Udostępnij za pośrednictwem


Punkt odniesienia zabezpieczeń systemu Windows

Ten artykuł zawiera szczegółowe informacje o ustawieniach konfiguracji gości systemu Windows, które mają zastosowanie w następujących implementacjach:

  • [Wersja zapoznawcza]: Maszyny z systemem Windows powinny spełniać wymagania dotyczące definicji konfiguracji gościa usługi Azure Policy dla punktu odniesienia zabezpieczeń obliczeń platformy Azure
  • Luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach powinny zostać skorygowane w usłudze Azure Security Center

Aby uzyskać więcej informacji, zobacz Azure Automanage machine configuration (Konfiguracja maszyny azure Automanage).

Ważne

Konfiguracja gościa usługi Azure Policy dotyczy tylko jednostek SKU systemu Windows Server i jednostki SKU usługi Azure Stack. Nie ma zastosowania do obliczeń użytkownika końcowego, takich jak jednostki SKU systemu Windows 10 i Windows 11.

Zasady dotyczące kont — hasło

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Czas trwania blokady konta
(AZ-WIN-73312)
Opis: To ustawienie zasad określa czas, który musi zostać przekazany przed odblokowaniem zablokowanego konta, a użytkownik może spróbować zalogować się ponownie. To ustawienie powoduje określenie liczby minut, przez które zablokowane konto pozostanie niedostępne. Jeśli wartość tego ustawienia zasad jest skonfigurowana na wartość 0, zablokowane konta pozostaną zablokowane do momentu ręcznego odblokowania przez administratora. Chociaż może się wydawać, że dobrym pomysłem może być skonfigurowanie wartości tego ustawienia zasad na wartość wysoką, taka konfiguracja prawdopodobnie zwiększy liczbę połączeń odbieranych przez dział pomocy technicznej w celu odblokowania kont zablokowanych przez pomyłkę. Użytkownicy powinni pamiętać o czasie, przez jaki blokada pozostaje w miejscu, więc zdają sobie sprawę, że muszą zadzwonić tylko do działu pomocy technicznej, jeśli mają bardzo pilną potrzebę odzyskania dostępu do komputera. Zalecanym stanem dla tego ustawienia jest: 15 or more minute(s). Uwaga: ustawienia zasad haseł (sekcja 1.1) i ustawienia zasad blokady konta (sekcja 1.2) muszą być stosowane za pośrednictwem domyślnego obiektu zasad domeny obiektu zasad grupy, aby mieć globalny wpływ na konta użytkowników domeny jako domyślne zachowanie. Jeśli te ustawienia są skonfigurowane w innym obiekcie zasad grupy, będą miały wpływ tylko na konta użytkowników lokalnych na komputerach odbierających obiekt zasad grupy. Jednak niestandardowe wyjątki od domyślnych zasad haseł i reguł zasad blokady konta dla określonych użytkowników domeny i/lub grup można zdefiniować przy użyciu obiektów ustawień haseł (PSO), które są całkowicie oddzielone od zasad grupy i najbardziej łatwo skonfigurowane przy użyciu Centrum administracyjnego usługi Active Directory.
Ścieżka klucza: [System Access]LockoutDuration
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady blokady konta\Czas trwania blokady konta
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 1.2.1
        CIS WS2019 1.2.1
>= 15
(Zasady)
Ostrzeżenie

Szablon administracyjny — Windows Defender

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Konfigurowanie wykrywania potencjalnie niechcianych aplikacji
(AZ-WIN-202219)
Opis: To ustawienie zasad kontroluje wykrywanie i działanie potencjalnie niechcianych aplikacji (PUA), które są podstępnym niechcianym pakietem aplikacji lub ich dołączonymi aplikacjami, które mogą dostarczać oprogramowanie lub złośliwe oprogramowanie. Zalecanym stanem dla tego ustawienia jest: Enabled: Block. Aby uzyskać więcej informacji, zobacz ten link: Blokuj potencjalnie niechciane aplikacje przy użyciu Program antywirusowy Microsoft Defender | Microsoft Docs
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Konfigurowanie wykrywania potencjalnie niechcianych aplikacji
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.47.15
        CIS WS2019 18.9.47.15
= 1
(Rejestr)
Krytyczne
Skanuj wszystkie pobrane pliki i załączniki
(AZ-WIN-202221)
Opis: To ustawienie zasad konfiguruje skanowanie dla wszystkich pobranych plików i załączników. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Ochrona w czasie rzeczywistym\Skanuj wszystkie pobrane pliki i załączniki
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.47.9.1
        CIS WS2019 18.9.47.9.1
= 0
(Rejestr)
Ostrzeżenie
Wyłączanie programu Microsoft Defender AntiVirus
(AZ-WIN-202220)
Opis: to ustawienie zasad wyłącza Program antywirusowy Microsoft Defender. Jeśli ustawienie jest skonfigurowane na wartość Wyłączone, Program antywirusowy Microsoft Defender działa, a komputery są skanowane pod kątem złośliwego oprogramowania i innego potencjalnie niechcianego oprogramowania. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Wyłącz program Microsoft Defender AntiVirus
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.47.16
        CIS WS2019 18.9.47.16
= 0
(Rejestr)
Krytyczne
Wyłączanie ochrony w czasie rzeczywistym
(AZ-WIN-202222)
Opis: To ustawienie zasad konfiguruje monity o ochronę w czasie rzeczywistym pod kątem znanego wykrywania złośliwego oprogramowania. Program antywirusowy Microsoft Defender alerty, gdy złośliwe oprogramowanie lub potencjalnie niechciane oprogramowanie próbuje zainstalować się lub uruchomić na komputerze. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Ochrona w czasie rzeczywistym\Wyłącz ochronę w czasie rzeczywistym
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.47.9.2
        CIS WS2019 18.9.47.9.2
= 0
(Rejestr)
Ostrzeżenie
Włączanie skanowania poczty e-mail
(AZ-WIN-202218)
Opis: To ustawienie zasad umożliwia skonfigurowanie skanowania poczty e-mail. Po włączeniu skanowania poczty e-mail aparat przeanalizuje skrzynkę pocztową i pliki poczty zgodnie z ich określonym formatem w celu przeanalizowania treści i załączników poczty. Obecnie jest obsługiwanych kilka formatów poczty e-mail, na przykład: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Scan\Włącz skanowanie poczty e-mail
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.47.12.2
        CIS WS2019 18.9.47.12.2
= 0
(Rejestr)
Ostrzeżenie
Włączanie skanowania skryptów
(AZ-WIN-202223)
Opis: To ustawienie zasad umożliwia włączanie/wyłączanie skanowania skryptów. Skanowanie skryptów przechwytuje skrypty, a następnie skanuje je przed ich wykonaniem w systemie. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Ochrona w czasie rzeczywistym\Włączanie skanowania skryptów
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.47.9.4
        CIS WS2019 18.9.47.9.4
= 0
(Rejestr)
Ostrzeżenie

Szablony administracyjne — Panel sterowania

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Zezwalaj na personalizację danych wejściowych
(AZ-WIN-00168)
Opis: Te zasady umożliwiają automatyczne uczenie składnik personalizacji danych wejściowych, w tym mowę, pisanie odręczne i wpisywanie. Uczenie automatyczne umożliwia zbieranie wzorców mowy i pisma ręcznego, wpisywanie historii, kontaktów i ostatnich informacji kalendarza. Jest to wymagane do korzystania z Cortany. Niektóre z tych zebranych informacji mogą być przechowywane w usłudze OneDrive użytkownika w przypadku pisma odręcznego i wpisywania tekstu; niektóre informacje zostaną przekazane do firmy Microsoft w celu spersonalizowania mowy. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika naDisabled: Konfiguracja komputera\Zasady\Szablony administracyjne\Panel sterowania\Opcje regionalne i językowe\Zezwalaj użytkownikom na włączanie usług rozpoznawania mowy online Uwaga: Ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy Globalization.admx/adml, który jest dołączony do systemu Microsoft Windows 10 RTM (wersja 1507) Szablony administracyjne (lub nowsze). Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Zezwalaj na personalizację danych wejściowych, ale zmieniono jej nazwę na Zezwalaj użytkownikom na włączanie usług rozpoznawania mowy online począwszy od szablonów administracyjnych systemu Windows 10 R1809 i Server 2019.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.1.2.2
= 0
(Rejestr)
Ostrzeżenie

Szablony administracyjne — przewodnik po zabezpieczeniach ms

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Wyłącz klienta SMB v1 (usuń zależność od sieci LanmanWorkstation)
(AZ-WIN-00122)
Opis: SMBv1 to starszy protokół, który używa algorytmu MD5 w ramach protokołu SMB. MD5 jest znany jako podatny na szereg ataków, takich jak kolizja i ataki przed obrazem, a także brak zgodności ze standardem FIPS.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService
System operacyjny: WS2008, WS2008R2, WS2012
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Szablony administracyjne\Przewodnik po zabezpieczeniach MS\Konfigurowanie sterownika klienta SMBv1
Mapowania standardowe zgodności:
Nie istnieje lub = Bowser\0MRxSmb20\0NSI\0\0
(Rejestr)
Krytyczne
Uwierzytelnianie WDigest
(AZ-WIN-73497)
Opis: po włączeniu uwierzytelniania WDigest Lsass.exe zachowuje kopię hasła w postaci zwykłego tekstu użytkownika w pamięci, gdzie może to być zagrożone kradzieżą. Jeśli to ustawienie nie jest skonfigurowane, uwierzytelnianie WDigest jest wyłączone w systemie Windows 8.1 i Windows Server 2012 R2; Jest ona domyślnie włączona we wcześniejszych wersjach systemów Windows i Windows Server. Aby uzyskać więcej informacji na temat kont lokalnych i kradzieży poświadczeń, zapoznaj się z dokumentami "Łagodzenie ataków typu Pass-the-Hash (PtH) i innych technik kradzieży poświadczeń". Aby uzyskać więcej informacji na temat UseLogonCredentialprogramu , zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 2871997: Aktualizacja biuletynu zabezpieczeń firmy Microsoft w celu poprawy ochrony poświadczeń i zarządzania nimi 13 maja 2014 r. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential
System operacyjny: WS2016, WS2019
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Ms Security Guide\WDigest Authentication (wyłączenie może wymagać KB2871997)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.3.7
        CIS WS2019 18.3.7
= 0
(Rejestr)
Ważne

Szablony administracyjne — MSS

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
MSS: (DisableIPSourceRouting IPv6) poziom ochrony routingu źródła ip (chroni przed fałszowaniem pakietów)
(AZ-WIN-202213)
Opis: Routing źródła adresów IP to mechanizm, który umożliwia nadawcy określenie trasy IP, którą datagram powinien podążać za pośrednictwem sieci. Zalecanym stanem dla tego ustawienia jest: Enabled: Highest protection, source routing is completely disabled.
Ścieżka klucza: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\MSS (starsza wersja)\MSS: (DisableIPSourceRouting IPv6) poziom ochrony routingu źródła ip (chroni przed fałszowaniem pakietów)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.4.2
        CIS WS2019 18.4.2
= 2
(Rejestr)
Informacyjny
MSS: (DisableIPSourceRouting) Poziom ochrony routingu źródła adresów IP (chroni przed fałszowaniem pakietów)
(AZ-WIN-202244)
Opis: Routing źródła adresów IP to mechanizm umożliwiający nadawcy określenie trasy IP, którą datagram powinien przejąć przez sieć. Zaleca się skonfigurowanie tego ustawienia na Wartość Niezdefiniowane dla środowisk przedsiębiorstwa i najwyższą ochronę dla środowisk o wysokim poziomie zabezpieczeń w celu całkowitego wyłączenia routingu źródłowego. Zalecanym stanem dla tego ustawienia jest: Enabled: Highest protection, source routing is completely disabled.
Ścieżka klucza: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\MSS (starsza wersja)\MSS: (DisableIPSourceRouting) poziom ochrony routingu źródła adresów IP (chroni przed fałszowaniem pakietów)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.4.3
        CIS WS2019 18.4.3
= 2
(Rejestr)
Informacyjny
MSS: (NoNameReleaseOnDemand) Zezwalaj komputerowi na ignorowanie żądań wydania nazw NetBIOS z wyjątkiem serwerów WINS
(AZ-WIN-202214)
Opis: NetBIOS za pośrednictwem protokołu TCP/IP to protokół sieciowy, który między innymi umożliwia łatwe rozpoznawanie nazw NetBIOS zarejestrowanych w systemach Windows do adresów IP skonfigurowanych w tych systemach. To ustawienie określa, czy komputer zwalnia nazwę NetBIOS po odebraniu żądania wydania nazwy. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\MSS (starsza wersja)\MSS: (NoNameReleaseOnDemand) Zezwalaj komputerowi na ignorowanie żądań wydania nazw NetBIOS z wyjątkiem serwerów WINS
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.4.6
        CIS WS2019 18.4.6
= 1
(Rejestr)
Informacyjny
MSS: (SafeDllSearchMode) Włączanie trybu wyszukiwania bezpiecznej biblioteki DLL (zalecane)
(AZ-WIN-202215)
Opis: Kolejność wyszukiwania bibliotek DLL można skonfigurować tak, aby wyszukiwała żądane biblioteki DLL, uruchamiając procesy na jeden z dwóch sposobów: — najpierw wyszukaj foldery określone w ścieżce systemowej, a następnie wyszukaj bieżący folder roboczy. — Najpierw wyszukaj bieżący folder roboczy, a następnie wyszukaj foldery określone w ścieżce systemowej. Po włączeniu wartość rejestru jest ustawiona na 1. W przypadku ustawienia 1 system najpierw przeszukuje foldery określone w ścieżce systemowej, a następnie przeszukuje bieżący folder roboczy. Po wyłączeniu wartości rejestru ustawiono wartość 0, a system najpierw przeszukuje bieżący folder roboczy, a następnie przeszukuje foldery określone w ścieżce systemowej. Aplikacje będą najpierw musiały wyszukiwać biblioteki DLL w ścieżce systemowej. W przypadku aplikacji wymagających unikatowych wersji tych bibliotek DLL, które są dołączone do aplikacji, ten wpis może powodować problemy z wydajnością lub stabilnością. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: Więcej informacji na temat działania trybu wyszukiwania safe DLL znajduje się pod tym linkiem: Dynamic-Link Library Search Order — Aplikacje systemu Windows | Microsoft Docs
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\MSS (starsza wersja)\MSS: (SafeDllSearchMode) Włącz tryb wyszukiwania safe DLL (zalecane)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.4.8
        CIS WS2019 18.4.8
= 1
(Rejestr)
Ostrzeżenie
MSS: (WarningLevel) Próg procentowy dziennika zdarzeń zabezpieczeń, w którym system wygeneruje ostrzeżenie
(AZ-WIN-202212)
Opis: To ustawienie może wygenerować inspekcję zabezpieczeń w dzienniku zdarzeń zabezpieczeń, gdy dziennik osiągnie próg zdefiniowany przez użytkownika. Zalecanym stanem dla tego ustawienia jest: Enabled: 90% or less. Uwaga: jeśli ustawienia dziennika są skonfigurowane do zastępowania zdarzeń zgodnie z potrzebami lub zastępowania zdarzeń starszych niż x dni, to zdarzenie nie zostanie wygenerowane.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\MSS (starsza wersja)\MSS: (WarningLevel) Próg procentowy dziennika zdarzeń zabezpieczeń, w którym system wygeneruje ostrzeżenie
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.4.12
        CIS WS2019 18.4.12
<= 90
(Rejestr)
Informacyjny
System Windows Server musi być skonfigurowany tak, aby uniemożliwić przekierowywanie protokołu ICMP (Internet Control Message Protocol) do zastępowania tras generowanych przez protokół Open Shortest Path First (OSPF).
(AZ-WIN-73503)
Opis: Przekierowania protokołu ICMP (Internet Control Message Protocol) powodują, że stos IPv4 jest przekierowywany do tras hosta plumb. Te trasy zastępują trasy wygenerowane przez protokół Open Shortest Path First (OSPF). Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\MSS (starsza wersja)\MSS: (EnableICMPRedirect) Zezwalaj na przekierowania ICMP w celu zastąpienia tras wygenerowanych przez OSPF
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.4.4
        CIS WS2019 18.4.4
= 0
(Rejestr)
Informacyjny

Szablony administracyjne — sieć

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Włącz niezabezpieczone logowania gościa
(AZ-WIN-00171)
Opis: To ustawienie zasad określa, czy klient SMB zezwoli na niezabezpieczone logowania gościa do serwera SMB. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne
etwork\Lanman Workstation\Enable insecure guest logons
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "LanmanWorkstation.admx/adml", który jest dołączony do szablonów administracyjnych systemu Microsoft Windows 10 Release 1511 (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93239
        STIG WS2016 V-73507
        CIS WS2019 18.5.8.1
        CIS WS2022 18.5.8.1
= 0
(Rejestr)
Krytyczne
Ścieżki UNC ze wzmocnionym zabezpieczeniami — NETLOGON
(AZ_WIN_202250)
Opis: To ustawienie zasad konfiguruje bezpieczny dostęp do ścieżek UNC
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\NETLOGON
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Szablony administracyjne\Sieć\Dostawca sieci\Wzmocnione ścieżki UNC
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Rejestr)
Ostrzeżenie
Ścieżki UNC ze wzmocnionym zabezpieczeniami — SYSVOL
(AZ_WIN_202251)
Opis: To ustawienie zasad konfiguruje bezpieczny dostęp do ścieżek UNC
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\SYSVOL
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Szablony administracyjne\Sieć\Dostawca sieci\Wzmocnione ścieżki UNC
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Rejestr)
Ostrzeżenie
Minimalizuj liczbę równoczesnych połączeń z Internetem lub domeną systemu Windows
(CCE-38338-0)
Opis: To ustawienie zasad uniemożliwia komputerom jednoczesne łączenie się z siecią opartą na domenie i siecią nienależącą do domeny. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 3 = Prevent Wi-Fi when on Ethernet:
Konfiguracja komputera\Zasady\Szablony administracyjne
etwork\Windows Menedżer połączeń\Minimalizuj liczbę równoczesnych połączeń z Internetem lub domeną systemu Windows
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "WCM.admx/adml", który jest dołączony do szablonów administracyjnych systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2). Zaktualizowano go przy użyciu nowego ustawienia podrzędnego Minimalizuj opcje zasad począwszy od szablonów administracyjnych systemu Windows 10 w wersji 1903.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.5.21.1
Nie istnieje lub = 1
(Rejestr)
Ostrzeżenie
Uniemożliwianie instalacji i konfiguracji mostka sieciowego w sieci domeny DNS
(CCE-38002-2)
Opis: Ta procedura służy do kontrolowania możliwości instalowania i konfigurowania mostka sieciowego przez użytkownika. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Sieć\Połączenia sieciowe\Zakazać instalacji i konfiguracji mostka sieciowego w sieci domeny DNS
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon NetworkConnections.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.5.11.2
        CIS WS2022 18.5.11.2
= 0
(Rejestr)
Ostrzeżenie
Uniemożliwianie korzystania z udostępniania połączeń internetowych w sieci domeny DNS
(AZ-WIN-00172)
Opis: Mimo że to ustawienie "starsze" tradycyjnie stosowane do korzystania z funkcji udostępniania połączeń internetowych (ICS) w systemie Windows 2000, Windows XP i Server 2003, to ustawienie jest teraz świeżo stosowane do funkcji Mobile Hotspot w systemie Windows 10 i Server 2016. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne
etwork
etwork Connections\Zakaz korzystania z udostępniania połączeń internetowych w sieci domeny DNS
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "NetworkConnections.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.5.11.3
= 0
(Rejestr)
Ostrzeżenie
Wyłączanie rozpoznawania nazw multiemisji
(AZ-WIN-00145)
Opis: LLMNR jest pomocniczym protokołem rozpoznawania nazw. W przypadku usługi LLMNR zapytania są wysyłane przy użyciu multiemisji za pośrednictwem łącza sieci lokalnej w jednej podsieci z komputera klienckiego do innego komputera klienckiego w tej samej podsieci, która ma również włączoną funkcję LLMNR. Usługa LLMNR nie wymaga konfiguracji serwera DNS ani klienta DNS i zapewnia rozpoznawanie nazw w scenariuszach, w których konwencjonalne rozpoznawanie nazw DNS nie jest możliwe. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne
etwork\DNS Client\Wyłącz rozpoznawanie nazw multiemisji
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "DnsClient.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.5.4.2
= 0
(Rejestr)
Ostrzeżenie

Szablony administracyjne — przewodnik po zabezpieczeniach

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Włącz ochronę przed zastąpieniem obsługi wyjątków strukturalnych (SEHOP)
(AZ-WIN-202210)
Opis: System Windows obejmuje obsługę ochrony zastąpów wyjątków strukturalnych (SEHOP). Zalecamy włączenie tej funkcji w celu zwiększenia profilu zabezpieczeń komputera. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Ms Security Guide\Enable Structured Exception Handling Overwrite Protection (SEHOP)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.3.4
        CIS WS2019 18.3.4
= 0
(Rejestr)
Krytyczne
Konfiguracja netBT NodeType
(AZ-WIN-202211)
Opis: To ustawienie określa, która metoda NetBIOS za pośrednictwem protokołu TCP/IP (NetBT) używa do rejestrowania i rozpoznawania nazw. Dostępne metody to: — Metoda B-Node (emisja) używa tylko emisji. - Metoda P-Node (punkt-punkt) używa tylko zapytań nazw do serwera nazw (WINS). - Metoda M-Node (mieszana) emituje najpierw, a następnie wysyła zapytanie do serwera nazw (WINS), jeśli emisja nie powiodła się. - Metoda H-Node (hybrydowa) najpierw wysyła zapytanie do serwera nazw (WINS), a następnie emituje, jeśli zapytanie nie powiodło się. Zalecanym stanem dla tego ustawienia jest: Enabled: P-node (recommended) (punkt-punkt). Uwaga: rozpoznawanie za pomocą systemu LMHOSTS lub DNS jest zgodne z tymi metodami. NodeType Jeśli wartość rejestru jest obecna, zastępuje dowolną DhcpNodeType wartość rejestru. Jeśli ani nie NodeType DhcpNodeType istnieje, komputer używa węzła B(emisja), jeśli nie ma serwerów WINS skonfigurowanych dla sieci lub węzła H (hybrydowego), jeśli jest skonfigurowany co najmniej jeden serwer WINS.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Ms Security Guide\NetBT NodeType konfiguracji
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.3.6
        CIS WS2019 18.3.6
= 2
(Rejestr)
Ostrzeżenie

Szablony administracyjne — system

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Blokowanie użytkownikowi wyświetlania szczegółów konta podczas logowania
(AZ-WIN-00138)
Opis: Te zasady uniemożliwiają użytkownikowi wyświetlanie szczegółów konta (adresu e-mail lub nazwy użytkownika) na ekranie logowania. Jeśli to ustawienie zasad zostanie włączone, użytkownik nie będzie mógł wyświetlić szczegółów konta na ekranie logowania. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownik może wybrać wyświetlanie szczegółów konta na ekranie logowania.
Ścieżka klucza: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Logon\Blokuj użytkownikowi wyświetlanie szczegółów konta podczas logowania
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "Logon.admx/adml", który jest dołączony do systemu Microsoft Windows 10 Release 1607 & Server 2016 Administrative Templates (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.28.1
= 1
(Rejestr)
Ostrzeżenie
Zasady inicjowania sterowników rozruchu
(CCE-37912-3)
Opis: To ustawienie zasad umożliwia określenie, które sterowniki rozruchu są inicjowane na podstawie klasyfikacji określonej przez sterownik rozruchu wczesnej ochrony przed złośliwym kodem. Sterownik rozruchu wczesnej ochrony przed złośliwym kodem może zwrócić następujące klasyfikacje dla każdego sterownika rozruchu: — Dobry: sterownik został podpisany i nie został naruszony. - Źle: sterownik został zidentyfikowany jako złośliwe oprogramowanie. Zaleca się, aby nie zezwalać na inicjowanie znanych nieprawidłowych sterowników. - Zły, ale wymagany do rozruchu: sterownik został zidentyfikowany jako złośliwe oprogramowanie, ale komputer nie może pomyślnie uruchomić się bez ładowania tego sterownika. — Nieznany: ten sterownik nie został przetestowany przez aplikację wykrywania złośliwego oprogramowania i nie został sklasyfikowany przez sterownik rozruchu wczesnego uruchamiania oprogramowania chroniącego przed złośliwym kodem. Jeśli to ustawienie zasad zostanie włączone, będzie można wybrać sterowniki rozruchu do zainicjowania przy następnym uruchomieniu komputera. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, sterowniki uruchamiania rozruchu zostaną uznane za dobre, nieznane lub złe, ale krytyczne dla rozruchu są inicjowane, a inicjowanie sterowników określonych jako Nieprawidłowe jest pomijane. Jeśli aplikacja wykrywania złośliwego oprogramowania nie zawiera sterownika rozruchu wczesnego uruchamiania oprogramowania chroniącego przed złośliwym kodem lub jeśli sterownik rozruchu wczesnej ochrony przed złośliwym kodem został wyłączony, to ustawienie nie ma żadnego wpływu i zainicjowano wszystkie sterowniki rozruchu.
Ścieżka klucza: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: Good, unknown and bad but critical:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "EarlyLaunchAM.admx/adml", który jest dołączony do szablonów administracyjnych systemu Microsoft Windows 8.0 i Server 2012 (innych niż R2) (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.14.1
Nie istnieje lub = 3
(Rejestr)
Ostrzeżenie
Konfigurowanie pomocy zdalnej oferty
(CCE-36388-7)
Opis: To ustawienie zasad umożliwia włączenie lub wyłączenie pomocy zdalnej oferty (niezamówionej) na tym komputerze. Personel pomocy technicznej i personel pomocy technicznej nie będzie mógł aktywnie oferować pomocy, chociaż nadal może odpowiadać na żądania pomocy użytkowników. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Pomoc zdalna\Konfigurowanie pomocy zdalnej oferty
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy dołączony do szablonów RemoteAssistance.admx/adml administracyjnych systemu Microsoft Windows 8.0 i Server 2012 (innych niż R2) (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.36.1
        CIS WS2022 18.8.36.1
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Konfigurowanie żądanej pomocy zdalnej
(CCE-37281-3)
Opis: To ustawienie zasad umożliwia włączenie lub wyłączenie pomocy zdalnej na tym komputerze. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Pomoc zdalna\Konfigurowanie żądanej pomocy zdalnej
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy dołączony do szablonów RemoteAssistance.admx/adml administracyjnych systemu Microsoft Windows 8.0 i Server 2012 (innych niż R2) (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.36.2
        CIS WS2022 18.8.36.2
= 0
(Rejestr)
Krytyczne
Nie wyświetlaj interfejsu użytkownika wyboru sieci
(CCE-38353-9)
Opis: To ustawienie zasad umożliwia kontrolowanie, czy każda osoba może korzystać z dostępnego interfejsu użytkownika sieci na ekranie logowania. Jeśli to ustawienie zasad zostanie włączone, nie można zmienić stanu łączności sieciowej komputera bez logowania się do systemu Windows. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, każdy użytkownik będzie mógł odłączyć komputer z sieci lub połączyć komputer z innymi dostępnymi sieciami bez logowania się do systemu Windows.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Logon\Nie wyświetlaj interfejsu użytkownika wyboru sieci
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "Logon.admx/adml", który jest dołączony do systemu Microsoft Windows 8.1 & Server 2012 R2 Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.28.2
= 1
(Rejestr)
Ostrzeżenie
Nie wyliczaj połączonych użytkowników na komputerach przyłączonych do domeny
(AZ-WIN-202216)
Opis: To ustawienie zasad uniemożliwia wyliczanie połączonych użytkowników na komputerach przyłączonych do domeny. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\System\Logon\Nie wyliczaj połączonych użytkowników na komputerach przyłączonych do domeny
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.8.28.3
        CIS WS2019 18.8.28.3
= 1
(Rejestr)
Ostrzeżenie
Włączanie uwierzytelniania klienta mapowania punktu końcowego RPC
(CCE-37346-4)
Opis: To ustawienie zasad określa, czy klienci RPC uwierzytelniają się w usłudze Mapper punktu końcowego, gdy wywołanie, które wykonuje, zawiera informacje o uwierzytelnianiu. Usługa mapowania punktu końcowego na komputerach z systemem Windows NT4 (wszystkie dodatki Service Pack) nie może przetworzyć informacji uwierzytelniania podanych w ten sposób. Jeśli to ustawienie zasad zostanie wyłączone, klienci RPC nie będą uwierzytelniać się w usłudze Mapper punktu końcowego, ale będą mogli komunikować się z usługą Mapper punktu końcowego w systemie Windows NT4 Server. Jeśli to ustawienie zasad zostanie włączone, klienci RPC będą uwierzytelniać się w usłudze Mapper punktu końcowego pod kątem wywołań zawierających informacje o uwierzytelnianiu. Klienci wykonujący takie wywołania nie będą mogli komunikować się z usługą mapowania punktu końcowego systemu Windows NT4 Server. Jeśli to ustawienie zasad nie zostanie skonfigurowane, pozostanie wyłączone. Klienci RPC nie będą uwierzytelniać się w usłudze Mapper punktu końcowego, ale będą mogli komunikować się z usługą Mapper punktów końcowych systemu Windows NT4 Server. Uwaga: te zasady nie zostaną zastosowane do momentu ponownego uruchomienia systemu.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Zdalne wywołanie procedury\Włącz uwierzytelnianie klienta mapera punktu końcowego RPC
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "RPC.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.37.1
= 1
(Rejestr)
Krytyczne
Włączanie klienta NTP systemu Windows
(CCE-37843-0)
Opis: To ustawienie zasad określa, czy klient NTP systemu Windows jest włączony. Włączenie klienta WINDOWS NTP umożliwia komputerowi synchronizowanie zegara komputera z innymi serwerami NTP. Możesz wyłączyć tę usługę, jeśli zdecydujesz się użyć dostawcy czasu innej firmy. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Usługa czas systemu Windows\Dostawcy czasu\Włącz klienta WINDOWS NTP
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "W32Time.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.53.1.1
= 1
(Rejestr)
Krytyczne
Korygowanie oracle szyfrowania dla protokołu CredSSP
(AZ-WIN-201910)
Opis: Niektóre wersje protokołu CredSSP używanego przez niektóre aplikacje (takie jak podłączanie pulpitu zdalnego) są narażone na atak wyroczni szyfrowania na klienta. Te zasady kontrolują zgodność z klientami i serwerami podatnymi na zagrożenia i umożliwiają ustawienie poziomu ochrony wymaganego dla luki w zabezpieczeniach wyroczni szyfrowania. Zalecanym stanem dla tego ustawienia jest: Enabled: Force Updated Clients.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle
System operacyjny: WS2016, WS2019
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\System\Delegowanie poświadczeń\Szyfrowanie Oracle Remediation
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.8.4.1
        CIS WS2019 18.8.4.1
= 0
(Rejestr)
Krytyczne
Upewnij się, że ustawienie "Konfigurowanie przetwarzania zasad rejestru: nie należy stosować podczas okresowego przetwarzania w tle" jest ustawiona na wartość "Włączone: FAŁSZ"
(CCE-36169-1)
Opis: opcja "Nie należy stosować podczas okresowego przetwarzania w tle" uniemożliwia systemowi aktualizowanie zasad, których dotyczy problem w tle, gdy komputer jest w użyciu. Po wyłączeniu aktualizacji w tle zmiany zasad nie zostaną zastosowane do momentu ponownego logowania użytkownika lub ponownego uruchomienia systemu. Zalecanym stanem tego ustawienia jest: Enabled: FALSE (niezaznaczone).
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu Process even if the Group Policy objects have not changed użytkownika na Enabled, a następnie ustaw opcję na TRUE (zaznaczone):
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Zasady grupy\Konfigurowanie przetwarzania zasad rejestru
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy dołączony do szablonów GroupPolicy.admx/adml administracyjnych systemu Microsoft Windows 8.0 i Server 2012 (innych niż R2) (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.21.2
        CIS WS2022 18.8.21.2
= 0
(Rejestr)
Krytyczne
Upewnij się, że ustawienie "Konfigurowanie przetwarzania zasad rejestru: przetwarzanie, nawet jeśli obiekty zasad grupy nie zostały zmienione" jest ustawione na wartość "Włączone: PRAWDA"
(CCE-36169-1a)
Opis: opcja "Proces, nawet jeśli obiekty zasad grupy nie uległy zmianie", aktualizuje i ponownie wprowadza zasady, nawet jeśli zasady nie uległy zmianie. Zalecanym stanem tego ustawienia jest: Enabled: TRUE (zaznaczone).
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled, a następnie ustaw opcję "Proces nawet jeśli obiekty zasad grupy nie zostały zmienione" na wartość "TRUE" (zaznaczone):
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Zasady grupy\Konfigurowanie przetwarzania zasad rejestru
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "GroupPolicy.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.21.3
= 0
(Rejestr)
Krytyczne
Upewnij się, że ustawienie "Kontynuuj środowisko na tym urządzeniu" ma wartość "Wyłączone"
(AZ-WIN-00170)
Opis: To ustawienie zasad określa, czy urządzenie z systemem Windows może uczestniczyć w środowiskach między urządzeniami (w kolejnych środowiskach). Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Zasady grupy\Kontynuuj środowiska na tym urządzeniu
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "GroupPolicy.admx/adml", który jest dołączony do systemu Microsoft Windows 10 Release 1607 & Server 2016 Administrative Templates (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.21.4
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Wyliczanie użytkowników lokalnych na komputerach przyłączonych do domeny
(AZ_WIN_202204)
Opis: To ustawienie zasad umożliwia wyliczanie użytkowników lokalnych na komputerach przyłączonych do domeny. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: element członkowski domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\System\Logon\Wyliczanie użytkowników lokalnych na komputerach przyłączonych do domeny
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.8.28.4
        CIS WS2019 18.8.28.4
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Obejmują wiersza polecenia do procesu tworzenia zdarzeń
(CCE-36925-6)
Opis: To ustawienie zasad określa, jakie informacje są rejestrowane w zdarzeniach inspekcji zabezpieczeń po utworzeniu nowego procesu. To ustawienie dotyczy tylko podczas tworzenia procesu inspekcji jest włączona. Po włączeniu tego ustawienia zasad, które informacje wiersza polecenia dla każdego procesu będą rejestrowane w postaci zwykłego tekstu w dzienniku zdarzeń zabezpieczeń w ramach zdarzeń inspekcji procesu tworzenia 4688 "nowy proces utworzono," na stacjach roboczych i serwerach, na których jest stosowane ustawienie zasad. Jeśli zostanie wyłączone lub nie zostanie skonfigurowane ustawienie zasad informacje wiersza polecenia procesu nie zostaną włączone do inspekcji procesu tworzenia zdarzeń. Ustawienie domyślne: Nieskonfigurowane Uwaga: po włączeniu tego ustawienia zasad każdy użytkownik z dostępem do odczytu zdarzeń zabezpieczeń będzie mógł odczytać argumenty wiersza polecenia dla każdego pomyślnie utworzonego procesu. Argumenty wiersza polecenia mogą zawierać poufne lub prywatne informacje, takie jak hasła i dane użytkowników.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled
System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Audit Process Creation\Include wiersza polecenia w zdarzeniach tworzenia procesu
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "AuditSettings.admx/adml", który jest dołączony do systemu Microsoft Windows 8.1 & Server 2012 R2 Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.3.1
= 1
(Rejestr)
Krytyczne
Zapobieganie pobieraniu metadanych urządzenia z Internetu
(AZ-WIN-202251)
Opis: To ustawienie zasad umożliwia uniemożliwienie systemowi Windows pobierania metadanych urządzenia z Internetu. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: nie uniemożliwia to instalacji podstawowych sterowników sprzętu, ale uniemożliwia automatyczne instalowanie skojarzonego oprogramowania narzędzi innej firmy w kontekście SYSTEM konta.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\System\Instalacja urządzenia\Zapobieganie pobieraniu metadanych urządzenia z Internetu
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.8.7.2
        CIS WS2019 18.8.7.2
= 1
(Rejestr)
Informacyjny
Host zdalny zezwala na delegowanie poświadczeń nieeksportowalnych
(AZ-WIN-20199)
Opis: Host zdalny zezwala na delegowanie poświadczeń nieeksportowalnych. W przypadku korzystania z delegowania poświadczeń urządzenia zapewniają eksportowalną wersję poświadczeń do hosta zdalnego. Naraża to użytkowników na ryzyko kradzieży poświadczeń przez osoby atakujące na hoście zdalnym. Tryb administratora z ograniczeniami i funkcja Windows Defender Remote Credential Guard to dwie opcje ochrony przed tym ryzykiem. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: Bardziej szczegółowe informacje na temat funkcji Windows Defender Remote Credential Guard i sposobu porównywania z trybem administratora z ograniczeniami można znaleźć pod tym linkiem: Ochrona poświadczeń pulpitu zdalnego za pomocą funkcji Windows Defender Remote Credential Guard (Windows 10) | Microsoft Docs
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds
System operacyjny: WS2016, WS2019
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\System\Delegowanie poświadczeń\Host zdalny zezwala na delegowanie poświadczeń nieeksportowalnych
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.8.4.2
        CIS WS2019 18.8.4.2
= 1
(Rejestr)
Krytyczne
Wyłączanie powiadomień aplikacji na ekranie blokady
(CCE-35893-7)
Opis: To ustawienie zasad umożliwia uniemożliwienie wyświetlania powiadomień aplikacji na ekranie blokady. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Logon\Wyłącz powiadomienia aplikacji na ekranie blokady
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "Logon.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.28.5
= 1
(Rejestr)
Ostrzeżenie
Wyłącz odświeżanie w tle zasad grupy
(CCE-14437-8)
Opis: To ustawienie zasad uniemożliwia aktualizowanie zasad grupy podczas korzystania z komputera. To ustawienie zasad dotyczy zasad grupy dla komputerów, użytkowników i kontrolerów domeny. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\System\Zasady grupy\Wyłącz odświeżanie w tle zasad grupy
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.8.21.5
        CIS WS2019 18.8.21.5
= 0
(Rejestr)
Ostrzeżenie
Wyłączanie pobierania sterowników wydruku za pośrednictwem protokołu HTTP
(CCE-36625-2)
Opis: To ustawienie zasad określa, czy komputer może pobierać pakiety sterowników wydruku za pośrednictwem protokołu HTTP. Aby skonfigurować drukowanie HTTP, sterowniki drukarek, które nie są dostępne w standardowej instalacji systemu operacyjnego, może być konieczne pobranie za pośrednictwem protokołu HTTP. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Zarządzanie komunikacją internetową\Ustawienia komunikacji internetowej\Wyłącz pobieranie sterowników wydruku za pośrednictwem protokołu HTTP
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "ICM.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.22.1.1
= 1
(Rejestr)
Ostrzeżenie
Wyłącz Kreatora połączeń internetowych, jeśli połączenie adresu URL odwołuje się do Microsoft.com
(CCE-37163-3)
Opis: To ustawienie zasad określa, czy Kreator połączeń internetowych może połączyć się z firmą Microsoft, aby pobrać listę dostawców usług internetowych (ISPs). Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Zarządzanie komunikacją internetową\Ustawienia komunikacji internetowej\Wyłącz Kreatora połączenia internetowego, jeśli połączenie z adresem URL dotyczy Microsoft.com
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "ICM.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.22.1.4
= 1
(Rejestr)
Ostrzeżenie
Włączanie wygodnego logowania przy numerze PIN
(CCE-37528-7)
Opis: To ustawienie zasad umożliwia kontrolowanie, czy użytkownik domeny może się zalogować przy użyciu wygodnego numeru PIN. W systemie Windows 10 numer PIN wygody został zastąpiony usługą Passport, która ma silniejsze właściwości zabezpieczeń. Aby skonfigurować usługę Passport dla użytkowników domeny, użyj zasad w obszarze Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Microsoft Passport for Work. Uwaga: hasło domeny użytkownika będzie buforowane w magazynie systemu podczas korzystania z tej funkcji. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\System\Logowanie\Włączanie wygodnego logowania przy użyciu numeru PIN
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy dołączony do szablonów CredentialProviders.admx/adml administracyjnych systemu Microsoft Windows 8.0 i Server 2012 (innych niż R2) (lub nowszych).Uwaga 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Włącz logowanie przy użyciu numeru PIN, ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 10 Release 1511.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.8.28.7
        CIS WS2022 18.8.28.7
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie

Szablony administracyjne — składnik systemu Windows

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Wyłączanie zawartości stanu konta użytkownika w chmurze
(AZ-WIN-202217)
Opis: To ustawienie zasad określa, czy zawartość stanu konta użytkownika w chmurze jest dozwolona we wszystkich środowiskach systemu Windows. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zawartość w chmurze\Wyłącz zawartość konta konsumenta w chmurze
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.14.1
        CIS WS2019 18.9.14.1
= 1
(Rejestr)
Ostrzeżenie

Szablony administracyjne — składniki systemu Windows

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Nie zezwalaj na przekierowywanie dysków
(AZ-WIN-73569)
Opis: To ustawienie zasad uniemożliwia użytkownikom udostępnianie dysków lokalnych na komputerach klienckich do serwerów usług pulpitu zdalnego, do których uzyskują dostęp. Zamapowane dyski są wyświetlane w drzewie folderów sesji w Eksploratorze Windows w następującym formacie: \\TSClient\<driveletter>$ Jeśli dyski lokalne są udostępniane, są one narażone na intruzów, którzy chcą wykorzystać przechowywane na nich dane. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Przekierowywanie zasobów\Nie zezwalaj na przekierowywanie dysku
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.65.3.3.3
        CIS WS2019 18.9.65.3.3.2
= 1
(Rejestr)
Ostrzeżenie
Włączanie transkrypcji programu PowerShell
(AZ-WIN-202208)
Opis: To ustawienie zasad umożliwia przechwytywanie danych wejściowych i wyjściowych poleceń programu Windows PowerShell do transkrypcji opartych na tekście. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Windows PowerShell\Włącz transkrypcję programu PowerShell
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.100.2
        CIS WS2019 18.9.100.2
= 0
(Rejestr)
Ostrzeżenie

Szablony administracyjne — Zabezpieczenia Windows

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Uniemożliwianie użytkownikom modyfikowania ustawień
(AZ-WIN-202209)
Opis: To ustawienie zasad uniemożliwia użytkownikom wprowadzanie zmian w obszarze Ustawień ochrony przed programami wykorzystującą luki w ustawieniach Zabezpieczenia Windows. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zabezpieczenia Windows\Ochrona aplikacji i przeglądarki\Uniemożliwiaj użytkownikom modyfikowanie ustawień
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.105.2.1
        CIS WS2019 18.9.105.2.1
= 1
(Rejestr)
Ostrzeżenie

Szablon administracyjny — Windows Defender

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Konfigurowanie reguł zmniejszania obszaru podatnego na ataki
(AZ_WIN_202205)
Opis: To ustawienie zasad steruje stanem reguł zmniejszania obszaru podatnego na ataki (ASR). Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Microsoft Defender Exploit Guard\Redukcja obszaru ataków\Konfigurowanie reguł zmniejszania obszaru podatnego na ataki
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.47.5.1.1
        CIS WS2019 18.9.47.5.1.1
= 1
(Rejestr)
Ostrzeżenie
Uniemożliwianie użytkownikom i aplikacjom uzyskiwania dostępu do niebezpiecznych witryn internetowych
(AZ_WIN_202207)
Opis: To ustawienie zasad steruje ochroną sieci w usłudze Microsoft Defender Exploit Guard. Zalecanym stanem dla tego ustawienia jest: Enabled: Block.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Microsoft Defender Exploit Guard\Network Protection\Zapobieganie użytkownikom i aplikacjom uzyskiwania dostępu do niebezpiecznych witryn sieci Web
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.47.5.3.1
        CIS WS2019 18.9.47.5.3.1
= 1
(Rejestr)
Ostrzeżenie

Inspekcja zarządzania kontami komputerów

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja zarządzania kontami komputerów
(CCE-38004-8)
Opis: Ta podkategoria raportuje każde zdarzenie zarządzania kontami komputerów, na przykład po utworzeniu, zmianie, zmianie, usunięciu, zmianie nazwy, wyłączeniu lub włączeniu. Zdarzenia dla tej podkategorii obejmują: - 4741: utworzono konto komputera. - 4742: Konto komputera zostało zmienione. - 4743: Konto komputera zostało usunięte. Zalecanym stanem tego ustawienia jest: Success.
Ścieżka klucza: {0CCE9236-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zarządzanie kontami\Audit Computer Account Management
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.2.2
        CIS WS2019 17.2.2
= Powodzenie
(Inspekcja)
Krytyczne

Zabezpieczone rdzenie

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Włączanie ochrony dma rozruchu
(AZ-WIN-202250)
Opis: Serwery obsługujące zabezpieczone rdzenie obsługują oprogramowanie układowe systemu, które zapewnia ochronę przed złośliwymi i niezamierzonym atakami bezpośredniego dostępu do pamięci (DMA) dla wszystkich urządzeń obsługujących funkcję DMA podczas procesu rozruchu.
Ścieżka klucza: BootDMAProtection
OSEx: WSASHCI22H2
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: NA
Mapowania standardowe zgodności:
= 1
(OsConfig)
Krytyczne
Włączanie integralności kodu wymuszonego przez funkcję hypervisor
(AZ-WIN-202246)
Opis: HVCI i VBS zwiększają model zagrożenia systemu Windows i zapewniają silniejszą ochronę przed złośliwym oprogramowaniem próbującym wykorzystać jądro systemu Windows. HVCI to krytyczny składnik, który chroni i wzmacnia izolowane środowisko wirtualne utworzone przez vbS, uruchamiając w nim integralność kodu trybu jądra i ograniczając alokacje pamięci jądra, które mogą być używane do naruszenia bezpieczeństwa systemu.
Ścieżka klucza: HypervisorEnforcedCodeIntegrityStatus
OSEx: WSASHCI22H2
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: NA
Mapowania standardowe zgodności:
= 0
(OsConfig)
Krytyczne
Włączanie bezpiecznego rozruchu
(AZ-WIN-202248)
Opis: Bezpieczny rozruch to standard zabezpieczeń opracowany przez członków branży komputerów, który pomaga upewnić się, że urządzenie jest uruchamiane przy użyciu tylko oprogramowania zaufanego przez producenta oryginalnego sprzętu (OEM).
Ścieżka klucza: SecureBootState
OSEx: WSASHCI22H2
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: NA
Mapowania standardowe zgodności:
= 1
(OsConfig)
Krytyczne
Włączanie ochrony systemu
(AZ-WIN-202247)
Opis: Korzystanie z obsługi procesora dla technologii Dynamic Root of Trust of Measurement (DRTM), System Guard umieścić oprogramowanie układowe w piaskownicy opartej na sprzęcie, co pomaga ograniczyć wpływ luk w zabezpieczeniach w milionach wierszy wysoce uprzywilejowanego kodu oprogramowania układowego.
Ścieżka klucza: SystemGuardStatus
OSEx: WSASHCI22H2
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: NA
Mapowania standardowe zgodności:
= 0
(OsConfig)
Krytyczne
Włączanie zabezpieczeń opartych na wirtualizacji
(AZ-WIN-202245)
Opis: Zabezpieczenia oparte na wirtualizacji lub VBS używają funkcji wirtualizacji sprzętowej do tworzenia i izolowania bezpiecznego regionu pamięci z normalnego systemu operacyjnego. Pomaga to zapewnić, że serwery pozostają poświęcone uruchamianiu krytycznych obciążeń i pomagają chronić powiązane aplikacje i dane przed atakiem i eksfiltracją. Język VBS jest domyślnie włączony i zablokowany w usłudze Azure Stack HCI.
Ścieżka klucza: VirtualizationBasedSecurityStatus
OSEx: WSASHCI22H2
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: NA
Mapowania standardowe zgodności:
= 0
(OsConfig)
Krytyczne
Ustawianie wersji modułu TPM
(AZ-WIN-202249)
Opis: Technologia TpM (Trusted Platform Module) została zaprojektowana w celu zapewnienia funkcji związanych z zabezpieczeniami opartych na sprzęcie. Moduł TPM2.0 jest wymagany dla funkcji zabezpieczonego rdzenia.
Ścieżka klucza: TPMVersion
OSEx: WSASHCI22H2
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: NA
Mapowania standardowe zgodności:
Zawiera 2.0
(OsConfig)
Krytyczne

Opcje zabezpieczeń — konta

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Konta: blokowanie kont Microsoft
(AZ-WIN-202201)
Opis: To ustawienie zasad uniemożliwia użytkownikom dodawanie nowych kont Microsoft na tym komputerze. Zalecanym stanem dla tego ustawienia jest: Users can't add or log on with Microsoft accounts.
Ścieżka klucza: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Konta: Blokuj konta Microsoft
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.1.2
        CIS WS2019 2.3.1.2
= 3
(Rejestr)
Ostrzeżenie
Konta: stan konta gościa
(CCE-37432-2)
Opis: To ustawienie zasad określa, czy konto gościa jest włączone, czy wyłączone. Konto gościa umożliwia nieuwierzytelnionym użytkownikom sieci uzyskanie dostępu do systemu. Zalecanym stanem dla tego ustawienia jest: Disabled. Uwaga: to ustawienie nie będzie miało wpływu na zastosowanie do jednostki organizacyjnej kontrolera domeny za pośrednictwem zasad grupy, ponieważ kontrolery domeny nie mają lokalnej bazy danych kont. Można ją skonfigurować na poziomie domeny za pomocą zasad grupy, podobnie jak w przypadku ustawień zasad blokady konta i haseł.
Ścieżka klucza: [Dostęp systemowy]EnableGuestAccount
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Konta: stan konta gościa
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93497
        STIG WS2016 V-73809
        CIS WS2019 2.3.1.3
        CIS WS2022 2.3.1.3
= 0
(Zasady)
Krytyczne
Konta: ogranicz używanie pustych haseł przez konta lokalne tylko do logowania do konsoli
(CCE-37615-2)
Opis: To ustawienie zasad określa, czy konta lokalne, które nie są chronione hasłem, mogą służyć do logowania się z lokalizacji innych niż konsola komputera fizycznego. Jeśli to ustawienie zasad zostanie włączone, konta lokalne z pustymi hasłami nie będą mogły zalogować się do sieci z komputerów klienckich zdalnych. Takie konta będą mogły logować się tylko za pomocą klawiatury komputera. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Konta: Ogranicz użycie pustych haseł na koncie lokalnym tylko do logowania konsoli

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93279
        STIG WS2016 V-73621
        CIS WS2019 2.3.1.4
        CIS WS2022 2.3.1.4
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Konta: Zmienianie nazwy konta gościa
(AZ-WIN-202255)
Opis: Wbudowane lokalne konto gościa jest inną dobrze znaną nazwą atakujących. Zaleca się zmianę nazwy tego konta na coś, co nie wskazuje jego celu. Nawet jeśli to konto zostanie wyłączone, co jest zalecane, upewnij się, że zmieniono jego nazwę na potrzeby dodanych zabezpieczeń. Na kontrolerach domeny, ponieważ nie mają własnych kont lokalnych, ta reguła odnosi się do wbudowanego konta gościa, które zostało ustanowione podczas pierwszego utworzenia domeny.
Ścieżka klucza: [Dostęp systemowy]NewGuestName
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Konta: Zmień nazwę konta gościa
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.1.6
        CIS WS2019 2.3.1.6
!= Gość
(Zasady)
Ostrzeżenie
Dostęp sieciowy: zezwalaj na anonimowe tłumaczenie identyfikatorów SID/nazw
(CCE-10024-8)
Opis: To ustawienie zasad określa, czy anonimowy użytkownik może zażądać atrybutów identyfikatora zabezpieczeń (SID) dla innego użytkownika, czy też użyć identyfikatora SID, aby uzyskać odpowiednią nazwę użytkownika. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: [Dostęp systemowy]LSAAnonymousNameLookup
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Dostęp do sieci: Zezwalaj na anonimowe tłumaczenie identyfikatora SID/nazwy
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.10.1
        CIS WS2019 2.3.10.1
= 0
(Zasady)
Ostrzeżenie

Opcje zabezpieczeń — inspekcja

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja: wymuś ustawienia podkategorii zasad inspekcji (system Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad inspekcji
(CCE-37850-5)
Opis: To ustawienie zasad umożliwia administratorom włączenie bardziej precyzyjnych funkcji inspekcji obecnych w systemie Windows Vista. Ustawienia zasad inspekcji dostępne w usłudze Active Directory systemu Windows Server 2003 nie zawierają jeszcze ustawień zarządzania nowymi podkategoriami inspekcji. Aby prawidłowo zastosować zasady inspekcji określone w tym punkcie odniesienia, należy skonfigurować ustawienie Podkategorii zasad inspekcji inspekcji (Windows Vista lub nowszy) w celu zastąpienia ustawień kategorii zasad inspekcji na wartość Włączone.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Inspekcja: Wymuszanie ustawień podkategorii zasad inspekcji (Windows Vista lub nowszych) w celu zastąpienia ustawień kategorii zasad inspekcji
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.2.1
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji
(CCE-35907-5)
Opis: To ustawienie zasad określa, czy system zostanie zamknięty, jeśli nie może rejestrować zdarzeń zabezpieczeń. Jest to wymagane w przypadku kryteriów oceny zaufanego systemu komputerów (TCSEC)-C2 i wspólnych kryteriów, aby zapobiec wystąpieniu zdarzeń podlegających inspekcji, jeśli system inspekcji nie może ich zarejestrować. Firma Microsoft zdecydowała się spełnić to wymaganie, zatrzymując system i wyświetlając komunikat zatrzymania, jeśli system inspekcji wystąpi awarię. Po włączeniu tego ustawienia zasad system zostanie zamknięty, jeśli inspekcja zabezpieczeń nie może być zarejestrowana z jakiegokolwiek powodu. Jeśli ustawienie Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować inspekcji zabezpieczeń jest włączone, mogą wystąpić nieplanowane błędy systemu. Obciążenie administracyjne może być znaczące, zwłaszcza jeśli skonfigurujesz również metodę przechowywania dziennika zabezpieczeń na Nie zastępowaj zdarzeń (wyczyść dziennik ręcznie). Ta konfiguracja powoduje odrzucenie zagrożenia (operator kopii zapasowej może zaprzeczyć, że kopia zapasowa lub przywrócone dane) stała się luką w zabezpieczeniach typu "odmowa usługi" (DoS), ponieważ serwer może zostać zmuszony do zamknięcia, jeśli jest przeciążony zdarzeniami logowania i innymi zdarzeniami zabezpieczeń zapisanymi w dzienniku zabezpieczeń. Ponadto, ponieważ zamknięcie nie jest bezproblemowe, możliwe jest, że nieodwracalne uszkodzenie systemu operacyjnego, aplikacji lub danych może spowodować. Mimo że system plików NTFS gwarantuje integralność, gdy wystąpi niegrabne zamknięcie komputera, nie może zagwarantować, że każdy plik danych dla każdej aplikacji będzie nadal w użytecznej formie po ponownym uruchomieniu komputera. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować inspekcji zabezpieczeń

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.2.2
        CIS WS2022 2.3.2.2
Nie istnieje lub = 0
(Rejestr)
Krytyczne

Opcje zabezpieczeń — urządzenia

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Urządzenia: zezwolono na formatowanie i wysunięcie wymiennego nośnika
(CCE-37701-0)
Opis: To ustawienie zasad określa, kto może formatować i wyrzucać nośniki wymienne. To ustawienie zasad umożliwia uniemożliwienie nieautoryzowanym użytkownikom usuwania danych na jednym komputerze w celu uzyskania dostępu do niego na innym komputerze, na którym mają uprawnienia administratora lokalnego.
Ścieżka klucza: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Urządzenia: Dozwolone do formatowania i wysuwania nośnika wymiennego
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.4.1
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Urządzenia: zapobiegaj instalacji sterowników drukarek przez użytkowników
(CCE-37942-0)
Opis: Aby komputer drukował na drukarce udostępnionej, sterownik dla tej drukarki udostępnionej musi być zainstalowany na komputerze lokalnym. To ustawienie zabezpieczeń określa, kto może zainstalować sterownik drukarki w ramach łączenia się z drukarką udostępnioną. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: to ustawienie nie ma wpływu na możliwość dodawania drukarki lokalnej. To ustawienie nie ma wpływu na administratorów.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Urządzenia: Uniemożliwianie użytkownikom instalowania sterowników drukarek

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.4.2
        CIS WS2022 2.3.4.2
Nie istnieje lub = 1
(Rejestr)
Ostrzeżenie
Ogranicza instalację sterownika wydruku do administratorów
(AZ_WIN_202202)
Opis: To ustawienie zasad określa, czy użytkownicy, którzy nie są administratorami, mogą instalować sterowniki wydruku w systemie. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: 10 sierpnia 2021 r. firma Microsoft ogłosiła zmianę zachowania domyślnego punktu i drukowania, która modyfikuje domyślne zachowanie sterownika punktu i wydruku w celu wymagania uprawnień administratora. Opisano to w artykule KB5005652 Manage new Point and Print default driver installation behavior (CVE-2021-34481) (Zarządzanie zachowaniem domyślnego sterownika punktu i drukowania) (CVE-2021-34481).
Ścieżka klucza: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Przewodnik po zabezpieczeniach MS\Ograniczanie instalacji sterownika wydruku do administratorów
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.3.5
        CIS WS2019 18.3.5
= 1
(Rejestr)
Ostrzeżenie

Opcje zabezpieczeń — element członkowski domeny

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Upewnij się, że wartość "Członek domeny: cyfrowo szyfruj lub podpisz dane bezpiecznego kanału (zawsze)" jest ustawiona na wartość "Włączone"
(CCE-36142-8)
Opis: To ustawienie zasad określa, czy cały ruch w bezpiecznym kanale inicjowany przez element członkowski domeny musi być podpisany lub zaszyfrowany. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Cyfrowo szyfruj lub podpisz dane bezpiecznego kanału (zawsze)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.6.1
        CIS WS2019 2.3.6.1
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Upewnij się, że opcja "Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe)" jest ustawiona na wartość "Włączone"
(CCE-37130-2)
Opis: To ustawienie zasad określa, czy członek domeny powinien próbować negocjować szyfrowanie dla całego ruchu bezpiecznego kanału, który inicjuje. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Cyfrowo szyfruj dane bezpiecznego kanału (jeśli to możliwe)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.6.2
        CIS WS2019 2.3.6.2
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Upewnij się, że ustawienie "Członek domeny: cyfrowe podpisywanie bezpiecznych danych kanału (jeśli jest to możliwe)" ma wartość "Włączone"
(CCE-37222-7)
Opis:

To ustawienie zasad określa, czy członek domeny powinien podjąć próbę wynegocjowania, czy cały ruch w bezpiecznym kanale, który inicjuje, musi być podpisany cyfrowo. Podpisy cyfrowe chronią ruch przed modyfikacją przez wszystkich użytkowników, którzy przechwytują dane podczas przechodzenia przez sieć. Zalecanym stanem dla tego ustawienia jest: "Włączone".


Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Podpisz cyfrowo dane bezpiecznego kanału (jeśli to możliwe)

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93551
        STIG WS2016 V-73637
        CIS WS2019 2.3.6.3
        CIS WS2022 2.3.6.3
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Upewnij się, że opcja "Członek domeny: wyłącz zmiany hasła konta komputera" jest ustawiona na wartość "Wyłączone"
(CCE-37508-9)
Opis:

To ustawienie zasad określa, czy członek domeny może okresowo zmieniać hasło konta komputera. Komputery, które nie mogą automatycznie zmieniać haseł kont, są potencjalnie narażone, ponieważ osoba atakująca może określić hasło dla konta domeny systemu. Zalecanym stanem dla tego ustawienia jest: "Wyłączone".


Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Wyłącz zmiany hasła konta komputera

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93273
        STIG WS2016 V-73631
        CIS WS2019 2.3.6.4
        CIS WS2022 2.3.6.4
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Upewnij się, że ustawienie "Członek domeny: maksymalny wiek hasła konta komputera" ma wartość "30 lub mniej dni, ale nie 0"
(CCE-37431-4)
Opis: To ustawienie zasad określa maksymalny dozwolony wiek dla hasła konta komputera. Domyślnie członkowie domeny automatycznie zmieniają hasła domeny co 30 dni. W przypadku znacznego zwiększenia tego interwału tak, aby komputery nie zmieniły już swoich haseł, osoba atakująca będzie miała więcej czasu na przeprowadzenie ataku siłowego na jedno z kont komputerów. Zalecanym stanem dla tego ustawienia jest: 30 or fewer days, but not 0. Uwaga: wartość nie jest zgodna 0 z testem porównawczym, ponieważ wyłącza maksymalny wiek hasła.
Ścieżka klucza: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 30 or fewer days, but not 0:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Maksymalny wiek hasła konta komputera

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93285
        STIG WS2016 V-73641
        CIS WS2019 2.3.6.5
        CIS WS2022 2.3.6.5
W 1–30
(Rejestr)
Krytyczne
Upewnij się, że wartość "Element członkowski domeny: Wymagaj silnego (Windows 2000 lub nowszego) klucza sesji" jest ustawiona na wartość "Włączone"
(CCE-37614-5)
Opis: Po włączeniu tego ustawienia zasad bezpieczny kanał można ustanowić tylko z kontrolerami domeny, które mogą szyfrować dane bezpiecznego kanału przy użyciu silnego (128-bitowego) klucza sesji. Aby włączyć to ustawienie zasad, wszystkie kontrolery domeny w domenie muszą mieć możliwość szyfrowania danych bezpiecznego kanału za pomocą silnego klucza, co oznacza, że wszystkie kontrolery domeny muszą mieć uruchomiony system Microsoft Windows 2000 lub nowszy. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Wymagaj silnego (Windows 2000 lub nowszego) klucza sesji
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.6.6
        CIS WS2019 2.3.6.6
Nie istnieje lub = 1
(Rejestr)
Krytyczne

Opcje zabezpieczeń — logowanie interakcyjne

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Buforowanie poświadczeń logowania musi być ograniczone
(AZ-WIN-73651)
Opis: To ustawienie zasad określa, czy użytkownik może zalogować się do domeny systemu Windows przy użyciu informacji o koncie buforowanym. Informacje logowania dla kont domeny można buforować lokalnie, aby umożliwić użytkownikom logowanie się nawet wtedy, gdy nie można skontaktować się z kontrolerem domeny. To ustawienie zasad określa liczbę unikatowych użytkowników, dla których informacje logowania są buforowane lokalnie. Jeśli ta wartość jest ustawiona na 0, funkcja pamięci podręcznej logowania jest wyłączona. Osoba atakująca, która może uzyskać dostęp do systemu plików serwera, może zlokalizować te informacje w pamięci podręcznej i użyć ataku siłowego w celu określenia haseł użytkowników. Zalecanym stanem dla tego ustawienia jest: 4 or fewer logon(s).
Ścieżka klucza: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Liczba poprzednich logów do pamięci podręcznej (w przypadku, gdy kontroler domeny nie jest dostępny)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.7.6
        CIS WS2019 2.3.7.6
W 1–4
(Rejestr)
Informacyjny
Logowanie interakcyjne: nie wyświetlaj nazwy ostatniego użytkownika
(CCE-36056-0)
Opis: To ustawienie zasad określa, czy nazwa konta ostatniego użytkownika do logowania się na komputerach klienckich w organizacji będzie wyświetlana na odpowiednim ekranie logowania każdego komputera z systemem Windows. Włącz to ustawienie zasad, aby uniemożliwić intruzom wizualne zbieranie nazw kont z ekranów komputerów stacjonarnych lub laptopów w organizacji. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: nie wyświetlaj ostatniego logowania
Uwaga: w starszych wersjach systemu Microsoft Windows to ustawienie nosiło nazwę Logowanie interakcyjne: Nie wyświetlaj nazwiska użytkownika, ale zmieniono jego nazwę, począwszy od systemu Windows Server 2019.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.7.2
        CIS WS2022 2.3.7.2
= 1
(Rejestr)
Krytyczne
Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL+ALT+DEL
(CCE-37637-6)
Opis: To ustawienie zasad określa, czy użytkownicy muszą nacisnąć CTRL+ALT+DEL przed zalogowaniem się. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Nie wymagaj kombinacji CTRL+ALT+DEL

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.7.1
        CIS WS2022 2.3.7.1
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Logowanie interakcyjne: limit nieaktywności komputera
(AZ-WIN-73645)
Opis: System Windows zauważa brak aktywności sesji logowania, a jeśli czas nieaktywności przekracza limit braku aktywności, wygaszacz ekranu zostanie uruchomiony, blokując sesję. Zalecanym stanem dla tego ustawienia jest: 900 or fewer second(s), but not 0. Uwaga: wartość 0 nie jest zgodna z testem porównawczym, ponieważ wyłącza limit braku aktywności maszyny.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Limit braku aktywności komputera
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.7.3
        CIS WS2019 2.3.7.3
W 1-900
(Rejestr)
Ważne
Logowanie interakcyjne: tekst komunikatu dla użytkowników próbujących się zalogować
(AZ-WIN-202253)
Opis: To ustawienie zasad określa komunikat tekstowy wyświetlany użytkownikom podczas logowania. Skonfiguruj to ustawienie w sposób zgodny z wymaganiami dotyczącymi zabezpieczeń i działania organizacji.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Tekst komunikatu dla użytkowników próbujących się zalogować
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.7.4
        CIS WS2019 2.3.7.4
!=
(Rejestr)
Ostrzeżenie
Logowanie interakcyjne: tytuł komunikatu dla użytkowników próbujących się zalogować
(AZ-WIN-202254)
Opis: to ustawienie zasad określa tekst wyświetlany na pasku tytułu okna, które użytkownicy widzą po zalogowaniu się do systemu. Skonfiguruj to ustawienie w sposób zgodny z wymaganiami dotyczącymi zabezpieczeń i działania organizacji.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Tytuł komunikatu dla użytkowników próbujących się zalogować
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.7.5
        CIS WS2019 2.3.7.5
!=
(Rejestr)
Ostrzeżenie
Logowanie interakcyjne: monituj użytkownika o zmianę hasła przed jego wygaśnięciem
(CCE-10930-6)
Opis: To ustawienie zasad określa, jak daleko użytkownicy są ostrzegani, że ich hasło wygaśnie. Zaleca się skonfigurowanie tego ustawienia zasad na co najmniej 5 dni, ale nie więcej niż 14 dni, aby wystarczająco ostrzegać użytkowników o wygaśnięciu haseł. Zalecanym stanem dla tego ustawienia jest: between 5 and 14 days.
Ścieżka klucza: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Monituj użytkownika o zmianę hasła przed wygaśnięciem
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.7.7
        CIS WS2019 2.3.7.7
W 5-14
(Rejestr)
Informacyjny

Opcje zabezpieczeń — klient sieci firmy Microsoft

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)
(CCE-36325-9)
Opis:

To ustawienie zasad określa, czy podpisywanie pakietów jest wymagane przez składnik klienta SMB. Uwaga: jeśli na komputerach z systemem Windows Vista jest włączone to ustawienie zasad i łączą się z udziałami plików lub wydruku na serwerach zdalnych, ważne jest, aby ustawienie było synchronizowane z ustawieniem towarzyszącym, serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze), na tych serwerach. Aby uzyskać więcej informacji na temat tych ustawień, zobacz sekcję "Klient i serwer sieci Microsoft: podpisywanie cyfrowej komunikacji (cztery powiązane ustawienia)" w rozdziale 5 przewodnika Zagrożenia i środki zaradcze. Zalecanym stanem dla tego ustawienia jest: "Włączone".


Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Klient sieciowy firmy Microsoft: podpisuj cyfrowo komunikację (zawsze)

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93555
        STIG WS2016 V-73653
        CIS WS2019 2.3.8.1
        CIS WS2022 2.3.8.1
= 1
(Rejestr)
Krytyczne
Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera)
(CCE-36269-9)
Opis: To ustawienie zasad określa, czy klient SMB będzie próbował negocjować podpisywanie pakietów SMB. Uwaga: włączenie tego ustawienia zasad na klientach SMB w sieci sprawia, że są one w pełni skuteczne w przypadku podpisywania pakietów ze wszystkimi klientami i serwerami w danym środowisku. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Klient sieci Firmy Microsoft: podpisuj cyfrowo komunikację (jeśli serwer zgadza się)

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93557
        STIG WS2016 V-73655
        CIS WS2019 2.3.8.2
        CIS WS2022 2.3.8.2
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Klient sieci Microsoft: wyślij niezaszyfrowane hasło w celu nawiązania połączenia z innymi serwerami SMB
(CCE-37863-8)
Opis:

To ustawienie zasad określa, czy przekierowanie SMB będzie wysyłać hasła w postaci zwykłego tekstu podczas uwierzytelniania do serwerów SMB innych firm, które nie obsługują szyfrowania haseł. Zaleca się wyłączenie tego ustawienia zasad, chyba że istnieje silny przypadek biznesowy, aby je włączyć. Jeśli to ustawienie zasad jest włączone, niezaszyfrowane hasła będą dozwolone w całej sieci. Zalecanym stanem dla tego ustawienia jest: "Wyłączone".


Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Klient sieci Firmy Microsoft: Wysyłanie niezaszyfrowanego hasła do serwerów SMB innych firm

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93469
        STIG WS2016 V-73657
        CIS WS2019 2.3.8.3
        CIS WS2022 2.3.8.3
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Serwer sieci Microsoft: okres bezczynności wymagany dla wstrzymania sesji
(CCE-38046-9)
Opis: To ustawienie zasad umożliwia określenie czasu ciągłego bezczynności, który musi zostać przekazany w sesji SMB przed wstrzymaniem sesji z powodu braku aktywności. Administratorzy mogą użyć tego ustawienia zasad do kontrolowania, kiedy komputer zawiesza nieaktywną sesję protokołu SMB. Jeśli działanie klienta zostanie wznowione, sesja zostanie automatycznie ponownie przywrócona. Wydaje się, że wartość 0 umożliwia utrwalanie sesji na czas nieokreślony. Wartość maksymalna to 99999, czyli ponad 69 dni; w efekcie ta wartość wyłącza ustawienie. Zalecanym stanem dla tego ustawienia jest: 15 or fewer minute(s), but not 0.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 15 or fewer minute(s):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: czas bezczynności wymagany przed wstrzymaniem sesji
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.9.1
W 1–15
(Rejestr)
Krytyczne
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)
(CCE-37864-6)
Opis: To ustawienie zasad określa, czy podpisywanie pakietów jest wymagane przez składnik serwera SMB. Włącz to ustawienie zasad w środowisku mieszanym, aby uniemożliwić klientom podrzędnym używanie stacji roboczej jako serwera sieciowego. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: Podpisuj cyfrowo komunikację (zawsze)

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93559
        STIG WS2016 V-73661
        CIS WS2019 2.3.9.2
        CIS WS2022 2.3.9.2
= 1
(Rejestr)
Krytyczne
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta)
(CCE-35988-5)
Opis: To ustawienie zasad określa, czy serwer SMB będzie negocjować podpisywanie pakietów SMB z klientami, którzy go żądają. Jeśli żadne żądanie podpisania nie pochodzi z klienta, połączenie będzie dozwolone bez podpisu, jeśli serwer sieci Microsoft: ustawienie Podpisuj cyfrowo komunikację (zawsze) nie jest włączone. Uwaga: włącz to ustawienie zasad na klientach SMB w sieci, aby były one w pełni skuteczne do podpisywania pakietów ze wszystkimi klientami i serwerami w danym środowisku. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: Podpisuj cyfrowo komunikację (jeśli klient zgadza się)

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93561
        STIG WS2016 V-73663
        CIS WS2019 2.3.9.3
        CIS WS2022 2.3.9.3
= 1
(Rejestr)
Krytyczne
Serwer sieci Microsoft: rozłączaj klientów po upływie limitu czasu logowania
(CCE-37972-7)
Opis: to ustawienie zabezpieczeń określa, czy użytkownicy, którzy są połączeni z komputerem lokalnym poza prawidłowymi godzinami logowania konta użytkownika. To ustawienie ma wpływ na składnik Bloku komunikatów serwera (SMB). Jeśli to ustawienie zasad zostanie włączone, należy również włączyć zabezpieczenia sieciowe: Wymuś wylogowanie po wygaśnięciu godzin logowania (reguła 2.3.11.6). Jeśli Organizacja konfiguruje godziny logowania dla użytkowników, to ustawienie zasad jest niezbędne, aby upewnić się, że są skuteczne. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: Odłącz klientów po wygaśnięciu godzin logowania

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.9.4
        CIS WS2022 2.3.9.4
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Serwer sieci Microsoft: poziom sprawdzania poprawności docelowej głównej nazwy usługi serwera
(CCE-10617-9)
Opis: To ustawienie zasad steruje poziomem weryfikacji komputera z folderami udostępnionymi lub drukarkami (serwer) wykonywaną na głównej nazwie usługi (SPN) udostępnianej przez komputer kliencki podczas ustanawiania sesji przy użyciu protokołu bloku komunikatów serwera (SMB). Protokół bloku komunikatów serwera (SMB) stanowi podstawę udostępniania plików i drukowania oraz innych operacji sieciowych, takich jak zdalne administrowanie systemem Windows. Protokół SMB obsługuje walidację głównej nazwy usługi serwera SMB (SPN) w obiekcie blob uwierzytelniania udostępnianym przez klienta SMB, aby zapobiec atakom na serwery SMB nazywane atakami SMB. To ustawienie będzie miało wpływ zarówno na protokół SMB1, jak i SMB2. Zalecanym stanem dla tego ustawienia jest: Accept if provided by client. Skonfigurowanie tego ustawienia w taki sposób, aby Required from client było również zgodne z testem porównawczym. Uwaga: ponieważ wydanie poprawki zabezpieczeń ms KB3161561 , to ustawienie może powodować istotne problemy (takie jak problemy z replikacją, problemy z edytowaniem zasad grupy i awarie niebieskiego ekranu) na kontrolerach domeny, gdy są używane jednocześnie ze wzmacnianiem funkcjonalności ścieżki UNC (tj. reguła 18.5.14.1). W związku z tym usługa CIS zaleca wdrożenie tego ustawienia na kontrolerach domeny.
Ścieżka klucza: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: element członkowski domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: Poziom weryfikacji nazwy docelowej nazwy SPN serwera
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.9.5
        CIS WS2019 2.3.9.5
= 1
(Rejestr)
Ostrzeżenie

Opcje zabezpieczeń — Microsoft Network Server

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Wyłączanie serwera SMB v1
(AZ-WIN-00175)
Opis: Wyłączenie tego ustawienia powoduje wyłączenie przetwarzania po stronie serwera protokołu SMBv1. (Zalecane). Włączenie tego ustawienia umożliwia przetwarzanie po stronie serwera protokołu SMBv1. (Wartość domyślna). Zmiany w tym ustawieniu wymagają ponownego uruchomienia, aby zaczęły obowiązywać. Aby uzyskać więcej informacji, zobacz https://support.microsoft.com/kb/2696547.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: nie dotyczy
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.3.3
Nie istnieje lub = 0
(Rejestr)
Krytyczne

Opcje zabezpieczeń — dostęp sieciowy

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Konta: Zmienianie nazwy konta administratora
(CCE-10976-9)
Opis: Wbudowane konto administratora lokalnego to dobrze znana nazwa konta, na którą będą kierować osoby atakujące. Zaleca się wybranie innej nazwy dla tego konta i unikanie nazw oznaczających konta dostępu administracyjnego lub podwyższonego poziomu uprawnień. Pamiętaj również, aby zmienić domyślny opis administratora lokalnego (za pomocą konsoli zarządzania komputerem). Na kontrolerach domeny, ponieważ nie mają własnych kont lokalnych, ta reguła odnosi się do wbudowanego konta administratora, które zostało ustanowione podczas pierwszego utworzenia domeny.
Ścieżka klucza: [System Access]NewAdministratorName
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Konta: Zmień nazwę konta administratora
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.3.1.5
        CIS WS2019 2.3.1.5
!= Administrator
(Zasady)
Ostrzeżenie
Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM
(CCE-36316-8)
Opis: To ustawienie zasad kontroluje możliwość wyliczania kont przez użytkowników anonimowych w Menedżerze kont zabezpieczeń (SAM). Jeśli to ustawienie zasad zostanie włączone, użytkownicy z połączeniami anonimowymi nie będą mogli wyliczać nazw użytkowników konta domeny w systemach w danym środowisku. To ustawienie zasad umożliwia również dodatkowe ograniczenia dotyczące połączeń anonimowych. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: te zasady nie mają wpływu na kontrolery domeny.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń
Dostęp etwork: nie zezwalaj na anonimowe wyliczanie kont SAM
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.10.2
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
(CCE-36077-6)
Opis: To ustawienie zasad kontroluje możliwość wyliczania kont SAM oraz udziałów przez użytkowników anonimowych. Jeśli to ustawienie zasad zostanie włączone, użytkownicy anonimowi nie będą mogli wyliczać nazw użytkowników konta domeny i nazw udziałów sieciowych w systemach w danym środowisku. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: te zasady nie mają wpływu na kontrolery domeny.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń
Dostęp etwork: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.10.3
= 1
(Rejestr)
Krytyczne
Dostęp sieciowy: zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników
(CCE-36148-5)
Opis: To ustawienie zasad określa, jakie dodatkowe uprawnienia są przypisane do połączeń anonimowych z komputerem. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93293
        STIG WS2016 V-73673
        CIS WS2019 2.3.10.5
        CIS WS2022 2.3.10.5
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo
(CCE-37194-8)
Opis: To ustawienie zasad określa, które ścieżki rejestru będą dostępne po odwołaniu się do klucza WinReg w celu określenia uprawnień dostępu do ścieżek. Uwaga: to ustawienie nie istnieje w systemie Windows XP. W systemie Windows XP było ustawienie o tej nazwie, ale nosi nazwę "Dostęp do sieci: ścieżki i ścieżki rejestru zdalnego" w systemie Windows Server 2003, Windows Vista i Windows Server 2008. Uwaga: podczas konfigurowania tego ustawienia należy określić listę co najmniej jednego obiektu. Ogranicznik używany podczas wprowadzania listy jest źródłem wiersza lub powrotem karetki, czyli wpisz pierwszy obiekt na liście, naciśnij przycisk Enter, wpisz następny obiekt, naciśnij Enter ponownie, naciśnij Enter itp. Wartość ustawienia jest przechowywana jako lista rozdzielana przecinkami w szablonach zabezpieczeń zasad grupy. Jest również renderowany jako lista rozdzielana przecinkami w okienku wyświetlania Edytora zasad grupy i wynikowy zestaw zasad konsoli. Jest on rejestrowany w rejestrze jako lista rozdzielana wierszami w wartości REG_MULTI_SZ.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na:
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Dostęp do sieci: ścieżki rejestru dostępne zdalnie
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.10.8
Nie istnieje lub = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0
(Rejestr)
Krytyczne
Dostęp sieciowy: ścieżki rejestru i ścieżki podrzędne dostępne zdalnie
(CCE-36347-3)
Opis: To ustawienie zasad określa, które ścieżki rejestru i ścieżki podrzędne będą dostępne, gdy aplikacja lub proces odwołuje się do klucza WinReg w celu określenia uprawnień dostępu. Uwaga: w systemie Windows XP to ustawienie nosi nazwę "Dostęp do sieci: ścieżki rejestru zdalnego dostępu", ustawienie o tej samej nazwie w systemie Windows Vista, Windows Server 2008 i Windows Server 2003 nie istnieje w systemie Windows XP. Uwaga: podczas konfigurowania tego ustawienia należy określić listę co najmniej jednego obiektu. Ogranicznik używany podczas wprowadzania listy jest źródłem wiersza lub powrotem karetki, czyli wpisz pierwszy obiekt na liście, naciśnij przycisk Enter, wpisz następny obiekt, naciśnij Enter ponownie, naciśnij Enter itp. Wartość ustawienia jest przechowywana jako lista rozdzielana przecinkami w szablonach zabezpieczeń zasad grupy. Jest również renderowany jako lista rozdzielana przecinkami w okienku wyświetlania Edytora zasad grupy i wynikowy zestaw zasad konsoli. Jest on rejestrowany w rejestrze jako lista rozdzielana wierszami w wartości REG_MULTI_SZ.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog

Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń
Dostęp etwork: ścieżki rejestru i ścieżki podrzędne dostępne zdalnie

Jeśli serwer przechowuje rolę usług certyfikatów Active Directory z usługą roli urzędu certyfikacji, powyższa lista powinna również zawierać: "System\CurrentControlSet\Services\CertSvc".

Jeśli na serwerze jest zainstalowana funkcja serwera WINS , na powyższej liście powinny również znajdować się następujące elementy:
"System\CurrentControlSet\Services\WINS"
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.10.9
Nie istnieje lub = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0
(Rejestr)
Krytyczne
Dostęp sieciowy: ograniczanie dostępu anonimowego do nazwanych potoków i udziałów
(CCE-36021-4)
Opis: po włączeniu to ustawienie zasad ogranicza anonimowy dostęp tylko do tych udziałów i potoków, które są nazwane w Network access: Named pipes that can be accessed anonymously ustawieniach i Network access: Shares that can be accessed anonymously . To ustawienie zasad steruje dostępem sesji null do udziałów na komputerach przez dodanie RestrictNullSessAccess wartości z wartością 1 w kluczu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters rejestru. Ta wartość rejestru włącza lub wyłącza udziały sesji null, aby kontrolować, czy usługa serwera ogranicza nieuwierzytelniony dostęp klientów do nazwanych zasobów. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Dostęp do sieci: Ogranicz dostęp anonimowy do nazwanych potoków i udziałów

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93539
        STIG WS2016 V-73675
        CIS WS2019 2.3.10.10
        CIS WS2022 2.3.10.10
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Dostęp sieciowy: ograniczanie klientom możliwości wykonywania zdalnych wywołań menedżera SAM
(AZ-WIN-00142)
Opis: To ustawienie zasad umożliwia ograniczenie zdalnych połączeń RPC do protokołu SAM. Jeśli nie zostanie wybrany, zostanie użyty domyślny deskryptor zabezpieczeń. Te zasady są obsługiwane co najmniej w systemie Windows Server 2016.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators: Remote Access: Allow:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń
Dostęp etwork: Ogranicz klientów, którzy mogą wykonywać zdalne wywołania do protokołu SAM
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.10.11
Nie istnieje lub = O:BAG:BAD:(A;; RC;;; BA)
(Rejestr)
Krytyczne
Dostęp sieciowy: udziały, do których można uzyskiwać dostęp anonimowo
(CCE-38095-6)
Opis: To ustawienie zasad określa, do których udziałów sieciowych mogą uzyskiwać dostęp użytkownicy anonimowi. Domyślna konfiguracja tego ustawienia zasad ma niewielki wpływ, ponieważ wszyscy użytkownicy muszą być uwierzytelniani przed uzyskaniem dostępu do zasobów udostępnionych na serwerze. Uwaga: Dodanie innych udziałów do tego ustawienia zasad grupy może być bardzo niebezpieczne. Każdy użytkownik sieciowy może uzyskać dostęp do wszystkich wymienionych udziałów, które mogą spowodować ujawnienie lub uszkodzenie poufnych danych. Uwaga: podczas konfigurowania tego ustawienia należy określić listę co najmniej jednego obiektu. Ogranicznik używany podczas wprowadzania listy jest źródłem wiersza lub powrotem karetki, czyli wpisz pierwszy obiekt na liście, naciśnij przycisk Enter, wpisz następny obiekt, naciśnij Enter ponownie, naciśnij Enter itp. Wartość ustawienia jest przechowywana jako lista rozdzielana przecinkami w szablonach zabezpieczeń zasad grupy. Jest również renderowany jako lista rozdzielana przecinkami w okienku wyświetlania Edytora zasad grupy i wynikowy zestaw zasad konsoli. Jest on rejestrowany w rejestrze jako lista rozdzielana wierszami w wartości REG_MULTI_SZ.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na <blank> (tj. Brak):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń
Dostęp do procesu etwork: udziały, do których można uzyskiwać dostęp anonimowo
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.10.12
Nie istnieje lub =
(Rejestr)
Krytyczne
Dostęp sieciowy: udostępnianie i model zabezpieczeń dla kont lokalnych
(CCE-37623-6)
Opis: To ustawienie zasad określa sposób uwierzytelniania logowania sieciowego korzystającego z kont lokalnych. Opcja Klasyczna umożliwia dokładną kontrolę nad dostępem do zasobów, w tym możliwość przypisywania różnych typów dostępu do różnych użytkowników dla tego samego zasobu. Opcja Tylko gość umożliwia równe traktowanie wszystkich użytkowników. W tym kontekście wszyscy użytkownicy uwierzytelniają się jako gość tylko w celu uzyskania tego samego poziomu dostępu do danego zasobu. Zalecanym stanem dla tego ustawienia jest: Classic - local users authenticate as themselves. Uwaga: to ustawienie nie ma wpływu na logowania interakcyjne, które są wykonywane zdalnie przy użyciu takich usług jak Telnet lub usługi pulpitu zdalnego (dawniej nazywane usługami terminali).
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Classic - local users authenticate as themselves:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Dostęp do sieci: Udostępnianie i model zabezpieczeń dla kont lokalnych

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.10.13
        CIS WS2022 2.3.10.13
Nie istnieje lub = 0
(Rejestr)
Krytyczne

Opcje zabezpieczeń — zabezpieczenia sieci

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Zabezpieczenia sieciowe: Zezwalaj lokalnemu systemowi na uwierzytelnianie NTLM przy użyciu tożsamości komputera
(CCE-38341-4)
Opis: po włączeniu tego ustawienia zasad powoduje, że usługi systemu lokalnego, które używają negocjacja do korzystania z tożsamości komputera, gdy uwierzytelnianie NTLM jest wybrane przez negocjacje. Te zasady są obsługiwane w systemie Windows 7 lub Windows Server 2008 R2.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId
System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń
Zabezpieczenia etwork: Zezwalaj systemowi lokalnemu na używanie tożsamości komputera dla NTLM
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.11.1
= 1
(Rejestr)
Krytyczne
Zabezpieczenia sieciowe: Zezwalaj kontu systemowi lokalnemu na używanie pustych sesji
(CCE-37035-3)
Opis: To ustawienie zasad określa, czy protokół NTLM może powrócić do sesji NULL, gdy jest używany z systemem lokalnym. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: Zezwalaj na powrót sesji null systemu lokalnego

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93297
        STIG WS2016 V-73681
        CIS WS2019 2.3.11.2
        CIS WS2022 2.3.11.2
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Zabezpieczenia sieciowe: Zezwalaj na wysyłanie żądań uwierzytelniania PKU2U do tego komputera w celu używania tożsamości online
(CCE-38047-7)
Opis: To ustawienie określa, czy tożsamości online mogą uwierzytelniać się na tym komputerze. Protokół PKU2U (Public Key Cryptography Based User-To-User) wprowadzony w systemach Windows 7 i Windows Server 2008 R2 jest implementowany jako dostawca obsługi zabezpieczeń (SSP). Dostawca usług udostępnionych umożliwia uwierzytelnianie równorzędne, szczególnie za pośrednictwem funkcji udostępniania multimediów i plików systemu Windows 7 o nazwie Grupa domowa, która umożliwia udostępnianie między komputerami, które nie są członkami domeny. W przypadku PKU2U wprowadzono nowe rozszerzenie do pakietu uwierzytelniania Negotiate. Spnego.dll W poprzednich wersjach systemu Windows Negocjacja zdecydowała, czy do uwierzytelniania używać protokołu Kerberos, czy NTLM. Dostawca usług udostępnionych dla negocjowania rozszerzenia , Negoexts.dllktóry jest traktowany jako protokół uwierzytelniania przez system Windows, obsługuje dostawcy SSP firmy Microsoft, w tym PKU2U. Gdy komputery są skonfigurowane do akceptowania żądań uwierzytelniania przy użyciu identyfikatorów online, Negoexts.dll wywołuje dostawcę SSP PKU2U na komputerze używanym do logowania. Dostawca SSP PKU2U uzyskuje certyfikat lokalny i wymienia zasady między komputerami równorzędnymi. Po zweryfikowaniu na komputerze równorzędnym certyfikat w metadanych jest wysyłany do elementu równorzędnego logowania w celu weryfikacji i kojarzy certyfikat użytkownika z tokenem zabezpieczającym, a proces logowania zostanie ukończony. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: Zezwalaj na żądania uwierzytelniania PKU2U do tego komputera do korzystania z tożsamości online

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93299
        STIG WS2016 V-73683
        CIS WS2019 2.3.11.3
        CIS WS2022 2.3.11.3
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Zabezpieczenia sieciowe: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos
(CCE-37755-6)
Opis: To ustawienie zasad umożliwia ustawienie typów szyfrowania dozwolonych przez protokół Kerberos. Te zasady są obsługiwane w systemie Windows 7 lub Windows Server 2008 R2.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.11.4
Nie istnieje lub = 2147483640
(Rejestr)
Krytyczne
Zabezpieczenia sieci: nie przechowuj wartości skrótu (hash) programu LAN Manager dla następnej zmiany hasła
(CCE-36326-7)
Opis: To ustawienie zasad określa, czy wartość skrótu programu LAN Manager (LM) dla nowego hasła jest przechowywana podczas zmiany hasła. Skrót LM jest stosunkowo słaby i podatny na ataki w porównaniu z kryptograficznie silniejszym skrótem systemu Microsoft Windows NT. Ponieważ skróty LM są przechowywane na komputerze lokalnym w bazie danych zabezpieczeń, hasła można łatwo naruszyć, jeśli baza danych zostanie zaatakowana. Uwaga: starsze systemy operacyjne i niektóre aplikacje innych firm mogą zakończyć się niepowodzeniem po włączeniu tego ustawienia zasad. Należy również pamiętać, że hasło należy zmienić na wszystkich kontach po włączeniu tego ustawienia, aby uzyskać odpowiednią korzyść. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: nie przechowuj wartości skrótu programu LAN Manager podczas następnej zmiany hasła

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93467
        STIG WS2016 V-73687
        CIS WS2019 2.3.11.5
        CIS WS2022 2.3.11.5
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager
(CCE-36173-3)
Opis: LAN Manager (LM) to rodzina wczesnego oprogramowania klienckiego/serwera firmy Microsoft, które umożliwia użytkownikom łączenie komputerów osobistych w jednej sieci. Możliwości sieci obejmują przezroczyste udostępnianie plików i wydruku, funkcje zabezpieczeń użytkowników i narzędzia administracji sieciowej. W domenach usługi Active Directory protokół Kerberos jest domyślnym protokołem uwierzytelniania. Jeśli jednak protokół Kerberos nie zostanie wynegocjowany z jakiegoś powodu, usługa Active Directory będzie używać protokołu LM, NTLM lub NTLMv2. Uwierzytelnianie programu LAN Manager obejmuje warianty LM, NTLM i NTLM w wersji 2 (NTLMv2) i jest protokołem używanym do uwierzytelniania wszystkich klientów systemu Windows podczas wykonywania następujących operacji: - Dołączanie do domeny — Uwierzytelnianie między lasami usługi Active Directory — Uwierzytelnianie do domen na poziomie dół — uwierzytelnianie na komputerach, które nie korzystają z systemu Windows 2000, Windows Server 2003 lub Windows XP) — uwierzytelnianie na komputerach, które nie znajdują się w domenie Możliwe wartości zabezpieczeń sieci: Ustawienia poziomu uwierzytelniania programu LAN Manager to: — Wysyłaj odpowiedzi LM i NTLM — wysyłaj odpowiedzi LM i NTLM — użyj zabezpieczeń sesji NTLMv2, jeśli zostały wynegocjowane — wysyłaj tylko odpowiedzi NTLM — wysyłaj tylko odpowiedzi NTLMv2 — wysyłaj tylko odpowiedzi NTLMv2 — wysyłaj tylko odpowiedzi NTLMv2\odmawiaj odpowiedzi LM i NTLM — nie zdefiniowano zabezpieczeń sieci: ustawienie poziomu uwierzytelniania programu LAN Manager określa, który protokół uwierzytelniania wyzwania/odpowiedzi jest używany do logowania sieciowego. Ten wybór ma wpływ na poziom protokołu uwierzytelniania używany przez klientów, poziom zabezpieczeń sesji negocjowany przez komputery oraz poziom uwierzytelniania, który serwery akceptują w następujący sposób: — Wysyłaj odpowiedzi LM i NTLM. Klienci używają uwierzytelniania LM i NTLM i nigdy nie używają zabezpieczeń sesji NTLMv2. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. — Wyślij protokół LM i NTLM — w przypadku negocjowania użyj zabezpieczeń sesji NTLMv2. Klienci używają uwierzytelniania LM i NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. — Wysyłaj tylko odpowiedź NTLM. Klienci używają tylko uwierzytelniania NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. — Wysyłaj tylko odpowiedź NTLMv2. Klienci używają tylko uwierzytelniania NTLMv2 i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Wyślij tylko odpowiedź NTLMv2\refuse LM. Klienci używają tylko uwierzytelniania NTLMv2 i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny odrzucają uwierzytelnianie LM (akceptują tylko uwierzytelnianie NTLM i NTLMv2). - Wyślij tylko odpowiedź NTLMv2\odmówić LM i NTLM. Klienci używają tylko uwierzytelniania NTLMv2 i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny odrzucają uwierzytelnianie LM i NTLM (akceptują tylko uwierzytelnianie NTLMv2). Te ustawienia odpowiadają poziomom omówionymi w innych dokumentach firmy Microsoft w następujący sposób: — Poziom 0 — Wysyłanie odpowiedzi LM i NTLM; nigdy nie należy używać zabezpieczeń sesji NTLMv2. Klienci używają uwierzytelniania LM i NTLM i nigdy nie używają zabezpieczeń sesji NTLMv2. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Poziom 1 — w przypadku negocjowania użyj zabezpieczeń sesji NTLMv2. Klienci korzystają z uwierzytelniania LM i NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Poziom 2 — wysyłaj tylko odpowiedź NTLM. Klienci używają tylko uwierzytelniania NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Poziom 3 — wysyłaj tylko odpowiedź NTLMv2. Klienci używają uwierzytelniania NTLMv2 i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Poziom 4 — kontrolery domeny odrzucają odpowiedzi LM. Klienci korzystają z uwierzytelniania NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny odmawiają uwierzytelniania LM, czyli akceptują ntLM i NTLMv2. - Poziom 5 — kontrolery domeny odrzucają odpowiedzi LM i NTLM (akceptują tylko NTLMv2). Klienci używają uwierzytelniania NTLMv2, używają zabezpieczeń sesji NTLMv2 i NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny odrzucają uwierzytelnianie NTLM i LM (akceptują tylko NTLMv2).
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na: "Wyślij tylko odpowiedź NTLMv2. Odmówić LM & NTLM":
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń
zabezpieczenia etwork: poziom uwierzytelniania programu LAN Manager
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.11.7
= 5
(Rejestr)
Krytyczne
Zabezpieczenia sieci: wymagania podpisywania klienta LDAP
(CCE-36858-9)
Opis: To ustawienie zasad określa poziom podpisywania danych żądany w imieniu klientów wystawiających żądania LDAP BIND. Uwaga: to ustawienie zasad nie ma żadnego wpływu na proste powiązanie LDAP (ldap_simple_bind) ani proste powiązanie LDAP za pośrednictwem protokołu SSL (ldap_simple_bind_s). Żaden klient LDAP firmy Microsoft dołączony do systemu Windows XP Professional nie używa ldap_simple_bind ani ldap_simple_bind_s do komunikowania się z kontrolerem domeny. Zalecanym stanem dla tego ustawienia jest: Negotiate signing. Skonfigurowanie tego ustawienia w taki sposób, aby Require signing było również zgodne z testem porównawczym.
Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Negotiate signing (konfigurowanie, aby Require signing również być zgodne z testem porównawczym):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: wymagania dotyczące podpisywania klienta LDAP

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93303
        STIG WS2016 V-73693
        CIS WS2019 2.3.11.8
        CIS WS2022 2.3.11.8
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla klientów opartych na NTLM SSP (włączając secure RPC)
(CCE-37553-5)
Opis: To ustawienie zasad określa, które zachowania są dozwolone przez klientów dla aplikacji przy użyciu dostawcy obsługi zabezpieczeń NTLM (SSP). Interfejs dostawcy usług udostępnionych (SSPI) jest używany przez aplikacje, które wymagają usług uwierzytelniania. Ustawienie nie modyfikuje sposobu działania sekwencji uwierzytelniania, ale zamiast tego wymaga pewnych zachowań w aplikacjach korzystających z interfejsu SSPI. Zalecanym stanem dla tego ustawienia jest: Require NTLMv2 session security, Require 128-bit encryption. Uwaga: Te wartości są zależne od wartości zabezpieczeń sieci: ustawienie zabezpieczeń poziomu uwierzytelniania programu LAN Manager.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Require NTLMv2 session security, Require 128-bit encryption: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń sieci\Zabezpieczenia sieci: Minimalne zabezpieczenia sesji dla klientów opartych na protokole SSP NTLM (w tym bezpiecznych RPC)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.11.9
= 537395200
(Rejestr)
Krytyczne
Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla serwerów opartych na NTLM SSP (włączając secure RPC)
(CCE-37835-6)
Opis: To ustawienie zasad określa, które zachowania są dozwolone przez serwery dla aplikacji przy użyciu dostawcy obsługi zabezpieczeń NTLM (SSP). Interfejs dostawcy usług udostępnionych (SSPI) jest używany przez aplikacje, które wymagają usług uwierzytelniania. Ustawienie nie modyfikuje sposobu działania sekwencji uwierzytelniania, ale zamiast tego wymaga pewnych zachowań w aplikacjach korzystających z interfejsu SSPI. Zalecanym stanem dla tego ustawienia jest: Require NTLMv2 session security, Require 128-bit encryption. Uwaga: Te wartości są zależne od wartości zabezpieczeń sieci: ustawienie zabezpieczeń poziomu uwierzytelniania programu LAN Manager.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Skonfiguruj wartość zasad dla konfiguracji komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: Minimalne zabezpieczenia sesji dla serwerów opartych na protokole SSP NTLM (w tym bezpiecznego RPC) na wymaganie zabezpieczeń sesji NTLMv2 i Wymagaj szyfrowania 128-bitowego (wszystkie wybrane opcje).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.11.10
= 537395200
(Rejestr)
Krytyczne

Opcje zabezpieczeń — zamykanie

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania
(CCE-36788-8)
Opis: To ustawienie zasad określa, czy komputer może zostać zamknięty, gdy użytkownik nie jest zalogowany. Jeśli to ustawienie zasad jest włączone, polecenie zamykania jest dostępne na ekranie logowania systemu Windows. Zaleca się wyłączenie tego ustawienia zasad w celu ograniczenia możliwości wyłączenia komputera użytkownikom z poświadczeniami w systemie. Zalecanym stanem dla tego ustawienia jest: Disabled. Uwaga: W wersji Server 2008 R2 i starszych to ustawienie nie miało wpływu na sesje usług pulpitu zdalnego /usług terminalowych — dotyczyło to tylko konsoli lokalnej. Jednak firma Microsoft zmieniła zachowanie w systemie Windows Server 2012 (innym niż R2) i nowszym, w przypadku ustawienia opcji Włączone sesje protokołu RDP mogą również zamknąć lub ponownie uruchomić serwer.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Shutdown: Zezwalaj na zamykanie systemu bez konieczności logowania się

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.13.1
        CIS WS2022 2.3.13.1
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Zamknięcie: wyczyść plik stronicowania pamięci wirtualnej
(AZ-WIN-00181)
Opis: To ustawienie zasad określa, czy plik stronicowania pamięci wirtualnej jest czyszczone po zamknięciu systemu. Po włączeniu tego ustawienia zasad plik stronicowania systemu jest czyszczone za każdym razem, gdy system zostanie prawidłowo zamknięty. Jeśli to ustawienie zabezpieczeń zostanie włączone, plik hibernacji (Hiberfil.sys) zostanie wyzerowany po wyłączeniu hibernacji w przenośnym systemie komputerowym. Zamknięcie i ponowne uruchomienie komputera potrwa dłużej i będzie szczególnie zauważalne na komputerach z dużymi plikami stronicowania.
Ścieżka klucza: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Shutdown: Wyczyść plik stronicowania pamięci wirtualnej do Disabled.
Mapowania standardowe zgodności:
Nie istnieje lub = 0
(Rejestr)
Krytyczne

Opcje zabezpieczeń — kryptografia systemu

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Użytkownicy muszą być zobowiązani do wprowadzenia hasła w celu uzyskania dostępu do kluczy prywatnych przechowywanych na komputerze.
(AZ-WIN-73699)
Opis: Jeśli klucz prywatny zostanie odnaleziony, osoba atakująca może użyć klucza do uwierzytelnienia się jako autoryzowanego użytkownika i uzyskania dostępu do infrastruktury sieciowej. Podstawą infrastruktury kluczy publicznych jest klucz prywatny używany do szyfrowania lub cyfrowego podpisywania informacji. Jeśli klucz prywatny zostanie skradziony, doprowadzi to do naruszenia uwierzytelniania i odrzucenia uzyskanego za pośrednictwem infrastruktury kluczy publicznych, ponieważ osoba atakująca może użyć klucza prywatnego do cyfrowego podpisywania dokumentów i udawać, że jest autoryzowanym użytkownikiem. Zarówno posiadacze certyfikatu cyfrowego, jak i urząd wystawiający muszą chronić komputery, urządzenia magazynujące lub cokolwiek, co jest używane do przechowywania kluczy prywatnych.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kryptografia systemu: Wymuś silną ochronę klucza dla kluczy użytkownika przechowywanych na komputerze
Mapowania standardowe zgodności:
= 2
(Rejestr)
Ważne
System Windows Server musi być skonfigurowany do używania algorytmów zgodnych ze standardem FIPS na potrzeby szyfrowania, tworzenia skrótów i podpisywania.
(AZ-WIN-73701)
Opis: To ustawienie zapewnia, że system używa algorytmów zgodnych ze standardem FIPS do szyfrowania, tworzenia skrótów i podpisywania. Algorytmy zgodne ze standardami FIPS spełniają określone standardy ustanowione przez rząd USA i muszą być algorytmami używanymi dla wszystkich funkcji szyfrowania systemu operacyjnego.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: element członkowski domeny
Ścieżka zasad grupy: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kryptografia systemu: Użyj zgodnych algorytmów FIPS do szyfrowania, tworzenia skrótów i podpisywania
Mapowania standardowe zgodności:
= 1
(Rejestr)
Ważne

Opcje zabezpieczeń — obiekty systemowe

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Obiekty systemu: wymagaj nierozróżniania wielkości liter dla podsystemów innych niż Windows
(CCE-37885-1)
Opis: To ustawienie zasad określa, czy w przypadku niewrażliwości jest wymuszana dla wszystkich podsystemów. Podsystem Microsoft Win32 jest niewrażliwy na wielkość liter. Jednak jądro obsługuje czułość wielkości liter dla innych podsystemów, takich jak przenośny interfejs systemu operacyjnego dla systemu UNIX (POSIX). Ponieważ system Windows jest niewrażliwy na wielkość liter (ale podsystem POSIX będzie obsługiwać wielkość liter), błąd wymuszania tego ustawienia zasad umożliwia użytkownikowi podsystemu POSIX utworzenie pliku o takiej samej nazwie jak inny plik przy użyciu mieszanego przypadku do etykietowania. Taka sytuacja może zablokować dostęp do tych plików przez innego użytkownika, który używa typowych narzędzi Win32, ponieważ tylko jeden z plików będzie dostępny. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Obiekty systemowe: Wymagaj braku uwzględniania wielkości liter dla podsystemów innych niż Windows

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.15.1
        CIS WS2022 2.3.15.1
Nie istnieje lub = 1
(Rejestr)
Ostrzeżenie
Obiekty systemu: wzmocnij uprawnienia domyślne wewnętrznych obiektów systemu (np. linków symbolicznych)
(CCE-37644-2)
Opis: To ustawienie zasad określa siłę domyślnej uznaniowej listy kontroli dostępu (DACL) dla obiektów. Usługa Active Directory utrzymuje globalną listę udostępnionych zasobów systemowych, takich jak nazwy urządzeń DOS, mutexes i semaphores. W ten sposób obiekty mogą być zlokalizowane i współużytkowane między procesami. Każdy typ obiektu jest tworzony z domyślną listą DACL określającą, kto może uzyskiwać dostęp do obiektów i jakie uprawnienia są przyznawane. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Obiekty systemowe: Wzmocnienie domyślnych uprawnień do wewnętrznych obiektów systemowych (np. linków symbolicznych) do Enabled
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.3.15.2
= 1
(Rejestr)
Krytyczne

Opcje zabezpieczeń — ustawienia systemowe

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Ustawienia systemowe: użyj reguł certyfikatów do plików wykonywalnych systemu Windows dla Zasad ograniczeń oprogramowania
(AZ-WIN-00155)
Opis: To ustawienie zasad określa, czy certyfikaty cyfrowe są przetwarzane, gdy zasady ograniczeń oprogramowania są włączone, a użytkownik lub proces próbuje uruchomić oprogramowanie z rozszerzeniem nazwy pliku .exe. Włącza lub wyłącza reguły certyfikatów (typ reguły zasad ograniczeń oprogramowania). Za pomocą zasad ograniczeń oprogramowania można utworzyć regułę certyfikatu, która zezwala lub nie zezwala na wykonywanie oprogramowania z podpisem Authenticode ® na podstawie certyfikatu cyfrowego skojarzonego z oprogramowaniem. Aby reguły certyfikatów zaczęły obowiązywać w zasadach ograniczeń oprogramowania, należy włączyć to ustawienie zasad.
Ścieżka klucza: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Ustawienia systemowe: Użyj reguł certyfikatów w plikach wykonywalnych systemu Windows dla zasad ograniczeń oprogramowania
Mapowania standardowe zgodności:
= 1
(Rejestr)
Ostrzeżenie

Opcje zabezpieczeń — kontrola konta użytkownika

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Kontrola konta użytkownika: tryb zatwierdzania przez administratora dla wbudowanego konta administratora
(CCE-36494-3)
Opis: To ustawienie zasad steruje zachowaniem trybu zatwierdzania przez administratora dla wbudowanego konta administratora. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Tryb zatwierdzania przez administratora dla wbudowanego konta administratora

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93431
        STIG WS2016 V-73707
        CIS WS2019 2.3.17.1
        CIS WS2022 2.3.17.1
= 1
(Rejestr)
Krytyczne
Kontrola konta użytkownika: zezwalaj aplikacjom z poziomem UIAccess na monitowanie o podniesienie uprawnień bez używania bezpiecznego pulpitu
(CCE-36863-9)
Opis: To ustawienie zasad określa, czy programy ułatwień dostępu interfejsu użytkownika (UIAccess lub UIA) mogą automatycznie wyłączać bezpieczny pulpit na potrzeby monitów o podniesienie uprawnień używanych przez użytkownika standardowego. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Zezwalaj aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez korzystania z bezpiecznego pulpitu
Mapowania standardowe zgodności:
= 0
(Rejestr)
Krytyczne
Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora
(CCE-37029-6)
Opis: To ustawienie zasad steruje zachowaniem monitu o podniesienie uprawnień dla administratorów. Zalecanym stanem dla tego ustawienia jest: Prompt for consent on the secure desktop.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Prompt for consent on the secure desktop:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93523
        STIG WS2016 V-73711
        CIS WS2019 2.3.17.2
        CIS WS2022 2.3.17.2
= 2
(Rejestr)
Krytyczne
Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych
(CCE-36864-7)
Opis: To ustawienie zasad steruje zachowaniem monitu o podniesienie uprawnień dla użytkowników standardowych. Zalecanym stanem dla tego ustawienia jest: Automatically deny elevation requests.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Automatically deny elevation requests:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93433
        STIG WS2016 V-73713
        CIS WS2019 2.3.17.3
        CIS WS2022 2.3.17.3
= 0
(Rejestr)
Krytyczne
Kontrola konta użytkownika: wykrywanie instalacji aplikacji i monitowanie o podniesienie uprawnień
(CCE-36533-8)
Opis: To ustawienie zasad steruje zachowaniem wykrywania instalacji aplikacji dla komputera. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Wykrywanie instalacji aplikacji i monitowanie o podniesienie uprawnień

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93525
        STIG WS2016 V-73715
        CIS WS2019 2.3.17.4
        CIS WS2022 2.3.17.4
= 1
(Rejestr)
Krytyczne
Kontrola konta użytkownika: podnoszenie uprawnień tylko tych aplikacji z poziomem UIAccess, które są zainstalowane w bezpiecznych lokalizacjach
(CCE-37057-7)
Opis: To ustawienie zasad określa, czy aplikacje, które żądają uruchomienia z poziomem integralności ułatwień dostępu interfejsu użytkownika (UIAccess), muszą znajdować się w bezpiecznej lokalizacji w systemie plików. Bezpieczne lokalizacje są ograniczone do następujących: — …\Program Files\, w tym podfoldery — …\Windows\system32\ - …\Program Files (x86)\, w tym podfoldery dla 64-bitowych wersji systemu Windows Uwaga: system Windows wymusza sprawdzanie podpisu infrastruktury kluczy publicznych (PKI) dla dowolnej interaktywnej aplikacji, która żąda uruchomienia z poziomem integralności UIAccess niezależnie od stanu tego ustawienia zabezpieczeń. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: podnieś poziom uprawnień tylko aplikacji interfejsu użytkownika, które są zainstalowane w bezpiecznych lokalizacjach

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93527
        STIG WS2016 V-73717
        CIS WS2019 2.3.17.5
        CIS WS2022 2.3.17.5
= 1
(Rejestr)
Krytyczne
Kontrola konta użytkownika: uruchamianie wszystkich administratorów w trybie zatwierdzania przez administratora
(CCE-36869-6)
Opis: To ustawienie zasad steruje zachowaniem wszystkich ustawień zasad kontroli konta użytkownika (UAC) dla komputera. W przypadku zmiany tego ustawienia zasad należy ponownie uruchomić komputer. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: jeśli to ustawienie zasad jest wyłączone, usługa Security Center powiadomi Cię, że ogólne zabezpieczenia systemu operacyjnego zostały zmniejszone.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93435
        STIG WS2016 V-73719
        CIS WS2019 2.3.17.6
        CIS WS2022 2.3.17.6
= 1
(Rejestr)
Krytyczne
Kontrola konta użytkownika: przełącz na bezpieczny pulpit przy monitowaniu o podniesienie uprawnień
(CCE-36866-2)
Opis: To ustawienie zasad określa, czy monit o podniesienie uprawnień jest wyświetlany na pulpicie użytkownika interakcyjnego, czy na bezpiecznym pulpicie. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Przełącz się do bezpiecznego pulpitu po wyświetleniu monitu o podniesienie uprawnień

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93521
        STIG WS2016 V-73709
        CIS WS2019 2.3.17.7
        CIS WS2022 2.3.17.7
= 1
(Rejestr)
Krytyczne
Kontrola konta użytkownika: wirtualizuj błędy zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników
(CCE-37064-3)
Opis: To ustawienie zasad określa, czy błędy zapisu aplikacji są przekierowywane do zdefiniowanych lokalizacji rejestru i systemu plików. To ustawienie zasad ogranicza aplikacje uruchamiane jako administrator i zapisują dane aplikacji w czasie wykonywania do: - , - %Windir%%ProgramFiles%, - , - %Windir%\system32, lub - HKEY_LOCAL_MACHINE\Software. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: wirtualizacja plików i błędów zapisu rejestru w lokalizacjach poszczególnych użytkowników

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93529
        STIG WS2016 V-73721
        CIS WS2019 2.3.17.8
        CIS WS2022 2.3.17.8
= 1
(Rejestr)
Krytyczne

Ustawienia zabezpieczeń — zasady konta

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Próg blokady konta
(AZ-WIN-73311)
Opis: To ustawienie zasad określa liczbę nieudanych prób logowania przed zablokowaniem konta. Ustawienie tych zasad 0 na wartość nie jest zgodne z testem porównawczym, ponieważ powoduje to wyłączenie progu blokady konta. Zalecanym stanem dla tego ustawienia jest: 5 or fewer invalid logon attempt(s), but not 0. Uwaga: ustawienia zasad haseł (sekcja 1.1) i ustawienia zasad blokady konta (sekcja 1.2) muszą być stosowane za pośrednictwem domyślnego obiektu zasad domeny obiektu zasad grupy, aby mieć globalny wpływ na konta użytkowników domeny jako domyślne zachowanie. Jeśli te ustawienia są skonfigurowane w innym obiekcie zasad grupy, będą miały wpływ tylko na konta użytkowników lokalnych na komputerach odbierających obiekt zasad grupy. Jednak niestandardowe wyjątki od domyślnych zasad haseł i reguł zasad blokady konta dla określonych użytkowników domeny i/lub grup można zdefiniować przy użyciu obiektów ustawień haseł (PSO), które są całkowicie oddzielone od zasad grupy i najbardziej łatwo skonfigurowane przy użyciu Centrum administracyjnego usługi Active Directory.
Ścieżka klucza: [Dostęp systemowy]LockoutBadCount
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady blokady konta\Próg blokady konta
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 1.2.2
        CIS WS2019 1.2.2
W 1–3
(Zasady)
Ważne
Wymuszanie historii haseł
(CCE-37166-6)
Opis:

To ustawienie zasad określa liczbę odnowionych, unikatowych haseł, które muszą być skojarzone z kontem użytkownika przed ponownym użyciem starego hasła. Wartość tego ustawienia zasad musi należeć do zakresu od 0 do 24 haseł. Wartość domyślna systemu Windows Vista to 0 haseł, ale ustawieniem domyślnym w domenie jest 24 hasła. Aby zachować skuteczność tego ustawienia zasad, użyj ustawienia Minimalny wiek hasła, aby uniemożliwić użytkownikom wielokrotne zmienianie hasła. Zalecanym stanem tego ustawienia jest: "24 lub więcej haseł".


Ścieżka klucza: [Dostęp systemowy]PasswordHistorySize
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 24 or more password(s):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady haseł\Wymuszanie historii haseł
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 1.1.1
>= 24
(Zasady)
Krytyczne
Maksymalny wiek hasła
(CCE-37167-4)
Opis: to ustawienie zasad określa, jak długo użytkownik może używać swojego hasła przed jego wygaśnięciem. Wartości dla tego ustawienia zasad wahają się od 0 do 999 dni. Jeśli ustawisz wartość 0, hasło nigdy nie wygaśnie. Ponieważ osoby atakujące mogą złamać hasła, tym częściej zmieniasz hasło, tym częściej osoba atakująca musi użyć złamanego hasła. Jednak im mniejsza jest ta wartość, tym większa jest możliwość zwiększenia liczby połączeń pomocy technicznej z powodu konieczności zmiany hasła przez użytkowników lub zapomnienia, które hasło jest aktualne. Zalecanym stanem tego ustawienia jest 60 or fewer days, but not 0.
Ścieżka klucza: [Dostęp systemowy]MaximumPasswordAge
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 365 or fewer days, but not 0:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady haseł\Maksymalny wiek hasła
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 1.1.2
W 1–70
(Zasady)
Krytyczne
Minimalny wiek hasła
(CCE-37073-4)
Opis: to ustawienie zasad określa liczbę dni, przez które należy użyć hasła, zanim będzie można go zmienić. Zakres wartości dla tego ustawienia zasad wynosi od 1 do 999 dni. (Możesz również ustawić wartość 0, aby zezwolić na natychmiastowe zmiany hasła). Wartość domyślna tego ustawienia to 0 dni. Zalecanym stanem dla tego ustawienia jest: 1 or more day(s).
Ścieżka klucza: [Dostęp systemowy]MinimumPasswordAge
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 1 or more day(s):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady haseł\Minimalny wiek hasła
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 1.1.3
>= 1
(Zasady)
Krytyczne
Minimalna długość hasła
(CCE-36534-6)
Opis: To ustawienie zasad określa najmniejszą liczbę znaków tworzących hasło dla konta użytkownika. Istnieje wiele różnych teorii dotyczących określania najlepszej długości hasła dla organizacji, ale być może "fraza pass" jest lepszym terminem niż "hasło". W systemie Microsoft Windows 2000 lub nowszym frazy dostępu mogą być dość długie i mogą zawierać spacje. W związku z tym fraza taka jak "Chcę pić 5 dolarów koktajl mlecznej" jest prawidłową frazą pass; jest to znacznie silniejsze hasło niż ciąg 8 lub 10 znaków losowych cyfr i liter, a jednak jest łatwiejsze do zapamiętania. Użytkownicy muszą być informowani o odpowiednim wyborze i konserwacji haseł, zwłaszcza w odniesieniu do długości hasła. W środowiskach przedsiębiorstwa idealną wartością ustawienia Minimalna długość hasła jest 14 znaków, jednak tę wartość należy dostosować, aby spełnić wymagania biznesowe organizacji. Zalecanym stanem dla tego ustawienia jest: 14 or more character(s).
Ścieżka klucza: [Dostęp systemowy]MinimumPasswordLength
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 14 or more character(s):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady haseł\Minimalna długość hasła
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 1.1.4
>= 14
(Zasady)
Krytyczne
Hasło musi spełniać wymagania dotyczące złożoności
(CCE-37063-5)
Opis: To ustawienie zasad sprawdza wszystkie nowe hasła, aby upewnić się, że spełniają podstawowe wymagania dotyczące silnych haseł. Po włączeniu tych zasad hasła muszą spełniać następujące minimalne wymagania: — nie zawiera nazwy konta użytkownika ani części pełnej nazwy użytkownika, które przekraczają dwa kolejne znaki — może zawierać co najmniej sześć znaków — zawiera znaki z trzech z następujących czterech kategorii: — wielkie litery angielskie (od A do Z) — małe litery angielskie (od a do z) — podstawowe 10 cyfr (od 0 do 9) — znaki inne niż alfabetyczne (na przykład) !, $, #, %) — kategoria catch-all dowolnego znaku Unicode, która nie mieści się w poprzednich czterech kategoriach. Ta piąta kategoria może być specyficzna regionalnie. Każdy dodatkowy znak w haśle zwiększa złożoność wykładniczo. Na przykład siedmioznaczne hasło alfabetyczne zawierałoby 267 (około 8 x 109 lub 8 miliardów) możliwych kombinacji. Przy 1000 000 prób na sekundę (możliwość wielu narzędzi do łamania haseł) potrwa tylko 133 minut. Siedmioznaczne hasło alfabetyczne z czułością wielkości liter ma 527 kombinacji. Siedmioznaczne hasło alfanumeryczne z uwzględnieniem wielkości liter bez znaków interpunkcyjnych ma 627 kombinacji. Hasło ośmiu znaków ma 268 (lub 2 x 1011) możliwe kombinacje. Chociaż może to wydawać się dużą liczbą, przy 1000 000 prób na sekundę próba wypróbowania wszystkich możliwych haseł zajęłaby tylko 59 godzin. Pamiętaj, że te czasy znacznie wzrosną w przypadku haseł, które używają znaków ALT i innych specjalnych znaków klawiatury, takich jak "!" lub "@". Prawidłowe użycie ustawień hasła może pomóc w instalacji ataku siłowego. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: [Dostęp systemowy]PasswordComplexity
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady haseł\Hasło musi spełniać wymagania dotyczące złożoności

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93459
        STIG WS2016 V-73323
        CIS WS2019 1.1.5
        CIS WS2022 1.1.5
= 1
(Zasady)
Krytyczne
Resetuj licznik blokady konta po
(AZ-WIN-73309)
Opis: to ustawienie zasad określa długość czasu przed zresetowaniem progu blokady konta do zera. Wartość domyślna tego ustawienia zasad to Nie zdefiniowano. Jeśli zdefiniowano próg blokady konta, czas resetowania musi być krótszy lub równy wartości ustawienia Czas trwania blokady konta. Jeśli to ustawienie zasad pozostawisz na wartości domyślnej lub skonfigurujesz wartość do interwału, który jest zbyt długi, środowisko może być narażone na atak w usłudze DoS. Osoba atakująca może złośliwie wykonać szereg nieudanych prób logowania dla wszystkich użytkowników w organizacji, co spowoduje zablokowanie kont. Jeśli żadne zasady nie zostały ustalone w celu zresetowania blokady konta, byłoby to zadanie ręczne dla administratorów. Z drugiej strony, jeśli dla tego ustawienia zasad skonfigurowano rozsądną wartość czasu, użytkownicy będą blokowani przez określony okres do momentu automatycznego odblokowania wszystkich kont. Zalecanym stanem dla tego ustawienia jest: 15 or more minute(s). Uwaga: ustawienia zasad haseł (sekcja 1.1) i ustawienia zasad blokady konta (sekcja 1.2) muszą być stosowane za pośrednictwem domyślnego obiektu zasad domeny obiektu zasad grupy, aby mieć globalny wpływ na konta użytkowników domeny jako domyślne zachowanie. Jeśli te ustawienia są skonfigurowane w innym obiekcie zasad grupy, będą miały wpływ tylko na konta użytkowników lokalnych na komputerach odbierających obiekt zasad grupy. Jednak niestandardowe wyjątki od domyślnych zasad haseł i reguł zasad blokady konta dla określonych użytkowników domeny i/lub grup można zdefiniować przy użyciu obiektów ustawień haseł (PSO), które są całkowicie oddzielone od zasad grupy i najbardziej łatwo skonfigurowane przy użyciu Centrum administracyjnego usługi Active Directory.
Ścieżka klucza: [Dostęp systemowy]ResetLockoutCount
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady blokady konta\Resetuj licznik blokady konta po
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 1.2.3
        CIS WS2019 1.2.3
>= 15
(Zasady)
Ważne
Przechowywanie haseł przy użyciu szyfrowania odwracalnego
(CCE-36286-3)
Opis: To ustawienie zasad określa, czy system operacyjny przechowuje hasła w sposób, który używa odwracalnego szyfrowania, co zapewnia obsługę protokołów aplikacji, które wymagają znajomości hasła użytkownika do celów uwierzytelniania. Hasła przechowywane z szyfrowaniem odwracalnym są zasadniczo takie same jak wersje haseł w postaci zwykłego tekstu. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: [Dostęp systemowy]ClearTextPassword
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady haseł\Przechowywanie haseł przy użyciu szyfrowania odwracalnego

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93465
        STIG WS2016 V-73325
        CIS WS2019 1.1.7
        CIS WS2022 1.1.7
= 0
(Zasady)
Krytyczne

Ustawienia zabezpieczeń — Zapora systemu Windows

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Zapora systemu Windows: domena: zezwalaj na odpowiedź emisji pojedynczej
(AZ-WIN-00088)
Opis:

Ta opcja jest przydatna, jeśli musisz kontrolować, czy ten komputer odbiera odpowiedzi emisji pojedynczej na wychodzące komunikaty multiemisji lub emisji.  

Zalecamy ustawienie "Tak" dla profilów prywatnych i domen. Spowoduje to ustawienie wartości rejestru na 0.


Ścieżka klucza: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu domeny\Ustawienia (wybierz pozycję Dostosuj)\Odpowiedź emisji pojedynczej, Zezwalaj na odpowiedź emisji pojedynczej
Mapowania standardowe zgodności:
= 0
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: domena: stan zapory
(CCE-36062-8)
Opis: wybierz pozycję Włączone (zalecane), aby zapora systemu Windows z zabezpieczeniami zaawansowanymi korzystała z ustawień tego profilu w celu filtrowania ruchu sieciowego. W przypadku wybrania opcji Wyłączone zapora systemu Windows z zabezpieczeniami zaawansowanymi nie będzie używać żadnych reguł zapory ani reguł zabezpieczeń połączeń dla tego profilu.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na On (recommended):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Stan zapory
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.1.1
= 1
(Rejestr)
Krytyczne
Zapora systemu Windows: domena: połączenia przychodzące
(AZ-WIN-202252)
Opis: To ustawienie określa zachowanie dla połączeń przychodzących, które nie są zgodne z regułą zapory dla ruchu przychodzącego. Zalecanym stanem dla tego ustawienia jest: Block (default).
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Połączenia przychodzące
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.1.2
        CIS WS2019 9.1.2
= 1
(Rejestr)
Krytyczne
Zapora systemu Windows: Domena: Rejestrowanie: porzucone pakiety dziennika
(AZ-WIN-202226)
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi odrzuca pakiet przychodzący z jakiegokolwiek powodu. Dziennik rejestruje, dlaczego i kiedy pakiet został porzucony. Wyszukaj wpisy ze słowem DROP w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Rejestrowanie Dostosuj\Dziennik porzucone pakiety
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.1.7
        CIS WS2019 9.1.7
= 1
(Rejestr)
Informacyjny
Zapora systemu Windows: domena: rejestrowanie: rejestrowanie pomyślnych połączeń
(AZ-WIN-202227)
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi zezwala na połączenie przychodzące. Dziennik rejestruje przyczyny i czas utworzenia połączenia. Wyszukaj wpisy ze słowem ALLOW w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Rejestrowanie Dostosuj\Rejestrowanie pomyślne połączenia
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.1.8
        CIS WS2019 9.1.8
= 1
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: domena: rejestrowanie: nazwa
(AZ-WIN-202224)
Opis: Użyj tej opcji, aby określić ścieżkę i nazwę pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: %SystemRoot%\System32\logfiles\firewall\domainfw.log.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Rejestrowanie Dostosowywanie\Nazwa
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.1.5
        CIS WS2019 9.1.5
= %SystemRoot%\System32\logfiles\firewall\domainfw.log
(Rejestr)
Informacyjny
Zapora systemu Windows: domena: rejestrowanie: limit rozmiaru (KB)
(AZ-WIN-202225)
Opis: Użyj tej opcji, aby określić limit rozmiaru pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: 16,384 KB or greater.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Rejestrowanie Dostosowywanie\Limit rozmiaru (KB)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.1.6
        CIS WS2019 9.1.6
>= 16384
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: domena: połączenia wychodzące
(CCE-36146-9)
Opis: To ustawienie określa zachowanie połączeń wychodzących, które nie są zgodne z regułą zapory ruchu wychodzącego. W systemie Windows Vista domyślne zachowanie polega na zezwalaniu na połączenia, chyba że istnieją reguły zapory, które blokują połączenie.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Allow (default):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Połączenia wychodzące
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.1.3
= 0
(Rejestr)
Krytyczne
Zapora systemu Windows: Domena: Ustawienia: Stosowanie reguł zabezpieczeń połączeń lokalnych
(CCE-38040-2)
Opis:

To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły połączeń, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy. Zalecany stan dla tego ustawienia to "Tak", spowoduje to ustawienie wartości rejestru na 1.


Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta Profilu domeny\Ustawienia (wybierz pozycję Dostosuj)\Scalanie reguły, Zastosuj reguły zabezpieczeń połączeń lokalnych
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.3.6
= 1
(Rejestr)
Krytyczne
Zapora systemu Windows: Domena: Ustawienia: Stosowanie lokalnych reguł zapory
(CCE-37860-4)
Opis:

To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły zapory, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy.

Zalecany stan tego ustawienia to Tak. Spowoduje to ustawienie wartości rejestru na 1.


Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta Profilu domeny\Ustawienia (wybierz pozycję Dostosuj)\Scalanie reguł reguły reguły reguły zapory lokalnej
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.3.5
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Zapora systemu Windows: domena: ustawienia: wyświetlanie powiadomienia
(CCE-38041-0)
Opis:

Po wybraniu tej opcji dla użytkownika nie jest wyświetlane żadne powiadomienie, gdy program nie może odbierać połączeń przychodzących. W środowisku serwera wyskakujące okienka nie są przydatne, ponieważ użytkownicy nie są zalogowani, wyskakujące okienka nie są konieczne i mogą powodować zamieszanie dla administratora.  

Skonfiguruj to ustawienie zasad na wartość "Nie", spowoduje to ustawienie wartości rejestru na 1.  Zapora systemu Windows nie wyświetli powiadomienia, gdy program nie będzie odbierał połączeń przychodzących.


Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Ustawienia Dostosowywanie\Wyświetlanie powiadomienia
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.1.4
= 1
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: prywatna: zezwalaj na odpowiedź emisji pojedynczej
(AZ-WIN-00089)
Opis:

Ta opcja jest przydatna, jeśli musisz kontrolować, czy ten komputer odbiera odpowiedzi emisji pojedynczej na wychodzące komunikaty multiemisji lub emisji.  

Zalecamy ustawienie "Tak" dla profilów prywatnych i domen. Spowoduje to ustawienie wartości rejestru na 0.


Ścieżka klucza: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu prywatnego\Ustawienia (wybierz pozycję Dostosuj)\Odpowiedź emisji pojedynczej, Zezwalaj na odpowiedź emisji pojedynczej
Mapowania standardowe zgodności:
= 0
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: prywatny: stan zapory
(CCE-38239-0)
Opis: wybierz pozycję Włączone (zalecane), aby zapora systemu Windows z zabezpieczeniami zaawansowanymi korzystała z ustawień tego profilu w celu filtrowania ruchu sieciowego. W przypadku wybrania opcji Wyłączone zapora systemu Windows z zabezpieczeniami zaawansowanymi nie będzie używać żadnych reguł zapory ani reguł zabezpieczeń połączeń dla tego profilu.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na On (recommended):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Stan zapory
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.2.1
= 1
(Rejestr)
Krytyczne
Zapora systemu Windows: prywatne: połączenia przychodzące
(AZ-WIN-202228)
Opis: To ustawienie określa zachowanie dla połączeń przychodzących, które nie są zgodne z regułą zapory dla ruchu przychodzącego. Zalecanym stanem dla tego ustawienia jest: Block (default).
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profile prywatne\Połączenia przychodzące
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.2.2
        CIS WS2019 9.2.2
= 1
(Rejestr)
Krytyczne
Zapora systemu Windows: prywatne: rejestrowanie: porzucone pakiety dziennika
(AZ-WIN-202231)
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi odrzuca pakiet przychodzący z jakiegokolwiek powodu. Dziennik rejestruje, dlaczego i kiedy pakiet został porzucony. Wyszukaj wpisy ze słowem DROP w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Rejestrowanie Dostosowywanie\Porzucone pakiety dziennika
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.2.7
        CIS WS2019 9.2.7
= 1
(Rejestr)
Informacyjny
Zapora systemu Windows: prywatne: rejestrowanie: rejestrowanie pomyślnych połączeń
(AZ-WIN-202232)
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi zezwala na połączenie przychodzące. Dziennik rejestruje przyczyny i czas utworzenia połączenia. Wyszukaj wpisy ze słowem ALLOW w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Rejestrowanie Dostosuj\Rejestrowanie pomyślne połączenia
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.2.8
        CIS WS2019 9.2.8
= 1
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: prywatna: rejestrowanie: nazwa
(AZ-WIN-202229)
Opis: Użyj tej opcji, aby określić ścieżkę i nazwę pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: %SystemRoot%\System32\logfiles\firewall\privatefw.log.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Rejestrowanie Customize\Name
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.2.5
        CIS WS2019 9.2.5
= %SystemRoot%\System32\logfiles\firewall\privatefw.log
(Rejestr)
Informacyjny
Zapora systemu Windows: prywatne: rejestrowanie: limit rozmiaru (KB)
(AZ-WIN-202230)
Opis: Użyj tej opcji, aby określić limit rozmiaru pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: 16,384 KB or greater.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Rejestrowanie Dostosowywanie\Limit rozmiaru (KB)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.2.6
        CIS WS2019 9.2.6
>= 16384
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: prywatne: połączenia wychodzące
(CCE-38332-3)
Opis: To ustawienie określa zachowanie połączeń wychodzących, które nie są zgodne z regułą zapory ruchu wychodzącego. Domyślne zachowanie polega na zezwalaniu na połączenia, chyba że istnieją reguły zapory, które blokują połączenie. Ważne w przypadku ustawienia połączeń wychodzących na wartość Blokuj, a następnie wdrożenia zasad zapory przy użyciu obiektu zasad grupy, komputery odbierające ustawienia obiektu zasad grupy nie mogą odbierać kolejnych aktualizacji zasad grupy, chyba że utworzysz i wdrożysz regułę ruchu wychodzącego, która umożliwia działanie zasad grupy. Wstępnie zdefiniowane reguły dla sieci podstawowej obejmują reguły ruchu wychodzącego, które umożliwiają działanie zasad grupy. Przed wdrożeniem upewnij się, że te reguły ruchu wychodzącego są aktywne i dokładnie przetestuj profile zapory.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Allow (default):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Połączenia wychodzące
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.2.3
= 0
(Rejestr)
Krytyczne
Zapora systemu Windows: prywatne: ustawienia: Stosowanie reguł zabezpieczeń połączeń lokalnych
(CCE-36063-6)
Opis:

To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły połączeń, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy. Zalecany stan dla tego ustawienia to "Tak", spowoduje to ustawienie wartości rejestru na 1.


Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu prywatnego\Ustawienia (wybierz pozycję Dostosuj)\Scalanie reguły, Zastosuj reguły zabezpieczeń połączeń lokalnych
Mapowania standardowe zgodności:
= 1
(Rejestr)
Krytyczne
Zapora systemu Windows: prywatne: ustawienia: Stosowanie lokalnych reguł zapory
(CCE-37438-9)
Opis:

To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły zapory, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy.

Zalecany stan tego ustawienia to Tak. Spowoduje to ustawienie wartości rejestru na 1.


Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu prywatnego\Ustawienia (wybierz pozycję Dostosuj)\Scalanie reguł reguły reguły, Zastosuj lokalne reguły zapory
Mapowania standardowe zgodności:
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Zapora systemu Windows: prywatne: ustawienia: wyświetlanie powiadomienia
(CCE-37621-0)
Opis:

Po wybraniu tej opcji dla użytkownika nie jest wyświetlane żadne powiadomienie, gdy program nie może odbierać połączeń przychodzących. W środowisku serwera wyskakujące okienka nie są przydatne, ponieważ użytkownicy nie są zalogowani, wyskakujące okienka nie są konieczne i mogą powodować zamieszanie dla administratora.  

 Skonfiguruj to ustawienie zasad na wartość "Nie", spowoduje to ustawienie wartości rejestru na 1.  Zapora systemu Windows nie wyświetli powiadomienia, gdy program nie będzie odbierał połączeń przychodzących.


Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Ustawienia Dostosuj\Wyświetl powiadomienie
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.2.4
= 1
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: publiczna: Zezwalaj na odpowiedź emisji pojedynczej
(AZ-WIN-00090)
Opis:

Ta opcja jest przydatna, jeśli musisz kontrolować, czy ten komputer odbiera odpowiedzi emisji pojedynczej na wychodzące komunikaty multiemisji lub emisji. Można to zrobić, zmieniając stan tego ustawienia na "Nie", co spowoduje ustawienie wartości rejestru na 1.


Ścieżka klucza: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu publicznego\Ustawienia (wybierz pozycję Dostosuj)\Odpowiedź emisji pojedynczej, Zezwalaj na odpowiedź emisji pojedynczej
Mapowania standardowe zgodności:
= 1
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: publiczny: stan zapory
(CCE-37862-0)
Opis: wybierz pozycję Włączone (zalecane), aby zapora systemu Windows z zabezpieczeniami zaawansowanymi korzystała z ustawień tego profilu w celu filtrowania ruchu sieciowego. W przypadku wybrania opcji Wyłączone zapora systemu Windows z zabezpieczeniami zaawansowanymi nie będzie używać żadnych reguł zapory ani reguł zabezpieczeń połączeń dla tego profilu.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na On (recommended):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Stan zapory
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.3.1
= 1
(Rejestr)
Krytyczne
Zapora systemu Windows: publiczne: połączenia przychodzące
(AZ-WIN-202234)
Opis: To ustawienie określa zachowanie dla połączeń przychodzących, które nie są zgodne z regułą zapory dla ruchu przychodzącego. Zalecanym stanem dla tego ustawienia jest: Block (default).
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Połączenia przychodzące
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.3.2
        CIS WS2019 9.3.2
= 1
(Rejestr)
Krytyczne
Zapora systemu Windows: publiczne: Rejestrowanie: porzucone pakiety dziennika
(AZ-WIN-202237)
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi odrzuca pakiet przychodzący z jakiegokolwiek powodu. Dziennik rejestruje, dlaczego i kiedy pakiet został porzucony. Wyszukaj wpisy ze słowem DROP w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Rejestrowanie Dostosuj\Dziennik porzucone pakiety
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.3.9
        CIS WS2019 9.3.9
= 1
(Rejestr)
Informacyjny
Zapora systemu Windows: publiczne: rejestrowanie: rejestrowanie zakończonych powodzeniem połączeń
(AZ-WIN-202233)
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi zezwala na połączenie przychodzące. Dziennik rejestruje przyczyny i czas utworzenia połączenia. Wyszukaj wpisy ze słowem ALLOW w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Rejestrowanie Dostosuj\Rejestrowanie pomyślne połączenia
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.3.10
        CIS WS2019 9.3.10
= 1
(Rejestr)
Ostrzeżenie
Zapora systemu Windows: publiczne: rejestrowanie: nazwa
(AZ-WIN-202235)
Opis: Użyj tej opcji, aby określić ścieżkę i nazwę pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: %SystemRoot%\System32\logfiles\firewall\publicfw.log.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Rejestrowanie Dostosowywanie\Nazwa
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.3.7
        CIS WS2019 9.3.7
= %SystemRoot%\System32\logfiles\firewall\publicfw.log
(Rejestr)
Informacyjny
Zapora systemu Windows: publiczne: rejestrowanie: limit rozmiaru (KB)
(AZ-WIN-202236)
Opis: Użyj tej opcji, aby określić limit rozmiaru pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: 16,384 KB or greater.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Rejestrowanie Dostosowywanie\Limit rozmiaru (KB)
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 9.3.8
        CIS WS2019 9.3.8
>= 16384
(Rejestr)
Informacyjny
Zapora systemu Windows: publiczne: połączenia wychodzące
(CCE-37434-8)
Opis: To ustawienie określa zachowanie połączeń wychodzących, które nie są zgodne z regułą zapory ruchu wychodzącego. Domyślne zachowanie polega na zezwalaniu na połączenia, chyba że istnieją reguły zapory, które blokują połączenie. Ważne w przypadku ustawienia połączeń wychodzących na wartość Blokuj, a następnie wdrożenia zasad zapory przy użyciu obiektu zasad grupy, komputery odbierające ustawienia obiektu zasad grupy nie mogą odbierać kolejnych aktualizacji zasad grupy, chyba że utworzysz i wdrożysz regułę ruchu wychodzącego, która umożliwia działanie zasad grupy. Wstępnie zdefiniowane reguły dla sieci podstawowej obejmują reguły ruchu wychodzącego, które umożliwiają działanie zasad grupy. Przed wdrożeniem upewnij się, że te reguły ruchu wychodzącego są aktywne i dokładnie przetestuj profile zapory.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Allow (default):
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Połączenia wychodzące
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.3.3
= 0
(Rejestr)
Krytyczne
Zapora systemu Windows: publiczne: Ustawienia: Stosowanie reguł zabezpieczeń połączeń lokalnych
(CCE-36268-1)
Opis:

To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły połączeń, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy. Zalecany stan dla tego ustawienia to "Tak", spowoduje to ustawienie wartości rejestru na 1.


Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Ustawienia Dostosuj\Zastosuj reguły zabezpieczeń połączeń lokalnych
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.3.6
= 1
(Rejestr)
Krytyczne
Zapora systemu Windows: publiczne: Ustawienia: Stosowanie lokalnych reguł zapory
(CCE-37861-2)
Opis:

To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły zapory, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy.

Zalecany stan tego ustawienia to Tak. Spowoduje to ustawienie wartości rejestru na 1.


Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Ustawienia Dostosowywanie\Stosowanie lokalnych reguł zapory
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.3.5
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Zapora systemu Windows: publiczne: ustawienia: wyświetlanie powiadomienia
(CCE-38043-6)
Opis:

Po wybraniu tej opcji dla użytkownika nie jest wyświetlane żadne powiadomienie, gdy program nie może odbierać połączeń przychodzących. W środowisku serwera wyskakujące okienka nie są przydatne, ponieważ użytkownicy nie są zalogowani, wyskakujące okienka nie są konieczne i mogą powodować zamieszanie dla administratora.  

Skonfiguruj to ustawienie zasad na wartość "Nie", spowoduje to ustawienie wartości rejestru na 1.  Zapora systemu Windows nie wyświetli powiadomienia, gdy program nie będzie odbierał połączeń przychodzących.


Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Ustawienia Dostosuj\Wyświetl powiadomienie
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 9.3.4
= 1
(Rejestr)
Ostrzeżenie

Zasady inspekcji systemu — logowanie do konta

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja weryfikacji poświadczeń
(CCE-37741-6)
Opis:

Tej podkategorii zgłasza wyniki testów sprawdzania poprawności poświadczeń przesłanych do żądanie logowania konta użytkownika. Te zdarzenia występują na komputerze, który jest autorytatywny dla poświadczenia. Dla kont domeny kontroler domeny jest autorytatywne dla kont lokalnych komputera lokalnego jest autorytatywne. W środowiskach domeny większość zdarzeń logowania konta występuje w dzienniku zabezpieczeń kontrolerów domeny, które są autorytatywne dla kont domeny. Jednak te zdarzenia może wystąpić na innych komputerach w organizacji, gdy kont lokalnych są używane do logowania. Zdarzenia dla tej podkategorii obejmują: - 4774: Konto zostało zamapowane na logowanie. - 4775: Nie można zamapować konta na logowanie. - 4776: Kontroler domeny próbował zweryfikować poświadczenia dla konta. - 4777: Kontroler domeny nie może zweryfikować poświadczeń dla konta. Zalecanym stanem dla tego ustawienia jest: "Powodzenie i niepowodzenie".


Ścieżka klucza: {0CCE923F-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zasady inspekcji\Logowanie konta\Sprawdzanie poprawności poświadczeń

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93153
        STIG WS2016 V-73413
        CIS WS2019 17.1.1
        CIS WS2022 17.1.1
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja usługi uwierzytelniania Kerberos
(AZ-WIN-00004)
Opis: Ta podkategoria raportuje wyniki zdarzeń wygenerowanych po żądaniu biletu TGT uwierzytelniania Kerberos. Kerberos to rozproszona usługa uwierzytelniania, która umożliwia klientowi działającemu w imieniu użytkownika potwierdzenie tożsamości serwera bez wysyłania danych w sieci. Pomaga to uniknąć personifikacji użytkownika przez osobę atakującą lub serwer. - 4768: Zażądano biletu uwierzytelniania Kerberos (TGT). - 4771: Uwierzytelnianie wstępne protokołu Kerberos nie powiodło się. - 4772: Żądanie biletu uwierzytelniania Kerberos nie powiodło się. Zalecanym stanem dla tego ustawienia jest: Success and Failure.
Ścieżka klucza: {0CCE9242-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Audit Policies\Account Logon\Audit Kerberos Authentication Service
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.1.2
        CIS WS2019 17.1.2
>= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne

Zasady inspekcji systemu — zarządzanie kontami

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja zarządzania grupami dystrybucyjnymi
(CCE-36265-7)
Opis: Ta podkategoria raportuje każde zdarzenie zarządzania grupami dystrybucyjnych, takie jak utworzenie, zmiana lub usunięcie grupy dystrybucyjnej lub dodanie lub usunięcie elementu członkowskiego z grupy dystrybucyjnej. Jeśli to ustawienie zasad inspekcji zostanie włączone, administratorzy będą mogli śledzić zdarzenia w celu wykrywania złośliwych, przypadkowych i autoryzowanych tworzenia kont grupy. Zdarzenia dla tej podkategorii obejmują: - 4744: utworzono grupę lokalną wyłączoną zabezpieczeń. - 4745: Zmieniono grupę lokalną wyłączoną zabezpieczeń. - 4746: Element członkowski został dodany do grupy lokalnej wyłączonej zabezpieczeń. - 4747: Element członkowski został usunięty z grupy lokalnej wyłączonej zabezpieczeń. - 4748: Usunięto wyłączoną zabezpieczeń grupę lokalną. - 4749: Utworzono grupę globalną wyłączoną zabezpieczeń. - 4750: Grupa globalna wyłączona zabezpieczeń została zmieniona. - 4751: Element członkowski został dodany do grupy globalnej wyłączonej zabezpieczeń. - 4752: Członek został usunięty z grupy globalnej wyłączonej zabezpieczeń. - 4753: Grupa globalna wyłączona zabezpieczeń została usunięta. - 4759: Utworzono grupę uniwersalną wyłączoną zabezpieczeń. - 4760: Zmieniono grupę uniwersalną wyłączoną zabezpieczeń. - 4761: Element członkowski został dodany do grupy uniwersalnej wyłączonej zabezpieczeń. - 4762: Element członkowski został usunięty z grupy uniwersalnej wyłączonej zabezpieczeń. - 4763: Usunięto grupę uniwersalną wyłączoną zabezpieczeń. Zalecanym stanem tego ustawienia jest: Success.
Ścieżka klucza: {0CCE9238-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Advanced Audit Policy Configuration\Audit Policy\Zarządzanie kontami\Audit Group Management\Audit Group Management
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.2.3
        CIS WS2019 17.2.3
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja innych zdarzeń zarządzania kontami
(CCE-37855-4)
Opis: Ta podkategoria raportuje inne zdarzenia zarządzania kontami. Zdarzenia dla tej podkategorii obejmują: — 4782: skrót hasła, do którego uzyskiwano dostęp do konta. — 4793: Wywołano interfejs API sprawdzania zasad haseł. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Ścieżka klucza: {0CCE923A-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Success
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zarządzanie kontami\Inspekcja innych zdarzeń zarządzania kontami
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.2.4
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja zarządzania grupami zabezpieczeń
(CCE-38034-5)
Opis: Ta podkategoria raportuje każde zdarzenie zarządzania grupami zabezpieczeń, takie jak utworzenie, zmiana lub usunięcie grupy zabezpieczeń albo dodanie lub usunięcie elementu członkowskiego z grupy zabezpieczeń. Jeśli to ustawienie zasad inspekcji zostanie włączone, administratorzy będą mogli śledzić zdarzenia wykrywające złośliwe, przypadkowe i autoryzowane tworzenie kont grup zabezpieczeń. Zdarzenia dla tej podkategorii obejmują: - 4727: utworzono grupę globalną z obsługą zabezpieczeń. - 4728: Element członkowski został dodany do grupy globalnej z obsługą zabezpieczeń. - 4729: Członek został usunięty z grupy globalnej obsługującej zabezpieczenia. - 4730: Grupa globalna z włączoną obsługą zabezpieczeń została usunięta. - 4731: Utworzono grupę lokalną z obsługą zabezpieczeń. - 4732: Element członkowski został dodany do grupy lokalnej z obsługą zabezpieczeń. - 4733: Członek został usunięty z grupy lokalnej z obsługą zabezpieczeń. - 4734: Usunięto grupę lokalną z obsługą zabezpieczeń. - 4735: Zmieniono grupę lokalną z obsługą zabezpieczeń. - 4737: Zmieniono grupę globalną z obsługą zabezpieczeń. - 4754: Utworzono grupę uniwersalną z obsługą zabezpieczeń. - 4755: Zmieniono grupę uniwersalną z obsługą zabezpieczeń. - 4756: Element członkowski został dodany do grupy uniwersalnej obsługującej zabezpieczenia. - 4757: Element członkowski został usunięty z grupy uniwersalnej obsługującej zabezpieczenia. - 4758: Usunięto grupę uniwersalną z obsługą zabezpieczeń. - 4764: Typ grupy został zmieniony. Zalecanym stanem dla tego ustawienia jest: Success and Failure.
Ścieżka klucza: {0CCE9237-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Success
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zarządzanie kontami\Inspekcja zarządzania grupami zabezpieczeń
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.2.5
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja zarządzania kontami użytkowników
(CCE-37856-2)
Opis: Ta podkategoria raportuje każde zdarzenie zarządzania kontami użytkowników, na przykład po utworzeniu, zmianie lub usunięciu konta użytkownika; nazwa konta użytkownika zostanie zmieniona, wyłączona lub włączona; albo hasło jest ustawione lub zmienione. Jeśli to ustawienie zasad inspekcji zostanie włączone, administratorzy będą mogli śledzić zdarzenia w celu wykrywania złośliwych, przypadkowych i autoryzowanych tworzenia kont użytkowników. Zdarzenia dla tej podkategorii obejmują: - 4720: utworzono konto użytkownika. - 4722: Konto użytkownika zostało włączone. - 4723: Podjęto próbę zmiany hasła konta. - 4724: Podjęto próbę zresetowania hasła konta. - 4725: Konto użytkownika zostało wyłączone. - 4726: Konto użytkownika zostało usunięte. - 4738: Konto użytkownika zostało zmienione. - 4740: Konto użytkownika zostało zablokowane. - 4765: Historia sid została dodana do konta. - 4766: Próba dodania historii sid do konta nie powiodła się. - 4767: Konto użytkownika zostało odblokowane. - 4780: Lista ACL została ustawiona na kontach, które są członkami grup administratorów. - 4781: Nazwa konta została zmieniona: - 4794: Podjęto próbę ustawienia trybu przywracania usług katalogowych. - 5376: Utworzono kopię zapasową poświadczeń menedżera poświadczeń. - 5377: Poświadczenia menedżera poświadczeń zostały przywrócone z kopii zapasowej. Zalecanym stanem dla tego ustawienia jest: Success and Failure.
Ścieżka klucza: {0CCE9235-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zarządzanie kontami\Inspekcja zarządzania kontami użytkowników

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-92981
        STIG WS2016 V-73427
        CIS WS2019 17.2.6
        CIS WS2022 17.2.6
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne

Zasady inspekcji systemu — szczegółowe śledzenie

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja działania PNP
(AZ-WIN-00182)
Opis: To ustawienie zasad umożliwia inspekcję, gdy wtyczka i odtwarzanie wykrywa urządzenie zewnętrzne. Zalecanym stanem dla tego ustawienia jest: Success. Uwaga: System operacyjny Windows 10, Server 2016 lub nowszy jest wymagany do uzyskania dostępu i ustawić tę wartość w zasadach grupy.
Ścieżka klucza: {0CCE9248-69AE-11D9-BED3-505054503030}
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Inspekcja: Wymuszanie ustawień podkategorii zasad inspekcji (Windows Vista lub nowszych) w celu zastąpienia ustawień kategorii zasad inspekcji

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.3.1
        CIS WS2022 17.3.1
>= Powodzenie
(Inspekcja)
Krytyczne
Tworzenie procesu inspekcji
(CCE-36059-4)
Opis: Ta podkategoria zgłasza tworzenie procesu oraz nazwę programu lub użytkownika, który go utworzył. Zdarzenia dla tej podkategorii obejmują: - 4688: Utworzono nowy proces. - 4696: Do procesu przypisano token podstawowy. Aby uzyskać najnowsze informacje na temat tego ustawienia, zapoznaj się z artykułem bazy wiedzy Microsoft Knowledge Base 947226. Zalecanym stanem dla tego ustawienia jest: Success.
Ścieżka klucza: {0CCE922B-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Success
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Szczegółowe śledzenie\Tworzenie procesu inspekcji

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93173
        STIG WS2016 V-73433
        CIS WS2019 17.3.2
        CIS WS2022 17.3.2
>= Powodzenie
(Inspekcja)
Krytyczne

Zasady inspekcji systemu — dostęp do usług DS

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Przeprowadź inspekcję dostępu do usługi katalogowej
(CCE-37433-0)
Opis: Ta podkategoria raportuje, gdy jest uzyskiwany dostęp do obiektu usług AD DS. Tylko obiekty z SACL powodują wygenerowanie zdarzeń inspekcji i tylko wtedy, gdy są one dostępne w sposób zgodny z SACL. Te zdarzenia są podobne do zdarzeń dostępu do usługi katalogowej w poprzednich wersjach systemu Windows Server. Ta podkategoria ma zastosowanie tylko do kontrolerów domeny. Zdarzenia dla tej podkategorii obejmują: - 4662 : Operacja została wykonana na obiekcie. Zalecanym stanem tego ustawienia jest: Failure.
Ścieżka klucza: {0CCE923B-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zasad inspekcji\Zasady inspekcji\Zasady inspekcji\Dostęp do usług katalogowych\Inspekcja dostępu
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.4.1
        CIS WS2019 17.4.1
>= Niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja zmian usługi katalogowej
(CCE-37616-0)
Opis: Ta podkategoria raportuje zmiany obiektów w usługach domena usługi Active Directory Services (AD DS). Rodzaje zmian, które są zgłaszane są tworzone, modyfikowania, przenoszenia i usuniętych operacji wykonywanych na obiekt. Inspekcja zmian ds, jeśli jest to konieczne, wskazuje stare i nowe wartości zmienionych właściwości obiektów, które zostały zmienione. Tylko obiekty z SACL powodują wygenerowanie zdarzeń inspekcji i tylko wtedy, gdy są one dostępne w sposób zgodny z SACL. Niektóre obiekty i właściwości nie powodują zdarzeń inspekcji został wygenerowany z powodu ustawień na klasę obiektu w schemacie. Ta podkategoria ma zastosowanie tylko do kontrolerów domeny. Zdarzenia dla tej podkategorii obejmują: - 5136: obiekt usługi katalogowej został zmodyfikowany. - 5137: Utworzono obiekt usługi katalogowej. - 5138: Obiekt usługi katalogowej został nieukończony. - 5139: Obiekt usługi katalogowej został przeniesiony. Zalecanym stanem tego ustawienia jest: Success.
Ścieżka klucza: {0CCE923C-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zasady dostępu DS\Inspekcja zmian usługi katalogowej
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.4.2
        CIS WS2019 17.4.2
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja replikacji usługi katalogowej
(AZ-WIN-00093)
Opis: Ta podkategoria raportuje, kiedy rozpoczyna się replikacja między dwoma kontrolerami domeny i kończy się. Zdarzenia dla tej podkategorii obejmują: - 4932: Rozpoczęto synchronizację repliki kontekstu nazewnictwa usługi Active Directory. – 4933: Zakończono synchronizację repliki kontekstu nazewnictwa usługi Active Directory. Aby uzyskać najnowsze informacje o tym ustawieniu, zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: http:--support.microsoft.com-default.aspx-kb-947226
Ścieżka klucza: {0CCE923D-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zasady dostępu DS\Inspekcja replikacji usługi katalogowej
Mapowania standardowe zgodności:
>= Brak inspekcji
(Inspekcja)
Krytyczne

Zasady inspekcji systemu — wylogowanie i wylogowanie

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja blokady konta
(CCE-37133-6)
Opis: Ta podkategoria zgłasza, gdy konto użytkownika jest zablokowane w wyniku zbyt wielu nieudanych prób logowania. Zdarzenia dla tej podkategorii obejmują: — 4625: Nie można zalogować się na koncie. Aby uzyskać najnowsze informacje na temat tego ustawienia https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd, zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008".
Ścieżka klucza: {0CCE9217-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Failure
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zaawansowana konfiguracja zasad inspekcji\Zasady inspekcji\Logowanie/Wylogowywanie\Inspekcja blokady konta
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.5.1
>= Niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja członkostwa w grupie
(AZ-WIN-00026)
Opis: Członkostwo w grupie inspekcji umożliwia inspekcję członkostwa w grupach, gdy są wyliczane na komputerze klienckim. Te zasady umożliwiają inspekcję informacji o członkostwie w grupie w tokenie logowania użytkownika. Zdarzenia w tej podkategorii są generowane na komputerze, na którym jest tworzona sesja logowania. W przypadku logowania interakcyjnego zdarzenie inspekcji zabezpieczeń jest generowane na komputerze zalogowanym przez użytkownika. W przypadku logowania sieciowego, takiego jak uzyskiwanie dostępu do folderu udostępnionego w sieci, zdarzenie inspekcji zabezpieczeń jest generowane na komputerze hostujący zasób. Należy również włączyć podkategorię Inspekcja logowania. Wiele zdarzeń jest generowanych, jeśli informacje o członkostwie w grupie nie mogą mieścić się w pojedynczym zdarzeniu inspekcji zabezpieczeń. Zdarzenia, które są poddawane inspekcji, obejmują następujące elementy: - 4627(S): informacje o członkostwie w grupie.
Ścieżka klucza: {0CCE9249-69AE-11D9-BED3-505054503030}
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Success
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Logowanie/Wylogowanie\Inspekcja członkostwa w grupie
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.5.2
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja wylogowania
(CCE-38237-4)
Opis:

Ta podkategoria zgłasza, gdy użytkownik wyloguje się z systemu. Te zdarzenia występują na dostęp do komputera. Logowania interakcyjnego wystąpi generowanie tych zdarzeń na komputerze, który jest zalogowany. Logowanie do sieci odbywa się dostępu do udziału, te zdarzenia generować na komputerze, który obsługuje dostęp do zasobów. Jeśli to ustawienie zostanie skonfigurowane na Wartość Brak inspekcji, trudno lub nie można określić, do którego użytkownika uzyskiwał dostęp lub próbował uzyskać dostęp do komputerów organizacji. Zdarzenia dla tej podkategorii obejmują: - 4634: Konto zostało wylogowane. - 4647: Użytkownik zainicjował wylogowanie. Zalecanym stanem dla tego ustawienia jest: "Powodzenie".


Ścieżka klucza: {0CCE9216-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Success
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zaawansowana konfiguracja zasad inspekcji\Zasady inspekcji\Logowanie/Wylogowywanie\Inspekcja

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93171
        STIG WS2016 V-73449
        CIS WS2019 17.5.3
        CIS WS2022 17.5.3
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja logowania
(CCE-38036-0)
Opis:

Tej podkategorii raportów, gdy użytkownik próbuje zalogować się do systemu. Te zdarzenia występują na dostęp do komputera. Logowania interakcyjnego wystąpi generowanie tych zdarzeń na komputerze, który jest zalogowany. Logowanie do sieci odbywa się dostępu do udziału, te zdarzenia generować na komputerze, który obsługuje dostęp do zasobów. Jeśli to ustawienie zostanie skonfigurowane na Wartość Brak inspekcji, trudno lub nie można określić, do którego użytkownika uzyskiwał dostęp lub próbował uzyskać dostęp do komputerów organizacji. Zdarzenia dla tej podkategorii obejmują: - 4624: Konto zostało pomyślnie zalogowane. - 4625: Nie można zalogować się na koncie. - 4648: Próbowano zalogować się przy użyciu jawnych poświadczeń. - 4675: Identyfikatory SID zostały przefiltrowane. Zalecanym stanem dla tego ustawienia jest: "Powodzenie i niepowodzenie".


Ścieżka klucza: {0CCE9215-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zaawansowana konfiguracja zasad inspekcji\Zasady inspekcji\Logowanie/Wylogowanie\Inspekcja logowania

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-92967
        STIG WS2016 V-73451
        CIS WS2019 17.5.4
        CIS WS2022 17.5.4
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja innych zdarzeń logowania/wylogowania
(CCE-36322-6)
Opis: Ta podkategoria zgłasza inne zdarzenia związane z logowaniem/wylogowaniem, takie jak sesja usług terminalowych rozłącza się i ponownie nawiąża, przy użyciu uruchomień procesów w ramach innego konta oraz blokowania i odblokowywania stacji roboczej. Zdarzenia dla tej podkategorii obejmują: — 4649: Wykryto atak powtarzania. — 4778: Sesja została ponownie połączona z stacją okien. — 4779: Sesja została odłączona od stacji okien. — 4800: Stacja robocza została zablokowana. — 4801: Stacja robocza została odblokowana. — 4802: Wywoływano wygaszacz ekranu. — 4803: Wygaszacz ekranu został odrzucony. — 5378: Żądane delegowanie poświadczeń zostało niedozwolone przez zasady. — 5632: Żądanie zostało złożone w celu uwierzytelnienia w sieci bezprzewodowej. — 5633: Żądanie zostało złożone w celu uwierzytelnienia w sieci przewodowej. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Ścieżka klucza: {0CCE921C-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zaawansowana konfiguracja zasad inspekcji\Zasady inspekcji\Logowanie/Wylogowanie\Przeprowadź inspekcję innych zdarzeń logowania/wylogowania
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.5.5
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja logowania specjalnego
(CCE-36266-5)
Opis: Ta podkategoria raportuje, gdy jest używane specjalne logowanie. Specjalne logowanie to logowanie, które ma równoważne uprawnienia administratora i może służyć do podniesienia poziomu procesu do wyższego poziomu. Zdarzenia dla tej podkategorii obejmują: - 4964: Grupy specjalne zostały przypisane do nowego logowania. Zalecanym stanem dla tego ustawienia jest: Success.
Ścieżka klucza: {0CCE921B-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Success
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zaawansowana konfiguracja zasad inspekcji\Zasady inspekcji\Logowanie/Wylogowywanie\Inspekcja logowania specjalnego

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93161
        STIG WS2016 V-73455
        CIS WS2019 17.5.6
        CIS WS2022 17.5.6
>= Powodzenie
(Inspekcja)
Krytyczne

Zasady inspekcji systemu — dostęp do obiektów

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja szczegółowego udziału plików
(AZ-WIN-00100)
Opis: Ta podkategoria umożliwia inspekcję prób uzyskania dostępu do plików i folderów w folderze udostępnionym. Zdarzenia dla tej podkategorii obejmują: - 5145: obiekt udziału sieciowego został sprawdzony, czy klient może uzyskać żądany dostęp. Zalecanym stanem tego ustawienia jest: Failure
Ścieżka klucza: {0CCE9244-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zaawansowana konfiguracja zasad inspekcji\Zasady inspekcji\Dostęp do obiektu\Inspekcja szczegółowego udziału plików
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.6.1
        CIS WS2019 17.6.1
>= Niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja udziału plików
(AZ-WIN-00102)
Opis: To ustawienie zasad umożliwia inspekcję prób uzyskania dostępu do folderu udostępnionego. Zalecanym stanem dla tego ustawienia jest: Success and Failure. Uwaga: nie ma list kontroli dostępu systemu (SACLs) dla folderów udostępnionych. Jeśli to ustawienie zasad jest włączone, dostęp do wszystkich folderów udostępnionych w systemie jest poddawane inspekcji.
Ścieżka klucza: {0CCE9224-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Dostęp do obiektu\Inspekcja udziału plików
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.6.2
        CIS WS2019 17.6.2
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja innych zdarzeń dostępu do obiektów
(AZ-WIN-00113)
Opis: Ta podkategoria raportuje inne zdarzenia związane z dostępem do obiektów, takie jak zadania harmonogramu zadań i obiekty COM+. Zdarzenia dla tej podkategorii obejmują: — 4671: Aplikacja próbowała uzyskać dostęp do zablokowanej porządkowej za pośrednictwem tbS. — 4691: Zażądano pośredniego dostępu do obiektu. — 4698: Utworzono zaplanowane zadanie. — 4699: Zaplanowane zadanie zostało usunięte. — 4700: Zaplanowane zadanie zostało włączone. — 4701: Zaplanowane zadanie zostało wyłączone. — 4702: Zaplanowane zadanie zostało zaktualizowane. — 5888: Obiekt w wykazie COM+ został zmodyfikowany. — 5889: Obiekt został usunięty z wykazu COM+ . — 5890: Obiekt został dodany do wykazu COM+ . Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Ścieżka klucza: {0CCE9227-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Dostęp do obiektu\Przeprowadź inspekcję innych zdarzeń dostępu do obiektów
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.6.3
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja magazynu wymiennego
(CCE-37617-8)
Opis: To ustawienie zasad umożliwia inspekcję prób uzyskania dostępu do obiektów systemu plików na wymiennym urządzeniu magazynu. Zdarzenie inspekcji zabezpieczeń jest generowane tylko dla wszystkich obiektów dla wszystkich typów żądanych dostępu. Jeśli to ustawienie zasad zostanie skonfigurowane, zdarzenie inspekcji jest generowane za każdym razem, gdy konto uzyskuje dostęp do obiektu systemu plików w magazynie wymiennym. Inspekcje powodzenia rejestrują pomyślne próby i Inspekcje niepowodzeń rejestrują nieudane próby. Jeśli to ustawienie zasad nie zostanie skonfigurowane, żadne zdarzenie inspekcji nie zostanie wygenerowane, gdy konto uzyskuje dostęp do obiektu systemu plików w magazynie wymiennym. Zalecanym stanem dla tego ustawienia jest: Success and Failure. Uwaga: System operacyjny Windows 8, Server 2012 (inny niż R2) lub nowszy jest wymagany do uzyskiwania dostępu i ustawiania tej wartości w zasadach grupy.
Ścieżka klucza: {0CCE9245-69AE-11D9-BED3-505054503030}
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Dostęp do obiektu\Inspekcja magazynu wymiennego

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93167
        STIG WS2016 V-73457
        CIS WS2019 17.6.4
        CIS WS2022 17.6.4
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne

Zasady inspekcji systemu — zmiana zasad

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja zmiany zasad uwierzytelniania
(CCE-38327-3)
Opis: Ta podkategoria zgłasza zmiany w zasadach uwierzytelniania. Zdarzenia dla tej podkategorii obejmują: — 4706: Utworzono nowe zaufanie do domeny. — 4707: Usunięto zaufanie do domeny. — 4713: Zmieniono zasady protokołu Kerberos. — 4716: Zmodyfikowano informacje o zaufanej domenie. — 4717: Dostęp zabezpieczeń systemu został przyznany kontu. — 4718: Dostęp zabezpieczeń systemu został usunięty z konta. — 4739: Zasady domeny zostały zmienione. — 4864: Wykryto kolizję przestrzeni nazw. — 4865: Dodano wpis informacji o zaufanym lesie. — 4866: Usunięto wpis informacji o zaufanym lesie. — 4867: Zmodyfikowano wpis informacji o zaufanym lesie. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Ścieżka klucza: {0CCE9230-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Success
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zmiana zasad\Przeprowadź inspekcję zmian zasad uwierzytelniania
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.7.2
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja zmiany zasad autoryzacji
(CCE-36320-0)
Opis: Ta podkategoria zgłasza zmiany w zasadach autoryzacji. Zdarzenia dla tej podkategorii obejmują: - 4704: Przypisano prawo użytkownika. - 4705: Prawo użytkownika zostało usunięte. - 4706: Utworzono nowe zaufanie do domeny. - 4707: Zaufanie do domeny zostało usunięte. - 4714: Zasady odzyskiwania zaszyfrowanych danych zostały zmienione. Zalecanym stanem tego ustawienia jest: Success.
Ścieżka klucza: {0CCE9231-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zmiana zasad\Zmiana zasad inspekcji\Zmiana zasad autoryzacji inspekcji
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.7.3
        CIS WS2019 17.7.3
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja zmiany zasad na poziomie reguł MPSSVC
(AZ-WIN-00111)
Opis: Ta podkategoria zgłasza zmiany w regułach zasad używanych przez usługę Microsoft Protection (MPSSVC.exe). Ta usługa jest używana przez Zaporę systemu Windows i microsoft OneCare. Zdarzenia dla tej podkategorii obejmują: — 4944: Następujące zasady były aktywne po uruchomieniu Zapory systemu Windows. — 4945: Reguła została wyświetlona po uruchomieniu Zapory systemu Windows. — 4946: Wprowadzono zmianę na liście wyjątków Zapory systemu Windows. Dodano regułę. — 4947: Wprowadzono zmianę na liście wyjątków Zapory systemu Windows. Reguła została zmodyfikowana. — 4948: Wprowadzono zmianę na liście wyjątków Zapory systemu Windows. Reguła została usunięta. — 4949: Ustawienia Zapory systemu Windows zostały przywrócone do wartości domyślnych. — 4950: Zmieniono ustawienie Zapory systemu Windows. — 4951: Reguła została zignorowana, ponieważ jej numer wersji głównej nie został rozpoznany przez zaporę systemu Windows. — 4952: Części reguły zostały zignorowane, ponieważ jego numer wersji pomocniczej nie został rozpoznany przez zaporę systemu Windows. Pozostałe części reguły zostaną wymuszone. — 4953: Reguła została zignorowana przez Zaporę systemu Windows, ponieważ nie mogła przeanalizować reguły. — 4954: Ustawienia zasad grupy zapory systemu Windows zostały zmienione. Zastosowano nowe ustawienia. — 4956: Zapora systemu Windows zmieniła aktywny profil. — 4957: Zapora systemu Windows nie zastosowała następującej reguły: — 4958: Zapora systemu Windows nie zastosowała następującej reguły, ponieważ reguła odwoływała się do elementów nieskonfigurowane na tym komputerze: Zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Ścieżka klucza: {0CCE9232-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zmiana zasad\Przeprowadź inspekcję zmiany zasad na poziomie reguły MPSSVC
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.7.4
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja innych zdarzeń zmiany zasad
(AZ-WIN-00114)
Opis: Ta podkategoria zawiera zdarzenia dotyczące zmian zasad agenta odzyskiwania danych SYSTEMU EFS, zmian w filtrze Platformy filtrowania systemu Windows, stanu aktualizacji ustawień zasad zabezpieczeń dla lokalnych ustawień zasad grupy, zmian centralnych zasad dostępu i szczegółowych zdarzeń rozwiązywania problemów dotyczących operacji kryptograficznych następnej generacji (CNG). - 5063: Podjęto próbę wykonania operacji dostawcy kryptograficznego. - 5064: Podjęto próbę wykonania operacji kontekstu kryptograficznego. - 5065: Podjęto próbę modyfikacji kontekstu kryptograficznego. - 5066: Podjęto próbę wykonania operacji funkcji kryptograficznych. - 5067: Podjęto próbę modyfikacji funkcji kryptograficznych. - 5068: Podjęto próbę wykonania operacji dostawcy funkcji kryptograficznych. - 5069: Podjęto próbę wykonania operacji właściwości funkcji kryptograficznych. - 5070: Podjęto próbę modyfikacji właściwości funkcji kryptograficznych. - 6145: Wystąpił co najmniej jeden błąd podczas przetwarzania zasad zabezpieczeń w obiektach zasad grupy. Zalecanym stanem tego ustawienia jest: Failure.
Ścieżka klucza: {0CCE9234-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zmiana zasad\Inspekcja innych zdarzeń zmian zasad
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.7.5
        CIS WS2019 17.7.5
>= Niepowodzenie
(Inspekcja)
Krytyczne
Zmiana zasad inspekcji
(CCE-38028-7)
Opis: Ta podkategoria raportuje zmiany w zasadach inspekcji, w tym zmiany SACL. Zdarzenia dla tej podkategorii obejmują: — 4715: Zasady inspekcji (SACL) dla obiektu zostały zmienione. — 4719: Zasady inspekcji systemu zostały zmienione. — 4902: Utworzono tabelę zasad inspekcji dla poszczególnych użytkowników. — 4904: Podjęto próbę zarejestrowania źródła zdarzeń zabezpieczeń. — 4905: Podjęto próbę wyrejestrowania źródła zdarzeń zabezpieczeń. — 4906: Zmieniono wartość CrashOnAuditFail. — 4907: Zmieniono ustawienia inspekcji obiektu. — 4908: Zmodyfikowano tabelę logowania grup specjalnych. — 4912: Zmieniono zasady inspekcji poszczególnych użytkowników. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Ścieżka klucza: {0CCE922F-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Zmiana zasad\Inspekcja Zmiany zasad\Inspekcja Zmiany zasad
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.7.1
>= Powodzenie
(Inspekcja)
Krytyczne

Zasady inspekcji systemu — użycie uprawnień

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja użycia poufnych uprawnień
(CCE-36267-3)
Opis: Ta podkategoria raportuje, gdy konto użytkownika lub usługa używa poufnych uprawnień. Poufne uprawnienia obejmują następujące prawa użytkownika: Działanie jako część systemu operacyjnego, pliki kopii zapasowej i katalogi, tworzenie obiektu tokenu, programy debugowania, Włączanie kont komputerów i użytkowników, które mają być zaufane dla delegowania, Generowanie inspekcji zabezpieczeń, Personifikacja klienta po uwierzytelnieniu, Ładowanie i zwalnianie sterowników urządzeń, Zarządzanie inspekcją i dziennikiem zabezpieczeń, Modyfikowanie wartości środowiska oprogramowania układowego, Zastąp token na poziomie procesu, przywróć pliki i katalogi oraz przejmij na własność pliki lub inne obiekty. Inspekcja tej podkategorii utworzy duża liczba zdarzeń. Zdarzenia dla tej podkategorii obejmują: — 4672: Specjalne uprawnienia przypisane do nowego logowania. — 4673: Wywołano usługę uprzywilejowaną. — 4674: Podjęto próbę wykonania operacji na uprzywilejowanym obiekcie. Aby uzyskać najnowsze informacje na temat tego ustawienia https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd, zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008".
Ścieżka klucza: {0CCE9228-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Użycie uprawnień\Przeprowadź inspekcję poufnego użycia
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.8.1
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne

Zasady inspekcji systemu — system

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Inspekcja sterownika IPsec
(CCE-37853-9)
Opis: Ta podkategoria raportuje działania sterownika Zabezpieczeń protokołu internetowego (IPsec). Zdarzenia dla tej podkategorii obejmują: - 4960: protokół IPsec porzucił pakiet przychodzący, który zakończył się niepowodzeniem sprawdzania integralności. Jeśli ten problem będzie się powtarzać, może to oznaczać problem z siecią lub że pakiety są modyfikowane podczas przesyłania do tego komputera. Sprawdź, czy pakiety wysyłane z komputera zdalnego są takie same jak pakiety odbierane przez ten komputer. Ten błąd może również wskazywać na problemy ze współdziałaniem z innymi implementacjami protokołu IPsec. - 4961: Protokół IPsec porzucił pakiet przychodzący, który zakończył się niepowodzeniem sprawdzania powtórki. Jeśli ten problem będzie się powtarzać, może to wskazywać na atak na ten komputer. - 4962: Protokół IPsec porzucił pakiet przychodzący, który zakończył się niepowodzeniem sprawdzania powtórki. Pakiet przychodzący miał zbyt małą liczbę sekwencji, aby upewnić się, że nie była to powtórka. - 4963: Protokół IPsec porzucił przychodzący pakiet zwykłego tekstu, który powinien zostać zabezpieczony. Jest to zwykle spowodowane zmianą zasad protokołu IPsec przez komputer zdalny bez informowania tego komputera. Może to być również próba fałszowania ataku. - 4965: Protokół IPsec odebrał pakiet z komputera zdalnego z nieprawidłowym indeksem parametrów zabezpieczeń (SPI). Jest to zwykle spowodowane awarią sprzętu, który powoduje uszkodzenie pakietów. Jeśli te błędy będą się powtarzać, sprawdź, czy pakiety wysyłane z komputera zdalnego są takie same jak pakiety odebrane przez ten komputer. Ten błąd może również wskazywać na problemy ze współdziałaniem z innymi implementacjami protokołu IPsec. W takim przypadku, jeśli łączność nie jest utrudniona, te zdarzenia można zignorować. - 5478: Usługi IPsec zostały pomyślnie uruchomione. - 5479: Usługi IPsec zostały pomyślnie zamknięte. Zamknięcie usług IPsec może narażać komputer na większe ryzyko ataku sieciowego lub narażać komputer na potencjalne zagrożenia bezpieczeństwa. - 5480: Usługi IPsec nie mogą uzyskać pełnej listy interfejsów sieciowych na komputerze. Stwarza to potencjalne zagrożenie bezpieczeństwa, ponieważ niektóre interfejsy sieciowe mogą nie uzyskać ochrony zapewnianej przez zastosowane filtry IPsec. Użyj przystawki Monitor zabezpieczeń ip, aby zdiagnozować problem. - 5483: Nie można zainicjować serwera RPC usług IPsec. Nie można uruchomić usług IPsec. - 5484: Usługi IPsec doświadczyły krytycznej awarii i zostały zamknięte. Zamknięcie usług IPsec może narażać komputer na większe ryzyko ataku sieciowego lub narażać komputer na potencjalne zagrożenia bezpieczeństwa. - 5485: Usługi IPsec nie mogą przetworzyć niektórych filtrów IPsec dla zdarzeń plug-and-play dla interfejsów sieciowych. Stwarza to potencjalne zagrożenie bezpieczeństwa, ponieważ niektóre interfejsy sieciowe mogą nie uzyskać ochrony zapewnianej przez zastosowane filtry IPsec. Użyj przystawki Monitor zabezpieczeń ip, aby zdiagnozować problem. Zalecanym stanem dla tego ustawienia jest: Success and Failure.
Ścieżka klucza: {0CCE9213-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Advanced Audit Policy Configuration\Audit Policy\System\Audit IPsec Driver
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.9.1
        CIS WS2019 17.9.1
>= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja innych zdarzeń systemowych
(CCE-38030-3)
Opis: Ta podkategoria raportów dotyczących innych zdarzeń systemowych. Zdarzenia dla tej podkategorii obejmują: - 5024: Usługa Zapory systemu Windows została pomyślnie uruchomiona. - 5025: Usługa Zapory systemu Windows została zatrzymana. - 5027: Usługa Zapory systemu Windows nie może pobrać zasad zabezpieczeń z magazynu lokalnego. Usługa będzie nadal wymuszać bieżące zasady. - 5028: Usługa Zapory systemu Windows nie może przeanalizować nowych zasad zabezpieczeń. Usługa będzie kontynuowana z aktualnie wymuszanymi zasadami. - 5029: Nie można zainicjować sterownika przez usługę Zapory systemu Windows. Usługa będzie nadal wymuszać bieżące zasady. - 5030: Nie można uruchomić usługi Zapory systemu Windows. - 5032: Zapora systemu Windows nie może powiadomić użytkownika, że zablokowała aplikacji akceptowanie połączeń przychodzących w sieci. - 5033: Sterownik zapory systemu Windows został uruchomiony pomyślnie. - 5034: Sterownik zapory systemu Windows został zatrzymany. - 5035: Nie można uruchomić sterownika zapory systemu Windows. - 5037: Sterownik zapory systemu Windows wykrył krytyczny błąd środowiska uruchomieniowego. Kończące. - 5058: Operacja klucza pliku. - 5059: Operacja migracji klucza. Zalecanym stanem dla tego ustawienia jest: Success and Failure.
Ścieżka klucza: {0CCE9214-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zaawansowana konfiguracja zasad inspekcji\Zasady inspekcji\System\Inspekcja innych zdarzeń systemowych
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 17.9.2
        CIS WS2019 17.9.2
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne
Inspekcja zmian stanu zabezpieczeń
(CCE-38114-5)
Opis: Ta podkategoria zgłasza zmiany stanu zabezpieczeń systemu, na przykład po uruchomieniu i zatrzymaniu podsystemu zabezpieczeń. Zdarzenia dla tej podkategorii obejmują: — 4608: Uruchamianie systemu Windows. — 4609: System Windows jest zamykany. — 4616: Czas systemowy został zmieniony. — 4621: Administrator odzyskał system z crashOnAuditFail. Użytkownicy, którzy nie są administratorami, będą mogli się zalogować. Niektóre działania podlegające inspekcji mogły nie zostać zarejestrowane. Aby uzyskać najnowsze informacje na temat tego ustawienia https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd, zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008".
Ścieżka klucza: {0CCE9210-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Success
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\System\Inspekcja zmiany stanu zabezpieczeń
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.9.3
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja rozszerzenia systemu zabezpieczeń
(CCE-36144-4)
Opis: Ta podkategoria zgłasza ładowanie kodu rozszerzenia, takiego jak pakiety uwierzytelniania przez podsystem zabezpieczeń. Zdarzenia dla tej podkategorii obejmują: — 4610: Pakiet uwierzytelniania został załadowany przez urząd zabezpieczeń lokalnych. — 4611: Zaufany proces logowania został zarejestrowany w urzędzie zabezpieczeń lokalnych. — 4614: Pakiet powiadomień został załadowany przez Menedżera kont zabezpieczeń. — 4622: Pakiet zabezpieczeń został załadowany przez urząd zabezpieczeń lokalnych. — 4697: Usługa została zainstalowana w systemie. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Ścieżka klucza: {0CCE9211-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Success
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\System\Audit Security System Extension
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.9.4
>= Powodzenie
(Inspekcja)
Krytyczne
Inspekcja integralności systemu
(CCE-37132-8)
Opis: Ta podkategoria zgłasza naruszenia integralności podsystemu zabezpieczeń. Zdarzenia dla tej podkategorii obejmują: — 4612: Zasoby wewnętrzne przydzielone do kolejkowania komunikatów inspekcji zostały wyczerpane, co prowadzi do utraty niektórych inspekcji. — 4615: Nieprawidłowe użycie portu LPC. — 4618: Wystąpił monitorowany wzorzec zdarzeń zabezpieczeń. — 4816: RPC wykrył naruszenie integralności podczas odszyfrowywania komunikatu przychodzącego. — 5038: Integralność kodu ustaliła, że skrót obrazu pliku jest nieprawidłowy. Plik może być uszkodzony z powodu nieautoryzowanej modyfikacji lub nieprawidłowy skrót może wskazywać na potencjalny błąd urządzenia dysku. — 5056: Wykonano kryptograficzny self-test. — 5057: Operacja kryptograficzna typu pierwotnego nie powiodła się. — 5060: Operacja weryfikacji nie powiodła się. — 5061: Operacja kryptograficzna. — 5062: Wykonano kryptograficzny test kryptograficzny w trybie jądra. Aby uzyskać najnowsze informacje na temat tego ustawienia https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd, zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008".
Ścieżka klucza: {0CCE9212-69AE-11D9-BED3-505054503030}
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na "Powodzenie i niepowodzenie:"
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\System\Inspekcja integralności systemu
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 17.9.5
= Powodzenie i niepowodzenie
(Inspekcja)
Krytyczne

Przypisywanie praw użytkownika

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Dostęp do Menedżera poświadczeń jako zaufany obiekt wywołujący
(CCE-37056-9)
Opis: To ustawienie zabezpieczeń jest używane przez Menedżera poświadczeń podczas tworzenia kopii zapasowej i przywracania. Żadne konta nie powinny mieć prawa użytkownika, ponieważ jest ono przypisane tylko do winlogonu. Poświadczenia zapisane przez użytkowników mogą zostać naruszone, jeśli to uprawnienie użytkownika zostanie przypisane do innych jednostek. Zalecanym stanem dla tego ustawienia jest: No One.
Ścieżka klucza: [Privilege Rights]SeTrustedCredManAccessPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Access Credential Manager jako zaufany obiekt wywołujący

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93049
        STIG WS2016 V-73729
        CIS WS2019 2.2.1
        CIS WS2022 2.2.1
= Nikt
(Zasady)
Ostrzeżenie
Uzyskaj dostęp do tego komputera z sieci
(CCE-35818-4)
Opis:

To ustawienie zasad umożliwia innym użytkownikom w sieci łączenie się z komputerem i jest wymagane przez różne protokoły sieciowe, które obejmują protokoły oparte na bloku komunikatów serwera (SMB), NetBIOS, Common Internet File System (CIFS) i Component Object Model Plus (COM+). - Poziom 1 — kontroler domeny. Zalecanym stanem tego ustawienia jest: "Administratorzy, Uwierzytelnieni użytkownicy, KONTROLERY DOMENY PRZEDSIĘBIORSTWA". - Poziom 1 — serwer członkowski. Zalecanym stanem dla tego ustawienia jest: "Administratorzy, uwierzytelnieni użytkownicy".


Ścieżka klucza: [Privilege Rights]SeNetworkLogonRight
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Uzyskiwanie dostępu do tego komputera z sieci

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-92995
        STIG WS2016 V-73731
        CIS WS2019 2.2.3
        CIS WS2022 2.2.3
<= Administratorzy, uwierzytelnieni użytkownicy
(Zasady)
Krytyczne
Działanie jako część systemu operacyjnego
(CCE-36876-1)
Opis: To ustawienie zasad umożliwia procesowi założenie tożsamości dowolnego użytkownika, a tym samym uzyskanie dostępu do zasobów, do których użytkownik ma uprawnienia dostępu. Zalecanym stanem dla tego ustawienia jest: No One.
Ścieżka klucza: [Prawa uprawnień]SeTcbPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Działanie w ramach systemu operacyjnego

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93051
        STIG WS2016 V-73735
        CIS WS2019 2.2.4
        CIS WS2022 2.2.4
= Nikt
(Zasady)
Krytyczne
Zezwalaj na logowanie lokalne
(CCE-37659-0)
Opis: To ustawienie zasad określa, którzy użytkownicy mogą interaktywnie logować się do komputerów w danym środowisku. Logowania inicjowane przez naciśnięcie sekwencji CTRL+ALT+DEL na klawiaturze komputera klienckiego wymagają prawa tego użytkownika. Użytkownicy, którzy próbują zalogować się za pośrednictwem usług terminalowych lub usług IIS, również wymagają tego prawa użytkownika. Konto gościa jest domyślnie przypisane do tego użytkownika. Mimo że to konto jest domyślnie wyłączone, firma Microsoft zaleca włączenie tego ustawienia za pomocą zasad grupy. Jednak to prawo użytkownika powinno być ogólnie ograniczone do grup Administratorzy i Użytkownicy. Przypisz temu użytkownikowi prawo do grupy Operatorzy kopii zapasowych, jeśli twoja organizacja wymaga, aby ta możliwość miała. Podczas konfigurowania użytkownika bezpośrednio w programie SCM wprowadź rozdzielaną przecinkami listę kont. Konta mogą być lokalne lub zlokalizowane w usłudze Active Directory, mogą to być grupy, użytkownicy lub komputery.
Ścieżka klucza: [Privilege Rights]SeInteractiveLogonRight
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Zezwalaj na logowanie lokalne
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.2.7
= Administratorzy
(Zasady)
Krytyczne
Zezwalaj na logowanie za pomocą usług pulpitu zdalnego
(CCE-37072-6)
Opis:

To ustawienie zasad określa, którzy użytkownicy lub grupy mają prawo zalogować się jako klient usług terminalowych. Użytkownicy pulpitu zdalnego wymagają tego prawa użytkownika. Jeśli twoja organizacja używa pomocy zdalnej w ramach strategii pomocy technicznej, utwórz grupę i przypisz go bezpośrednio za pomocą zasad grupy. Jeśli dział pomocy technicznej w organizacji nie korzysta z pomocy zdalnej, przypisz temu użytkownikowi prawo tylko do grupy Administratorzy lub użyj funkcji grupy z ograniczeniami, aby upewnić się, że żadne konta użytkowników nie są częścią grupy Użytkownicy pulpitu zdalnego. Ogranicz to prawo użytkownika do grupy Administratorzy i ewentualnie grupy Użytkownicy pulpitu zdalnego, aby uniemożliwić niechcianym użytkownikom uzyskanie dostępu do komputerów w sieci za pomocą funkcji Pomoc zdalna. - Poziom 1 — kontroler domeny. Zalecanym stanem dla tego ustawienia jest: "Administratorzy". - Poziom 1 — serwer członkowski. Zalecanym stanem tego ustawienia jest: "Administratorzy, Użytkownicy pulpitu zdalnego". Uwaga: Serwer członkowski, który posiada rolę usług pulpitu zdalnego z usługą roli brokera połączeń pulpitu zdalnego, będzie wymagać specjalnego wyjątku dla tego zalecenia, aby zezwolić grupie "Uwierzytelnieni użytkownicy" na przyznanie tego prawa użytkownika. Uwaga 2: Powyższe listy mają być traktowane jako listy dozwolonych, co oznacza, że powyższe podmioty zabezpieczeń nie muszą być obecne do oceny tego zalecenia do przekazania.


Ścieżka klucza: [Privilege Rights]SeRemoteInteractiveLogonRight
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Zezwalaj na logowanie za pośrednictwem usług pulpitu zdalnego

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-92997
        STIG WS2016 V-73741
        CIS WS2019 2.2.8
        CIS WS2022 2.2.8
        CIS WS2019 2.2.9
        CIS WS2022 2.2.9
<= Administratorzy, użytkownicy pulpitu zdalnego
(Zasady)
Krytyczne
Tworzenie kopii zapasowej plików i katalogów
(CCE-35912-5)
Opis: To ustawienie zasad umożliwia użytkownikom obejście uprawnień do plików i katalogów w celu utworzenia kopii zapasowej systemu. To prawo użytkownika jest włączone tylko wtedy, gdy aplikacja (np. NTBACKUP) próbuje uzyskać dostęp do pliku lub katalogu za pośrednictwem interfejsu programowania aplikacji kopii zapasowej systemu plików NTFS (API). W przeciwnym razie mają zastosowanie przypisane uprawnienia do pliku i katalogu. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeBackupPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators.
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie kopii zapasowych plików i katalogów

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93053
        STIG WS2016 V-73743
        CIS WS2019 2.2.10
        CIS WS2022 2.2.10
<= Administratorzy, Operatorzy kopii zapasowych, Operatorzy serwera
(Zasady)
Krytyczne
Pomiń sprawdzanie przechodzenia
(AZ-WIN-00184)
Opis: To ustawienie zasad umożliwia użytkownikom, którzy nie mają uprawnień dostępu do folderu przechodzenia do przekazywania folderów podczas przeglądania ścieżki obiektu w systemie plików NTFS lub rejestrze. To prawo użytkownika nie zezwala użytkownikom na wyświetlanie listy zawartości folderu. Podczas konfigurowania użytkownika bezpośrednio w programie SCM wprowadź rozdzielaną przecinkami listę kont. Konta mogą być lokalne lub zlokalizowane w usłudze Active Directory, mogą to być grupy, użytkownicy lub komputery.
Ścieżka klucza: [Privilege Rights]SeChangeNotifyPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Obejście sprawdzania przechodzenia, aby uwzględnić tylko następujące konta lub grupy: Administrators, Authenticated Users, Backup Operators, Local Service, Network Service
Mapowania standardowe zgodności:
<= Administratorzy, uwierzytelnieni użytkownicy, operatorzy kopii zapasowych, usługa lokalna, usługa sieciowa
(Zasady)
Krytyczne
Zmiana czasu systemowego
(CCE-37452-0)
Opis: To ustawienie zasad określa, którzy użytkownicy i grupy mogą zmieniać godzinę i datę na wewnętrznym zegarze komputerów w danym środowisku. Użytkownicy, którym przypisano to prawo użytkownika, mogą mieć wpływ na wygląd dzienników zdarzeń. Gdy ustawienie czasu komputera zostanie zmienione, zarejestrowane zdarzenia odzwierciedlają nowy czas, a nie rzeczywisty czas wystąpienia zdarzeń. Podczas konfigurowania użytkownika bezpośrednio w programie SCM wprowadź rozdzielaną przecinkami listę kont. Konta mogą być lokalne lub zlokalizowane w usłudze Active Directory, mogą to być grupy, użytkownicy lub komputery. Uwaga: Rozbieżności między czasem na komputerze lokalnym i na kontrolerach domeny w środowisku mogą powodować problemy z protokołem uwierzytelniania Kerberos, co może uniemożliwić użytkownikom logowanie się do domeny lub uzyskanie autoryzacji dostępu do zasobów domeny po zalogowaniu się. Ponadto problemy będą występować, gdy zasady grupy są stosowane do komputerów klienckich, jeśli czas systemowy nie jest synchronizowany z kontrolerami domeny. Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE.
Ścieżka klucza: [Privilege Rights]SeSystemtimePrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, LOCAL SERVICE:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Zmień czas systemowy

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.2.11
        CIS WS2022 2.2.11
<= Administratorzy, Operatorzy serwerów, USŁUGA LOKALNA
(Zasady)
Krytyczne
Zmiana strefy czasowej
(CCE-37700-2)
Opis: To ustawienie określa, którzy użytkownicy mogą zmieniać strefę czasową komputera. Ta zdolność nie ma wielkiego zagrożenia dla komputera i może być przydatna dla pracowników mobilnych. Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE.
Ścieżka klucza: [Privilege Rights]SeTimeZonePrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, LOCAL SERVICE:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Zmienianie strefy czasowej

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.2.12
        CIS WS2022 2.2.12
<= Administratorzy, USŁUGA LOKALNA
(Zasady)
Krytyczne
Tworzenie pliku stronicowania
(CCE-35821-8)
Opis: To ustawienie zasad umożliwia użytkownikom zmianę rozmiaru pliku stronicowania. Dzięki dokonaniu bardzo dużego lub bardzo małego pliku stronicowania osoba atakująca może łatwo wpłynąć na wydajność naruszonego komputera. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeCreatePagefilePrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie pliku stronicowania

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93055
        STIG WS2016 V-73745
        CIS WS2019 2.2.13
        CIS WS2022 2.2.13
= Administratorzy
(Zasady)
Krytyczne
Tworzenie obiektu tokenu
(CCE-36861-3)
Opis: To ustawienie zasad umożliwia procesowi utworzenie tokenu dostępu, który może zapewnić podwyższony poziom uprawnień dostępu do poufnych danych. Zalecanym stanem dla tego ustawienia jest: No One.
Ścieżka klucza: [Privilege Rights]SeCreateTokenPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie obiektu tokenu

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93057
        STIG WS2016 V-73747
        CIS WS2019 2.2.14
        CIS WS2022 2.2.14
= Nikt
(Zasady)
Ostrzeżenie
Tworzenie obiektów globalnych
(CCE-37453-8)
Opis: To ustawienie zasad określa, czy użytkownicy mogą tworzyć obiekty globalne, które są dostępne dla wszystkich sesji. Użytkownicy nadal mogą tworzyć obiekty specyficzne dla własnej sesji, jeśli nie mają tego prawa użytkownika. Użytkownicy, którzy mogą tworzyć obiekty globalne, mogą mieć wpływ na procesy uruchamiane w ramach sesji innych użytkowników. Ta funkcja może prowadzić do różnych problemów, takich jak awaria aplikacji lub uszkodzenie danych. Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Uwaga: Serwer członkowski z programem Microsoft SQL Server i zainstalowanym opcjonalnym składnikiem "Integration Services" będzie wymagał specjalnego wyjątku dla tego zalecenia, aby dodatkowe wpisy wygenerowane przez program SQL zostały przyznane temu prawu użytkownika.
Ścieżka klucza: [Privilege Rights]SeCreateGlobalPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Tworzenie obiektów globalnych

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93059
        STIG WS2016 V-73749
        CIS WS2019 2.2.15
        CIS WS2022 2.2.15
<= Administratorzy, USŁUGA, USŁUGA LOKALNA, USŁUGA SIECIOWA
(Zasady)
Ostrzeżenie
Utwórz trwałe obiekty udostępnione
(CCE-36532-0)
Opis: To prawo użytkownika jest przydatne w przypadku składników trybu jądra, które rozszerzają przestrzeń nazw obiektów. Jednak składniki uruchamiane w trybie jądra mają to prawo z natury. W związku z tym zazwyczaj nie jest konieczne przypisanie tego prawa użytkownika. Zalecanym stanem dla tego ustawienia jest: No One.
Ścieżka klucza: [Prawa uprawnień]SeCreatePermanentPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Tworzenie stałych obiektów udostępnionych

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93061
        STIG WS2016 V-73751
        CIS WS2019 2.2.16
        CIS WS2022 2.2.16
= Nikt
(Zasady)
Ostrzeżenie
Tworzenie łączy symbolicznych
(CCE-35823-4)
Opis:

To ustawienie zasad określa, którzy użytkownicy mogą tworzyć łącza symboliczne. W systemie Windows Vista istniejące obiekty systemu plików NTFS, takie jak pliki i foldery, można uzyskać dostęp, odwołując się do nowego rodzaju obiektu systemu plików o nazwie link symboliczny. Łącze symboliczne to wskaźnik (podobnie jak skrót lub plik .lnk) do innego obiektu systemu plików, który może być plikiem, folderem, skrótem lub innym łączem symbolicznym. Różnica między skrótem a linkiem symbolicznym polega na tym, że skrót działa tylko z poziomu powłoki systemu Windows. W przypadku innych programów i aplikacji skróty są po prostu kolejnym plikiem, natomiast z linkami symbolicznymi pojęcie skrótu jest implementowane jako funkcja systemu plików NTFS. Linki symboliczne mogą potencjalnie uwidaczniać luki w zabezpieczeniach w aplikacjach, które nie są przeznaczone do ich używania. Z tego powodu uprawnienie do tworzenia linków symbolicznych powinno być przypisane tylko do zaufanych użytkowników. Domyślnie tylko administratorzy mogą tworzyć łącza symboliczne. - Poziom 1 — kontroler domeny. Zalecanym stanem dla tego ustawienia jest: "Administratorzy". - Poziom 1 — serwer członkowski. Zalecanym stanem dla tego ustawienia jest: "Administratorzy" i (po zainstalowaniu roli funkcji Hyper-V ) "NT VIRTUAL MACHINE\Virtual Machines".


Ścieżka klucza: [Privilege Rights]SeCreateSymbolicLinkPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Aby zaimplementować zalecany stan konfiguracji, skonfiguruj następującą ścieżkę interfejsu użytkownika:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie łączy symbolicznych

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93063
        STIG WS2016 V-73753
        CIS WS2019 2.2.17
        CIS WS2022 2.2.17
        CIS WS2019 2.2.18
        CIS WS2022 2.2.18
<= Administratorzy, NT VIRTUAL MACHINE\Virtual Machines
(Zasady)
Krytyczne
Debugowanie programów
(AZ-WIN-73755)
Opis: To ustawienie zasad określa, które konta użytkowników będą miały prawo dołączać debuger do dowolnego procesu lub jądra, co zapewnia pełny dostęp do poufnych i krytycznych składników systemu operacyjnego. Deweloperzy, którzy debugują własne aplikacje, nie muszą mieć przypisanego prawa użytkownika; jednak deweloperzy, którzy debugują nowe składniki systemu, będą go potrzebować. Zalecanym stanem dla tego ustawienia jest: Administrators. Uwaga: to prawo użytkownika jest uznawane za "poufne uprawnienia" na potrzeby inspekcji.
Ścieżka klucza: [Privilege Rights]SeDebugPrivilege
System operacyjny: WS2016, WS2019
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Debugowanie programów
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.2.19
        CIS WS2019 2.2.19
= Administratorzy
(Zasady)
Krytyczne
Odmowa dostępu do tego komputera z sieci
(CCE-37954-5)
Opis:

To ustawienie zasad uniemożliwia użytkownikom nawiązywanie połączenia z komputerem z całej sieci, co pozwoliłoby użytkownikom na zdalny dostęp do danych i potencjalnie ich modyfikowanie. W środowiskach o wysokim poziomie zabezpieczeń nie powinno być potrzeby, aby użytkownicy zdalni uzyskiwali dostęp do danych na komputerze. Zamiast tego udostępnianie plików powinno odbywać się przy użyciu serwerów sieciowych. - Poziom 1 — kontroler domeny. Zalecanym stanem dla tego ustawienia jest dołączenie: "Goście, konto lokalne". - Poziom 1 — serwer członkowski. Zalecanym stanem tego ustawienia jest: "Goście, konto lokalne i członek grupy Administratorzy". Uwaga: skonfigurowanie autonomicznego (nieprzyłączonych do domeny) serwera zgodnie z powyższym opisem może spowodować brak możliwości zdalnego administrowania serwerem. Uwaga: skonfigurowanie serwera członkowskiego lub serwera autonomicznego zgodnie z powyższym opisem może mieć negatywny wpływ na aplikacje, które tworzą konto usługi lokalnej i umieszczają je w grupie Administratorzy — w takim przypadku należy przekonwertować aplikację na użycie konta usługi hostowanego w domenie lub usunąć konto lokalne i członka grupy Administratorzy z tego przypisania prawego użytkownika. Korzystanie z konta usługi hostowanej w domenie jest zdecydowanie preferowane w przypadku wyjątku od tej reguły, jeśli to możliwe.


Ścieżka klucza: [Privilege Rights]SeDenyNetworkLogonRight
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Odmowa dostępu do tego komputera z sieci

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-92999
        STIG WS2016 V-73757
        CIS WS2019 2.2.20
        CIS WS2022 2.2.20
        CIS WS2019 2.2.21
        CIS WS2022 2.2.21
>= Goście
(Zasady)
Krytyczne
Odmowa logowania w trybie wsadowym
(CCE-36923-1)
Opis: To ustawienie zasad określa, które konta nie będą mogły zalogować się na komputerze jako zadanie wsadowe. Zadanie wsadowe nie jest plikiem wsadowym (.bat), ale raczej obiektem kolejki wsadowej. Konta korzystające z harmonogramu zadań do planowania zadań potrzebują tego użytkownika. Odmowa logowania jako użytkownik zadania wsadowego zastępuje prawo logowania wsadowego jako użytkownika zadania wsadowego, które może służyć do zezwalania kont na planowanie zadań zużywających nadmierne zasoby systemowe. Takie zdarzenie może spowodować wystąpienie usługi DoS. Brak przypisania tego prawa użytkownika do zalecanych kont może stanowić zagrożenie bezpieczeństwa. Zalecanym stanem tego ustawienia jest: Guests.
Ścieżka klucza: [Privilege Rights]SeDenyBatchLogonRight
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Guests
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Odmowa logowania jako zadanie wsadowe

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93001
        STIG WS2016 V-73761
        CIS WS2019 2.2.22
        CIS WS2022 2.2.22
>= Goście
(Zasady)
Krytyczne
Odmowa logowania w trybie usługi
(CCE-36877-9)
Opis: To ustawienie zabezpieczeń określa, które konta usług nie mogą rejestrować procesu jako usługi. To ustawienie zasad zastępuje ustawienie zasad Logowanie jako usługa , jeśli konto podlega obu zasadom. Zalecanym stanem tego ustawienia jest: Guests. Uwaga: to ustawienie zabezpieczeń nie ma zastosowania do kont systemu, usługi lokalnej ani usługi sieciowej.
Ścieżka klucza: [Privilege Rights]SeDenyServiceLogonRight
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Guests
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Odmowa logowania jako usługa

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93003
        STIG WS2016 V-73765
        CIS WS2019 2.2.23
        CIS WS2022 2.2.23
>= Goście
(Zasady)
Krytyczne
Odmowa logowania lokalnego
(CCE-37146-8)
Opis: To ustawienie zabezpieczeń określa, którzy użytkownicy nie mogą się zalogować na komputerze. To ustawienie zasad zastępuje ustawienie zasad Zezwalaj na logowanie lokalne , jeśli konto podlega obu zasadom. Ważne: Jeśli zastosujesz te zasady zabezpieczeń do grupy Wszyscy, nikt nie będzie mógł zalogować się lokalnie. Zalecanym stanem tego ustawienia jest: Guests.
Ścieżka klucza: [Privilege Rights]SeDenyInteractiveLogonRight
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić :Guests
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Odmowa logowania lokalnego

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93017
        STIG WS2016 V-73739
        CIS WS2019 2.2.24
        CIS WS2022 2.2.24
>= Goście
(Zasady)
Krytyczne
Odmowa logowania za pomocą usług pulpitu zdalnego
(CCE-36867-0)
Opis: To ustawienie zasad określa, czy użytkownicy mogą logować się jako klienci usług terminalowych. Po dołączeniu serwera członkowskiego punktu odniesienia do środowiska domeny nie ma potrzeby używania kont lokalnych do uzyskiwania dostępu do serwera z sieci. Konta domeny mogą uzyskiwać dostęp do serwera na potrzeby przetwarzania administracyjnego i użytkownika końcowego. Zalecanym stanem tego ustawienia jest: Guests, Local account. Uwaga: skonfigurowanie autonomicznego (nieprzyłączonych do domeny) serwera zgodnie z powyższym opisem może spowodować brak możliwości zdalnego administrowania serwerem.
Ścieżka klucza: [Privilege Rights]SeDenyRemoteInteractiveLogonRight
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Odmowa logowania za pośrednictwem usług pulpitu zdalnego
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.2.26
>= Goście
(Zasady)
Krytyczne
Określ konta komputerów i użytkowników jako zaufany dla celów delegacji
(CCE-36860-5)
Opis:

To ustawienie zasad umożliwia użytkownikom zmianę ustawienia Zaufane delegowanie na obiekcie komputera w usłudze Active Directory. Nadużycie tego uprawnienia może umożliwić nieautoryzowanym użytkownikom personifikację innych użytkowników w sieci. - Poziom 1 — kontroler domeny. Zalecanym stanem tego ustawienia jest: "Administratorzy" — Poziom 1 — Serwer członkowski. Zalecanym stanem dla tego ustawienia jest: "Nikt".


Ścieżka klucza: [Privilege Rights]SeEnableDelegationPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Włączanie kont komputerów i użytkowników, które mają być zaufane dla delegowania

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93041
        STIG WS2016 V-73777
        CIS WS2019 2.2.28
        CIS WS2022 2.2.28
= Nikt
(Zasady)
Krytyczne
Wymuszanie zamknięcia systemu z systemu zdalnego
(CCE-37877-8)
Opis: To ustawienie zasad umożliwia użytkownikom zamykanie komputerów z systemem Windows Vista z lokalizacji zdalnych w sieci. Każdy, kto został przypisany do tego prawa użytkownika, może spowodować odmowę usługi (DoS), co uniemożliwiłoby komputerowi obsługę żądań użytkowników. W związku z tym zaleca się przypisanie tego prawa użytkownika tylko wysoce zaufanym administratorom. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeRemoteShutdownPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Wymuś zamknięcie z systemu zdalnego

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93067
        STIG WS2016 V-73781
        CIS WS2019 2.2.29
        CIS WS2022 2.2.29
= Administratorzy
(Zasady)
Krytyczne
Generowanie inspekcji zabezpieczeń
(CCE-37639-2)
Opis: To ustawienie zasad określa, którzy użytkownicy lub procesy mogą generować rekordy inspekcji w dzienniku zabezpieczeń. Zalecanym stanem dla tego ustawienia jest: LOCAL SERVICE, NETWORK SERVICE. Uwaga: Serwer członkowski, na którym znajduje się rola serwera sieci Web (IIS) z usługą roli serwera sieci Web, będzie wymagał specjalnego wyjątku od tego zalecenia, aby zezwolić pulam aplikacji usług IIS na przyznanie tego prawa użytkownika. Uwaga nr 2: Serwer członkowski, który posiada rolę usług federacyjnych Active Directory, będzie wymagał specjalnego wyjątku od tego zalecenia, aby zezwolić na NT SERVICE\ADFSSrv usługi i, NT SERVICE\DRS a także skojarzone konto usługi Active Directory Federation Services, aby otrzymać to prawo użytkownika.
Ścieżka klucza: [Privilege Rights]SeAuditPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na LOCAL SERVICE, NETWORK SERVICE:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Generowanie inspekcji zabezpieczeń

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93069
        STIG WS2016 V-73783
        CIS WS2019 2.2.30
        CIS WS2022 2.2.30
<= Usługa lokalna, usługa sieciowa, PULA APLIKACJI USŁUG IIS\DefaultAppPool
(Zasady)
Krytyczne
Zwiększ zestaw roboczy procesu
(AZ-WIN-00185)
Opis: To uprawnienie określa, które konta użytkowników mogą zwiększyć lub zmniejszyć rozmiar zestawu roboczego procesu. Zestaw roboczy procesu to zestaw stron pamięci, które są obecnie widoczne dla procesu w fizycznej pamięci RAM. Te strony są rezydentami i są dostępne dla aplikacji do użycia bez wyzwalania błędu strony. Minimalny i maksymalny rozmiar zestawu roboczego wpływa na zachowanie stronicowania pamięci wirtualnej procesu. Podczas konfigurowania użytkownika bezpośrednio w programie SCM wprowadź rozdzielaną przecinkami listę kont. Konta mogą być lokalne lub zlokalizowane w usłudze Active Directory, mogą to być grupy, użytkownicy lub komputery.
Ścieżka klucza: [Privilege Rights]SeIncreaseWorkingSetPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Zwiększanie zestawu roboczego procesu
Mapowania standardowe zgodności:
<= Administratorzy, usługa lokalna
(Zasady)
Ostrzeżenie
Zwiększ priorytet planowania
(CCE-38326-5)
Opis: To ustawienie zasad określa, czy użytkownicy mogą zwiększyć klasę priorytetu podstawowego procesu. (Nie jest to operacja uprzywilejowana, aby zwiększyć względny priorytet w klasie priorytetu). To prawo użytkownika nie jest wymagane przez narzędzia administracyjne dostarczane z systemem operacyjnym, ale może być wymagane przez narzędzia programistyczne. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeIncreaseBasePriorityPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, Window Manager\Window Manager Group:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Zwiększenie priorytetu planowania

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93073
        STIG WS2016 V-73787
        CIS WS2019 2.2.33
        CIS WS2022 2.2.33
= Administratorzy
(Zasady)
Ostrzeżenie
Ładowanie i zwalnianie sterowników urządzeń
(CCE-36318-4)
Opis: To ustawienie zasad umożliwia użytkownikom dynamiczne ładowanie nowego sterownika urządzenia w systemie. Osoba atakująca może potencjalnie użyć tej funkcji, aby zainstalować złośliwy kod, który wydaje się być sterownikiem urządzenia. To prawo użytkownika jest wymagane dla użytkowników do dodawania drukarek lokalnych lub sterowników drukarek w systemie Windows Vista. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeLoadDriverPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Ładowanie i zwalnianie sterowników urządzeń

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93075
        STIG WS2016 V-73789
        CIS WS2019 2.2.34
        CIS WS2022 2.2.34
<= Administratorzy, Operatorzy wydruku
(Zasady)
Ostrzeżenie
Blokowanie stron w pamięci
(CCE-36495-0)
Opis: To ustawienie zasad umożliwia procesowi przechowywanie danych w pamięci fizycznej, co uniemożliwia systemowi stronicowanie danych na pamięć wirtualną na dysku. Jeśli przypisano to prawo użytkownika, może wystąpić znaczne obniżenie wydajności systemu. Zalecanym stanem dla tego ustawienia jest: No One.
Ścieżka klucza: [Privilege Rights]SeLockMemoryPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Blokowanie stron w pamięci

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93077
        STIG WS2016 V-73791
        CIS WS2019 2.2.35
        CIS WS2022 2.2.35
= Nikt
(Zasady)
Ostrzeżenie
Zarządzanie dziennikiem inspekcji i zabezpieczeń
(CCE-35906-7)
Opis:

To ustawienie zasad określa, którzy użytkownicy mogą zmieniać opcje inspekcji plików i katalogów oraz czyścić dziennik zabezpieczeń. W przypadku środowisk z uruchomionym programem Microsoft Exchange Server grupa "Serwery exchange" musi mieć to uprawnienie na kontrolerach domeny, aby działały prawidłowo. Biorąc pod uwagę to, kontrolery domeny udzielające grupy "Serwery Exchange" to uprawnienie są zgodne z tym testem porównawczym. Jeśli środowisko nie korzysta z programu Microsoft Exchange Server, to uprawnienie powinno być ograniczone tylko do "Administratorów" na kontrolerach domeny. - Poziom 1 — kontroler domeny. Zalecanym stanem tego ustawienia jest: "Administratorzy i (gdy program Exchange jest uruchomiony w środowisku) "Serwery Exchange". - Poziom 1 — serwer członkowski. Zalecanym stanem tego ustawienia jest: "Administratorzy"


Ścieżka klucza: [Privilege Rights]SeSecurityPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Zarządzanie inspekcją i dziennikiem zabezpieczeń

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93197
        STIG WS2016 V-73793
        CIS WS2019 2.2.37
        CIS WS2022 2.2.37
        CIS WS2019 2.2.38
        CIS WS2022 2.2.38
= Administratorzy
(Zasady)
Krytyczne
Modyfikuj etykietę obiektu
(CCE-36054-5)
Opis: To uprawnienie określa, które konta użytkowników mogą modyfikować etykietę integralności obiektów, takich jak pliki, klucze rejestru lub procesy należące do innych użytkowników. Procesy uruchomione na koncie użytkownika mogą modyfikować etykietę obiektu należącego do tego użytkownika na niższy poziom bez tego uprawnienia. Zalecanym stanem dla tego ustawienia jest: No One.
Ścieżka klucza: [Privilege Rights]SeRelabelPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Modyfikowanie etykiety obiektu

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.2.39
        CIS WS2022 2.2.39
= Nikt
(Zasady)
Ostrzeżenie
Modyfikowanie wartości środowiska oprogramowania układowego
(CCE-38113-7)
Opis: To ustawienie zasad umożliwia użytkownikom konfigurowanie zmiennych środowiskowych obejmujących cały system, które mają wpływ na konfigurację sprzętu. Te informacje są zwykle przechowywane w ostatniej znanej dobrej konfiguracji. Modyfikacja tych wartości może prowadzić do awarii sprzętu, co spowodowałoby odmowę usługi. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeSystemEnvironmentPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Modyfikowanie wartości środowiska oprogramowania układowego

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93079
        STIG WS2016 V-73795
        CIS WS2019 2.2.40
        CIS WS2022 2.2.40
= Administratorzy
(Zasady)
Ostrzeżenie
Wykonywanie zadań konserwacji woluminów
(CCE-36143-6)
Opis: To ustawienie zasad umożliwia użytkownikom zarządzanie konfiguracją woluminu lub dysku systemu, co może umożliwić użytkownikowi usunięcie woluminu i spowodowanie utraty danych oraz stanu odmowy usługi. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeManageVolumePrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Wykonywanie zadań konserwacji woluminu

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93081
        STIG WS2016 V-73797
        CIS WS2019 2.2.41
        CIS WS2022 2.2.41
= Administratorzy
(Zasady)
Ostrzeżenie
Profilowanie pojedynczego procesu
(CCE-37131-0)
Opis: To ustawienie zasad określa, którzy użytkownicy mogą używać narzędzi do monitorowania wydajności procesów niesystemowych. Zazwyczaj nie trzeba konfigurować tego prawa użytkownika do korzystania z przystawki Wydajności programu Microsoft Management Console (MMC). Jednak musisz mieć to prawo użytkownika, jeśli monitor systemu jest skonfigurowany do zbierania danych przy użyciu instrumentacji zarządzania Windows (WMI). Ograniczenie prawa użytkownika pojedynczego procesu profilu uniemożliwia intruzom uzyskanie dodatkowych informacji, których można użyć do zainstalowania ataku na system. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeProfileSingleProcessPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Pojedynczy proces

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93083
        STIG WS2016 V-73799
        CIS WS2019 2.2.42
        CIS WS2022 2.2.42
= Administratorzy
(Zasady)
Ostrzeżenie
Profilowanie wydajności systemu
(CCE-36052-9)
Opis: To ustawienie zasad umożliwia użytkownikom używanie narzędzi do wyświetlania wydajności różnych procesów systemowych, które mogą być nadużywane w celu umożliwienia osobom atakującym określenia aktywnych procesów systemu i zapewnienia wglądu w potencjalną powierzchnię ataków komputera. Zalecanym stanem dla tego ustawienia jest: Administrators, NT SERVICE\WdiServiceHost.
Ścieżka klucza: [Privilege Rights]SeSystemProfilePrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, NT SERVICE\WdiServiceHost:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Wydajność systemu profilów

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.2.43
        CIS WS2022 2.2.43
<= Administratorzy, NT SERVICE\WdiServiceHost
(Zasady)
Ostrzeżenie
Zastępowanie tokenu poziomu procesu
(CCE-37430-6)
Opis: To ustawienie zasad umożliwia jednemu procesowi lub usłudze uruchomienie innej usługi lub procesu przy użyciu innego tokenu dostępu zabezpieczającego, który może służyć do modyfikowania tokenu dostępu zabezpieczeń tego podprocesu i eskalowania uprawnień. Zalecanym stanem dla tego ustawienia jest: LOCAL SERVICE, NETWORK SERVICE. Uwaga: Serwer członkowski, na którym znajduje się rola serwera sieci Web (IIS) z usługą roli serwera sieci Web, będzie wymagał specjalnego wyjątku od tego zalecenia, aby zezwolić pulam aplikacji usług IIS na przyznanie tego prawa użytkownika. Uwaga nr 2: Serwer członkowski z zainstalowanym programem Microsoft SQL Server będzie wymagał specjalnego wyjątku dla tego zalecenia, aby dodatkowe wpisy wygenerowane przez program SQL zostały przyznane temu użytkownikowi prawo.
Ścieżka klucza: [Privilege Rights]SeAssignPrimaryTokenPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na LOCAL SERVICE, NETWORK SERVICE:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Zastąp token poziomu procesu

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.2.44
        CIS WS2022 2.2.44
<= USŁUGA LOKALNA, USŁUGA SIECIOWA
(Zasady)
Ostrzeżenie
Przywracanie plików i katalogów
(CCE-37613-7)
Opis: To ustawienie zasad określa, którzy użytkownicy mogą pomijać pliki, katalog, rejestr i inne trwałe uprawnienia obiektu podczas przywracania kopii zapasowych plików i katalogów na komputerach z systemem Windows Vista w środowisku. To prawo użytkownika określa również, którzy użytkownicy mogą ustawić prawidłowe podmioty zabezpieczeń jako właścicieli obiektów; jest podobny do prawa użytkownika Pliki kopii zapasowej i katalogi. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeRestorePrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Przywracanie plików i katalogów
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.2.45
<= Administratorzy, operatorzy kopii zapasowych
(Zasady)
Ostrzeżenie
Zamykanie systemu
(CCE-38328-1)
Opis: To ustawienie zasad określa, którzy użytkownicy są zalogowani lokalnie na komputerach w danym środowisku, mogą zamknąć system operacyjny za pomocą polecenia Zamknij. Nieprawidłowe użycie tego prawa użytkownika może spowodować odmowę usługi. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeShutdownPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Zamknij system

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 2.2.46
        CIS WS2022 2.2.46
<= Administratorzy, operatorzy kopii zapasowych
(Zasady)
Ostrzeżenie
Przejęcie na własność plików lub innych obiektów
(CCE-38325-7)
Opis: To ustawienie zasad umożliwia użytkownikom przejęcie na własność plików, folderów, kluczy rejestru, procesów lub wątków. To prawo użytkownika pomija wszelkie uprawnienia, które są w miejscu, aby chronić obiekty w celu nadania własności określonemu użytkownikowi. Zalecanym stanem dla tego ustawienia jest: Administrators.
Ścieżka klucza: [Privilege Rights]SeTakeOwnershipPrivilege
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:
Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Przejęcie własności plików lub innych obiektów

Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93087
        STIG WS2016 V-73803
        CIS WS2019 2.2.48
        CIS WS2022 2.2.48
= Administratorzy
(Zasady)
Krytyczne
Personifikuj klienta po uwierzytelnieniu prawa użytkownika musi być przypisany tylko do administratorów, usługi, usługi lokalnej i usługi sieciowej.
(AZ-WIN-73785)
Opis: Ustawienie zasad umożliwia programom uruchamianym w imieniu użytkownika personifikację tego użytkownika (lub innego określonego konta), aby mogły działać w imieniu użytkownika. Jeśli to prawo użytkownika jest wymagane w przypadku tego rodzaju personifikacji, nieautoryzowany użytkownik nie będzie mógł przekonać klienta do nawiązania połączenia, na przykład przez zdalne wywołanie procedury (RPC) lub nazwane potoki do usługi utworzonej w celu personifikacji tego klienta, co może podnieść uprawnienia nieautoryzowanego użytkownika do poziomów administracyjnych lub systemowych. Usługi uruchamiane przez program Service Control Manager mają wbudowaną grupę usług dodaną domyślnie do tokenów dostępu. Serwery COM, które są uruchamiane przez infrastrukturę COM i skonfigurowane do uruchamiania w ramach określonego konta, mają również grupę usług dodaną do swoich tokenów dostępu. W związku z tym te procesy są przypisywane do tego użytkownika bezpośrednio po uruchomieniu. Ponadto użytkownik może personifikować token dostępu, jeśli istnieją jakiekolwiek z następujących warunków: — token dostępu, który jest personifikowany, jest przeznaczony dla tego użytkownika. — Użytkownik w tej sesji logowania zalogował się do sieci przy użyciu jawnych poświadczeń w celu utworzenia tokenu dostępu. — Żądany poziom jest mniejszy niż Personifikuj, na przykład Anonimowy lub Identyfikowanie. Osoba atakująca z personifikuj klienta po uwierzytelnieniu prawa użytkownika może utworzyć usługę, nakłonić klienta do nawiązania połączenia z usługą, a następnie personifikować tego klienta w celu podniesienia poziomu dostępu osoby atakującej do tego klienta. Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Uwaga: to prawo użytkownika jest uznawane za "poufne uprawnienia" na potrzeby inspekcji. Uwaga nr 2: Serwer członkowski z programem Microsoft SQL Server i zainstalowanym opcjonalnym składnikiem "Integration Services" będzie wymagał specjalnego wyjątku dla tego zalecenia w celu udzielenia tego prawa użytkownika dodatkowych wpisów wygenerowanych przez program SQL.
Ścieżka klucza: [Privilege Rights]SeImpersonatePrivilege
System operacyjny: WS2016, WS2019
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisanie praw użytkownika\Personifikuj klienta po uwierzytelnieniu
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.2.31
        CIS WS2019 2.2.31
<= Administratorzy,Usługa,Usługa lokalna,Usługa sieciowa
(Zasady)
Ważne

Składniki systemu Windows

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Zezwalaj na uwierzytelnianie podstawowe
(CCE-36254-1)
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy usługa Windows Remote Management (WinRM) akceptuje uwierzytelnianie podstawowe od klienta zdalnego. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zdalne zarządzanie systemem Windows (WinRM)\Usługa WinRM\Zezwalaj na uwierzytelnianie podstawowe
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon WindowsRemoteManagement.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93507
        STIG WS2016 V-73599
        CIS WS2019 18.9.102.1.1
        CIS WS2022 18.9.102.2.1
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Zezwalaj na dane diagnostyczne
(AZ-WIN-00169)
Opis: To ustawienie zasad określa ilość danych diagnostycznych i danych użycia zgłoszonych firmie Microsoft. Wartość 0 spowoduje wysłanie minimalnych danych do firmy Microsoft. Te dane obejmują dane narzędzia do usuwania złośliwego oprogramowania (MSRT) i danych usługi Windows Defender, jeśli są włączone, oraz ustawienia klienta telemetrii. Ustawienie wartości 0 dotyczy tylko urządzeń korporacyjnych, EDU, IoT i serwerów. Ustawienie wartości 0 dla innych urządzeń jest równoważne wybraniu wartości 1. Wartość 1 wysyła tylko podstawową ilość danych diagnostycznych i danych użycia. Należy pamiętać, że ustawienie wartości 0 lub 1 spowoduje obniżenie wydajności niektórych środowisk na urządzeniu. Wartość 2 wysyła rozszerzone dane diagnostyczne i dane użycia. Wartość 3 wysyła te same dane co wartość 2, a także dodatkowe dane diagnostyczne, w tym pliki i zawartość, które mogły spowodować problem. Ustawienia telemetrii systemu Windows 10 mają zastosowanie do systemu operacyjnego Windows i niektórych aplikacji innych firm. To ustawienie nie ma zastosowania do aplikacji innych firm działających w systemie Windows 10. Zalecanym stanem dla tego ustawienia jest: Enabled: 0 - Security [Enterprise Only]. Uwaga: Jeśli ustawienie "Zezwalaj na telemetrię" jest skonfigurowane na wartość "0 — zabezpieczenia [tylko dla przedsiębiorstw]", opcje w usłudze Windows Update w celu odroczenia uaktualnień i aktualizacji nie będą miały żadnego wpływu.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: Diagnostic data off (not recommended) lub Enabled: Send required diagnostic data:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zbieranie danych i kompilacje w wersji zapoznawczej\Zezwalaj na dane diagnostyczne
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "DataCollection.admx/adml", który jest dołączony do szablonów administracyjnych systemu Microsoft Windows 11 Release 21H2 (lub nowszych).
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Zezwalaj na telemetrię, ale zmieniono jej nazwę na Zezwalaj na dane diagnostyczne, począwszy od szablonów administracyjnych systemu Windows 11 w wersji 21H2.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93257
        STIG WS2016 V-73551
        CIS WS2019 18.9.17.1
        CIS WS2022 18.9.17.1
>= 1
(Rejestr)
Ostrzeżenie
Zezwalaj na indeksowanie zaszyfrowanych plików
(CCE-38277-0)
Opis: To ustawienie zasad określa, czy zaszyfrowane elementy mogą być indeksowane. Po zmianie tego ustawienia indeks zostanie całkowicie skompilowany. Pełne szyfrowanie woluminów (takie jak szyfrowanie dysków funkcją BitLocker lub rozwiązanie firmy innej niż Microsoft) musi być używane do lokalizacji indeksu w celu zachowania zabezpieczeń zaszyfrowanych plików. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Search\Zezwalaj na indeksowanie zaszyfrowanych plików
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon Search.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93415
        STIG WS2016 V-73581
        CIS WS2019 18.9.67.3
        CIS WS2022 18.9.67.3
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Zezwalaj na opcjonalne konta Microsoft
(CCE-38354-7)
Opis: To ustawienie zasad umożliwia kontrolowanie, czy konta Microsoft są opcjonalne dla aplikacji ze Sklepu Windows, które wymagają zalogowania się konta. Te zasady dotyczą tylko aplikacji ze Sklepu Windows, które je obsługują. Jeśli to ustawienie zasad zostanie włączone, aplikacje ze Sklepu Windows, które zazwyczaj wymagają zalogowania się konta Microsoft, umożliwią użytkownikom logowanie się przy użyciu konta przedsiębiorstwa. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownicy będą musieli zalogować się przy użyciu konta Microsoft.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional
System operacyjny: WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Środowisko uruchomieniowe aplikacji\Zezwalaj na opcjonalne konta Microsoft
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "AppXRuntime.admx/adml", który jest dołączony do systemu Microsoft Windows 8.1 i Server 2012 R2 Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.6.1
= 1
(Rejestr)
Ostrzeżenie
Zezwalaj na niezaszyfrowany ruch
(CCE-38223-4)
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy usługa Windows Remote Management (WinRM) wysyła i odbiera niezaszyfrowane komunikaty za pośrednictwem sieci. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zdalne zarządzanie systemem Windows (WinRM)\Usługa WinRM\Zezwalaj na niezaszyfrowany ruch
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon WindowsRemoteManagement.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93499
        STIG WS2016 V-73601
        CIS WS2019 18.9.102.1.2
        CIS WS2022 18.9.102.1.2
        CIS WS2019 18.9.102.2.3
        CIS WS2022 18.9.102.2.3
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Zezwalaj użytkownikowi na kontrolę nad instalacjami
(CCE-36400-0)
Opis: umożliwia użytkownikom zmianę opcji instalacji, które są zwykle dostępne tylko dla administratorów systemu. Funkcje zabezpieczeń Instalatora Windows uniemożliwiają użytkownikom zmianę opcji instalacji zwykle zarezerwowanych dla administratorów systemu, takich jak określanie katalogu, do którego są zainstalowane pliki. Jeśli Instalator Windows wykryje, że pakiet instalacyjny zezwolił użytkownikowi na zmianę chronionej opcji, zatrzymuje instalację i wyświetla komunikat. Te funkcje zabezpieczeń działają tylko wtedy, gdy program instalacyjny jest uruchomiony w uprzywilejowanym kontekście zabezpieczeń, w którym ma dostęp do katalogów zabronionych użytkownikowi. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Instalator Windows\Zezwalaj na kontrolę użytkownika nad instalacjami
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon MSI.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows. Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie miało nazwę Włącz kontrolę użytkownika nad instalacjami, ale zmieniono jej nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93199
        STIG WS2016 V-73583
        CIS WS2019 18.9.90.1
        CIS WS2022 18.9.90.1
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Zawsze instaluj z podwyższonym poziomem uprawnień
(CCE-37490-0)
Opis: To ustawienie określa, czy Instalator Windows powinien używać uprawnień systemowych podczas instalowania dowolnego programu w systemie. Uwaga: to ustawienie jest wyświetlane zarówno w folderach Konfiguracja komputera, jak i Konfiguracja użytkownika. Aby to ustawienie było skuteczne, należy włączyć to ustawienie w obu folderach. Uwaga: jeśli jest włączona, wykwalifikowani użytkownicy mogą korzystać z uprawnień, które to ustawienie przyznaje, aby zmienić swoje uprawnienia i uzyskać stały dostęp do ograniczonych plików i folderów. Należy pamiętać, że wersja konfiguracji użytkownika tego ustawienia nie ma gwarancji bezpieczeństwa. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja użytkownika\Zasady\Szablony administracyjne\Składniki systemu Windows\Instalator Windows\Zawsze instaluj z podwyższonym poziomem uprawnień
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon MSI.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93201
        STIG WS2016 V-73585
        CIS WS2019 18.9.90.2
        CIS WS2022 18.9.90.2
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Zawsze monituj o podanie hasła podczas połączenia
(CCE-37929-7)
Opis: To ustawienie zasad określa, czy usługi terminalowe zawsze monitują komputer kliencki o podanie hasła podczas połączenia. To ustawienie zasad umożliwia wymuszenie monitu o hasło dla użytkowników, którzy logują się do usług terminalowych, nawet jeśli już podano hasło w kliencie połączenia pulpitu zdalnego. Domyślnie usługi terminalowe umożliwiają użytkownikom automatyczne logowanie się w przypadku wprowadzenia hasła w kliencie połączenia pulpitu zdalnego. Uwaga Jeśli to ustawienie zasad nie zostanie skonfigurowane, administrator komputera lokalnego może użyć narzędzia konfiguracji usług terminalowych, aby zezwolić na automatyczne wysyłanie haseł lub uniemożliwić wysyłanie haseł.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji pulpitu zdalnego\Zabezpieczenia\Zawsze monituj o hasło podczas połączenia
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W szablonach administracyjnych systemu Microsoft Windows Vista to ustawienie miało nazwę Zawsze monituj klienta o hasło podczas połączenia, ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows Server 2008 (innych niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.65.3.9.1
= 1
(Rejestr)
Krytyczne
Aplikacja: kontrolowanie zachowania dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar
(CCE-37775-4)
Opis: To ustawienie zasad steruje zachowaniem dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar. Jeśli to ustawienie zasad zostanie włączone, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia nie zostaną zapisane w dzienniku i zostaną utracone. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia zastępują stare zdarzenia. Uwaga: Stare zdarzenia mogą być zachowywane lub nie są zachowywane zgodnie z ustawieniem zasad "Dziennik kopii zapasowej automatycznie po pełnym".
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\Application\Control Zachowanie dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Zachowaj stare zdarzenia, ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.27.1.1
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Aplikacja: określ maksymalny rozmiar pliku dziennika (KB)
(CCE-37948-7)
Opis: to ustawienie zasad określa maksymalny rozmiar pliku dziennika w kilobajtach. Jeśli to ustawienie zasad zostanie włączone, można skonfigurować maksymalny rozmiar pliku dziennika w zakresie od 1 megabajtów (1024 kilobajtów) i 2 terabajtów (2147483647 kilobajtów) w kilobajtach przyrostowych. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, maksymalny rozmiar pliku dziennika zostanie ustawiony na wartość skonfigurowaną lokalnie. Tę wartość można zmienić przez administratora lokalnego przy użyciu okna dialogowego Właściwości dziennika i domyślnie wynosi 20 megabajtów.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 32,768 or greater:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\Aplikacja\Określ maksymalny rozmiar pliku dziennika (KB)
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Maximum Log Size (KB), ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i Server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.27.1.2
>= 32768
(Rejestr)
Krytyczne
Blokuj uwierzytelnianie użytkownika konta Microsoft dla wszystkich konsumentów
(AZ-WIN-20198)
Opis: To ustawienie określa, czy aplikacje i usługi na urządzeniu mogą korzystać z nowego uwierzytelniania konta Microsoft użytkownika za pośrednictwem systemu Windows OnlineID i WebAccountManager interfejsów API. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth
System operacyjny: WS2016, WS2019
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Konta Microsoft\Blokuj uwierzytelnianie użytkownika konta Microsoft klienta
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.46.1
        CIS WS2019 18.9.46.1
= 1
(Rejestr)
Krytyczne
Konfigurowanie zastępowania ustawień lokalnych na potrzeby raportowania w usłudze Microsoft MAPS
(AZ-WIN-00173)
Opis: To ustawienie zasad umożliwia skonfigurowanie lokalnego zastąpienia konfiguracji w celu dołączenia do usługi Microsoft MAPS. To ustawienie można ustawić tylko za pomocą zasad grupy. Jeśli to ustawienie zostanie włączone, ustawienie preferencji lokalnych będzie mieć priorytet nad zasadami grupy. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, zasady grupy przejmią priorytet nad ustawieniem preferencji lokalnych.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Windows Defender\MAPS\Konfigurowanie ustawienia lokalnego przesłonięcia na potrzeby raportowania do usługi Microsoft MAPS
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Szablon zasad grupy jest dostarczany przez szablon WindowsDefender.admx/adml zasad grupy dołączony do szablonów administracyjnych systemu Microsoft Windows 8.1 i Server 2012 R2 (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.47.4.1
        CIS WS2022 18.9.47.4.1
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Konfigurowanie filtru Windows SmartScreen
(CCE-35859-8)
Opis: To ustawienie zasad umożliwia zarządzanie zachowaniem filtru Windows SmartScreen. Filtr Windows SmartScreen pomaga zapewnić bezpieczeństwo komputerów przez ostrzeganie użytkowników przed uruchomieniem nierozpoznanych programów pobranych z Internetu. Niektóre informacje są wysyłane do firmy Microsoft o plikach i programach uruchamianych na komputerach z włączoną tą funkcją. Jeśli to ustawienie zasad zostanie włączone, zachowanie filtru Windows SmartScreen może być kontrolowane przez ustawienie jednej z następujących opcji: * Nadaj użytkownikowi ostrzeżenie przed uruchomieniem pobranego nieznanego oprogramowania * Wyłącz filtr SmartScreen Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, zachowanie filtru SmartScreen systemu Windows jest zarządzane przez administratorów na komputerze przy użyciu ustawień filtru Windows SmartScreen w obszarze Zabezpieczenia i konserwacja. Opcje: * Nadaj użytkownikowi ostrzeżenie przed uruchomieniem pobranego nieznanego oprogramowania * Wyłącz filtr SmartScreen
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: Ostrzegaj i zapobiegaj obejściu: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Windows Defender SmartScreen\Explorer\Configure Windows Defender SmartScreen Uwaga: Ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy WindowsExplorer.admx/adml, który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Szablony administracyjne (lub nowsze). Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Configure Windows SmartScreen (Konfigurowanie filtru Windows SmartScreen), ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 10 Release 1703.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.85.1.1
= 1
(Rejestr)
Ostrzeżenie
Wykrywanie zmian z domyślnego portu protokołu RDP
(AZ-WIN-00156)
Opis: To ustawienie określa, czy port sieciowy, który nasłuchuje połączeń pulpitu zdalnego, został zmieniony z domyślnego 3389
Ścieżka klucza: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: nie dotyczy
Mapowania standardowe zgodności:
= 3389
(Rejestr)
Krytyczne
Wyłączanie usługi Windows Search
(AZ-WIN-00176)
Opis: To ustawienie rejestru wyłącza usługę Windows Search
Ścieżka klucza: System\CurrentControlSet\Services\Wsearch\Start
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: nie dotyczy
Mapowania standardowe zgodności:
Nie istnieje lub = 4
(Rejestr)
Krytyczne
Nie zezwalaj na autoodtwarzanie dla urządzeń niebędących woluminami
(CCE-37636-8)
Opis: To ustawienie zasad nie zezwala na autoodtwarzanie dla urządzeń MTP, takich jak aparaty fotograficzne lub telefony. Jeśli to ustawienie zasad zostanie włączone, autoodtwarzanie nie będzie dozwolone dla urządzeń MTP, takich jak aparaty fotograficzne lub telefony. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, autoodtwarzanie jest włączone dla urządzeń innych niż woluminy.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume
System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zasady autoodtwarzania\Nie zezwalaj na automatyczne odtwarzanie dla urządzeń innych niż woluminy
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "AutoPlay.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.8.1
= 1
(Rejestr)
Krytyczne
Nie zezwalaj na uwierzytelnianie szyfrowane
(CCE-38318-2)
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy klient zdalnego zarządzania systemem Windows (WinRM) nie będzie używać uwierzytelniania szyfrowane. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zdalne zarządzanie systemem Windows (WinRM)\Klient WinRM\Nie zezwalaj na uwierzytelnianie szyfrowane
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon WindowsRemoteManagement.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93505
        STIG WS2016 V-73597
        CIS WS2019 18.9.102.1.3
        CIS WS2022 18.9.102.1.3
= 0
(Rejestr)
Krytyczne
Nie zezwalaj programowi WinRM na przechowywanie poświadczeń Uruchom jako
(CCE-36000-8)
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy usługa Windows Remote Management (WinRM) nie zezwala na przechowywanie poświadczeń Uruchom jako dla żadnych wtyczek. Jeśli to ustawienie zasad zostanie włączone, usługa WinRM nie zezwoli na ustawienie wartości konfiguracji RunAsUser lub RunAsPassword dla wszystkich wtyczek. Jeśli wtyczka ustawiła już wartości konfiguracji RunAsUser i RunAsPassword, wartość konfiguracji RunAsPassword zostanie wymazana z magazynu poświadczeń na tym komputerze. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, usługa WinRM zezwoli na bezpieczne przechowywanie wartości konfiguracji RunAsUser i RunAsPassword dla wtyczek. Jeśli to ustawienie zasad zostanie włączone, a następnie wyłączysz je, wszystkie wartości, które zostały wcześniej skonfigurowane dla elementu RunAsPassword, będą musiały zostać zresetowane.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zdalne zarządzanie systemem Windows (WinRM)\Usługa WinRM\Nie zezwalaj usłudze WinRM na przechowywanie poświadczeń Uruchom jako
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "WindowsRemoteManagement.admx/adml", który jest dołączony do szablonu administracyjnego systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.102.2.4
= 1
(Rejestr)
Krytyczne
Nie zezwalaj na zapisywanie haseł
(CCE-36223-6)
Opis: To ustawienie zasad pomaga uniemożliwić klientom usług terminalowych zapisywanie haseł na komputerze. Uwaga Jeśli to ustawienie zasad zostało wcześniej skonfigurowane jako Wyłączone lub Nieskonfigurowane, wszystkie wcześniej zapisane hasła zostaną usunięte po raz pierwszy po odłączeniu klienta usług terminalowych od dowolnego serwera.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Klient połączenia pulpitu zdalnego\Nie zezwalaj na zapisywanie haseł
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.65.2.2
= 1
(Rejestr)
Krytyczne
Nie usuwaj folderów tymczasowych po zakończeniu
(CCE-37946-1)
Opis: To ustawienie zasad określa, czy usługi pulpitu zdalnego zachowują foldery tymczasowe użytkownika na sesję podczas wylogowywowania. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji pulpitu zdalnego\Foldery tymczasowe\Nie usuwaj folderów tymczasowych po zakończeniu
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie nosiło nazwę Nie usuwaj folderu tymczasowego po zakończeniu, ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i Server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.65.3.11.1
Nie istnieje lub = 1
(Rejestr)
Ostrzeżenie
Nie wyświetlaj przycisku odsłaniania hasła
(CCE-37534-5)
Opis: To ustawienie zasad umożliwia skonfigurowanie wyświetlania przycisku wyświetlania hasła w środowiskach użytkownika wpisu hasła. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal
System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Interfejs użytkownika poświadczeń\Nie wyświetlaj przycisku wyświetlania hasła
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "CredUI.admx/adml", który jest dołączony do szablonów administracyjnych systemu Microsoft Windows 8.0 i Server 2012 (innych niż R2) (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.16.1
= 1
(Rejestr)
Ostrzeżenie
Nie pokazuj powiadomień o opiniach
(AZ-WIN-00140)
Opis: To ustawienie zasad umożliwia organizacji uniemożliwienie urządzeniom wyświetlania pytań zwrotnych od firmy Microsoft. Jeśli to ustawienie zasad zostanie włączone, użytkownicy nie będą już widzieć powiadomień zwrotnych za pośrednictwem aplikacji Opinie dotyczące systemu Windows. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownicy mogą zobaczyć powiadomienia za pośrednictwem aplikacji Opinie dotyczące systemu Windows z prośbą o opinię użytkowników. Uwaga: jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownicy będą mogli kontrolować, jak często otrzymują pytania zwrotne.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zbieranie danych i kompilacje w wersji zapoznawczej\Nie pokazuj powiadomień o opiniach
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "FeedbackNotifications.admx/adml", który jest dołączony do szablonów administracyjnych systemu Microsoft Windows 10 Release 1511 (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.17.4
= 1
(Rejestr)
Krytyczne
Nie używaj folderów tymczasowych na sesję
(CCE-38180-6)
Opis: Domyślnie usługi pulpitu zdalnego tworzy oddzielny folder tymczasowy na serwerze hosta sesji usług pulpitu zdalnego dla każdej aktywnej sesji, którą użytkownik utrzymuje na serwerze hosta sesji usług pulpitu zdalnego. Folder tymczasowy jest tworzony na serwerze hosta sesji usług pulpitu zdalnego w folderze Temp w folderze profilu użytkownika i ma nazwę "sessionid". Ten folder tymczasowy służy do przechowywania pojedynczych plików tymczasowych. Aby odzyskać miejsce na dysku, folder tymczasowy zostanie usunięty, gdy użytkownik wyloguje się z sesji. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji pulpitu zdalnego\Foldery tymczasowe\Nie używaj folderów tymczasowych na sesję
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.65.3.11.2
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Wyliczanie kont administratorów w przypadku podniesienia uprawnień
(CCE-36512-2)
Opis: To ustawienie zasad określa, czy konta administratora są wyświetlane, gdy użytkownik próbuje podnieść poziom uruchomionej aplikacji. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Interfejs użytkownika poświadczeń\Wyliczanie kont administratorów przy podniesieniu uprawnień
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon CredUI.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93517
        STIG WS2016 V-73487
        CIS WS2019 18.9.16.2
        CIS WS2022 18.9.16.2
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Zapobieganie pobieraniu obudów
(CCE-37126-0)
Opis: To ustawienie zasad uniemożliwia użytkownikowi pobieranie załączników (plików) z kanału informacyjnego do komputera użytkownika. Zalecanym stanem dla tego ustawienia jest: Enabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Kanały informacyjne RSS\Zapobieganie pobieraniu obudów
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "InetRes.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie miało nazwę Wyłącz pobieranie załączników, ale zmieniono jej nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i Server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.66.1
= 1
(Rejestr)
Ostrzeżenie
Wymagaj bezpiecznej komunikacji RPC
(CCE-37567-5)
Opis: określa, czy serwer hosta sesji usług pulpitu zdalnego wymaga bezpiecznej komunikacji RPC ze wszystkimi klientami lub zezwala na niezabezpieczoną komunikację. Za pomocą tego ustawienia można zwiększyć bezpieczeństwo komunikacji RPC z klientami, zezwalając tylko na uwierzytelnione i zaszyfrowane żądania. Jeśli stan ma wartość Włączone, usługi pulpitu zdalnego akceptują żądania od klientów RPC obsługujących bezpieczne żądania i nie zezwalają na niezabezpieczoną komunikację z niezaufanymi klientami. Jeśli stan ma wartość Wyłączone, usługi pulpitu zdalnego zawsze żądają zabezpieczeń dla całego ruchu RPC. Jednak niezabezpieczona komunikacja jest dozwolona dla klientów RPC, którzy nie odpowiadają na żądanie. Jeśli stan ma wartość Nieskonfigurowane, niezabezpieczona komunikacja jest dozwolona. Uwaga: interfejs RPC jest używany do administrowania i konfigurowania usług pulpitu zdalnego.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Zabezpieczenia\Wymagaj bezpiecznej komunikacji RPC
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.65.3.9.2
= 1
(Rejestr)
Krytyczne
Wymaganie uwierzytelniania użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci
(AZ-WIN-00149)
Opis: Wymagaj uwierzytelniania użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Zabezpieczenia\Wymagaj uwierzytelniania użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W szablonach administracyjnych systemu Microsoft Windows Vista to ustawienie początkowo nosiło nazwę Wymagaj uwierzytelniania użytkownika przy użyciu protokołu RDP 6.0 dla połączeń zdalnych, ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows Server 2008 (innych niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.65.3.9.4
Nie istnieje lub = 1
(Rejestr)
Krytyczne
Skanowanie dysków wymiennych
(AZ-WIN-00177)
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy skanowanie pod kątem złośliwego oprogramowania i niechcianego oprogramowania w zawartości dysków wymiennych, takich jak dyski flash USB podczas uruchamiania pełnego skanowania. Jeśli to ustawienie zostanie włączone, dyski wymienne będą skanowane podczas dowolnego typu skanowania. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, dyski wymienne nie będą skanowane podczas pełnego skanowania. Dyski wymienne mogą być nadal skanowane podczas szybkiego skanowania i skanowania niestandardowego.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Windows Defender\Scan\Skanuj dyski wymienne
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Szablon zasad grupy jest dostarczany przez szablon WindowsDefender.admx/adml zasad grupy dołączony do szablonów administracyjnych systemu Microsoft Windows 8.1 i Server 2012 R2 (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.47.12.1
        CIS WS2022 18.9.47.12.1
= 0
(Rejestr)
Krytyczne
Zabezpieczenia: Kontrolowanie zachowania dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar
(CCE-37145-0)
Opis: To ustawienie zasad steruje zachowaniem dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar. Jeśli to ustawienie zasad zostanie włączone, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia nie zostaną zapisane w dzienniku i zostaną utracone. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia zastępują stare zdarzenia. Uwaga: Stare zdarzenia mogą być zachowywane lub nie są zachowywane zgodnie z ustawieniem zasad "Dziennik kopii zapasowej automatycznie po pełnym".
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\Zabezpieczenia\Zachowanie dziennika zdarzeń kontroli, gdy plik dziennika osiągnie maksymalny rozmiar
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Zachowaj stare zdarzenia, ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.27.2.1
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Zabezpieczenia: określ maksymalny rozmiar pliku dziennika (KB)
(CCE-37695-4)
Opis: to ustawienie zasad określa maksymalny rozmiar pliku dziennika w kilobajtach. Jeśli to ustawienie zasad zostanie włączone, można skonfigurować maksymalny rozmiar pliku dziennika na 1 megabajt (1024 kilobajty) i 2 terabajty (2147 483 647 kilobajtów) w kilobajtach. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, maksymalny rozmiar pliku dziennika zostanie ustawiony na wartość skonfigurowaną lokalnie. Tę wartość można zmienić przez administratora lokalnego przy użyciu okna dialogowego Właściwości dziennika i domyślnie wynosi 20 megabajtów.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 196,608 or greater:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\Zabezpieczenia\Określ maksymalny rozmiar pliku dziennika (KB)
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Maximum Log Size (KB), ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i Server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.27.2.2
>= 196608
(Rejestr)
Krytyczne
Wysyłanie przykładów plików, gdy wymagana jest dalsza analiza
(AZ-WIN-00126)
Opis: To ustawienie zasad konfiguruje zachowanie przesyłania próbek w przypadku ustawienia zgody na telemetrię MAPS. Możliwe opcje to: (0x0) Zawsze monituj (0x1) Automatyczne wysyłanie bezpiecznych próbek (0x2) Nigdy nie wysyłaj (0x3) Wyślij wszystkie próbki automatycznie
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\MAPS\Wyślij przykłady plików, gdy wymagana jest dalsza analiza
Mapowania standardowe zgodności:
= 1
(Rejestr)
Ostrzeżenie
Ustawianie poziomu szyfrowania połączeń klienta
(CCE-36627-8)
Opis: To ustawienie zasad określa, czy komputer, który ma hostować połączenie zdalne, będzie wymuszać poziom szyfrowania dla wszystkich danych wysyłanych między nim a komputerem klienckim dla sesji zdalnej.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: High Level:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Zabezpieczenia\Ustaw poziom szyfrowania połączenia klienta
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.65.3.9.5
Nie istnieje lub = 3
(Rejestr)
Krytyczne
Ustawianie domyślnego zachowania dla funkcji AutoUruchomienie
(CCE-38217-6)
Opis: To ustawienie zasad ustawia domyślne zachowanie dla poleceń Autorun. Polecenia autorun są zwykle przechowywane w plikach autorun.inf. Często uruchamiają program instalacyjny lub inne procedury. Przed systemem Windows Vista po wstawieniu nośnika zawierającego polecenie autorun system automatycznie wykona program bez interwencji użytkownika. Spowoduje to utworzenie poważnego problemu z zabezpieczeniami, ponieważ kod może być wykonywany bez wiedzy użytkownika. Domyślne zachowanie rozpoczynające się od systemu Windows Vista to monit użytkownika, czy polecenie autorun ma zostać uruchomione. Polecenie autorun jest reprezentowane jako procedura obsługi w oknie dialogowym autoodtwarzania. Jeśli to ustawienie zasad zostanie włączone, administrator może zmienić domyślne zachowanie systemu Windows Vista lub nowszego dla autorun na: a) Całkowicie wyłączyć polecenia autorun lub b) Przywróć powrót do zachowania w systemie Windows Vista automatycznego wykonywania polecenia autorun. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, system Windows Vista lub nowszy wyświetli użytkownikowi monit o to, czy polecenie autorun ma zostać uruchomione.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: Do not execute any autorun commands:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zasady autoodtwarzania\Ustaw domyślne zachowanie funkcji AutoUruchomienie
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "AutoPlay.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Szablony administracyjne (lub nowsze).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.8.2
= 1
(Rejestr)
Krytyczne
Konfiguracja: kontrolowanie zachowania dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar
(CCE-38276-2)
Opis: To ustawienie zasad steruje zachowaniem dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar. Jeśli to ustawienie zasad zostanie włączone, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia nie zostaną zapisane w dzienniku i zostaną utracone. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia zastępują stare zdarzenia. Uwaga: Stare zdarzenia mogą być zachowywane lub nie są zachowywane zgodnie z ustawieniem zasad "Dziennik kopii zapasowej automatycznie po pełnym".
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\Setup\Control Zachowanie dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Zachowaj stare zdarzenia, ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.27.3.1
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Konfiguracja: określ maksymalny rozmiar pliku dziennika (KB)
(CCE-37526-1)
Opis: to ustawienie zasad określa maksymalny rozmiar pliku dziennika w kilobajtach. Jeśli to ustawienie zasad zostanie włączone, można skonfigurować maksymalny rozmiar pliku dziennika na 1 megabajt (1024 kilobajty) i 2 terabajty (2147 483 647 kilobajtów) w kilobajtach. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, maksymalny rozmiar pliku dziennika zostanie ustawiony na wartość skonfigurowaną lokalnie. Tę wartość można zmienić przez administratora lokalnego przy użyciu okna dialogowego Właściwości dziennika i domyślnie wynosi 20 megabajtów.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 32,768 or greater:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\Setup\Określ maksymalny rozmiar pliku dziennika (KB)
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Maximum Log Size (KB), ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i Server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.27.3.2
>= 32768
(Rejestr)
Krytyczne
Logowanie ostatniego interakcyjnego użytkownika automatycznie po ponownym uruchomieniu zainicjowanym przez system
(CCE-36977-7)
Opis: To ustawienie zasad określa, czy urządzenie będzie automatycznie logować ostatniego interakcyjnego użytkownika po ponownym uruchomieniu systemu przez usługę Windows Update. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn
System operacyjny: WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Opcje logowania systemu Windows\Logowanie ostatniego interakcyjnego użytkownika automatycznie po ponownym uruchomieniu zainicjowanym przez system
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Szablon zasad grupy jest dostarczany przez szablon WinLogon.admx/adml zasad grupy dołączony do szablonów administracyjnych systemu Microsoft Windows 8.1 i Server 2012 R2 (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93269
        STIG WS2016 V-73589
        CIS WS2019 18.9.86.1
        CIS WS2022 18.9.86.1
= 1
(Rejestr)
Krytyczne
Określ interwał sprawdzania dostępności aktualizacji definicji
(AZ-WIN-00152)
Opis: To ustawienie zasad umożliwia określenie interwału, w którym mają być sprawdzane aktualizacje definicji. Wartość czasu jest reprezentowana jako liczba godzin między sprawdzaniem aktualizacji. Prawidłowe wartości wahają się od 1 (co godzinę) do 24 (raz dziennie). Jeśli to ustawienie zostanie włączone, sprawdzanie dostępności aktualizacji definicji zostanie wykonane w określonym przedziale czasu. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, sprawdzanie dostępności aktualizacji definicji będzie wykonywane w domyślnym interwale.
Ścieżka klucza: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Aktualizacje analizy zabezpieczeń\Określ interwał sprawdzania aktualizacji analizy zabezpieczeń
Mapowania standardowe zgodności:
8=
(Rejestr)
Krytyczne
System: Kontrolowanie zachowania dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar
(CCE-36160-0)
Opis: To ustawienie zasad steruje zachowaniem dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar. Jeśli to ustawienie zasad zostanie włączone, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia nie zostaną zapisane w dzienniku i zostaną utracone. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia zastępują stare zdarzenia. Uwaga: Stare zdarzenia mogą być zachowywane lub nie są zachowywane zgodnie z ustawieniem zasad "Dziennik kopii zapasowej automatycznie po pełnym".
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\System\Kontrola zachowania dziennika, gdy plik dziennika osiągnie maksymalny rozmiar
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Zachowaj stare zdarzenia, ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.27.4.1
Nie istnieje lub = 0
(Rejestr)
Krytyczne
System: określ maksymalny rozmiar pliku dziennika (KB)
(CCE-36092-5)
Opis: to ustawienie zasad określa maksymalny rozmiar pliku dziennika w kilobajtach. Jeśli to ustawienie zasad zostanie włączone, można skonfigurować maksymalny rozmiar pliku dziennika na 1 megabajt (1024 kilobajty) i 2 terabajty (2147 483 647 kilobajtów) w kilobajtach. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, maksymalny rozmiar pliku dziennika zostanie ustawiony na wartość skonfigurowaną lokalnie. Tę wartość można zmienić przez administratora lokalnego przy użyciu okna dialogowego Właściwości dziennika i domyślnie wynosi 20 megabajtów.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 32,768 or greater:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\System\Określ maksymalny rozmiar pliku dziennika (KB)
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Uwaga nr 2: W starszych szablonach administracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Maximum Log Size (KB), ale zmieniono jego nazwę, począwszy od szablonów administracyjnych systemu Windows 8.0 i Server 2012 (inne niż R2).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.27.4.2
>= 32768
(Rejestr)
Krytyczne
Spis programu zgodności aplikacji nie może zbierać danych i wysyłać ich do firmy Microsoft.
(AZ-WIN-73543)
Opis: Niektóre funkcje mogą komunikować się z dostawcą, wysyłać informacje o systemie lub pobierać dane lub składniki dla tej funkcji. Wyłączenie tej możliwości uniemożliwi wysyłanie potencjalnie poufnych informacji poza przedsiębiorstwem i uniemożliwi niekontrolowane aktualizacje systemu. To ustawienie uniemożliwi spisowi programu zbieranie danych o systemie i wysyłanie informacji do firmy Microsoft.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: element członkowski domeny
Ścieżka zasad grupy: Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Zgodność aplikacji\Wyłącz moduł zbierający spis
Mapowania standardowe zgodności:
= 1
(Rejestr)
Informacyjny
Wyłącz autoodtwarzanie
(CCE-36875-3)
Opis: Autoodtwarzanie zaczyna odczytywać z dysku zaraz po wstawieniu nośnika na dysku, co powoduje natychmiastowe uruchomienie pliku instalacyjnego programów lub multimediów audio. Osoba atakująca może użyć tej funkcji, aby uruchomić program, aby uszkodzić komputer lub dane na komputerze. Możesz włączyć ustawienie Wyłącz autoodtwarzanie, aby wyłączyć funkcję autoodtwarzania. Autoodtwarzanie jest domyślnie wyłączone w niektórych typach dysków wymiennych, takich jak dyskietka i dyskietki, ale nie na dyskach CD-ROM. Uwaga Nie można użyć tego ustawienia zasad, aby włączyć autoodtwarzanie na dyskach komputerowych, w których jest domyślnie wyłączone, takie jak dyskietka i dyskietki.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: All drives:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zasady autoodtwarzania\Wyłącz autoodtwarzanie
Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "AutoPlay.admx/adml", który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.8.3
= 255
(Rejestr)
Krytyczne
Wyłączanie zapobiegania wykonywaniu danych dla Eksploratora
(CCE-37809-1)
Opis: Wyłączenie zapobiegania wykonywaniu danych może umożliwić działanie niektórych starszych aplikacji wtyczek bez przerywania Eksploratora. Zalecanym stanem dla tego ustawienia jest: Disabled. Uwaga: Niektóre starsze aplikacje wtyczki i inne oprogramowanie mogą nie działać z zapobieganiem wykonywaniu danych i wymagają wyjątku zdefiniowanego dla tej konkretnej wtyczki/oprogramowania.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention
System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Eksplorator plików\Wyłącz zapobieganie wykonywaniu danych dla Eksploratora
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon Explorer.admx/adml zasad grupy, który jest dołączony do szablonów administracyjnych systemu Microsoft Windows 7 i Server 2008 R2 (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93563
        STIG WS2016 V-73561
        CIS WS2019 18.9.31.2
        CIS WS2022 18.9.31.2
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Wyłączanie kończenia sterty w przypadku uszkodzenia
(CCE-36660-9)
Opis: bez kończenia sterty po uszkodzeniu starsze aplikacje wtyczek mogą nadal działać, gdy sesja Eksplorator plików uległa uszkodzeniu. Zapewnienie, że zakończenie stert w przypadku uszkodzenia jest aktywne, zapobiegnie temu. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Eksplorator plików\Wyłącz kończenie sterty po uszkodzeniu
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon Explorer.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93261
        STIG WS2016 V-73563
        CIS WS2019 18.9.31.3
        CIS WS2022 18.9.31.3
Nie istnieje lub = 0
(Rejestr)
Krytyczne
Wyłączanie środowisk konsumenckich firmy Microsoft
(AZ-WIN-00144)
Opis: To ustawienie zasad wyłącza środowiska, które ułatwiają konsumentom jak najwięcej urządzeń i konta Microsoft. Jeśli to ustawienie zasad zostanie włączone, użytkownicy nie będą już widzieć spersonalizowanych zaleceń od firmy Microsoft i powiadomień dotyczących ich konta Microsoft. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownicy mogą zobaczyć sugestie od firmy Microsoft i powiadomienia dotyczące ich konta Microsoft. Uwaga: to ustawienie dotyczy tylko jednostek SKU Enterprise i Education.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Zawartość w chmurze\Wyłącz środowiska konsumentów firmy Microsoft
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "CloudContent.admx/adml", który jest dołączony do szablonów administracyjnych systemu Microsoft Windows 10 w wersji 1511 (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.14.2
Nie istnieje lub = 1
(Rejestr)
Ostrzeżenie
Wyłączanie trybu chronionego protokołu powłoki
(CCE-36809-2)
Opis: To ustawienie zasad umożliwia skonfigurowanie ilości funkcji, które może mieć protokół powłoki. W przypadku korzystania z pełnej funkcjonalności tego protokołu aplikacje mogą otwierać foldery i uruchamiać pliki. Tryb chroniony zmniejsza funkcjonalność tego protokołu, umożliwiając aplikacjom otwieranie tylko ograniczonego zestawu folderów. Aplikacje nie mogą otwierać plików za pomocą tego protokołu, gdy jest w trybie chronionym. Zaleca się pozostawienie tego protokołu w trybie chronionym w celu zwiększenia bezpieczeństwa systemu Windows. Zalecanym stanem dla tego ustawienia jest: Disabled.
Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior
System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Eksplorator plików\Wyłącz tryb chroniony protokołem powłoki
Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon WindowsExplorer.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów administracyjnych systemu Microsoft Windows.
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        STIG WS2019 V-93263
        STIG WS2016 V-73565
        CIS WS2019 18.9.31.4
        CIS WS2022 18.9.31.4
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Włączanie monitorowania zachowania
(AZ-WIN-00178)
Opis: To ustawienie zasad umożliwia skonfigurowanie monitorowania zachowania. Jeśli włączysz lub nie skonfigurujesz tego ustawienia monitorowanie zachowania zostanie włączone. Jeśli to ustawienie zostanie wyłączone, monitorowanie zachowania zostanie wyłączone.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:
Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Program antywirusowy Windows Defender\Ochrona w czasie rzeczywistym\Włączanie monitorowania zachowania
Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Szablon zasad grupy jest dostarczany przez szablon WindowsDefender.admx/adml zasad grupy dołączony do szablonów administracyjnych systemu Microsoft Windows 8.1 i Server 2012 R2 (lub nowszych).
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2019 18.9.47.9.3
        CIS WS2022 18.9.47.9.3
Nie istnieje lub = 0
(Rejestr)
Ostrzeżenie
Włączanie rejestrowania bloków skryptów programu PowerShell
(AZ-WIN-73591)
Opis: To ustawienie zasad umożliwia rejestrowanie wszystkich danych wejściowych skryptu programu PowerShell w Applications and Services Logs\Microsoft\Windows\PowerShell\Operational kanale dziennika zdarzeń. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: Jeśli włączono rejestrowanie zdarzeń uruchamiania/zatrzymywania bloku skryptów (pole wyboru opcji), program PowerShell będzie rejestrować dodatkowe zdarzenia podczas wywoływannia polecenia, bloku skryptu, funkcji lub skryptu uruchamia lub zatrzymuje. Włączenie tej opcji powoduje wygenerowanie dużej liczby dzienników zdarzeń. CiS celowo nie zdecydowała się na zalecenie dla tej opcji, ponieważ generuje dużą liczbę zdarzeń. Jeśli organizacja zdecyduje się włączyć opcjonalne ustawienie (zaznaczone), jest to również zgodne z testem porównawczym.
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging
System operacyjny: WS2016, WS2019, WS2022
Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Windows PowerShell\Włączanie rejestrowania bloków skryptów programu PowerShell
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 18.9.100.1
        CIS WS2019 18.9.100.1
= 1
(Rejestr)
Ważne

Ustawienia systemu Windows — ustawienia zabezpieczeń

Nazwisko
(IDENTYFIKATOR)
Szczegóły Oczekiwana wartość
(Typ)
Ważność
Dostosowywanie przydziałów pamięci dla procesu
(CCE-10849-8)
Opis: To ustawienie zasad umożliwia użytkownikowi dostosowanie maksymalnej ilości pamięci dostępnej dla procesu. Możliwość dostosowywania przydziałów pamięci jest przydatna do dostrajania systemu, ale może być nadużywana. W nieprawidłowych rękach można użyć go do uruchomienia ataku typu "odmowa usługi" (DoS). Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE, NETWORK SERVICE. Uwaga: Serwer członkowski, na którym znajduje się rola serwera sieci Web (IIS) z usługą roli serwera sieci Web, będzie wymagał specjalnego wyjątku od tego zalecenia, aby zezwolić pulam aplikacji usług IIS na przyznanie tego prawa użytkownika. Uwaga nr 2: Serwer członkowski z zainstalowanym programem Microsoft SQL Server będzie wymagał specjalnego wyjątku dla tego zalecenia, aby dodatkowe wpisy wygenerowane przez program SQL zostały przyznane temu użytkownikowi prawo.
Ścieżka klucza: [Privilege Rights]SeIncreaseQuotaPrivilege
System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022
Typ serwera: Kontroler domeny, Członek domeny
Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika\Dostosowywanie przydziałów pamięci dla procesu
Mapowania standardowe zgodności:
        Identyfikator platformynazw
        CIS WS2022 2.2.6
        CIS WS2019 2.2.6
<= Administratorzy, usługa lokalna, usługa sieciowa
(Zasady)
Ostrzeżenie

Uwaga

Dostępność określonych ustawień konfiguracji gościa usługi Azure Policy może się różnić w przypadku platformy Azure Government i innych chmur krajowych.

Następne kroki

Dodatkowe artykuły dotyczące usługi Azure Policy i konfiguracji gościa: