuh". Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Log Peristiwa\Sistem\Kontrol Perilaku Log Peristiwa saat file log mencapai ukuran maksimumnya Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'EventLog.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Pertahankan peristiwa lama, tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.27.4.1	Tidak ada atau = 0 _(Registri)	Kritis
Sistem: Tentukan ukuran file log maksimal (KB) _{(CCE-36092-5)}	Deskripsi: Pengaturan kebijakan ini menentukan ukuran maksimum file log dalam kilobyte. Jika Anda mengaktifkan pengaturan kebijakan ini, Anda dapat mengonfigurasi ukuran file log maksimum menjadi antara 1 megabyte (1024 kilobyte) dan 2 terabyte (2.147.483.647 kilobyte) dengan tahapan kilobyte. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, ukuran maksimum file log akan diatur ke nilai yang dikonfigurasi secara lokal. Nilai ini dapat diubah oleh admin lokal menggunakan dialog Properti Log dan defaultnya menjadi 20 megabyte. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled: 32,768 or greater`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Layanan Log Peristiwa\Sistem\Tentukan ukuran file log maksimum (KB) Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'EventLog.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Catatan #2: Di Templat Administratif Microsoft Windows yang lebih lama, pengaturan ini awalnya bernama Ukuran Log Maksimum (KB), tetapi diganti namanya dimulai dengan Templat Administratif Windows 8.0 & Server 2012 (non-R2). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.27.4.2	>= 32768 _(Registri)	Kritis
Inventaris Program Kompatibilitas Aplikasi harus dicegah agar tidak mengumpulkan data dan mengirim informasi ke Microsoft. _{(AZ-WIN-73543)}	Deskripsi: Beberapa fitur dapat berkomunikasi dengan vendor, mengirim informasi sistem, atau mengunduh data atau komponen untuk fitur tersebut. Menonaktifkan kemampuan ini akan mencegah informasi yang berpotensi sensitif dikirim ke luar perusahaan dan akan mencegah pembaruan yang tidak terkontrol ke sistem. Pengaturan ini akan mencegah Inventori Program mengumpulkan data tentang sistem dan mengirim informasi ke Microsoft. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory OS: WS2016, WS2019, WS2022 Jenis Server: Anggota Domain Jalur Kebijakan Grup: Computer Configuration\Administrative Templates\Windows Components\Application Compatibility\Turn off Inventory Collector Pemetaan Standar Kepatuhan:	= 1 _(Registri)	Informasi
Menonaktifkan Putar Otomatis _{(CCE-36875-3)}	Deskripsi: Autoplay mulai membaca dari drive segera setelah Anda memasukkan media di drive, yang menyebabkan file penyetelan untuk program atau media audio segera dimulai. Penyerang dapat menggunakan fitur ini untuk meluncurkan program untuk merusak komputer atau data di komputer. Anda dapat mengaktifkan pengaturan Nonaktifkan Pemutaran Otomatis untuk menonaktifkan fitur Putar Otomatis. Putar otomatis dinon-fungsikan secara default pada beberapa jenis drive yang bisa dilepas, seperti disket dan drive jaringan, tetapi tidak pada drive CD-ROM. Catatan Anda tidak dapat menggunakan pengaturan kebijakan ini untuk mengaktifkan Putar otomatis pada drive komputer di mana ia dinonaktifkan secara default, seperti disket dan drive jaringan. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled: All drives`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Kebijakan Pemutaran Otomatis\Nonaktifkan Pemutaran Otomatis Catatan: Jalur Kebijakan Grup ini disediakan oleh templat Kebijakan Grup 'AutoPlay.admx/adml' yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.8.3	= 255 _(Registri)	Kritis
Nonaktifkan Pencegahan Eksekusi Data untuk Explorer _{(CCE-37809-1)}	Deskripsi: Menonaktifkan pencegahan eksekusi data dapat memungkinkan aplikasi plug-in lama tertentu berfungsi tanpa mengakhiri Explorer. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Catatan: Beberapa aplikasi plug-in lama dan perangkat lunak lain mungkin tidak berfungsi dengan Pencegahan Eksekusi Data dan akan memerlukan pengecualian untuk didefinisikan untuk plug-in / perangkat lunak tertentu. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\File Explorer\Nonaktifkan Pencegahan Eksekusi Data untuk Explorer Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat `Explorer.admx/adml` Kebijakan Grup yang disertakan dengan Templat Administratif Microsoft Windows 7 & Server 2008 R2 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2	Tidak ada atau = 0 _(Registri)	Kritis
Menonaktifkan penghentian timbunan pada gangguan _{(CCE-36660-9)}	Deskripsi: Tanpa penghentian timbunan pada korupsi, aplikasi plug-in lama dapat terus berfungsi ketika sesi File Explorer telah rusak. Memastikan bahwa penghentian timbunan pada korupsi aktif akan mencegah hal ini. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\File Explorer\Nonaktifkan penghentian timbunan pada kerusakan Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `Explorer.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3	Tidak ada atau = 0 _(Registri)	Kritis
Menonaktifkan pengalaman konsumen Microsoft _{(AZ-WIN-00144)}	Deskripsi: Pengaturan kebijakan ini menonaktifkan pengalaman yang membantu konsumen memaksimalkan perangkat dan akun Microsoft mereka. Jika Anda mengaktifkan pengaturan kebijakan ini, pengguna tidak akan lagi melihat rekomendasi yang dipersonalisasi dari Microsoft dan pemberitahuan tentang akun Microsoft mereka. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, pengguna mungkin melihat saran dari Microsoft dan pemberitahuan tentang akun Microsoft mereka. Catatan: Pengaturan ini hanya berlaku untuk SKU Perusahaan dan Azure for Education. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Konten Cloud\Nonaktifkan pengalaman konsumen Microsoft Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat Kebijakan Grup 'CloudContent.admx/adml' yang disertakan dengan Templat Administratif Rilis Microsoft Windows 10 1511 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.14.2	Tidak ada atau = 1 _(Registri)	Peringatan
Matikan mode terproteksi protokol shell _{(CCE-36809-2)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda untuk mengonfigurasi jumlah fungsionalitas yang dapat dilakukan protokol shell. Ketika menggunakan fungsionalitas penuh dari aplikasi protokol ini dapat membuka folder dan meluncurkan file. Mode terproteksi mengurangi fungsionalitas protokol ini yang memungkinkan aplikasi hanya membuka sekumpulan folder terbatas. Aplikasi tidak dapat membuka file dengan protokol ini ketika dalam mode terproteksi. Disarankan untuk meninggalkan protokol ini dalam modus terproteksi untuk meningkatkan keamanan Windows. Status yang disarankan untuk pengaturan ini adalah: `Disabled`. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Disabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\File Explorer\Nonaktifkan mode terlindungi protokol shell Catatan: Jalur Kebijakan Grup ini disediakan oleh templat `WindowsExplorer.admx/adml` Kebijakan Grup yang disertakan dengan semua versi Templat Administratif Microsoft Windows. Pemetaan Standar Kepatuhan: ID PlatformNama STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4	Tidak ada atau = 0 _(Registri)	Peringatan
Mengaktifkan pemantauan perilaku _{(AZ-WIN-00178)}	Deskripsi: Pengaturan kebijakan ini memungkinkan Anda mengonfigurasi pemantauan perilaku. Jika Anda memfungsikan atau tidak mengonfigurasi pemantauan perilaku pengaturan ini akan diaktifkan. Jika Anda menonaktifkan pemantauan perilaku pengaturan ini akan dinonaktifkan. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Untuk membuat konfigurasi yang direkomendasikan melalui GP, atur jalur UI berikut ke `Enabled`: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Antivirus Pertahanan Windows\Perlindungan Real-Time\Aktifkan pemantauan perilaku Catatan: Jalur Kebijakan Grup ini mungkin tidak ada secara default. Ini disediakan oleh templat `WindowsDefender.admx/adml` Kebijakan Grup yang disertakan dengan Templat Administratif Microsoft Windows 8.1 & Server 2012 R2 (atau yang lebih baru). Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3	Tidak ada atau = 0 _(Registri)	Peringatan
Mengaktifkan Pengelogan Blok Skrip PowerShell _{(AZ-WIN-73591)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengelogan semua input skrip PowerShell ke `Applications and Services Logs\Microsoft\Windows\PowerShell\Operational` saluran Log Peristiwa. Status yang disarankan untuk pengaturan ini adalah: `Enabled`. Catatan: Jika pengelogan Peristiwa Mulai/Hentikan Pemanggilan Blok Skrip diaktifkan (kotak opsi dicentang), PowerShell akan mencatat peristiwa tambahan saat pemanggilan perintah, blok skrip, fungsi, atau skrip dimulai atau dihentikan. Mengaktifkan opsi ini menghasilkan volume tinggi log peristiwa. CIS sengaja memilih untuk tidak membuat rekomendasi untuk opsi ini, karena menghasilkan sejumlah besar peristiwa. Jika organisasi memilih untuk mengaktifkan pengaturan opsional (dicentang), ini juga sesuai dengan tolok ukur. Jalur Kunci: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging OS: WS2016, WS2019, WS2022 Jenis Server: Pengendali Domain, Anggota Domain, Anggota Grup Kerja Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Templat Administratif\Komponen Windows\Windows PowerShell\Aktifkan Pembuatan Log Blok Skrip PowerShell Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1	= 1 _(Registri)	Penting

Pengaturan Windows - Pengaturan Keamanan

Nama _(ID)	Detail	Nilai yang diharapkan _(Jenis)	Tingkat keparahan
Sesuaikan kuota memori untuk sebuah proses _{(CCE-10849-8)}	Deskripsi: Pengaturan kebijakan ini memungkinkan pengguna untuk menyesuaikan jumlah memori maksimum yang tersedia untuk proses. Kemampuan untuk menyesuaikan kuota memori berguna untuk penyetelan sistem, tetapi dapat disalahgunakan. Di tangan yang salah, dapat digunakan untuk meluncurkan serangan penolakan layanan (DoS). Status yang disarankan untuk pengaturan ini adalah: `Administrators, LOCAL SERVICE, NETWORK SERVICE`. Catatan: Server Anggota yang memegang Peran Server Web (IIS) dengan Layanan Peran Server Web akan memerlukan pengecualian khusus untuk rekomendasi ini, untuk memungkinkan kumpulan aplikasi IIS diberikan hak pengguna ini. Catatan #2: Server Anggota dengan Microsoft SQL Server yang terpasang akan memerlukan pengecualian khusus untuk rekomendasi ini untuk entri tambahan yang dihasilkan SQL untuk diberikan hak pengguna ini. Jalur Kunci: [Privilege Rights]SeIncreaseQuotaPrivilege OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 Jenis Server: Pengendali domain, Anggota Domain Jalur Kebijakan Grup: Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna\Sesuaikan kuota memori untuk proses Pemetaan Standar Kepatuhan: ID PlatformNama CIS WS2022 2.2.6 CIS WS2019 2.2.6	<= Administrator, Layanan Lokal, Layanan Jaringan _{(Azure Policy)}	Peringatan

Catatan

Ketersediaan pengaturan konfigurasi tamu Azure Policy tertentu dapat bervariasi di Azure Government dan cloud nasional lainnya.

Langkah berikutnya

Artikel tambahan tentang Azure Policy dan konfigurasi tamu:

Konfigurasi tamu Azure Policy.
Ikhtisar Kepatuhan terhadap Peraturan.
Tinjau contoh lain di Contoh Azure Policy.
Tinjau Memahami efek kebijakan.
Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.

Share via

Garis besar keamanan Windows

Kebijakan Akun-Kebijakan Kata Sandi

Templat Administratif - Windows Defender

Templat Administratif - Panel Kontrol

Templat Administratif - Panduan Keamanan MS

Templat Administratif - MSS

Templat Administratif - Jaringan

Templat Administratif - Panduan Keamanan

Templat Administratif - Sistem

Templat Administratif - Komponen Windows

Templat Administratif - Komponen Windows

Templat Administratif - Keamanan Windows

Templat administratif - Windows Defender

Mengaudit Manajemen Akun Komputer

Inti Aman

Opsi Keamanan - Akun

Opsi Keamanan - Audit

Opsi Keamanan - Perangkat

Opsi Keamanan - Anggota domain

Opsi Keamanan - Masuk Interaktif

Opsi Keamanan - Klien Jaringan Microsoft

Opsi Keamanan - Microsoft Network Server

Opsi Keamanan - Akses Jaringan

Opsi Keamanan - Keamanan Jaringan

Opsi Keamanan - Matikan

Opsi Keamanan - Kriptografi sistem

Opsi Keamanan - Objek sistem

Opsi Keamanan - Pengaturan sistem

Opsi Keamanan - Kontrol Akun Pengguna

Pengaturan Keamanan - Kebijakan Akun

Pengaturan Keamanan - Windows Firewall

Kebijakan Audit Sistem - Masuk Akun

Kebijakan Audit Sistem - Manajemen Akun

Kebijakan Audit Sistem - Pelacakan Terperinci

Kebijakan Audit Sistem - Akses DS

Kebijakan Audit Sistem - Masuk-Keluar

Kebijakan Audit Sistem - Akses Objek

Azure Policy Audit Sistem - Perubahan Azure Policy

Kebijakan Audit Sistem - Penggunaan Hak Istimewa

Kebijakan Audit Sistem - Sistem

Penetapan Hak Pengguna

Komponen Windows

Pengaturan Windows - Pengaturan Keamanan

Langkah berikutnya

Sumber Daya Tambahan: