Punkt odniesienia zabezpieczeń systemu Windows
Ten artykuł zawiera szczegółowe informacje o ustawieniach konfiguracji gości systemu Windows, które mają zastosowanie w następujących implementacjach:
- [Wersja zapoznawcza]: Maszyny z systemem Windows powinny spełniać wymagania dotyczące definicji konfiguracji gościa usługi Azure Policy dla punktu odniesienia zabezpieczeń obliczeń platformy Azure
- Luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach powinny zostać skorygowane w usłudze Azure Security Center
Aby uzyskać więcej informacji, zobacz Azure Automanage machine configuration (Konfiguracja maszyny azure Automanage).
Ważne
Konfiguracja gościa usługi Azure Policy dotyczy tylko jednostek SKU systemu Windows Server i jednostki SKU usługi Azure Stack. Nie ma zastosowania do obliczeń użytkownika końcowego, takich jak jednostki SKU systemu Windows 10 i Windows 11.
Zasady dotyczące kont — hasło
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Czas trwania blokady konta (AZ-WIN-73312) |
Opis: To ustawienie zasad określa czas, który musi zostać przekazany przed odblokowaniem zablokowanego konta, a użytkownik może spróbować zalogować się ponownie. To ustawienie powoduje określenie liczby minut, przez które zablokowane konto pozostanie niedostępne. Jeśli wartość tego ustawienia zasad jest skonfigurowana na wartość 0, zablokowane konta pozostaną zablokowane do momentu ręcznego odblokowania przez administratora. Chociaż może się wydawać, że dobrym pomysłem może być skonfigurowanie wartości tego ustawienia zasad na wartość wysoką, taka konfiguracja prawdopodobnie zwiększy liczbę połączeń odbieranych przez dział pomocy technicznej w celu odblokowania kont zablokowanych przez pomyłkę. Użytkownicy powinni pamiętać o czasie, przez jaki blokada pozostaje w miejscu, więc zdają sobie sprawę, że muszą zadzwonić tylko do działu pomocy technicznej, jeśli mają bardzo pilną potrzebę odzyskania dostępu do komputera. Zalecanym stanem dla tego ustawienia jest: 15 or more minute(s). Uwaga: ustawienia zasad haseł (sekcja 1.1) i ustawienia zasad blokady konta (sekcja 1.2) muszą być stosowane za pośrednictwem domyślnego obiektu zasad domeny obiektu zasad grupy, aby mieć globalny wpływ na konta użytkowników domeny jako domyślne zachowanie. Jeśli te ustawienia są skonfigurowane w innym obiekcie zasad grupy, będą miały wpływ tylko na konta użytkowników lokalnych na komputerach odbierających obiekt zasad grupy. Jednak niestandardowe wyjątki od domyślnych zasad haseł i reguł zasad blokady konta dla określonych użytkowników domeny i/lub grup można zdefiniować przy użyciu haseł Ustawienia obiektów (PSO), które są całkowicie oddzielone od zasad grupy i najbardziej łatwo skonfigurowane przy użyciu usługi Active Directory Administracja istrative Center.Ścieżka klucza: [System Access]LockoutDuration System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady konta\Zasady blokady konta\Czas trwania blokady konta Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 1.2.1 CIS WS2019 1.2.1 |
>= 15 (Zasady) |
Ostrzeżenie |
szablon Administracja istracyjny — Windows Defender
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Konfigurowanie wykrywania potencjalnie niechcianych aplikacji (AZ-WIN-202219) |
Opis: To ustawienie zasad kontroluje wykrywanie i działanie potencjalnie niechcianych aplikacji (PUA), które są podstępnym niechcianym pakietem aplikacji lub ich dołączonymi aplikacjami, które mogą dostarczać oprogramowanie lub złośliwe oprogramowanie. Zalecanym stanem dla tego ustawienia jest: Enabled: Block. Aby uzyskać więcej informacji, zobacz ten link: Blokuj potencjalnie niechciane aplikacje przy użyciu Program antywirusowy Microsoft Defender | Microsoft DocsŚcieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Konfigurowanie wykrywania potencjalnie niechcianych aplikacji Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15 |
= 1 (Rejestr) |
Krytyczne |
| Skanuj wszystkie pobrane pliki i załączniki (AZ-WIN-202221) |
Opis: To ustawienie zasad konfiguruje skanowanie dla wszystkich pobranych plików i załączników. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Program antywirusowy Microsoft Defender\Ochrona w czasie rzeczywistym\Skanuj wszystkie pobrane pliki i załączniki Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1 |
= 0 (Rejestr) |
Ostrzeżenie |
| Wyłączanie programu Microsoft Defender AntiVirus (AZ-WIN-202220) |
Opis: to ustawienie zasad wyłącza Program antywirusowy Microsoft Defender. Jeśli ustawienie jest skonfigurowane na wartość Wyłączone, Program antywirusowy Microsoft Defender działa, a komputery są skanowane pod kątem złośliwego oprogramowania i innego potencjalnie niechcianego oprogramowania. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Program antywirusowy Microsoft Defender\Wyłącz program Microsoft Defender AntiVirus Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16 |
= 0 (Rejestr) |
Krytyczne |
| Wyłączanie ochrony w czasie rzeczywistym (AZ-WIN-202222) |
Opis: To ustawienie zasad konfiguruje monity o ochronę w czasie rzeczywistym pod kątem znanego wykrywania złośliwego oprogramowania. Program antywirusowy Microsoft Defender alerty, gdy złośliwe oprogramowanie lub potencjalnie niechciane oprogramowanie próbuje zainstalować się lub uruchomić na komputerze. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Program antywirusowy Microsoft Defender\Ochrona w czasie rzeczywistym\Wyłącz ochronę w czasie rzeczywistym Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2 |
= 0 (Rejestr) |
Ostrzeżenie |
| Włączanie skanowania poczty e-mail (AZ-WIN-202218) |
Opis: To ustawienie zasad umożliwia skonfigurowanie skanowania poczty e-mail. Po włączeniu skanowania poczty e-mail aparat przeanalizuje skrzynkę pocztową i pliki poczty zgodnie z ich określonym formatem w celu przeanalizowania treści i załączników poczty. Obecnie jest obsługiwanych kilka formatów poczty e-mail, na przykład: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Program antywirusowy Microsoft Defender\Scan\Turn on e-mail scaning Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2 |
= 0 (Rejestr) |
Ostrzeżenie |
| Włączanie skanowania skryptów (AZ-WIN-202223) |
Opis: To ustawienie zasad umożliwia włączanie/wyłączanie skanowania skryptów. Skanowanie skryptów przechwytuje skrypty, a następnie skanuje je przed ich wykonaniem w systemie. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Program antywirusowy Microsoft Defender\Ochrona w czasie rzeczywistym\Włączanie skanowania skryptów Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4 |
= 0 (Rejestr) |
Ostrzeżenie |
szablony Administracja istracyjne — Panel sterowania
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Zezwalaj na personalizację danych wejściowych (AZ-WIN-00168) |
Opis: Te zasady umożliwiają automatyczne uczenie składnik personalizacji danych wejściowych, w tym mowę, pisanie odręczne i wpisywanie. Uczenie automatyczne umożliwia zbieranie wzorców mowy i pisma ręcznego, wpisywanie historii, kontaktów i ostatnich informacji kalendarza. Jest to wymagane do korzystania z Cortany. Niektóre z tych zebranych informacji mogą być przechowywane w usłudze OneDrive użytkownika w przypadku pisma odręcznego i wpisywania tekstu; niektóre informacje zostaną przekazane do firmy Microsoft w celu spersonalizowania mowy. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled: Konfiguracja komputera\Zasady\Administracja istrative Templates\Panel sterowania\Opcje regionalne i językowe\Zezwalaj użytkownikom na włączanie usług rozpoznawania mowy online Uwaga: Ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy Globalization.admx/adml, który jest dołączony do systemu Microsoft Windows 10 RTM (wersja 1507) Administracja istrative Templates (lub nowsze). Uwaga nr 2: W starszych szablonach Administracja istracyjnych systemu Microsoft Windows to ustawienie początkowo nosiło nazwę Zezwalaj na personalizację danych wejściowych, ale zmieniono jej nazwę na Zezwalaj użytkownikom na włączanie usług rozpoznawania mowy online począwszy od systemu Windows 10 R1809 i Server 2019 Administracja istrative Templates.Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.1.2.2 |
= 0 (Rejestr) |
Ostrzeżenie |
szablony Administracja istracyjne — przewodnik po zabezpieczeniach MS
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Wyłącz klienta SMB v1 (usuń zależność od sieci LanmanWorkstation) (AZ-WIN-00122) |
Opis: SMBv1 to starszy protokół, który używa algorytmu MD5 w ramach protokołu SMB. MD5 jest znany jako podatny na szereg ataków, takich jak kolizja i ataki przed obrazem, a także brak zgodności ze standardem FIPS. Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService System operacyjny: WS2008, WS2008R2, WS2012 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Administracja istrative Templates\MS Security Guide\Configure SMBv1 client driver Mapowania standardowe zgodności: |
Nie istnieje lub = Bowser\0MRxSmb20\0NSI\0\0 (Rejestr) |
Krytyczne |
| Uwierzytelnianie WDigest (AZ-WIN-73497) |
Opis: Po włączeniu uwierzytelniania WDigest plik Lsass.exe zachowuje kopię hasła w postaci zwykłego tekstu użytkownika w pamięci, gdzie może to być zagrożone kradzieżą. Jeśli to ustawienie nie jest skonfigurowane, uwierzytelnianie WDigest jest wyłączone w systemie Windows 8.1 i Windows Server 2012 R2; Jest ona domyślnie włączona we wcześniejszych wersjach systemów Windows i Windows Server. Aby uzyskać więcej informacji na temat kont lokalnych i kradzieży poświadczeń, zapoznaj się z dokumentami "Łagodzenie ataków typu Pass-the-Hash (PtH) i innych technik kradzieży poświadczeń". Aby uzyskać więcej informacji na temat UseLogonCredentialprogramu , zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 2871997: Aktualizacja biuletynu zabezpieczeń firmy Microsoft w celu poprawy ochrony poświadczeń i zarządzania nimi 13 maja 2014 r. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential System operacyjny: WS2016, WS2019 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MS Security Guide\WDigest Authentication (wyłączenie może wymagać KB2871997) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.3.7 CIS WS2019 18.3.7 |
= 0 (Rejestr) |
Ważne |
szablony Administracja istracyjne — MSS
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| MSS: (DisableIPSourceRouting IPv6) poziom ochrony routingu źródła ip (chroni przed fałszowaniem pakietów) (AZ-WIN-202213) |
Opis: Routing źródła adresów IP to mechanizm, który umożliwia nadawcy określenie trasy IP, którą datagram powinien podążać za pośrednictwem sieci. Zalecanym stanem dla tego ustawienia jest: Enabled: Highest protection, source routing is completely disabled.Ścieżka klucza: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MSS (starsza wersja)\MSS: (DisableIPSourceRouting IPv6) poziom ochrony routingu źródła ip (chroni przed fałszowaniem pakietów) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.4.2 CIS WS2019 18.4.2 |
= 2 (Rejestr) |
Informacyjny |
| MSS: (DisableIPSourceRouting) Poziom ochrony routingu źródła adresów IP (chroni przed fałszowaniem pakietów) (AZ-WIN-202244) |
Opis: Routing źródła adresów IP to mechanizm umożliwiający nadawcy określenie trasy IP, którą datagram powinien przejąć przez sieć. Zaleca się skonfigurowanie tego ustawienia na Wartość Niezdefiniowane dla środowisk przedsiębiorstwa i najwyższą ochronę dla środowisk o wysokim poziomie zabezpieczeń w celu całkowitego wyłączenia routingu źródłowego. Zalecanym stanem dla tego ustawienia jest: Enabled: Highest protection, source routing is completely disabled.Ścieżka klucza: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MSS (starsza wersja)\MSS: (DisableIPSourceRouting) poziom ochrony routingu źródła ip (chroni przed fałszowaniem pakietów) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.4.3 CIS WS2019 18.4.3 |
= 2 (Rejestr) |
Informacyjny |
| MSS: (NoNameReleaseOnDemand) Zezwalaj komputerowi na ignorowanie żądań wydania nazw NetBIOS z wyjątkiem serwerów WINS (AZ-WIN-202214) |
Opis: NetBIOS za pośrednictwem protokołu TCP/IP to protokół sieciowy, który między innymi umożliwia łatwe rozpoznawanie nazw NetBIOS zarejestrowanych w systemach Windows do adresów IP skonfigurowanych w tych systemach. To ustawienie określa, czy komputer zwalnia nazwę NetBIOS po odebraniu żądania wydania nazwy. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MSS (starsza wersja)\MSS: (NoNameReleaseOnDemand) Zezwól komputerowi na ignorowanie żądań wydania nazw NetBIOS z wyjątkiem serwerów WINS Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.4.6 CIS WS2019 18.4.6 |
= 1 (Rejestr) |
Informacyjny |
| MSS: (Sejf DllSearchMode) Włącz tryb wyszukiwania Sejf DLL (zalecane) (AZ-WIN-202215) |
Opis: Kolejność wyszukiwania bibliotek DLL można skonfigurować tak, aby wyszukiwała żądane biblioteki DLL, uruchamiając procesy na jeden z dwóch sposobów: — najpierw wyszukaj foldery określone w ścieżce systemowej, a następnie wyszukaj bieżący folder roboczy. — Najpierw wyszukaj bieżący folder roboczy, a następnie wyszukaj foldery określone w ścieżce systemowej. Po włączeniu wartość rejestru jest ustawiona na 1. W przypadku ustawienia 1 system najpierw przeszukuje foldery określone w ścieżce systemowej, a następnie przeszukuje bieżący folder roboczy. Po wyłączeniu wartości rejestru ustawiono wartość 0, a system najpierw przeszukuje bieżący folder roboczy, a następnie przeszukuje foldery określone w ścieżce systemowej. Aplikacje będą najpierw musiały wyszukiwać biblioteki DLL w ścieżce systemowej. W przypadku aplikacji wymagających unikatowych wersji tych bibliotek DLL, które są dołączone do aplikacji, ten wpis może powodować problemy z wydajnością lub stabilnością. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: Więcej informacji na temat działania trybu wyszukiwania biblioteki DLL Sejf znajduje się pod tym linkiem: Dynamic-Link Library Search Order — Aplikacje systemu Windows | Microsoft DocsŚcieżka klucza: SYSTEM\CurrentControlSet\Control\Session Manager\Sejf DllSearchMode System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MSS (starsza wersja)\MSS: (Sejf DllSearchMode) Włącz tryb wyszukiwania Sejf DLL (zalecane) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.4.8 CIS WS2019 18.4.8 |
= 1 (Rejestr) |
Ostrzeżenie |
| MSS: (WarningLevel) Próg procentowy dziennika zdarzeń zabezpieczeń, w którym system wygeneruje ostrzeżenie (AZ-WIN-202212) |
Opis: To ustawienie może wygenerować inspekcję zabezpieczeń w dzienniku zdarzeń zabezpieczeń, gdy dziennik osiągnie próg zdefiniowany przez użytkownika. Zalecanym stanem dla tego ustawienia jest: Enabled: 90% or less. Uwaga: jeśli ustawienia dziennika są skonfigurowane do zastępowania zdarzeń zgodnie z potrzebami lub zastępowania zdarzeń starszych niż x dni, to zdarzenie nie zostanie wygenerowane.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MSS (starsza wersja)\MSS: (WarningLevel) Próg procentowy dziennika zdarzeń zabezpieczeń, w którym system wygeneruje ostrzeżenie Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.4.12 CIS WS2019 18.4.12 |
<= 90 (Rejestr) |
Informacyjny |
| System Windows Server musi być skonfigurowany tak, aby uniemożliwić przekierowywanie protokołu ICMP (Internet Control Message Protocol) do zastępowania tras generowanych przez protokół Open Shortest Path First (OSPF). (AZ-WIN-73503) |
Opis: Przekierowania protokołu ICMP (Internet Control Message Protocol) powodują, że stos IPv4 jest przekierowywany do tras hosta plumb. Te trasy zastępują trasy wygenerowane przez protokół Open Shortest Path First (OSPF). Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MSS (starsza wersja)\MSS: (EnableICMPRedirect) Zezwalaj przekierowaniom ICMP na zastąpienie tras wygenerowanych przez OSPF Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.4.4 CIS WS2019 18.4.4 |
= 0 (Rejestr) |
Informacyjny |
szablony Administracja istracyjne — sieć
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Włącz niezabezpieczone logowania gościa (AZ-WIN-00171) |
Opis: To ustawienie zasad określa, czy klient SMB zezwoli na niezabezpieczone logowania gościa do serwera SMB. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth System operacyjny: WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\szablony Administracja istracyjne etwork\Lanman Workstation\Enable insecure guest logons Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "LanmanWorkstation.admx/adml", który jest dołączony do systemu Microsoft Windows 10 Release 1511 Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1 |
= 0 (Rejestr) |
Krytyczne |
| Ścieżki UNC ze wzmocnionym zabezpieczeniami — NETLOGON (AZ_WIN_202250) |
Opis: To ustawienie zasad konfiguruje bezpieczny dostęp do ścieżek UNC Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\NETLOGON System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Administracja istrative Templates\Network\Network Provider\Hardened UNC Path Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Rejestr) |
Ostrzeżenie |
| Ścieżki UNC ze wzmocnionym zabezpieczeniami — SYSVOL (AZ_WIN_202251) |
Opis: To ustawienie zasad konfiguruje bezpieczny dostęp do ścieżek UNC Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\SYSVOL System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Administracja istrative Templates\Network\Network Provider\Hardened UNC Path Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Rejestr) |
Ostrzeżenie |
| Minimalizuj liczbę równoczesnych połączeń z Internetem lub domeną systemu Windows (CCE-38338-0) |
Opis: To ustawienie zasad uniemożliwia komputerom jednoczesne łączenie się z siecią opartą na domenie i siecią nienależącą do domeny. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimize Połączenie ions System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 3 = Prevent Wi-Fi when on Ethernet:Konfiguracja komputera\Zasady\szablony Administracja istracyjne etwork\Windows Połączenie ion Manager\Minimalizuj liczbę równoczesnych połączeń z Internetem lub domeną systemu Windows Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on udostępniany przez szablon zasad grupy "WCM.admx/adml", który jest dołączony do szablonów microsoft Windows 8.0 i Server 2012 (innych niż R2) Administracja istrative Templates. Zaktualizowano go przy użyciu nowego ustawienia podrzędnego Minimalizuj opcje zasad począwszy od systemu Windows 10 Release 1903 Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.5.21.1 |
Nie istnieje lub = 1 (Rejestr) |
Ostrzeżenie |
| Uniemożliwianie instalacji i konfiguracji mostka sieciowego w sieci domeny DNS (CCE-38002-2) |
Opis: Ta procedura służy do kontrolowania możliwości instalowania i konfigurowania mostka sieciowego przez użytkownika. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Network Połączenie ions\NC_AllowNetBridge_NLA System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Network\Network Połączenie ions\Zakaz instalacji i konfiguracji mostka sieciowego w sieci domeny DNS Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon NetworkConnections.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows.Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2 |
= 0 (Rejestr) |
Ostrzeżenie |
| Uniemożliwianie korzystania z udostępniania Połączenie internetowego w sieci domeny DNS (AZ-WIN-00172) |
Opis: Mimo że to ustawienie "starsza wersja" tradycyjnie stosowane do korzystania z funkcji udostępniania internetowego Połączenie ion (ICS) w systemie Windows 2000, Windows XP i Server 2003, to ustawienie jest teraz świeżo stosowane do funkcji Mobile Hotspot w systemie Windows 10 i Server 2016. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Network Połączenie ions\NC_ShowSharedAccessUI System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\szablony Administracja istracyjne etwork etwork Połączenie ions\Zakaz korzystania z udostępniania Połączenie internetowego w sieci domeny DNS Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "Network Połączenie ions.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.5.11.3 |
= 0 (Rejestr) |
Ostrzeżenie |
| Wyłączanie rozpoznawania nazw multiemisji (AZ-WIN-00145) |
Opis: LLMNR jest pomocniczym protokołem rozpoznawania nazw. W przypadku usługi LLMNR zapytania są wysyłane przy użyciu multiemisji za pośrednictwem łącza sieci lokalnej w jednej podsieci z komputera klienckiego do innego komputera klienckiego w tej samej podsieci, która ma również włączoną funkcję LLMNR. Usługa LLMNR nie wymaga konfiguracji serwera DNS ani klienta DNS i zapewnia rozpoznawanie nazw w scenariuszach, w których konwencjonalne rozpoznawanie nazw DNS nie jest możliwe. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast System operacyjny: WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\szablony Administracja istracyjne etwork\DNS Client\Wyłącz rozpoznawanie nazw multiemisji Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "DnsClient.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (non-R2) Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.5.4.2 |
= 0 (Rejestr) |
Ostrzeżenie |
szablony Administracja istracyjne — przewodnik po zabezpieczeniach
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Włącz ochronę przed zastąpieniem obsługi wyjątków strukturalnych (SEHOP) (AZ-WIN-202210) |
Opis: System Windows obejmuje obsługę ochrony zastąpów wyjątków strukturalnych (SEHOP). Zalecamy włączenie tej funkcji w celu zwiększenia profilu zabezpieczeń komputera. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MS Security Guide\Enable Structured Exception Handling Overwrite Protection (SEHOP) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.3.4 CIS WS2019 18.3.4 |
= 0 (Rejestr) |
Krytyczne |
| Konfiguracja netBT NodeType (AZ-WIN-202211) |
Opis: To ustawienie określa, która metoda NetBIOS za pośrednictwem protokołu TCP/IP (NetBT) używa do rejestrowania i rozpoznawania nazw. Dostępne metody to: — Metoda B-Node (emisja) używa tylko emisji. - Metoda P-Node (punkt-punkt) używa tylko zapytań nazw do serwera nazw (WINS). - Metoda M-Node (mieszana) emituje najpierw, a następnie wysyła zapytanie do serwera nazw (WINS), jeśli emisja nie powiodła się. - Metoda H-Node (hybrydowa) najpierw wysyła zapytanie do serwera nazw (WINS), a następnie emituje, jeśli zapytanie nie powiodło się. Zalecanym stanem dla tego ustawienia jest: Enabled: P-node (recommended) (punkt-punkt). Uwaga: rozpoznawanie za pomocą systemu LMHOSTS lub DNS jest zgodne z tymi metodami. NodeType Jeśli wartość rejestru jest obecna, zastępuje dowolną DhcpNodeType wartość rejestru. Jeśli ani nie NodeTypeDhcpNodeType istnieje, komputer używa węzła B(emisja), jeśli nie ma serwerów WINS skonfigurowanych dla sieci lub węzła H (hybrydowego), jeśli jest skonfigurowany co najmniej jeden serwer WINS.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MS Security Guide\NetBT NodeType konfiguracji Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.3.6 CIS WS2019 18.3.6 |
= 2 (Rejestr) |
Ostrzeżenie |
szablony Administracja istracyjne — system
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Blokowanie użytkownikowi wyświetlania szczegółów konta podczas logowania (AZ-WIN-00138) |
Opis: Te zasady uniemożliwiają użytkownikowi wyświetlanie szczegółów konta (adresu e-mail lub nazwy użytkownika) na ekranie logowania. Jeśli to ustawienie zasad zostanie włączone, użytkownik nie będzie mógł wyświetlić szczegółów konta na ekranie logowania. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownik może wybrać wyświetlanie szczegółów konta na ekranie logowania. Ścieżka klucza: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Logon\Blokuj użytkownikowi wyświetlanie szczegółów konta podczas logowania Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "Logon.admx/adml", który jest dołączony do systemu Microsoft Windows 10 Release 1607 & Server 2016 Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.28.1 |
= 1 (Rejestr) |
Ostrzeżenie |
| Zasady inicjowania sterowników rozruchu (CCE-37912-3) |
Opis: To ustawienie zasad umożliwia określenie, które sterowniki rozruchu są inicjowane na podstawie klasyfikacji określonej przez sterownik rozruchu wczesnej ochrony przed złośliwym kodem. Sterownik rozruchu wczesnej ochrony przed złośliwym kodem może zwrócić następujące klasyfikacje dla każdego sterownika rozruchu: — Dobry: sterownik został podpisany i nie został naruszony. - Źle: sterownik został zidentyfikowany jako złośliwe oprogramowanie. Zaleca się, aby nie zezwalać na inicjowanie znanych nieprawidłowych sterowników. - Zły, ale wymagany do rozruchu: sterownik został zidentyfikowany jako złośliwe oprogramowanie, ale komputer nie może pomyślnie uruchomić się bez ładowania tego sterownika. — Nieznany: ten sterownik nie został przetestowany przez aplikację wykrywania złośliwego oprogramowania i nie został sklasyfikowany przez sterownik rozruchu wczesnego uruchamiania oprogramowania chroniącego przed złośliwym kodem. Jeśli to ustawienie zasad zostanie włączone, będzie można wybrać sterowniki rozruchu do zainicjowania przy następnym uruchomieniu komputera. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, sterowniki uruchamiania rozruchu zostaną uznane za dobre, nieznane lub złe, ale krytyczne dla rozruchu są inicjowane, a inicjowanie sterowników określonych jako Nieprawidłowe jest pomijane. Jeśli aplikacja wykrywania złośliwego oprogramowania nie zawiera sterownika rozruchu wczesnego uruchamiania oprogramowania chroniącego przed złośliwym kodem lub jeśli sterownik rozruchu wczesnej ochrony przed złośliwym kodem został wyłączony, to ustawienie nie ma żadnego wpływu i zainicjowano wszystkie sterowniki rozruchu. Ścieżka klucza: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Good, unknown and bad but critical:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "EarlyLaunchAM.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 & Server 2012 (non-R2) Administracja istrative Templates (lub nowsze). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.14.1 |
Nie istnieje lub = 3 (Rejestr) |
Ostrzeżenie |
| Konfigurowanie pomocy zdalnej oferty (CCE-36388-7) |
Opis: To ustawienie zasad umożliwia włączenie lub wyłączenie pomocy zdalnej oferty (niezamówionej) na tym komputerze. Personel pomocy technicznej i personel pomocy technicznej nie będzie mógł aktywnie oferować pomocy, chociaż nadal może odpowiadać na żądania pomocy użytkowników. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Remote Assistance\Configure Offer Remote Assistance Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon RemoteAssistance.admx/adml zasad grupy, który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (non-R2) Administracja istrative Templates (lub nowszych).Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Konfigurowanie żądanej pomocy zdalnej (CCE-37281-3) |
Opis: To ustawienie zasad umożliwia włączenie lub wyłączenie pomocy zdalnej na tym komputerze. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Remote Assistance\Configure Solicited Remote Assistance Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon RemoteAssistance.admx/adml zasad grupy, który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (non-R2) Administracja istrative Templates (lub nowszych).Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2 |
= 0 (Rejestr) |
Krytyczne |
| Nie wyświetlaj interfejsu użytkownika wyboru sieci (CCE-38353-9) |
Opis: To ustawienie zasad umożliwia kontrolowanie, czy każda osoba może korzystać z dostępnego interfejsu użytkownika sieci na ekranie logowania. Jeśli to ustawienie zasad zostanie włączone, nie można zmienić stanu łączności sieciowej komputera bez logowania się do systemu Windows. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, każdy użytkownik będzie mógł odłączyć komputer z sieci lub połączyć komputer z innymi dostępnymi sieciami bez logowania się do systemu Windows. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Logon\Nie wyświetlaj interfejsu użytkownika wyboru sieci Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "Logon.admx/adml", który jest dołączony do systemu Microsoft Windows 8.1 & Server 2012 R2 Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.28.2 |
= 1 (Rejestr) |
Ostrzeżenie |
| Nie wyliczaj połączonych użytkowników na komputerach przyłączonych do domeny (AZ-WIN-202216) |
Opis: To ustawienie zasad uniemożliwia wyliczanie połączonych użytkowników na komputerach przyłączonych do domeny. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: Software\Policies\Microsoft\Windows\System\DontEnumerate Połączenie edUsers System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Logon\Nie wyliczaj połączonych użytkowników na komputerach przyłączonych do domeny Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3 |
= 1 (Rejestr) |
Ostrzeżenie |
| Włączanie uwierzytelniania klienta mapowania punktu końcowego RPC (CCE-37346-4) |
Opis: To ustawienie zasad określa, czy klienci RPC uwierzytelniają się w usłudze Mapper punktu końcowego, gdy wywołanie, które wykonuje, zawiera informacje o uwierzytelnianiu. Usługa mapowania punktu końcowego na komputerach z systemem Windows NT4 (wszystkie dodatki Service Pack) nie może przetworzyć informacji uwierzytelniania podanych w ten sposób. Jeśli to ustawienie zasad zostanie wyłączone, klienci RPC nie będą uwierzytelniać się w usłudze Mapper punktu końcowego, ale będą mogli komunikować się z usługą Mapper punktu końcowego w systemie Windows NT4 Server. Jeśli to ustawienie zasad zostanie włączone, klienci RPC będą uwierzytelniać się w usłudze Mapper punktu końcowego pod kątem wywołań zawierających informacje o uwierzytelnianiu. Klienci wykonujący takie wywołania nie będą mogli komunikować się z usługą mapowania punktu końcowego systemu Windows NT4 Server. Jeśli to ustawienie zasad nie zostanie skonfigurowane, pozostanie wyłączone. Klienci RPC nie będą uwierzytelniać się w usłudze Mapper punktu końcowego, ale będą mogli komunikować się z usługą Mapper punktów końcowych systemu Windows NT4 Server. Uwaga: te zasady nie zostaną zastosowane do momentu ponownego uruchomienia systemu. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "RPC.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 & Server 2012 (non-R2) Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.37.1 |
= 1 (Rejestr) |
Krytyczne |
| Włączanie klienta NTP systemu Windows (CCE-37843-0) |
Opis: To ustawienie zasad określa, czy klient NTP systemu Windows jest włączony. Włączenie klienta WINDOWS NTP umożliwia komputerowi synchronizowanie zegara komputera z innymi serwerami NTP. Możesz wyłączyć tę usługę, jeśli zdecydujesz się użyć dostawcy czasu innej firmy. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "W32Time.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.53.1.1 |
= 1 (Rejestr) |
Krytyczne |
| Korygowanie oracle szyfrowania dla protokołu CredSSP (AZ-WIN-201910) |
Opis: Niektóre wersje protokołu CredSSP używanego przez niektóre aplikacje (takie jak pulpit zdalny Połączenie ion) są narażone na atak wyroczni szyfrowania na klienta. Te zasady kontrolują zgodność z klientami i serwerami podatnymi na zagrożenia i umożliwiają ustawienie poziomu ochrony wymaganego dla luki w zabezpieczeniach wyroczni szyfrowania. Zalecanym stanem dla tego ustawienia jest: Enabled: Force Updated Clients.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle System operacyjny: WS2016, WS2019 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Credentials Delegation\Encryption Oracle Remediation Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1 |
= 0 (Rejestr) |
Krytyczne |
| Upewnij się, że ustawienie "Konfigurowanie przetwarzania zasad rejestru: nie należy stosować podczas okresowego przetwarzania w tle" jest ustawiona na wartość "Włączone: FAŁSZ" (CCE-36169-1) |
Opis: opcja "Nie należy stosować podczas okresowego przetwarzania w tle" uniemożliwia systemowi aktualizowanie zasad, których dotyczy problem w tle, gdy komputer jest w użyciu. Po wyłączeniu aktualizacji w tle zmiany zasad nie zostaną zastosowane do momentu ponownego logowania użytkownika lub ponownego uruchomienia systemu. Zalecanym stanem tego ustawienia jest: Enabled: FALSE (niezaznaczone).Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu Process even if the Group Policy objects have not changed użytkownika na Enabled, a następnie ustaw opcję na TRUE (zaznaczone):Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\System\Zasady grupy\Konfigurowanie przetwarzania zasad rejestru Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon GroupPolicy.admx/adml zasad grupy, który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (non-R2) Administracja istrative Templates (lub nowszych).Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2 |
= 0 (Rejestr) |
Krytyczne |
| Upewnij się, że ustawienie "Konfigurowanie przetwarzania zasad rejestru: przetwarzanie, nawet jeśli obiekty zasad grupy nie zostały zmienione" jest ustawione na wartość "Włączone: PRAWDA" (CCE-36169-1a) |
Opis: opcja "Proces, nawet jeśli obiekty zasad grupy nie uległy zmianie", aktualizuje i ponownie wprowadza zasady, nawet jeśli zasady nie uległy zmianie. Zalecanym stanem tego ustawienia jest: Enabled: TRUE (zaznaczone).Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled, a następnie ustaw opcję "Proces nawet jeśli obiekty zasad grupy nie zostały zmienione" na wartość "TRUE" (zaznaczone):Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\System\Zasady grupy\Konfigurowanie przetwarzania zasad rejestru Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "GroupPolicy.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Administracja istracyjne szablony (lub nowsze). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.21.3 |
= 0 (Rejestr) |
Krytyczne |
| Upewnij się, że ustawienie "Kontynuuj środowisko na tym urządzeniu" ma wartość "Wyłączone" (AZ-WIN-00170) |
Opis: To ustawienie zasad określa, czy urządzenie z systemem Windows może uczestniczyć w środowiskach między urządzeniami (w kolejnych środowiskach). Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Group Policy\Continue środowiska na tym urządzeniu Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "GroupPolicy.admx/adml", który jest dołączony do systemu Microsoft Windows 10 Release 1607 & Server 2016 Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.21.4 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Wyliczanie użytkowników lokalnych na komputerach przyłączonych do domeny (AZ_WIN_202204) |
Opis: To ustawienie zasad umożliwia wyliczanie użytkowników lokalnych na komputerach przyłączonych do domeny. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: element członkowski domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Logon\Wyliczanie lokalnych użytkowników na komputerach przyłączonych do domeny Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Obejmują wiersza polecenia do procesu tworzenia zdarzeń (CCE-36925-6) |
Opis: To ustawienie zasad określa, jakie informacje są rejestrowane w zdarzeniach inspekcji zabezpieczeń po utworzeniu nowego procesu. To ustawienie dotyczy tylko podczas tworzenia procesu inspekcji jest włączona. Po włączeniu tego ustawienia zasad, które informacje wiersza polecenia dla każdego procesu będą rejestrowane w postaci zwykłego tekstu w dzienniku zdarzeń zabezpieczeń w ramach zdarzeń inspekcji procesu tworzenia 4688 "nowy proces utworzono," na stacjach roboczych i serwerach, na których jest stosowane ustawienie zasad. Jeśli zostanie wyłączone lub nie zostanie skonfigurowane ustawienie zasad informacje wiersza polecenia procesu nie zostaną włączone do inspekcji procesu tworzenia zdarzeń. Ustawienie domyślne: Nieskonfigurowane Uwaga: po włączeniu tego ustawienia zasad każdy użytkownik z dostępem do odczytu zdarzeń zabezpieczeń będzie mógł odczytać argumenty wiersza polecenia dla każdego pomyślnie utworzonego procesu. Argumenty wiersza polecenia mogą zawierać poufne lub prywatne informacje, takie jak hasła i dane użytkowników. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Audit Process Creation\Include wiersza polecenia w zdarzeniach tworzenia procesu Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "Audit Ustawienia.admx/adml", który jest dołączony do systemu Microsoft Windows 8.1 & Server 2012 R2 Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.3.1 |
= 1 (Rejestr) |
Krytyczne |
| Zapobieganie pobieraniu metadanych urządzenia z Internetu (AZ-WIN-202251) |
Opis: To ustawienie zasad umożliwia uniemożliwienie systemowi Windows pobierania metadanych urządzenia z Internetu. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: nie uniemożliwia to instalacji podstawowych sterowników sprzętu, ale uniemożliwia automatyczne instalowanie skojarzonego oprogramowania narzędzi innej firmy w kontekście SYSTEM konta.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Instalacja urządzenia\Zapobieganie pobieraniu metadanych urządzenia z Internetu Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2 |
= 1 (Rejestr) |
Informacyjny |
| Host zdalny zezwala na delegowanie poświadczeń nieeksportowalnych (AZ-WIN-20199) |
Opis: Host zdalny zezwala na delegowanie poświadczeń nieeksportowalnych. W przypadku korzystania z delegowania poświadczeń urządzenia zapewniają eksportowalną wersję poświadczeń do hosta zdalnego. Naraża to użytkowników na ryzyko kradzieży poświadczeń przez osoby atakujące na hoście zdalnym. Funkcje trybu Administracja z ograniczeniami i funkcji Windows Defender Remote Credential Guard są dwiema opcjami, które ułatwiają ochronę przed tym ryzykiem. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: Bardziej szczegółowe informacje na temat funkcji Windows Defender Remote Credential Guard oraz porównanie z trybem Administracja z ograniczeniami można znaleźć pod tym linkiem: Ochrona poświadczeń pulpitu zdalnego za pomocą funkcji Windows Defender Remote Credential Guard (Windows 10) | Microsoft DocsŚcieżka klucza: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds System operacyjny: WS2016, WS2019 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Credentials Delegation\Remote host zezwala na delegowanie poświadczeń nieeksportowalnych Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2 |
= 1 (Rejestr) |
Krytyczne |
| Wyłączanie powiadomień aplikacji na ekranie blokady (CCE-35893-7) |
Opis: To ustawienie zasad umożliwia uniemożliwienie wyświetlania powiadomień aplikacji na ekranie blokady. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Logon\Wyłącz powiadomienia aplikacji na ekranie blokady Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "Logon.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (non-R2) Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.28.5 |
= 1 (Rejestr) |
Ostrzeżenie |
| Wyłącz odświeżanie w tle zasad grupy (CCE-14437-8) |
Opis: To ustawienie zasad uniemożliwia aktualizowanie zasad grupy podczas korzystania z komputera. To ustawienie zasad dotyczy zasad grupy dla komputerów, użytkowników i kontrolerów domeny. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Zasady grupy\Wyłącz odświeżanie w tle zasad grupy Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5 |
= 0 (Rejestr) |
Ostrzeżenie |
| Wyłączanie pobierania sterowników wydruku za pośrednictwem protokołu HTTP (CCE-36625-2) |
Opis: To ustawienie zasad określa, czy komputer może pobierać pakiety sterowników wydruku za pośrednictwem protokołu HTTP. Aby skonfigurować drukowanie HTTP, sterowniki drukarek, które nie są dostępne w standardowej instalacji systemu operacyjnego, może być konieczne pobranie za pośrednictwem protokołu HTTP. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\System\Zarządzanie komunikacją internetową\Ustawienia komunikacji internetowej\Wyłącz pobieranie sterowników wydruku za pośrednictwem protokołu HTTP Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "ICM.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.22.1.1 |
= 1 (Rejestr) |
Ostrzeżenie |
| Wyłącz Kreatora Połączenie internetowego, jeśli połączenie adresu URL odwołuje się do Microsoft.com (CCE-37163-3) |
Opis: To ustawienie zasad określa, czy Kreator internetowego Połączenie ion może połączyć się z firmą Microsoft, aby pobrać listę dostawców usług internetowych (ISPs). Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Internet Połączenie ion Wizard\ExitOnMSICW System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\szablony Administracja istracyjne\System\Zarządzanie komunikacją internetową\Ustawienia komunikacji internetowej\Wyłącz Kreatora Połączenie ion internetowego, jeśli połączenie adresu URL odwołuje się do Microsoft.com Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "ICM.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.22.1.4 |
= 1 (Rejestr) |
Ostrzeżenie |
| Włączanie wygodnego logowania przy numerze PIN (CCE-37528-7) |
Opis: To ustawienie zasad umożliwia kontrolowanie, czy użytkownik domeny może się zalogować przy użyciu wygodnego numeru PIN. W systemie Windows 10 numer PIN wygody został zastąpiony usługą Passport, która ma silniejsze właściwości zabezpieczeń. Aby skonfigurować usługę Passport dla użytkowników domeny, użyj zasad w obszarze Konfiguracja komputera\Administracja istrative Templates\Windows Components\Microsoft Passport for Work. Uwaga: hasło domeny użytkownika będzie buforowane w magazynie systemu podczas korzystania z tej funkcji. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\System\Logon\Turn on convenience PIN sign-in Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon CredentialProviders.admx/adml zasad grupy, który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Administracja szablony administracyjne (lub nowsze).Uwaga 2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Włącz logowanie przy użyciu numeru PIN, ale zmieniono jego nazwę, począwszy od szablonów windows 10 Release 1511 Administracja istrative Templates.Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
szablony Administracja istracyjne — składnik systemu Windows
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Wyłączanie zawartości stanu konta użytkownika w chmurze (AZ-WIN-202217) |
Opis: To ustawienie zasad określa, czy zawartość stanu konta użytkownika w chmurze jest dozwolona we wszystkich środowiskach systemu Windows. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Cloud Content\Wyłącz zawartość konta konsumenta w chmurze Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1 |
= 1 (Rejestr) |
Ostrzeżenie |
szablony Administracja istracyjne — składniki systemu Windows
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Nie zezwalaj na przekierowywanie dysków (AZ-WIN-73569) |
Opis: To ustawienie zasad uniemożliwia użytkownikom udostępnianie dysków lokalnych na komputerach klienckich do serwerów usług pulpitu zdalnego, do których uzyskują dostęp. Zamapowane dyski są wyświetlane w drzewie folderów sesji w Eksploratorze Windows w następującym formacie: \\TSClient\<driveletter>$ Jeśli dyski lokalne są udostępniane, są one narażone na intruzów, którzy chcą wykorzystać przechowywane na nich dane. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection\Nie zezwalaj na przekierowywanie dysku Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2 |
= 1 (Rejestr) |
Ostrzeżenie |
| Włączanie transkrypcji programu PowerShell (AZ-WIN-202208) |
Opis: To ustawienie zasad umożliwia przechwytywanie danych wejściowych i wyjściowych poleceń programu Windows PowerShell do transkrypcji opartych na tekście. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows PowerShell\Włącz transkrypcję programu PowerShell Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2 |
= 0 (Rejestr) |
Ostrzeżenie |
szablony Administracja istracyjne — Zabezpieczenia Windows
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Uniemożliwianie użytkownikom modyfikowania ustawień (AZ-WIN-202209) |
Opis: To ustawienie zasad uniemożliwia użytkownikom wprowadzanie zmian w obszarze Ustawień ochrony przed programami wykorzystującą luki w ustawieniach Zabezpieczenia Windows. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Zabezpieczenia Windows\Ochrona aplikacji i przeglądarki\Zapobieganie modyfikowaniu ustawień przez użytkowników Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1 |
= 1 (Rejestr) |
Ostrzeżenie |
szablon Administracja istracyjny — Windows Defender
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Konfigurowanie reguł zmniejszania obszaru podatnego na ataki (AZ_WIN_202205) |
Opis: To ustawienie zasad steruje stanem reguł zmniejszania obszaru podatnego na ataki (ASR). Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Program antywirusowy Microsoft Defender\Microsoft Defender Exploit Guard\Redukcja obszaru ataków\Konfigurowanie reguł zmniejszania obszaru ataków Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1 |
= 1 (Rejestr) |
Ostrzeżenie |
| Uniemożliwianie użytkownikom i aplikacjom uzyskiwania dostępu do niebezpiecznych witryn internetowych (AZ_WIN_202207) |
Opis: To ustawienie zasad steruje ochroną sieci w usłudze Microsoft Defender Exploit Guard. Zalecanym stanem dla tego ustawienia jest: Enabled: Block.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Program antywirusowy Microsoft Defender\Microsoft Defender Exploit Guard\Network Protection\Zapobieganie użytkownikom i aplikacjom uzyskiwania dostępu do niebezpiecznych witryn sieci Web Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1 |
= 1 (Rejestr) |
Ostrzeżenie |
Inspekcja zarządzania kontami komputerów
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja zarządzania kontami komputerów (CCE-38004-8) |
Opis: Ta podkategoria raportuje każde zdarzenie zarządzania kontami komputerów, na przykład po utworzeniu, zmianie, zmianie, usunięciu, zmianie nazwy, wyłączeniu lub włączeniu. Zdarzenia dla tej podkategorii obejmują: - 4741: utworzono konto komputera. - 4742: Konto komputera zostało zmienione. - 4743: Konto komputera zostało usunięte. Zalecanym stanem tego ustawienia jest: Success.Ścieżka klucza: {0CCE9236-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Account Management\Audit Computer Account Management Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.2.2 CIS WS2019 17.2.2 |
= Powodzenie (Inspekcja) |
Krytyczne |
Zabezpieczone rdzenie
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Włączanie ochrony dma rozruchu (AZ-WIN-202250) |
Opis: Serwery obsługujące zabezpieczone rdzenie obsługują oprogramowanie układowe systemu, które zapewnia ochronę przed złośliwymi i niezamierzonym atakami bezpośredniego dostępu do pamięci (DMA) dla wszystkich urządzeń obsługujących funkcję DMA podczas procesu rozruchu. Ścieżka klucza: BootDMAProtection OSEx: WSASHCI22H2 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: NA Mapowania standardowe zgodności: |
= 1 (OsConfig) |
Krytyczne |
| Włączanie integralności kodu wymuszonego przez funkcję hypervisor (AZ-WIN-202246) |
Opis: HVCI i VBS zwiększają model zagrożenia systemu Windows i zapewniają silniejszą ochronę przed złośliwym oprogramowaniem próbującym wykorzystać jądro systemu Windows. HVCI to krytyczny składnik, który chroni i wzmacnia izolowane środowisko wirtualne utworzone przez vbS, uruchamiając w nim integralność kodu trybu jądra i ograniczając alokacje pamięci jądra, które mogą być używane do naruszenia bezpieczeństwa systemu. Ścieżka klucza: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: NA Mapowania standardowe zgodności: |
= 0 (OsConfig) |
Krytyczne |
| Włączanie bezpiecznego rozruchu (AZ-WIN-202248) |
Opis: Bezpieczny rozruch to standard zabezpieczeń opracowany przez członków branży komputerów, który pomaga upewnić się, że urządzenie jest uruchamiane przy użyciu tylko oprogramowania zaufanego przez producenta oryginalnego sprzętu (OEM). Ścieżka klucza: SecureBootState OSEx: WSASHCI22H2 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: NA Mapowania standardowe zgodności: |
= 1 (OsConfig) |
Krytyczne |
| Włączanie ochrony systemu (AZ-WIN-202247) |
Opis: Korzystanie z obsługi procesora dla technologii Dynamic Root of Trust of Measurement (DRTM), System Guard umieścić oprogramowanie układowe w piaskownicy opartej na sprzęcie, co pomaga ograniczyć wpływ luk w zabezpieczeniach w milionach wierszy wysoce uprzywilejowanego kodu oprogramowania układowego. Ścieżka klucza: SystemGuardStatus OSEx: WSASHCI22H2 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: NA Mapowania standardowe zgodności: |
= 0 (OsConfig) |
Krytyczne |
| Włączanie zabezpieczeń opartych na wirtualizacji (AZ-WIN-202245) |
Opis: Zabezpieczenia oparte na wirtualizacji lub VBS używają funkcji wirtualizacji sprzętowej do tworzenia i izolowania bezpiecznego regionu pamięci z normalnego systemu operacyjnego. Pomaga to zapewnić, że serwery pozostają poświęcone uruchamianiu krytycznych obciążeń i pomagają chronić powiązane aplikacje i dane przed atakiem i eksfiltracją. Język VBS jest domyślnie włączony i zablokowany w usłudze Azure Stack HCI. Ścieżka klucza: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: NA Mapowania standardowe zgodności: |
= 0 (OsConfig) |
Krytyczne |
| Ustawianie wersji modułu TPM (AZ-WIN-202249) |
Opis: Technologia TpM (Trusted Platform Module) została zaprojektowana w celu zapewnienia funkcji związanych z zabezpieczeniami opartych na sprzęcie. Moduł TPM2.0 jest wymagany dla funkcji zabezpieczonego rdzenia. Ścieżka klucza: TPMVersion OSEx: WSASHCI22H2 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: NA Mapowania standardowe zgodności: |
Zawiera 2.0 (OsConfig) |
Krytyczne |
Opcje zabezpieczeń — konta
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Konta: blokowanie kont Microsoft (AZ-WIN-202201) |
Opis: To ustawienie zasad uniemożliwia użytkownikom dodawanie nowych kont Microsoft na tym komputerze. Zalecanym stanem dla tego ustawienia jest: Users can't add or log on with Microsoft accounts.Ścieżka klucza: Software\Microsoft\Windows\CurrentVersion\Policies\System\No Połączenie edUser System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Konta: Blokuj konta Microsoft Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2 |
= 3 (Rejestr) |
Ostrzeżenie |
| Konta: stan konta gościa (CCE-37432-2) |
Opis: To ustawienie zasad określa, czy konto gościa jest włączone, czy wyłączone. Konto gościa umożliwia nieuwierzytelnionym użytkownikom sieci uzyskanie dostępu do systemu. Zalecanym stanem dla tego ustawienia jest: Disabled. Uwaga: to ustawienie nie będzie miało wpływu na zastosowanie do jednostki organizacyjnej kontrolera domeny za pośrednictwem zasad grupy, ponieważ kontrolery domeny nie mają lokalnej bazy danych kont. Można ją skonfigurować na poziomie domeny za pomocą zasad grupy, podobnie jak w przypadku ustawień zasad blokady konta i haseł.Ścieżka klucza: [Dostęp systemowy]EnableGuestAccount System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Konta: stan konta gościa Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3 |
= 0 (Zasady) |
Krytyczne |
| Konta: ogranicz używanie pustych haseł przez konta lokalne tylko do logowania do konsoli (CCE-37615-2) |
Opis: To ustawienie zasad określa, czy konta lokalne, które nie są chronione hasłem, mogą służyć do logowania się z lokalizacji innych niż konsola komputera fizycznego. Jeśli to ustawienie zasad zostanie włączone, konta lokalne z pustymi hasłami nie będą mogły zalogować się do sieci z komputerów klienckich zdalnych. Takie konta będą mogły logować się tylko za pomocą klawiatury komputera. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Konta: Ogranicz użycie pustych haseł do logowania do konsoli Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Konta: Zmienianie nazwy konta gościa (AZ-WIN-202255) |
Opis: Wbudowane lokalne konto gościa jest inną dobrze znaną nazwą atakujących. Zaleca się zmianę nazwy tego konta na coś, co nie wskazuje jego celu. Nawet jeśli to konto zostanie wyłączone, co jest zalecane, upewnij się, że zmieniono jego nazwę na potrzeby dodanych zabezpieczeń. Na kontrolerach domeny, ponieważ nie mają własnych kont lokalnych, ta reguła odnosi się do wbudowanego konta gościa, które zostało ustanowione podczas pierwszego utworzenia domeny. Ścieżka klucza: [Dostęp systemowy]NewGuestName System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Konta: Zmień nazwę konta gościa Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6 |
!= Gość (Zasady) |
Ostrzeżenie |
| Dostęp sieciowy: zezwalaj na anonimowe tłumaczenie identyfikatorów SID/nazw (CCE-10024-8) |
Opis: To ustawienie zasad określa, czy anonimowy użytkownik może zażądać atrybutów identyfikatora zabezpieczeń (SID) dla innego użytkownika, czy też użyć identyfikatora SID, aby uzyskać odpowiednią nazwę użytkownika. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: [Dostęp systemowy]LSAAnonymousNameLookup System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Dostęp do sieci: Zezwalaj na anonimowe tłumaczenie identyfikatora SID/nazwy Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1 |
= 0 (Zasady) |
Ostrzeżenie |
Opcje zabezpieczeń — inspekcja
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja: wymuś ustawienia podkategorii zasad inspekcji (system Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad inspekcji (CCE-37850-5) |
Opis: To ustawienie zasad umożliwia administratorom włączenie bardziej precyzyjnych funkcji inspekcji obecnych w systemie Windows Vista. Ustawienia zasad inspekcji dostępne w usłudze Active Directory systemu Windows Server 2003 nie zawierają jeszcze ustawień zarządzania nowymi podkategoriami inspekcji. Aby prawidłowo zastosować zasady inspekcji określone w tym punkcie odniesienia, należy skonfigurować ustawienie Podkategorii zasad inspekcji inspekcji (Windows Vista lub nowszy) w celu zastąpienia ustawień kategorii zasad inspekcji na wartość Włączone. Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Inspekcja: Wymuś ustawienia podkategorii zasad inspekcji (Windows Vista lub nowszy) w celu zastąpienia ustawień kategorii zasad inspekcji Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.2.1 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji (CCE-35907-5) |
Opis: To ustawienie zasad określa, czy system zostanie zamknięty, jeśli nie może rejestrować zdarzeń zabezpieczeń. Jest to wymagane w przypadku kryteriów oceny zaufanego systemu komputerów (TCSEC)-C2 i wspólnych kryteriów, aby zapobiec wystąpieniu zdarzeń podlegających inspekcji, jeśli system inspekcji nie może ich zarejestrować. Firma Microsoft zdecydowała się spełnić to wymaganie, zatrzymując system i wyświetlając komunikat zatrzymania, jeśli system inspekcji wystąpi awarię. Po włączeniu tego ustawienia zasad system zostanie zamknięty, jeśli inspekcja zabezpieczeń nie może być zarejestrowana z jakiegokolwiek powodu. Jeśli ustawienie Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować inspekcji zabezpieczeń jest włączone, mogą wystąpić nieplanowane błędy systemu. Obciążenie administracyjne może być znaczące, zwłaszcza jeśli skonfigurujesz również metodę przechowywania dziennika zabezpieczeń na Nie zastępowaj zdarzeń (wyczyść dziennik ręcznie). Ta konfiguracja powoduje odrzucenie zagrożenia (operator kopii zapasowej może zaprzeczyć, że kopia zapasowa lub przywrócone dane) stała się luką w zabezpieczeniach typu "odmowa usługi" (DoS), ponieważ serwer może zostać zmuszony do zamknięcia, jeśli jest przeciążony zdarzeniami logowania i innymi zdarzeniami zabezpieczeń zapisanymi w dzienniku zabezpieczeń. Ponadto, ponieważ zamknięcie nie jest bezproblemowe, możliwe jest, że nieodwracalne uszkodzenie systemu operacyjnego, aplikacji lub danych może spowodować. Mimo że system plików NTFS gwarantuje integralność, gdy wystąpi niegrabne zamknięcie komputera, nie może zagwarantować, że każdy plik danych dla każdej aplikacji będzie nadal w użytecznej formie po ponownym uruchomieniu komputera. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Inspekcja: Zamknij system natychmiast, jeśli nie można zarejestrować inspekcji zabezpieczeń Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
Opcje zabezpieczeń — urządzenia
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Urządzenia: zezwolono na formatowanie i wysunięcie wymiennego nośnika (CCE-37701-0) |
Opis: To ustawienie zasad określa, kto może formatować i wyrzucać nośniki wymienne. To ustawienie zasad umożliwia uniemożliwienie nieautoryzowanym użytkownikom usuwania danych na jednym komputerze w celu uzyskania dostępu do niego na innym komputerze, na którym mają uprawnienia administratora lokalnego. Ścieżka klucza: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Urządzenia: Dozwolone do formatowania i wysuwania nośnika wymiennego Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.4.1 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Urządzenia: zapobiegaj instalacji sterowników drukarek przez użytkowników (CCE-37942-0) |
Opis: Aby komputer drukował na drukarce udostępnionej, sterownik dla tej drukarki udostępnionej musi być zainstalowany na komputerze lokalnym. To ustawienie zabezpieczeń określa, kto może zainstalować sterownik drukarki w ramach łączenia się z drukarką udostępnioną. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: to ustawienie nie ma wpływu na możliwość dodawania drukarki lokalnej. To ustawienie nie ma wpływu na Administracja istratory.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Urządzenia: Uniemożliwianie użytkownikom instalowania sterowników drukarek Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2 |
Nie istnieje lub = 1 (Rejestr) |
Ostrzeżenie |
| Ogranicza instalację sterownika wydruku do Administracja istratorów (AZ_WIN_202202) |
Opis: To ustawienie zasad określa, czy użytkownicy, którzy nie są Administracja istratorami, mogą instalować sterowniki wydruku w systemie. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: 10 sierpnia 2021 r. firma Microsoft ogłosiła zmianę zachowania domyślnego punktu i drukowania, która modyfikuje domyślne zachowanie sterownika punktu i wydruku w celu wymagania uprawnień Administracja istratora. Opisano to w artykule KB5005652 Manage new Point and Print default driver installation behavior (CVE-2021-34481) (Zarządzanie zachowaniem domyślnego sterownika punktu i drukowania) (CVE-2021-34481).Ścieżka klucza: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationTo Administracja istrators System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\MS Security Guide\Limits print driver installation to Administracja istrators Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.3.5 CIS WS2019 18.3.5 |
= 1 (Rejestr) |
Ostrzeżenie |
Opcje zabezpieczeń — element członkowski domeny
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Upewnij się, że wartość "Członek domeny: cyfrowo szyfruj lub podpisz dane bezpiecznego kanału (zawsze)" jest ustawiona na wartość "Włączone" (CCE-36142-8) |
Opis: To ustawienie zasad określa, czy cały ruch w bezpiecznym kanale inicjowany przez element członkowski domeny musi być podpisany lub zaszyfrowany. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Cyfrowo szyfruj lub podpisz dane bezpiecznego kanału (zawsze) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Upewnij się, że opcja "Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe)" jest ustawiona na wartość "Włączone" (CCE-37130-2) |
Opis: To ustawienie zasad określa, czy członek domeny powinien próbować negocjować szyfrowanie dla całego ruchu bezpiecznego kanału, który inicjuje. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Cyfrowo szyfruj dane bezpiecznego kanału (jeśli to możliwe) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Upewnij się, że ustawienie "Członek domeny: cyfrowe podpisywanie bezpiecznych danych kanału (jeśli jest to możliwe)" ma wartość "Włączone" (CCE-37222-7) |
Opis: To ustawienie zasad określa, czy członek domeny powinien podjąć próbę wynegocjowania, czy cały ruch w bezpiecznym kanale, który inicjuje, musi być podpisany cyfrowo. Podpisy cyfrowe chronią ruch przed modyfikacją przez wszystkich użytkowników, którzy przechwytują dane podczas przechodzenia przez sieć. Zalecanym stanem dla tego ustawienia jest: "Włączone". Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Podpisz cyfrowo dane bezpiecznego kanału (jeśli to możliwe) Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Upewnij się, że opcja "Członek domeny: wyłącz zmiany hasła konta komputera" jest ustawiona na wartość "Wyłączone" (CCE-37508-9) |
Opis: To ustawienie zasad określa, czy członek domeny może okresowo zmieniać hasło konta komputera. Komputery, które nie mogą automatycznie zmieniać haseł kont, są potencjalnie narażone, ponieważ osoba atakująca może określić hasło dla konta domeny systemu. Zalecanym stanem dla tego ustawienia jest: "Wyłączone". Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Wyłącz zmiany hasła konta komputera Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Upewnij się, że ustawienie "Członek domeny: maksymalny wiek hasła konta komputera" ma wartość "30 lub mniej dni, ale nie 0" (CCE-37431-4) |
Opis: To ustawienie zasad określa maksymalny dozwolony wiek dla hasła konta komputera. Domyślnie członkowie domeny automatycznie zmieniają hasła domeny co 30 dni. W przypadku znacznego zwiększenia tego interwału tak, aby komputery nie zmieniły już swoich haseł, osoba atakująca będzie miała więcej czasu na przeprowadzenie ataku siłowego na jedno z kont komputerów. Zalecanym stanem dla tego ustawienia jest: 30 or fewer days, but not 0. Uwaga: wartość nie jest zgodna 0 z testem porównawczym, ponieważ wyłącza maksymalny wiek hasła.Ścieżka klucza: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 30 or fewer days, but not 0:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: maksymalny wiek hasła konta komputera Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5 |
W 1–30 (Rejestr) |
Krytyczne |
| Upewnij się, że wartość "Element członkowski domeny: Wymagaj silnego (Windows 2000 lub nowszego) klucza sesji" jest ustawiona na wartość "Włączone" (CCE-37614-5) |
Opis: Po włączeniu tego ustawienia zasad bezpieczny kanał można ustanowić tylko z kontrolerami domeny, które mogą szyfrować dane bezpiecznego kanału przy użyciu silnego (128-bitowego) klucza sesji. Aby włączyć to ustawienie zasad, wszystkie kontrolery domeny w domenie muszą mieć możliwość szyfrowania danych bezpiecznego kanału za pomocą silnego klucza, co oznacza, że wszystkie kontrolery domeny muszą mieć uruchomiony system Microsoft Windows 2000 lub nowszy. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Członek domeny: Wymagaj silnego (Windows 2000 lub nowszego) klucza sesji Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
Opcje zabezpieczeń — logowanie interakcyjne
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Buforowanie poświadczeń logowania muszą być ograniczone (AZ-WIN-73651) |
Opis: To ustawienie zasad określa, czy użytkownik może zalogować się do domeny systemu Windows przy użyciu informacji o koncie buforowanym. Informacje logowania dla kont domeny można buforować lokalnie, aby umożliwić użytkownikom logowanie się nawet wtedy, gdy nie można skontaktować się z kontrolerem domeny. To ustawienie zasad określa liczbę unikatowych użytkowników, dla których informacje logowania są buforowane lokalnie. Jeśli ta wartość jest ustawiona na 0, funkcja pamięci podręcznej logowania jest wyłączona. Osoba atakująca, która może uzyskać dostęp do systemu plików serwera, może zlokalizować te informacje w pamięci podręcznej i użyć ataku siłowego w celu określenia haseł użytkowników. Zalecanym stanem dla tego ustawienia jest: 4 or fewer logon(s).Ścieżka klucza: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: liczba poprzednich logów do pamięci podręcznej (w przypadku, gdy kontroler domeny jest niedostępny) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6 |
W 1–4 (Rejestr) |
Informacyjny |
| Logowanie interakcyjne: nie wyświetlaj nazwy ostatniego użytkownika (CCE-36056-0) |
Opis: To ustawienie zasad określa, czy nazwa konta ostatniego użytkownika do logowania się na komputerach klienckich w organizacji będzie wyświetlana na odpowiednim ekranie logowania każdego komputera z systemem Windows. Włącz to ustawienie zasad, aby uniemożliwić intruzom wizualne zbieranie nazw kont z ekranów komputerów stacjonarnych lub laptopów w organizacji. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: nie wyświetlaj ostatniego logowania Uwaga: w starszych wersjach systemu Microsoft Windows to ustawienie nosiło nazwę Logowanie interakcyjne: Nie wyświetlaj nazwiska użytkownika, ale zmieniono jego nazwę, począwszy od systemu Windows Server 2019. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2 |
= 1 (Rejestr) |
Krytyczne |
| Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL+ALT+DEL (CCE-37637-6) |
Opis: To ustawienie zasad określa, czy użytkownicy muszą nacisnąć klawisze CTRL+ALT+DEL przed zalogowaniem się. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Nie wymagaj kombinacji klawiszy CTRL+ALT+DEL Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Logowanie interakcyjne: limit nieaktywności komputera (AZ-WIN-73645) |
Opis: System Windows zauważa brak aktywności sesji logowania, a jeśli czas nieaktywności przekracza limit braku aktywności, wygaszacz ekranu zostanie uruchomiony, blokując sesję. Zalecanym stanem dla tego ustawienia jest: 900 or fewer second(s), but not 0. Uwaga: wartość 0 nie jest zgodna z testem porównawczym, ponieważ wyłącza limit braku aktywności maszyny.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Limit braku aktywności komputera Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3 |
W 1-900 (Rejestr) |
Ważne |
| Logowanie interakcyjne: tekst komunikatu dla użytkowników próbujących się zalogować (AZ-WIN-202253) |
Opis: To ustawienie zasad określa komunikat tekstowy wyświetlany użytkownikom podczas logowania. Skonfiguruj to ustawienie w sposób zgodny z wymaganiami dotyczącymi zabezpieczeń i działania organizacji. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Tekst komunikatu dla użytkowników próbujących się zalogować Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4 |
!= (Rejestr) |
Ostrzeżenie |
| Logowanie interakcyjne: tytuł komunikatu dla użytkowników próbujących się zalogować (AZ-WIN-202254) |
Opis: to ustawienie zasad określa tekst wyświetlany na pasku tytułu okna, które użytkownicy widzą po zalogowaniu się do systemu. Skonfiguruj to ustawienie w sposób zgodny z wymaganiami dotyczącymi zabezpieczeń i działania organizacji. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Tytuł komunikatu dla użytkowników próbujących się zalogować Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5 |
!= (Rejestr) |
Ostrzeżenie |
| Logowanie interakcyjne: monituj użytkownika o zmianę hasła przed jego wygaśnięciem (CCE-10930-6) |
Opis: To ustawienie zasad określa, jak daleko użytkownicy są ostrzegani, że ich hasło wygaśnie. Zaleca się skonfigurowanie tego ustawienia zasad na co najmniej 5 dni, ale nie więcej niż 14 dni, aby wystarczająco ostrzegać użytkowników o wygaśnięciu haseł. Zalecanym stanem dla tego ustawienia jest: between 5 and 14 days.Ścieżka klucza: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Logowanie interakcyjne: Monituj użytkownika o zmianę hasła przed wygaśnięciem Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7 |
W 5-14 (Rejestr) |
Informacyjny |
Opcje zabezpieczeń — klient sieci firmy Microsoft
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) (CCE-36325-9) |
Opis: To ustawienie zasad określa, czy podpisywanie pakietów jest wymagane przez składnik klienta SMB. Uwaga: jeśli na komputerach z systemem Windows Vista jest włączone to ustawienie zasad i łączą się z udziałami plików lub wydruku na serwerach zdalnych, ważne jest, aby ustawienie było synchronizowane z ustawieniem towarzyszącym, serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze), na tych serwerach. Aby uzyskać więcej informacji na temat tych ustawień, zobacz sekcję "Klient i serwer sieci Microsoft: podpisywanie cyfrowej komunikacji (cztery powiązane ustawienia)" w rozdziale 5 przewodnika Zagrożenia i środki zaradcze. Zalecanym stanem dla tego ustawienia jest: "Włączone". Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Klient sieciowy firmy Microsoft: podpisuj cyfrowo komunikację (zawsze) Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1 |
= 1 (Rejestr) |
Krytyczne |
| Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) (CCE-36269-9) |
Opis: To ustawienie zasad określa, czy klient SMB będzie próbował negocjować podpisywanie pakietów SMB. Uwaga: włączenie tego ustawienia zasad na klientach SMB w sieci sprawia, że są one w pełni skuteczne w przypadku podpisywania pakietów ze wszystkimi klientami i serwerami w danym środowisku. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Klient sieci Microsoft: podpisuj cyfrowo komunikację (jeśli serwer zgadza się) Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Klient sieci Microsoft: wyślij niezaszyfrowane hasło w celu nawiązania połączenia z innymi serwerami SMB (CCE-37863-8) |
Opis: To ustawienie zasad określa, czy przekierowanie SMB będzie wysyłać hasła w postaci zwykłego tekstu podczas uwierzytelniania do serwerów SMB innych firm, które nie obsługują szyfrowania haseł. Zaleca się wyłączenie tego ustawienia zasad, chyba że istnieje silny przypadek biznesowy, aby je włączyć. Jeśli to ustawienie zasad jest włączone, niezaszyfrowane hasła będą dozwolone w całej sieci. Zalecanym stanem dla tego ustawienia jest: "Wyłączone". Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Klient sieciowy firmy Microsoft: Wysyłanie niezaszyfrowanego hasła do serwerów SMB innych firm Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Serwer sieci Microsoft: okres bezczynności wymagany dla wstrzymania sesji (CCE-38046-9) |
Opis: To ustawienie zasad umożliwia określenie czasu ciągłego bezczynności, który musi zostać przekazany w sesji SMB przed wstrzymaniem sesji z powodu braku aktywności. Administracja istratory mogą użyć tego ustawienia zasad do kontrolowania, kiedy komputer zawiesza nieaktywną sesję protokołu SMB. Jeśli działanie klienta zostanie wznowione, sesja zostanie automatycznie ponownie przywrócona. Wydaje się, że wartość 0 umożliwia utrwalanie sesji na czas nieokreślony. Wartość maksymalna to 99999, czyli ponad 69 dni; w efekcie ta wartość wyłącza ustawienie. Zalecanym stanem dla tego ustawienia jest: 15 or fewer minute(s), but not 0.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 15 or fewer minute(s):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: czas bezczynności wymagany przed wstrzymaniem sesji Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.9.1 |
W 1–15 (Rejestr) |
Krytyczne |
| Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) (CCE-37864-6) |
Opis: To ustawienie zasad określa, czy podpisywanie pakietów jest wymagane przez składnik serwera SMB. Włącz to ustawienie zasad w środowisku mieszanym, aby uniemożliwić klientom podrzędnym używanie stacji roboczej jako serwera sieciowego. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: Podpisuj cyfrowo komunikację (zawsze) Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2 |
= 1 (Rejestr) |
Krytyczne |
| Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) (CCE-35988-5) |
Opis: To ustawienie zasad określa, czy serwer SMB będzie negocjować podpisywanie pakietów SMB z klientami, którzy go żądają. Jeśli żadne żądanie podpisania nie pochodzi z klienta, połączenie będzie dozwolone bez podpisu, jeśli serwer sieci Microsoft: ustawienie Podpisuj cyfrowo komunikację (zawsze) nie jest włączone. Uwaga: włącz to ustawienie zasad na klientach SMB w sieci, aby były one w pełni skuteczne do podpisywania pakietów ze wszystkimi klientami i serwerami w danym środowisku. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: podpisuj cyfrowo komunikację (jeśli klient zgadza się) Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3 |
= 1 (Rejestr) |
Krytyczne |
| Serwer sieci Microsoft: rozłączaj klientów po upływie limitu czasu logowania (CCE-37972-7) |
Opis: to ustawienie zabezpieczeń określa, czy użytkownicy, którzy są połączeni z komputerem lokalnym poza prawidłowymi godzinami logowania konta użytkownika. To ustawienie ma wpływ na składnik Bloku komunikatów serwera (SMB). Jeśli to ustawienie zasad zostanie włączone, należy również włączyć zabezpieczenia sieciowe: Wymuś wylogowanie po wygaśnięciu godzin logowania (reguła 2.3.11.6). Jeśli Organizacja konfiguruje godziny logowania dla użytkowników, to ustawienie zasad jest niezbędne, aby upewnić się, że są skuteczne. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: Rozłącz klientów po wygaśnięciu godzin logowania Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Serwer sieci Microsoft: poziom sprawdzania poprawności docelowej głównej nazwy usługi serwera (CCE-10617-9) |
Opis: To ustawienie zasad steruje poziomem weryfikacji komputera z folderami udostępnionymi lub drukarkami (serwer) wykonywaną na głównej nazwie usługi (SPN) udostępnianej przez komputer kliencki podczas ustanawiania sesji przy użyciu protokołu bloku komunikatów serwera (SMB). Protokół bloku komunikatów serwera (SMB) stanowi podstawę udostępniania plików i drukowania oraz innych operacji sieciowych, takich jak zdalne administrowanie systemem Windows. Protokół SMB obsługuje walidację głównej nazwy usługi serwera SMB (SPN) w obiekcie blob uwierzytelniania udostępnianym przez klienta SMB, aby zapobiec atakom na serwery SMB nazywane atakami SMB. To ustawienie będzie miało wpływ zarówno na protokół SMB1, jak i SMB2. Zalecanym stanem dla tego ustawienia jest: Accept if provided by client. Skonfigurowanie tego ustawienia w taki sposób, aby Required from client było również zgodne z testem porównawczym. Uwaga: ponieważ wydanie poprawki zabezpieczeń ms KB3161561 , to ustawienie może powodować istotne problemy (takie jak problemy z replikacją, problemy z edytowaniem zasad grupy i awarie niebieskiego ekranu) na kontrolerach domeny, gdy są używane jednocześnie ze wzmacnianiem funkcjonalności ścieżki UNC (tj. reguła 18.5.14.1). W związku z tym usługa CIS zaleca wdrożenie tego ustawienia na kontrolerach domeny.Ścieżka klucza: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: element członkowski domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Serwer sieci Microsoft: Poziom weryfikacji nazwy docelowej spN serwera Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5 |
= 1 (Rejestr) |
Ostrzeżenie |
Opcje zabezpieczeń — Microsoft Network Server
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Wyłączanie serwera SMB v1 (AZ-WIN-00175) |
Opis: Wyłączenie tego ustawienia powoduje wyłączenie przetwarzania po stronie serwera protokołu SMBv1. (Zalecane). Włączenie tego ustawienia umożliwia przetwarzanie po stronie serwera protokołu SMBv1. (Wartość domyślna). Zmiany w tym ustawieniu wymagają ponownego uruchomienia, aby zaczęły obowiązywać. Aby uzyskać więcej informacji, zobacz https://support.microsoft.com/kb/2696547. Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: nie dotyczy Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.3.3 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
Opcje zabezpieczeń — dostęp sieciowy
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Konta: Zmienianie nazwy konta administratora (CCE-10976-9) |
Opis: Wbudowane konto administratora lokalnego to dobrze znana nazwa konta, na którą będą kierować osoby atakujące. Zaleca się wybranie innej nazwy dla tego konta i unikanie nazw oznaczających konta dostępu administracyjnego lub podwyższonego poziomu uprawnień. Pamiętaj również, aby zmienić domyślny opis administratora lokalnego (za pomocą konsoli zarządzania komputerem). Na kontrolerach domeny, ponieważ nie mają własnych kont lokalnych, ta reguła odnosi się do wbudowanego konta Administracja istratora, które zostało ustanowione podczas tworzenia domeny. Ścieżka klucza: [System Access]New Administracja istratorName System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Konta: Zmień nazwę konta administratora Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5 |
!= Administracja istrator (Zasady) |
Ostrzeżenie |
| Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM (CCE-36316-8) |
Opis: To ustawienie zasad kontroluje możliwość wyliczania kont przez użytkowników anonimowych w Menedżerze kont zabezpieczeń (SAM). Jeśli to ustawienie zasad zostanie włączone, użytkownicy z połączeniami anonimowymi nie będą mogli wyliczać nazw użytkowników konta domeny w systemach w danym środowisku. To ustawienie zasad umożliwia również dodatkowe ograniczenia dotyczące połączeń anonimowych. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: te zasady nie mają wpływu na kontrolery domeny.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń Dostęp etwork: nie zezwalaj na anonimowe wyliczanie kont SAM Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.10.2 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów (CCE-36077-6) |
Opis: To ustawienie zasad kontroluje możliwość wyliczania kont SAM oraz udziałów przez użytkowników anonimowych. Jeśli to ustawienie zasad zostanie włączone, użytkownicy anonimowi nie będą mogli wyliczać nazw użytkowników konta domeny i nazw udziałów sieciowych w systemach w danym środowisku. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: te zasady nie mają wpływu na kontrolery domeny.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń Dostęp etwork: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.10.3 |
= 1 (Rejestr) |
Krytyczne |
| Dostęp sieciowy: zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników (CCE-36148-5) |
Opis: To ustawienie zasad określa, jakie dodatkowe uprawnienia są przypisane do połączeń anonimowych z komputerem. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Dostęp sieciowy: ścieżki rejestru, do których można uzyskiwać dostęp anonimowo (CCE-37194-8) |
Opis: To ustawienie zasad określa, które ścieżki rejestru będą dostępne po odwołaniu się do klucza WinReg w celu określenia uprawnień dostępu do ścieżek. Uwaga: to ustawienie nie istnieje w systemie Windows XP. W systemie Windows XP było ustawienie o tej nazwie, ale nosi nazwę "Dostęp do sieci: ścieżki i ścieżki rejestru zdalnego" w systemie Windows Server 2003, Windows Vista i Windows Server 2008. Uwaga: podczas konfigurowania tego ustawienia należy określić listę co najmniej jednego obiektu. Ogranicznik używany podczas wprowadzania listy jest źródłem wiersza lub powrotem karetki, czyli wpisz pierwszy obiekt na liście, naciśnij przycisk Enter, wpisz następny obiekt, naciśnij klawisz Enter ponownie, naciśnij klawisz Enter itp. Wartość ustawienia jest przechowywana jako lista rozdzielana przecinkami w szablonach zabezpieczeń zasad grupy. Jest również renderowany jako lista rozdzielana przecinkami w okienku wyświetlania Edytora zasad grupy i wynikowy zestaw zasad konsoli. Jest on rejestrowany w rejestrze jako lista rozdzielana wierszami w wartości REG_MULTI_SZ. Ścieżka klucza: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Dostęp do sieci: Ścieżki rejestru zdalnego dostępu Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.10.8 |
Nie istnieje lub = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (Rejestr) |
Krytyczne |
| Dostęp sieciowy: ścieżki rejestru i ścieżki podrzędne dostępne zdalnie (CCE-36347-3) |
Opis: To ustawienie zasad określa, które ścieżki rejestru i ścieżki podrzędne będą dostępne, gdy aplikacja lub proces odwołuje się do klucza WinReg w celu określenia uprawnień dostępu. Uwaga: w systemie Windows XP to ustawienie nosi nazwę "Dostęp do sieci: ścieżki rejestru zdalnego dostępu", ustawienie o tej samej nazwie w systemie Windows Vista, Windows Server 2008 i Windows Server 2003 nie istnieje w systemie Windows XP. Uwaga: podczas konfigurowania tego ustawienia należy określić listę co najmniej jednego obiektu. Ogranicznik używany podczas wprowadzania listy jest źródłem wiersza lub powrotem karetki, czyli wpisz pierwszy obiekt na liście, naciśnij przycisk Enter, wpisz następny obiekt, naciśnij klawisz Enter ponownie, naciśnij klawisz Enter itp. Wartość ustawienia jest przechowywana jako lista rozdzielana przecinkami w szablonach zabezpieczeń zasad grupy. Jest również renderowany jako lista rozdzielana przecinkami w okienku wyświetlania Edytora zasad grupy i wynikowy zestaw zasad konsoli. Jest on rejestrowany w rejestrze jako lista rozdzielana wierszami w wartości REG_MULTI_SZ. Ścieżka klucza: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń Dostęp etwork: ścieżki rejestru i ścieżki podrzędne dostępne zdalnie Jeśli serwer przechowuje rolę usług certyfikatów Active Directory z usługą roli urzędu certyfikacji, powyższa lista powinna również zawierać: "System\CurrentControlSet\Services\CertSvc". Jeśli na serwerze jest zainstalowana funkcja serwera WINS , na powyższej liście powinny również znajdować się następujące elementy: "System\CurrentControlSet\Services\WINS" Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.10.9 |
Nie istnieje lub = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (Rejestr) |
Krytyczne |
| Dostęp sieciowy: ograniczanie dostępu anonimowego do nazwanych potoków i udziałów (CCE-36021-4) |
Opis: po włączeniu to ustawienie zasad ogranicza anonimowy dostęp tylko do tych udziałów i potoków, które są nazwane w Network access: Named pipes that can be accessed anonymously ustawieniach i Network access: Shares that can be accessed anonymously . To ustawienie zasad steruje dostępem sesji null do udziałów na komputerach przez dodanie RestrictNullSessAccess wartości z wartością 1 w kluczu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters rejestru. Ta wartość rejestru włącza lub wyłącza udziały sesji null, aby kontrolować, czy usługa serwera ogranicza nieuwierzytelniony dostęp klientów do nazwanych zasobów. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Dostęp sieciowy: Ogranicz anonimowy dostęp do nazwanych potoków i udziałów Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Dostęp sieciowy: ograniczanie klientom możliwości wykonywania zdalnych wywołań menedżera SAM (AZ-WIN-00142) |
Opis: To ustawienie zasad umożliwia ograniczenie zdalnych połączeń RPC do protokołu SAM. Jeśli nie zostanie wybrany, zostanie użyty domyślny deskryptor zabezpieczeń. Te zasady są obsługiwane co najmniej w systemie Windows Server 2016. Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM System operacyjny: WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators: Remote Access: Allow:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń Dostęp etwork: Ogranicz klientów, którzy mogą wykonywać zdalne wywołania do protokołu SAM Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.10.11 |
Nie istnieje lub = O:BAG:BAD:(A;; RC;;; BA) (Rejestr) |
Krytyczne |
| Dostęp sieciowy: udziały, do których można uzyskiwać dostęp anonimowo (CCE-38095-6) |
Opis: To ustawienie zasad określa, do których udziałów sieciowych mogą uzyskiwać dostęp użytkownicy anonimowi. Domyślna konfiguracja tego ustawienia zasad ma niewielki wpływ, ponieważ wszyscy użytkownicy muszą być uwierzytelniani przed uzyskaniem dostępu do zasobów udostępnionych na serwerze. Uwaga: Dodanie innych udziałów do tego ustawienia zasad grupy może być bardzo niebezpieczne. Każdy użytkownik sieciowy może uzyskać dostęp do wszystkich wymienionych udziałów, które mogą spowodować ujawnienie lub uszkodzenie poufnych danych. Uwaga: podczas konfigurowania tego ustawienia należy określić listę co najmniej jednego obiektu. Ogranicznik używany podczas wprowadzania listy jest źródłem wiersza lub powrotem karetki, czyli wpisz pierwszy obiekt na liście, naciśnij przycisk Enter, wpisz następny obiekt, naciśnij klawisz Enter ponownie, naciśnij klawisz Enter itp. Wartość ustawienia jest przechowywana jako lista rozdzielana przecinkami w szablonach zabezpieczeń zasad grupy. Jest również renderowany jako lista rozdzielana przecinkami w okienku wyświetlania Edytora zasad grupy i wynikowy zestaw zasad konsoli. Jest on rejestrowany w rejestrze jako lista rozdzielana wierszami w wartości REG_MULTI_SZ. Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na <blank> (tj. Brak):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń Dostęp do procesu etwork: udziały, do których można uzyskiwać dostęp anonimowo Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.10.12 |
Nie istnieje lub = (Rejestr) |
Krytyczne |
| Dostęp sieciowy: udostępnianie i model zabezpieczeń dla kont lokalnych (CCE-37623-6) |
Opis: To ustawienie zasad określa sposób uwierzytelniania logowania sieciowego korzystającego z kont lokalnych. Opcja Klasyczna umożliwia dokładną kontrolę nad dostępem do zasobów, w tym możliwość przypisywania różnych typów dostępu do różnych użytkowników dla tego samego zasobu. Opcja Tylko gość umożliwia równe traktowanie wszystkich użytkowników. W tym kontekście wszyscy użytkownicy uwierzytelniają się jako gość tylko w celu uzyskania tego samego poziomu dostępu do danego zasobu. Zalecanym stanem dla tego ustawienia jest: Classic - local users authenticate as themselves. Uwaga: to ustawienie nie ma wpływu na logowania interakcyjne, które są wykonywane zdalnie przy użyciu takich usług jak Telnet lub usługi pulpitu zdalnego (dawniej nazywane usługami terminali).Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Classic - local users authenticate as themselves:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Dostęp do sieci: Udostępnianie i model zabezpieczeń dla kont lokalnych Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
Opcje zabezpieczeń — zabezpieczenia sieci
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Zabezpieczenia sieciowe: Zezwalaj lokalnemu systemowi na uwierzytelnianie NTLM przy użyciu tożsamości komputera (CCE-38341-4) |
Opis: po włączeniu tego ustawienia zasad powoduje, że usługi systemu lokalnego, które używają negocjacja do korzystania z tożsamości komputera, gdy uwierzytelnianie NTLM jest wybrane przez negocjacje. Te zasady są obsługiwane w systemie Windows 7 lub Windows Server 2008 R2. Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń Zabezpieczenia etwork: Zezwalaj systemowi lokalnemu na używanie tożsamości komputera dla NTLM Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.11.1 |
= 1 (Rejestr) |
Krytyczne |
| Zabezpieczenia sieciowe: Zezwalaj kontu systemowi lokalnemu na używanie pustych sesji (CCE-37035-3) |
Opis: To ustawienie zasad określa, czy protokół NTLM może powrócić do sesji NULL, gdy jest używany z systemem lokalnym. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: Zezwalaj na powrót sesji null systemu lokalnego Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Zabezpieczenia sieciowe: Zezwalaj na wysyłanie żądań uwierzytelniania PKU2U do tego komputera w celu używania tożsamości online (CCE-38047-7) |
Opis: To ustawienie określa, czy tożsamości online mogą uwierzytelniać się na tym komputerze. Protokół PKU2U (Public Key Cryptography Based User-To-User) wprowadzony w systemach Windows 7 i Windows Server 2008 R2 jest implementowany jako dostawca obsługi zabezpieczeń (SSP). Dostawca usług udostępnionych umożliwia uwierzytelnianie równorzędne, szczególnie za pośrednictwem funkcji udostępniania multimediów i plików systemu Windows 7 o nazwie Grupa domowa, która umożliwia udostępnianie między komputerami, które nie są członkami domeny. W przypadku PKU2U wprowadzono nowe rozszerzenie do pakietu uwierzytelniania Negotiate. Spnego.dll W poprzednich wersjach systemu Windows Negocjacja zdecydowała, czy do uwierzytelniania używać protokołu Kerberos, czy NTLM. Dostawca usług udostępnionych dla negocjowania rozszerzenia , Negoexts.dllktóry jest traktowany jako protokół uwierzytelniania przez system Windows, obsługuje dostawcy SSP firmy Microsoft, w tym PKU2U. Gdy komputery są skonfigurowane do akceptowania żądań uwierzytelniania przy użyciu identyfikatorów online, Negoexts.dll wywołuje dostawcę SSP PKU2U na komputerze używanym do logowania. Dostawca SSP PKU2U uzyskuje certyfikat lokalny i wymienia zasady między komputerami równorzędnymi. Po zweryfikowaniu na komputerze równorzędnym certyfikat w metadanych jest wysyłany do elementu równorzędnego logowania w celu weryfikacji i kojarzy certyfikat użytkownika z tokenem zabezpieczającym, a proces logowania zostanie ukończony. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: Zezwalaj na żądania uwierzytelniania PKU2U na tym komputerze do korzystania z tożsamości online Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Zabezpieczenia sieciowe: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos (CCE-37755-6) |
Opis: To ustawienie zasad umożliwia ustawienie typów szyfrowania dozwolonych przez protokół Kerberos. Te zasady są obsługiwane w systemie Windows 7 lub Windows Server 2008 R2. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.11.4 |
Nie istnieje lub = 2147483640 (Rejestr) |
Krytyczne |
| Zabezpieczenia sieci: nie przechowuj wartości skrótu (hash) programu LAN Manager dla następnej zmiany hasła (CCE-36326-7) |
Opis: To ustawienie zasad określa, czy wartość skrótu programu LAN Manager (LM) dla nowego hasła jest przechowywana podczas zmiany hasła. Skrót LM jest stosunkowo słaby i podatny na ataki w porównaniu z kryptograficznie silniejszym skrótem systemu Microsoft Windows NT. Ponieważ skróty LM są przechowywane na komputerze lokalnym w bazie danych zabezpieczeń, hasła można łatwo naruszyć, jeśli baza danych zostanie zaatakowana. Uwaga: starsze systemy operacyjne i niektóre aplikacje innych firm mogą zakończyć się niepowodzeniem po włączeniu tego ustawienia zasad. Należy również pamiętać, że hasło należy zmienić na wszystkich kontach po włączeniu tego ustawienia, aby uzyskać odpowiednią korzyść. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: nie przechowuj wartości skrótu programu LAN Manager podczas następnej zmiany hasła Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager (CCE-36173-3) |
Opis: LAN Manager (LM) to rodzina wczesnego oprogramowania klienckiego/serwera firmy Microsoft, które umożliwia użytkownikom łączenie komputerów osobistych w jednej sieci. Możliwości sieci obejmują przezroczyste udostępnianie plików i wydruku, funkcje zabezpieczeń użytkowników i narzędzia administracji sieciowej. W domenach usługi Active Directory protokół Kerberos jest domyślnym protokołem uwierzytelniania. Jeśli jednak protokół Kerberos nie zostanie wynegocjowany z jakiegoś powodu, usługa Active Directory będzie używać protokołu LM, NTLM lub NTLMv2. Uwierzytelnianie programu LAN Manager obejmuje warianty LM, NTLM i NTLM w wersji 2 (NTLMv2) i jest protokołem używanym do uwierzytelniania wszystkich klientów systemu Windows podczas wykonywania następujących operacji: - Dołączanie do domeny — Uwierzytelnianie między lasami usługi Active Directory — Uwierzytelnianie do domen na poziomie dół — uwierzytelnianie na komputerach, które nie korzystają z systemu Windows 2000, Windows Server 2003 lub Windows XP) — uwierzytelnianie na komputerach, które nie znajdują się w domenie Możliwe wartości zabezpieczeń sieci: Ustawienia poziomu uwierzytelniania programu LAN Manager to: — Wysyłaj odpowiedzi LM i NTLM — wysyłaj odpowiedzi LM i NTLM — użyj zabezpieczeń sesji NTLMv2, jeśli zostały wynegocjowane — wysyłaj tylko odpowiedzi NTLM — wysyłaj tylko odpowiedzi NTLMv2 — wysyłaj tylko odpowiedzi NTLMv2 — wysyłaj tylko odpowiedzi NTLMv2\odmawiaj odpowiedzi LM i NTLM — nie zdefiniowano zabezpieczeń sieci: ustawienie poziomu uwierzytelniania programu LAN Manager określa, który protokół uwierzytelniania wyzwania/odpowiedzi jest używany do logowania sieciowego. Ten wybór ma wpływ na poziom protokołu uwierzytelniania używany przez klientów, poziom zabezpieczeń sesji negocjowany przez komputery oraz poziom uwierzytelniania, który serwery akceptują w następujący sposób: — Wysyłaj odpowiedzi LM i NTLM. Klienci używają uwierzytelniania LM i NTLM i nigdy nie używają zabezpieczeń sesji NTLMv2. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. — Wyślij protokół LM i NTLM — w przypadku negocjowania użyj zabezpieczeń sesji NTLMv2. Klienci używają uwierzytelniania LM i NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. — Wysyłaj tylko odpowiedź NTLM. Klienci używają tylko uwierzytelniania NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. — Wysyłaj tylko odpowiedź NTLMv2. Klienci używają tylko uwierzytelniania NTLMv2 i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Wyślij tylko odpowiedź NTLMv2\refuse LM. Klienci używają tylko uwierzytelniania NTLMv2 i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny odrzucają uwierzytelnianie LM (akceptują tylko uwierzytelnianie NTLM i NTLMv2). - Wyślij tylko odpowiedź NTLMv2\odmówić LM i NTLM. Klienci używają tylko uwierzytelniania NTLMv2 i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny odrzucają uwierzytelnianie LM i NTLM (akceptują tylko uwierzytelnianie NTLMv2). Te ustawienia odpowiadają poziomom omówionymi w innych dokumentach firmy Microsoft w następujący sposób: — Poziom 0 — Wysyłanie odpowiedzi LM i NTLM; nigdy nie należy używać zabezpieczeń sesji NTLMv2. Klienci używają uwierzytelniania LM i NTLM i nigdy nie używają zabezpieczeń sesji NTLMv2. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Poziom 1 — w przypadku negocjowania użyj zabezpieczeń sesji NTLMv2. Klienci korzystają z uwierzytelniania LM i NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Poziom 2 — wysyłaj tylko odpowiedź NTLM. Klienci używają tylko uwierzytelniania NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Poziom 3 — wysyłaj tylko odpowiedź NTLMv2. Klienci używają uwierzytelniania NTLMv2 i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLMv2. - Poziom 4 — kontrolery domeny odrzucają odpowiedzi LM. Klienci korzystają z uwierzytelniania NTLM i używają zabezpieczeń sesji NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny odmawiają uwierzytelniania LM, czyli akceptują ntLM i NTLMv2. - Poziom 5 — kontrolery domeny odrzucają odpowiedzi LM i NTLM (akceptują tylko NTLMv2). Klienci używają uwierzytelniania NTLMv2, używają zabezpieczeń sesji NTLMv2 i NTLMv2, jeśli serwer go obsługuje. Kontrolery domeny odrzucają uwierzytelnianie NTLM i LM (akceptują tylko NTLMv2). Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na: "Wyślij tylko odpowiedź NTLMv2. Odmówić LM & NTLM": Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń zabezpieczenia etwork: poziom uwierzytelniania programu LAN Manager Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.11.7 |
= 5 (Rejestr) |
Krytyczne |
| Zabezpieczenia sieci: wymagania podpisywania klienta LDAP (CCE-36858-9) |
Opis: To ustawienie zasad określa poziom podpisywania danych żądany w imieniu klientów wystawiających żądania LDAP BIND. Uwaga: to ustawienie zasad nie ma żadnego wpływu na proste powiązanie LDAP (ldap_simple_bind) ani proste powiązanie LDAP za pośrednictwem protokołu SSL (ldap_simple_bind_s). Żaden klient LDAP firmy Microsoft dołączony do systemu Windows XP Professional nie używa ldap_simple_bind ani ldap_simple_bind_s do komunikowania się z kontrolerem domeny. Zalecanym stanem dla tego ustawienia jest: Negotiate signing. Skonfigurowanie tego ustawienia w taki sposób, aby Require signing było również zgodne z testem porównawczym.Ścieżka klucza: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Negotiate signing (konfigurowanie, aby Require signing również być zgodne z testem porównawczym):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: wymagania dotyczące podpisywania klienta LDAP Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla klientów opartych na NTLM SSP (włączając secure RPC) (CCE-37553-5) |
Opis: To ustawienie zasad określa, które zachowania są dozwolone przez klientów dla aplikacji przy użyciu dostawcy obsługi zabezpieczeń NTLM (SSP). Interfejs dostawcy usług udostępnionych (SSPI) jest używany przez aplikacje, które wymagają usług uwierzytelniania. Ustawienie nie modyfikuje sposobu działania sekwencji uwierzytelniania, ale zamiast tego wymaga pewnych zachowań w aplikacjach korzystających z interfejsu SSPI. Zalecanym stanem dla tego ustawienia jest: Require NTLMv2 session security, Require 128-bit encryption. Uwaga: Te wartości są zależne od wartości zabezpieczeń sieci: ustawienie zabezpieczeń poziomu uwierzytelniania programu LAN Manager.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Require NTLMv2 session security, Require 128-bit encryption: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń sieci\Zabezpieczenia sieci: Minimalne zabezpieczenia sesji dla klientów SSP NTLM (w tym bezpiecznego RPC)Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.11.9 |
= 537395200 (Rejestr) |
Krytyczne |
| Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla serwerów opartych na NTLM SSP (włączając secure RPC) (CCE-37835-6) |
Opis: To ustawienie zasad określa, które zachowania są dozwolone przez serwery dla aplikacji przy użyciu dostawcy obsługi zabezpieczeń NTLM (SSP). Interfejs dostawcy usług udostępnionych (SSPI) jest używany przez aplikacje, które wymagają usług uwierzytelniania. Ustawienie nie modyfikuje sposobu działania sekwencji uwierzytelniania, ale zamiast tego wymaga pewnych zachowań w aplikacjach korzystających z interfejsu SSPI. Zalecanym stanem dla tego ustawienia jest: Require NTLMv2 session security, Require 128-bit encryption. Uwaga: Te wartości są zależne od wartości zabezpieczeń sieci: ustawienie zabezpieczeń poziomu uwierzytelniania programu LAN Manager.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Skonfiguruj wartość zasad dla konfiguracji komputera\Windows Ustawienia\Security Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: Minimalne zabezpieczenia sesji dla serwerów opartych na protokole SSP NTLM (w tym bezpiecznego RPC) na wymaganie zabezpieczeń sesji NTLMv2 i Wymagaj szyfrowania 128-bitowego (wszystkie wybrane opcje). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.11.10 |
= 537395200 (Rejestr) |
Krytyczne |
Opcje zabezpieczeń — zamykanie
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania (CCE-36788-8) |
Opis: To ustawienie zasad określa, czy komputer może zostać zamknięty, gdy użytkownik nie jest zalogowany. Jeśli to ustawienie zasad jest włączone, polecenie zamykania jest dostępne na ekranie logowania systemu Windows. Zaleca się wyłączenie tego ustawienia zasad w celu ograniczenia możliwości wyłączenia komputera użytkownikom z poświadczeniami w systemie. Zalecanym stanem dla tego ustawienia jest: Disabled. Uwaga: W wersji Server 2008 R2 i starszych to ustawienie nie miało wpływu na sesje usług pulpitu zdalnego /usług terminalowych — dotyczyło to tylko konsoli lokalnej. Jednak firma Microsoft zmieniła zachowanie w systemie Windows Server 2012 (innym niż R2) i nowszym, w przypadku ustawienia opcji Włączone sesje protokołu RDP mogą również zamknąć lub ponownie uruchomić serwer.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Shutdown: Zezwalaj na zamykanie systemu bez konieczności logowania się Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Zamknięcie: wyczyść plik stronicowania pamięci wirtualnej (AZ-WIN-00181) |
Opis: To ustawienie zasad określa, czy plik stronicowania pamięci wirtualnej jest czyszczone po zamknięciu systemu. Po włączeniu tego ustawienia zasad plik stronicowania systemu jest czyszczone za każdym razem, gdy system zostanie prawidłowo zamknięty. Jeśli to ustawienie zabezpieczeń zostanie włączone, plik hibernacji (Hiberfil.sys) zostanie wyzerowany, gdy hiberernacja zostanie wyłączona w przenośnym systemie komputerowym. Zamknięcie i ponowne uruchomienie komputera potrwa dłużej i będzie szczególnie zauważalne na komputerach z dużymi plikami stronicowania. Ścieżka klucza: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Windows Ustawienia\Security Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Shutdown: Wyczyść plik stronicowania pamięci wirtualnej do Disabled.Mapowania standardowe zgodności: |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
Opcje zabezpieczeń — kryptografia systemu
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Użytkownicy muszą być zobowiązani do wprowadzenia hasła w celu uzyskania dostępu do kluczy prywatnych przechowywanych na komputerze. (AZ-WIN-73699) |
Opis: Jeśli klucz prywatny zostanie odnaleziony, osoba atakująca może użyć klucza do uwierzytelnienia się jako autoryzowanego użytkownika i uzyskania dostępu do infrastruktury sieciowej. Podstawą infrastruktury kluczy publicznych jest klucz prywatny używany do szyfrowania lub cyfrowego podpisywania informacji. Jeśli klucz prywatny zostanie skradziony, doprowadzi to do naruszenia uwierzytelniania i odrzucenia uzyskanego za pośrednictwem infrastruktury kluczy publicznych, ponieważ osoba atakująca może użyć klucza prywatnego do cyfrowego podpisywania dokumentów i udawać, że jest autoryzowanym użytkownikiem. Zarówno posiadacze certyfikatu cyfrowego, jak i urząd wystawiający muszą chronić komputery, urządzenia magazynujące lub cokolwiek, co jest używane do przechowywania kluczy prywatnych. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kryptografia systemu: Wymuś silną ochronę klucza dla kluczy użytkownika przechowywanych na komputerze Mapowania standardowe zgodności: |
= 2 (Rejestr) |
Ważne |
| System Windows Server musi być skonfigurowany do używania algorytmów zgodnych ze standardem FIPS na potrzeby szyfrowania, tworzenia skrótów i podpisywania. (AZ-WIN-73701) |
Opis: To ustawienie zapewnia, że system używa algorytmów zgodnych ze standardem FIPS do szyfrowania, tworzenia skrótów i podpisywania. Algorytmy zgodne ze standardami FIPS spełniają określone standardy ustanowione przez rząd USA i muszą być algorytmami używanymi dla wszystkich funkcji szyfrowania systemu operacyjnego. Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled System operacyjny: WS2016, WS2019, WS2022 Typ serwera: element członkowski domeny Ścieżka zasad grupy: Konfiguracja komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kryptografia systemu: Użyj zgodnych algorytmów FIPS do szyfrowania, tworzenia skrótów i podpisywania Mapowania standardowe zgodności: |
= 1 (Rejestr) |
Ważne |
Opcje zabezpieczeń — obiekty systemowe
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Obiekty systemu: wymagaj nierozróżniania wielkości liter dla podsystemów innych niż Windows (CCE-37885-1) |
Opis: To ustawienie zasad określa, czy w przypadku niewrażliwości jest wymuszana dla wszystkich podsystemów. Podsystem Microsoft Win32 jest niewrażliwy na wielkość liter. Jednak jądro obsługuje czułość wielkości liter dla innych podsystemów, takich jak przenośny interfejs systemu operacyjnego dla system UNIX (POSIX). Ponieważ system Windows jest niewrażliwy na wielkość liter (ale podsystem POSIX będzie obsługiwać wielkość liter), błąd wymuszania tego ustawienia zasad umożliwia użytkownikowi podsystemu POSIX utworzenie pliku o takiej samej nazwie jak inny plik przy użyciu mieszanego przypadku do etykietowania. Taka sytuacja może zablokować dostęp do tych plików przez innego użytkownika, który używa typowych narzędzi Win32, ponieważ tylko jeden z plików będzie dostępny. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Obiekty systemowe: Wymagaj braku uwzględniania wielkości liter dla podsystemów innych niż Windows Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1 |
Nie istnieje lub = 1 (Rejestr) |
Ostrzeżenie |
| Obiekty systemu: wzmocnij uprawnienia domyślne wewnętrznych obiektów systemu (np. linków symbolicznych) (CCE-37644-2) |
Opis: To ustawienie zasad określa siłę domyślnej uznaniowej listy kontroli dostępu (DACL) dla obiektów. Usługa Active Directory utrzymuje globalną listę udostępnionych zasobów systemowych, takich jak nazwy urządzeń DOS, mutexes i semaphores. W ten sposób obiekty mogą być zlokalizowane i współużytkowane między procesami. Każdy typ obiektu jest tworzony z domyślną listą DACL określającą, kto może uzyskiwać dostęp do obiektów i jakie uprawnienia są przyznawane. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Windows Ustawienia\Security Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Obiekty systemowe: Wzmocnienie domyślnych uprawnień do obiektów systemu wewnętrznego (np. łącza symboliczne) do EnabledMapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.3.15.2 |
= 1 (Rejestr) |
Krytyczne |
Opcje zabezpieczeń — ustawienia systemowe
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Ustawienia systemowe: użyj reguł certyfikatów do plików wykonywalnych systemu Windows dla Zasad ograniczeń oprogramowania (AZ-WIN-00155) |
Opis: To ustawienie zasad określa, czy certyfikaty cyfrowe są przetwarzane, gdy zasady ograniczeń oprogramowania są włączone, a użytkownik lub proces próbuje uruchomić oprogramowanie z rozszerzeniem nazwy pliku exe. Włącza lub wyłącza reguły certyfikatów (typ reguły zasad ograniczeń oprogramowania). Za pomocą zasad ograniczeń oprogramowania można utworzyć regułę certyfikatu, która zezwala lub nie zezwala na wykonywanie oprogramowania z podpisem Authenticode ® na podstawie certyfikatu cyfrowego skojarzonego z oprogramowaniem. Aby reguły certyfikatów zaczęły obowiązywać w zasadach ograniczeń oprogramowania, należy włączyć to ustawienie zasad. Ścieżka klucza: Software\Policies\Microsoft\Windows\Sejf r\CodeIdentifiers\AuthenticodeEnabled System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Ustawienia systemowe: Użyj reguł certyfikatów w plikach wykonywalnych systemu Windows dla zasad ograniczeń oprogramowania Mapowania standardowe zgodności: |
= 1 (Rejestr) |
Ostrzeżenie |
Opcje zabezpieczeń — kontrola konta użytkownika
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Kontrola konta użytkownika: tryb zatwierdzania przez administratora dla wbudowanego konta administratora (CCE-36494-3) |
Opis: To ustawienie zasad steruje zachowaniem trybu zatwierdzania Administracja dla wbudowanego konta Administracja istratora. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Filter Administracja istratorToken System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Administracja tryb zatwierdzania dla wbudowanego konta Administracja istrator Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1 |
= 1 (Rejestr) |
Krytyczne |
| Kontrola konta użytkownika: zezwalaj aplikacjom z poziomem UIAccess na monitowanie o podniesienie uprawnień bez używania bezpiecznego pulpitu (CCE-36863-9) |
Opis: To ustawienie zasad określa, czy programy ułatwień dostępu interfejsu użytkownika (UIAccess lub UIA) mogą automatycznie wyłączać bezpieczny pulpit na potrzeby monitów o podniesienie uprawnień używanych przez użytkownika standardowego. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Zezwalaj aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez korzystania z bezpiecznego pulpitu Mapowania standardowe zgodności: |
= 0 (Rejestr) |
Krytyczne |
| Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora (CCE-37029-6) |
Opis: To ustawienie zasad steruje zachowaniem monitu o podniesienie uprawnień dla administratorów. Zalecanym stanem dla tego ustawienia jest: Prompt for consent on the secure desktop.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehavior Administracja System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Prompt for consent on the secure desktop:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania Administracja Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2 |
= 2 (Rejestr) |
Krytyczne |
| Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych (CCE-36864-7) |
Opis: To ustawienie zasad steruje zachowaniem monitu o podniesienie uprawnień dla użytkowników standardowych. Zalecanym stanem dla tego ustawienia jest: Automatically deny elevation requests.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Automatically deny elevation requests:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3 |
= 0 (Rejestr) |
Krytyczne |
| Kontrola konta użytkownika: wykrywanie instalacji aplikacji i monitowanie o podniesienie uprawnień (CCE-36533-8) |
Opis: To ustawienie zasad steruje zachowaniem wykrywania instalacji aplikacji dla komputera. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Wykrywanie instalacji aplikacji i monitowanie o podniesienie uprawnień Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4 |
= 1 (Rejestr) |
Krytyczne |
| Kontrola konta użytkownika: podnoszenie uprawnień tylko tych aplikacji z poziomem UIAccess, które są zainstalowane w bezpiecznych lokalizacjach (CCE-37057-7) |
Opis: To ustawienie zasad określa, czy aplikacje, które żądają uruchomienia z poziomem integralności ułatwień dostępu interfejsu użytkownika (UIAccess), muszą znajdować się w bezpiecznej lokalizacji w systemie plików. Bezpieczne lokalizacje są ograniczone do następujących: — …\Program Files\, w tym podfoldery — …\Windows\system32\ - …\Program Files (x86)\, w tym podfoldery dla 64-bitowych wersji systemu Windows Uwaga: system Windows wymusza sprawdzanie podpisu infrastruktury kluczy publicznych (PKI) dla dowolnej interaktywnej aplikacji, która żąda uruchomienia z poziomem integralności UIAccess niezależnie od stanu tego ustawienia zabezpieczeń. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: podnieś poziom uprawnień tylko aplikacji UIAccess zainstalowanych w bezpiecznych lokalizacjach Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5 |
= 1 (Rejestr) |
Krytyczne |
| Kontrola konta użytkownika: uruchamianie wszystkich administratorów w trybie zatwierdzania przez administratora (CCE-36869-6) |
Opis: To ustawienie zasad steruje zachowaniem wszystkich ustawień zasad kontroli konta użytkownika (UAC) dla komputera. W przypadku zmiany tego ustawienia zasad należy ponownie uruchomić komputer. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: jeśli to ustawienie zasad jest wyłączone, usługa Security Center powiadomi Cię, że ogólne zabezpieczenia systemu operacyjnego zostały zmniejszone.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Uruchom wszystkich administratorów w trybie zatwierdzania Administracja Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6 |
= 1 (Rejestr) |
Krytyczne |
| Kontrola konta użytkownika: przełącz na bezpieczny pulpit przy monitowaniu o podniesienie uprawnień (CCE-36866-2) |
Opis: To ustawienie zasad określa, czy monit o podniesienie uprawnień jest wyświetlany na pulpicie użytkownika interakcyjnego, czy na bezpiecznym pulpicie. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Przełącz się do bezpiecznego pulpitu po wyświetleniu monitu o podniesienie uprawnień Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7 |
= 1 (Rejestr) |
Krytyczne |
| Kontrola konta użytkownika: wirtualizuj błędy zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników (CCE-37064-3) |
Opis: To ustawienie zasad określa, czy błędy zapisu aplikacji są przekierowywane do zdefiniowanych lokalizacji rejestru i systemu plików. To ustawienie zasad ogranicza aplikacje uruchamiane jako administrator i zapisują dane aplikacji w czasie wykonywania do: - , - %Windir%%ProgramFiles%, - , - %Windir%\system32, lub - HKEY_LOCAL_MACHINE\Software. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Kontrola konta użytkownika: Wirtualizowanie błędów zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8 |
= 1 (Rejestr) |
Krytyczne |
Ustawienia zabezpieczeń — zasady konta
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Próg blokady konta (AZ-WIN-73311) |
Opis: To ustawienie zasad określa liczbę nieudanych prób logowania przed zablokowaniem konta. Ustawienie tych zasad 0 na wartość nie jest zgodne z testem porównawczym, ponieważ powoduje to wyłączenie progu blokady konta. Zalecanym stanem dla tego ustawienia jest: 5 or fewer invalid logon attempt(s), but not 0. Uwaga: ustawienia zasad haseł (sekcja 1.1) i ustawienia zasad blokady konta (sekcja 1.2) muszą być stosowane za pośrednictwem domyślnego obiektu zasad domeny obiektu zasad grupy, aby mieć globalny wpływ na konta użytkowników domeny jako domyślne zachowanie. Jeśli te ustawienia są skonfigurowane w innym obiekcie zasad grupy, będą miały wpływ tylko na konta użytkowników lokalnych na komputerach odbierających obiekt zasad grupy. Jednak niestandardowe wyjątki od domyślnych zasad haseł i reguł zasad blokady konta dla określonych użytkowników domeny i/lub grup można zdefiniować przy użyciu haseł Ustawienia obiektów (PSO), które są całkowicie oddzielone od zasad grupy i najbardziej łatwo skonfigurowane przy użyciu usługi Active Directory Administracja istrative Center.Ścieżka klucza: [Dostęp systemowy]LockoutBadCount System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady konta\Zasady blokady konta\Próg blokady konta Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 1.2.2 CIS WS2019 1.2.2 |
W 1–3 (Zasady) |
Ważne |
| Wymuszanie historii haseł (CCE-37166-6) |
Opis: To ustawienie zasad określa liczbę odnowionych, unikatowych haseł, które muszą być skojarzone z kontem użytkownika przed ponownym użyciem starego hasła. Wartość tego ustawienia zasad musi należeć do zakresu od 0 do 24 haseł. Wartość domyślna systemu Windows Vista to 0 haseł, ale ustawieniem domyślnym w domenie jest 24 hasła. Aby zachować skuteczność tego ustawienia zasad, użyj ustawienia Minimalny wiek hasła, aby uniemożliwić użytkownikom wielokrotne zmienianie hasła. Zalecanym stanem tego ustawienia jest: "24 lub więcej haseł". Ścieżka klucza: [Dostęp systemowy]PasswordHistorySize System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 24 or more password(s):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady konta\Zasady haseł\Wymuszanie historii haseł Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 1.1.1 |
>= 24 (Zasady) |
Krytyczne |
| Maksymalny wiek hasła (CCE-37167-4) |
Opis: to ustawienie zasad określa, jak długo użytkownik może używać swojego hasła przed jego wygaśnięciem. Wartości dla tego ustawienia zasad wahają się od 0 do 999 dni. Jeśli ustawisz wartość 0, hasło nigdy nie wygaśnie. Ponieważ osoby atakujące mogą złamać hasła, tym częściej zmieniasz hasło, tym częściej osoba atakująca musi użyć złamanego hasła. Jednak im mniejsza jest ta wartość, tym większa jest możliwość zwiększenia liczby połączeń pomocy technicznej z powodu konieczności zmiany hasła przez użytkowników lub zapomnienia, które hasło jest aktualne. Zalecanym stanem tego ustawienia jest 60 or fewer days, but not 0.Ścieżka klucza: [Dostęp systemowy]MaximumPasswordAge System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 365 or fewer days, but not 0:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady konta\Zasady haseł\Maksymalny wiek hasła Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 1.1.2 |
W 1–70 (Zasady) |
Krytyczne |
| Minimalny wiek hasła (CCE-37073-4) |
Opis: to ustawienie zasad określa liczbę dni, przez które należy użyć hasła, zanim będzie można go zmienić. Zakres wartości dla tego ustawienia zasad wynosi od 1 do 999 dni. (Możesz również ustawić wartość 0, aby zezwolić na natychmiastowe zmiany hasła). Wartość domyślna tego ustawienia to 0 dni. Zalecanym stanem dla tego ustawienia jest: 1 or more day(s).Ścieżka klucza: [Dostęp systemowy]MinimumPasswordAge System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 1 or more day(s):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady konta\Zasady haseł\Minimalny wiek hasła Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 1.1.3 |
>= 1 (Zasady) |
Krytyczne |
| Minimalna długość hasła (CCE-36534-6) |
Opis: To ustawienie zasad określa najmniejszą liczbę znaków tworzących hasło dla konta użytkownika. Istnieje wiele różnych teorii dotyczących określania najlepszej długości hasła dla organizacji, ale być może "fraza pass" jest lepszym terminem niż "hasło". W systemie Microsoft Windows 2000 lub nowszym frazy dostępu mogą być dość długie i mogą zawierać spacje. W związku z tym fraza taka jak "Chcę pić 5 dolarów koktajl mlecznej" jest prawidłową frazą pass; jest to znacznie silniejsze hasło niż ciąg 8 lub 10 znaków losowych cyfr i liter, a jednak jest łatwiejsze do zapamiętania. Użytkownicy muszą być informowani o odpowiednim wyborze i konserwacji haseł, zwłaszcza w odniesieniu do długości hasła. W środowiskach przedsiębiorstwa idealną wartością ustawienia Minimalna długość hasła jest 14 znaków, jednak tę wartość należy dostosować, aby spełnić wymagania biznesowe organizacji. Zalecanym stanem dla tego ustawienia jest: 14 or more character(s).Ścieżka klucza: [Dostęp systemowy]MinimumPasswordLength System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na 14 or more character(s):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady konta\Zasady haseł\Minimalna długość hasła Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 1.1.4 |
>= 14 (Zasady) |
Krytyczne |
| Hasło musi spełniać wymagania dotyczące złożoności (CCE-37063-5) |
Opis: To ustawienie zasad sprawdza wszystkie nowe hasła, aby upewnić się, że spełniają podstawowe wymagania dotyczące silnych haseł. Po włączeniu tych zasad hasła muszą spełniać następujące minimalne wymagania: — nie zawiera nazwy konta użytkownika ani części pełnej nazwy użytkownika, które przekraczają dwa kolejne znaki — może zawierać co najmniej sześć znaków — zawiera znaki z trzech z następujących czterech kategorii: — wielkie litery angielskie (od A do Z) — małe litery angielskie (od a do z) — podstawowe 10 cyfr (od 0 do 9) — znaki inne niż alfabetyczne (na przykład) !, $, #, %) — kategoria catch-all dowolnego znaku Unicode, która nie mieści się w poprzednich czterech kategoriach. Ta piąta kategoria może być specyficzna regionalnie. Każdy dodatkowy znak w haśle zwiększa złożoność wykładniczo. Na przykład siedmioznaczne hasło alfabetyczne zawierałoby 267 (około 8 x 109 lub 8 miliardów) możliwych kombinacji. Przy 1000 000 prób na sekundę (możliwość wielu narzędzi do łamania haseł) potrwa tylko 133 minut. Siedmioznaczne hasło alfabetyczne z czułością wielkości liter ma 527 kombinacji. Siedmioznaczne hasło alfanumeryczne z uwzględnieniem wielkości liter bez znaków interpunkcyjnych ma 627 kombinacji. Hasło ośmiu znaków ma 268 (lub 2 x 1011) możliwe kombinacje. Chociaż może to wydawać się dużą liczbą, przy 1000 000 prób na sekundę próba wypróbowania wszystkich możliwych haseł zajęłaby tylko 59 godzin. Pamiętaj, że te czasy znacznie wzrosną w przypadku haseł, które używają znaków ALT i innych specjalnych znaków klawiatury, takich jak "!" lub "@". Prawidłowe użycie ustawień hasła może pomóc w instalacji ataku siłowego. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: [Dostęp systemowy]PasswordComplexity System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady konta\Zasady haseł\Hasło musi spełniać wymagania dotyczące złożoności Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5 |
= 1 (Zasady) |
Krytyczne |
| Resetuj licznik blokady konta po (AZ-WIN-73309) |
Opis: to ustawienie zasad określa długość czasu przed zresetowaniem progu blokady konta do zera. Wartość domyślna tego ustawienia zasad to Nie zdefiniowano. Jeśli zdefiniowano próg blokady konta, czas resetowania musi być krótszy lub równy wartości ustawienia Czas trwania blokady konta. Jeśli to ustawienie zasad pozostawisz na wartości domyślnej lub skonfigurujesz wartość do interwału, który jest zbyt długi, środowisko może być narażone na atak w usłudze DoS. Osoba atakująca może złośliwie wykonać szereg nieudanych prób logowania dla wszystkich użytkowników w organizacji, co spowoduje zablokowanie kont. Jeśli żadne zasady nie zostały ustalone w celu zresetowania blokady konta, byłoby to zadanie ręczne dla administratorów. Z drugiej strony, jeśli dla tego ustawienia zasad skonfigurowano rozsądną wartość czasu, użytkownicy będą blokowani przez określony okres do momentu automatycznego odblokowania wszystkich kont. Zalecanym stanem dla tego ustawienia jest: 15 or more minute(s). Uwaga: ustawienia zasad haseł (sekcja 1.1) i ustawienia zasad blokady konta (sekcja 1.2) muszą być stosowane za pośrednictwem domyślnego obiektu zasad domeny obiektu zasad grupy, aby mieć globalny wpływ na konta użytkowników domeny jako domyślne zachowanie. Jeśli te ustawienia są skonfigurowane w innym obiekcie zasad grupy, będą miały wpływ tylko na konta użytkowników lokalnych na komputerach odbierających obiekt zasad grupy. Jednak niestandardowe wyjątki od domyślnych zasad haseł i reguł zasad blokady konta dla określonych użytkowników domeny i/lub grup można zdefiniować przy użyciu haseł Ustawienia obiektów (PSO), które są całkowicie oddzielone od zasad grupy i najbardziej łatwo skonfigurowane przy użyciu usługi Active Directory Administracja istrative Center.Ścieżka klucza: [Dostęp systemowy]ResetLockoutCount System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady konta\Zasady blokady konta\Resetuj licznik blokady konta po Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 1.2.3 CIS WS2019 1.2.3 |
>= 15 (Zasady) |
Ważne |
| Przechowywanie haseł przy użyciu szyfrowania odwracalnego (CCE-36286-3) |
Opis: To ustawienie zasad określa, czy system operacyjny przechowuje hasła w sposób, który używa odwracalnego szyfrowania, co zapewnia obsługę protokołów aplikacji, które wymagają znajomości hasła użytkownika do celów uwierzytelniania. Hasła przechowywane z szyfrowaniem odwracalnym są zasadniczo takie same jak wersje haseł w postaci zwykłego tekstu. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: [Dostęp systemowy]ClearTextPassword System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady konta\Zasady haseł\Przechowywanie haseł przy użyciu szyfrowania odwracalnego Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7 |
= 0 (Zasady) |
Krytyczne |
Ustawienia zabezpieczeń — Zapora systemu Windows
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Zapora systemu Windows: domena: zezwalaj na odpowiedź emisji pojedynczej (AZ-WIN-00088) |
Opis: Ta opcja jest przydatna, jeśli musisz kontrolować, czy ten komputer odbiera odpowiedzi emisji pojedynczej na wychodzące komunikaty multiemisji lub emisji. Zalecamy ustawienie "Tak" dla profilów prywatnych i domen. Spowoduje to ustawienie wartości rejestru na 0. Ścieżka klucza: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu domeny\Ustawienia (wybierz pozycję Dostosuj)\odpowiedź emisji pojedynczej, Zezwalaj na odpowiedź emisji pojedynczej Mapowania standardowe zgodności: |
= 0 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: domena: stan zapory (CCE-36062-8) |
Opis: wybierz pozycję Włączone (zalecane), aby zapora systemu Windows z zabezpieczeniami zaawansowanymi korzystała z ustawień tego profilu w celu filtrowania ruchu sieciowego. W przypadku wybrania opcji Wyłączone zapora systemu Windows z zabezpieczeniami zaawansowanymi nie będzie używać żadnych reguł zapory ani reguł zabezpieczeń połączeń dla tego profilu. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na On (recommended):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Stan zapory Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.1.1 |
= 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: domena: połączenia przychodzące (AZ-WIN-202252) |
Opis: To ustawienie określa zachowanie dla połączeń przychodzących, które nie są zgodne z regułą zapory dla ruchu przychodzącego. Zalecanym stanem dla tego ustawienia jest: Block (default).Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Połączenia przychodzące Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.1.2 CIS WS2019 9.1.2 |
= 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: Domena: Rejestrowanie: porzucone pakiety dziennika (AZ-WIN-202226) |
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi odrzuca pakiet przychodzący z jakiegokolwiek powodu. Dziennik rejestruje, dlaczego i kiedy pakiet został porzucony. Wyszukaj wpisy ze słowem DROP w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Rejestrowanie Dostosowywanie\Porzucone pakiety dziennika Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.1.7 CIS WS2019 9.1.7 |
= 1 (Rejestr) |
Informacyjny |
| Zapora systemu Windows: domena: rejestrowanie: rejestrowanie pomyślnych połączeń (AZ-WIN-202227) |
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi zezwala na połączenie przychodzące. Dziennik rejestruje przyczyny i czas utworzenia połączenia. Wyszukaj wpisy ze słowem ALLOW w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessful Połączenie ions System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Rejestrowanie Dostosowywanie\Rejestrowanie pomyślne połączenia Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.1.8 CIS WS2019 9.1.8 |
= 1 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: domena: rejestrowanie: nazwa (AZ-WIN-202224) |
Opis: Użyj tej opcji, aby określić ścieżkę i nazwę pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: %SystemRoot%\System32\logfiles\firewall\domainfw.log.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Rejestrowanie Dostosowywanie\Nazwa Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.1.5 CIS WS2019 9.1.5 |
= %SystemRoot%\System32\logfiles\firewall\domainfw.log (Rejestr) |
Informacyjny |
| Zapora systemu Windows: domena: rejestrowanie: limit rozmiaru (KB) (AZ-WIN-202225) |
Opis: Użyj tej opcji, aby określić limit rozmiaru pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: 16,384 KB or greater.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Rejestrowanie Dostosowywanie\Limit rozmiaru (KB) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.1.6 CIS WS2019 9.1.6 |
>= 16384 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: domena: połączenia wychodzące (CCE-36146-9) |
Opis: To ustawienie określa zachowanie połączeń wychodzących, które nie są zgodne z regułą zapory ruchu wychodzącego. W systemie Windows Vista domyślne zachowanie polega na zezwalaniu na połączenia, chyba że istnieją reguły zapory, które blokują połączenie. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Allow (default):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Połączenia wychodzące Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.1.3 |
= 0 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: domena: Ustawienia: Stosowanie reguł zabezpieczeń połączeń lokalnych (CCE-38040-2) |
Opis: To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły połączeń, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy. Zalecany stan dla tego ustawienia to "Tak", spowoduje to ustawienie wartości rejestru na 1. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Skonfiguruj wartość zasad dla konfiguracji komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta Profilu domeny\Ustawienia (wybierz pozycję Dostosuj)\Scalanie reguły stosowania reguł zabezpieczeń połączeń lokalnych Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.3.6 |
= 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: domena: Ustawienia: Stosowanie lokalnych reguł zapory (CCE-37860-4) |
Opis: To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły zapory, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy. Zalecany stan tego ustawienia to Tak. Spowoduje to ustawienie wartości rejestru na 1. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta Profilu domeny\Ustawienia (wybierz pozycję Dostosuj)\Scalanie reguł reguły reguły zapory lokalnej Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.3.5 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: domena: Ustawienia: wyświetlanie powiadomienia (CCE-38041-0) |
Opis: Po wybraniu tej opcji dla użytkownika nie jest wyświetlane żadne powiadomienie, gdy program nie może odbierać połączeń przychodzących. W środowisku serwera wyskakujące okienka nie są przydatne, ponieważ użytkownicy nie są zalogowani, wyskakujące okienka nie są konieczne i mogą powodować zamieszanie dla administratora. Skonfiguruj to ustawienie zasad na wartość "Nie", spowoduje to ustawienie wartości rejestru na 1. Zapora systemu Windows nie wyświetli powiadomienia, gdy program nie będzie odbierał połączeń przychodzących. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil domeny\Ustawienia Dostosowywanie\Wyświetlanie powiadomienia Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.1.4 |
= 1 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: prywatna: zezwalaj na odpowiedź emisji pojedynczej (AZ-WIN-00089) |
Opis: Ta opcja jest przydatna, jeśli musisz kontrolować, czy ten komputer odbiera odpowiedzi emisji pojedynczej na wychodzące komunikaty multiemisji lub emisji. Zalecamy ustawienie "Tak" dla profilów prywatnych i domen. Spowoduje to ustawienie wartości rejestru na 0. Ścieżka klucza: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu prywatnego\Ustawienia (wybierz pozycję Dostosuj)\Odpowiedź emisji pojedynczej, Zezwalaj na odpowiedź emisji pojedynczej Mapowania standardowe zgodności: |
= 0 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: prywatny: stan zapory (CCE-38239-0) |
Opis: wybierz pozycję Włączone (zalecane), aby zapora systemu Windows z zabezpieczeniami zaawansowanymi korzystała z ustawień tego profilu w celu filtrowania ruchu sieciowego. W przypadku wybrania opcji Wyłączone zapora systemu Windows z zabezpieczeniami zaawansowanymi nie będzie używać żadnych reguł zapory ani reguł zabezpieczeń połączeń dla tego profilu. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na On (recommended):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Stan zapory Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.2.1 |
= 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: prywatne: połączenia przychodzące (AZ-WIN-202228) |
Opis: To ustawienie określa zachowanie dla połączeń przychodzących, które nie są zgodne z regułą zapory dla ruchu przychodzącego. Zalecanym stanem dla tego ustawienia jest: Block (default).Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profile prywatne\Połączenia przychodzące Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.2.2 CIS WS2019 9.2.2 |
= 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: prywatne: rejestrowanie: porzucone pakiety dziennika (AZ-WIN-202231) |
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi odrzuca pakiet przychodzący z jakiegokolwiek powodu. Dziennik rejestruje, dlaczego i kiedy pakiet został porzucony. Wyszukaj wpisy ze słowem DROP w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Rejestrowanie Customize\Log porzucone pakiety Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.2.7 CIS WS2019 9.2.7 |
= 1 (Rejestr) |
Informacyjny |
| Zapora systemu Windows: prywatne: rejestrowanie: rejestrowanie pomyślnych połączeń (AZ-WIN-202232) |
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi zezwala na połączenie przychodzące. Dziennik rejestruje przyczyny i czas utworzenia połączenia. Wyszukaj wpisy ze słowem ALLOW w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessful Połączenie ions System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Rejestrowanie Dostosuj\Rejestrowanie pomyślne połączenia Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.2.8 CIS WS2019 9.2.8 |
= 1 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: prywatna: rejestrowanie: nazwa (AZ-WIN-202229) |
Opis: Użyj tej opcji, aby określić ścieżkę i nazwę pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: %SystemRoot%\System32\logfiles\firewall\privatefw.log.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Rejestrowanie Dostosowywanie\Nazwa Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.2.5 CIS WS2019 9.2.5 |
= %SystemRoot%\System32\logfiles\firewall\privatefw.log (Rejestr) |
Informacyjny |
| Zapora systemu Windows: prywatne: rejestrowanie: limit rozmiaru (KB) (AZ-WIN-202230) |
Opis: Użyj tej opcji, aby określić limit rozmiaru pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: 16,384 KB or greater.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Rejestrowanie Dostosowywanie\Limit rozmiaru (KB) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.2.6 CIS WS2019 9.2.6 |
>= 16384 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: prywatne: połączenia wychodzące (CCE-38332-3) |
Opis: To ustawienie określa zachowanie połączeń wychodzących, które nie są zgodne z regułą zapory ruchu wychodzącego. Domyślne zachowanie polega na zezwalaniu na połączenia, chyba że istnieją reguły zapory, które blokują połączenie. Ważne w przypadku ustawienia połączeń wychodzących na wartość Blokuj, a następnie wdrożenia zasad zapory przy użyciu obiektu zasad grupy, komputery odbierające ustawienia obiektu zasad grupy nie mogą odbierać kolejnych aktualizacji zasad grupy, chyba że utworzysz i wdrożysz regułę ruchu wychodzącego, która umożliwia działanie zasad grupy. Wstępnie zdefiniowane reguły dla sieci podstawowej obejmują reguły ruchu wychodzącego, które umożliwiają działanie zasad grupy. Przed wdrożeniem upewnij się, że te reguły ruchu wychodzącego są aktywne i dokładnie przetestuj profile zapory. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Allow (default):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profile prywatne\Połączenia wychodzące Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.2.3 |
= 0 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: prywatna: Ustawienia: Stosowanie reguł zabezpieczeń połączeń lokalnych (CCE-36063-6) |
Opis: To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły połączeń, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy. Zalecany stan dla tego ustawienia to "Tak", spowoduje to ustawienie wartości rejestru na 1. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu prywatnego\Ustawienia (wybierz pozycję Dostosuj)\Scalanie reguł reguł, Zastosuj reguły zabezpieczeń połączeń lokalnych Mapowania standardowe zgodności: |
= 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: prywatna: Ustawienia: Stosowanie lokalnych reguł zapory (CCE-37438-9) |
Opis: To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły zapory, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy. Zalecany stan tego ustawienia to Tak. Spowoduje to ustawienie wartości rejestru na 1. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu prywatnego\Ustawienia (wybierz pozycję Dostosuj)\Scalanie reguł reguły reguły zapory lokalnej Mapowania standardowe zgodności: |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: prywatna: Ustawienia: wyświetlanie powiadomienia (CCE-37621-0) |
Opis: Po wybraniu tej opcji dla użytkownika nie jest wyświetlane żadne powiadomienie, gdy program nie może odbierać połączeń przychodzących. W środowisku serwera wyskakujące okienka nie są przydatne, ponieważ użytkownicy nie są zalogowani, wyskakujące okienka nie są konieczne i mogą powodować zamieszanie dla administratora. Skonfiguruj to ustawienie zasad na wartość "Nie", spowoduje to ustawienie wartości rejestru na 1. Zapora systemu Windows nie wyświetli powiadomienia, gdy program nie będzie odbierał połączeń przychodzących. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil prywatny\Ustawienia Dostosowywanie\Wyświetlanie powiadomienia Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.2.4 |
= 1 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: publiczna: Zezwalaj na odpowiedź emisji pojedynczej (AZ-WIN-00090) |
Opis: Ta opcja jest przydatna, jeśli musisz kontrolować, czy ten komputer odbiera odpowiedzi emisji pojedynczej na wychodzące komunikaty multiemisji lub emisji. Można to zrobić, zmieniając stan tego ustawienia na "Nie", co spowoduje ustawienie wartości rejestru na 1. Ścieżka klucza: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Skonfiguruj wartość zasad konfiguracji komputera\Windows Ustawienia\Security Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows (ten link będzie znajdować się w okienku po prawej stronie)\Karta profilu publicznego\Ustawienia (wybierz pozycję Dostosuj)\odpowiedź emisji pojedynczej, Zezwalaj na odpowiedź emisji pojedynczej Mapowania standardowe zgodności: |
= 1 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: publiczny: stan zapory (CCE-37862-0) |
Opis: wybierz pozycję Włączone (zalecane), aby zapora systemu Windows z zabezpieczeniami zaawansowanymi korzystała z ustawień tego profilu w celu filtrowania ruchu sieciowego. W przypadku wybrania opcji Wyłączone zapora systemu Windows z zabezpieczeniami zaawansowanymi nie będzie używać żadnych reguł zapory ani reguł zabezpieczeń połączeń dla tego profilu. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na On (recommended):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Stan zapory Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.3.1 |
= 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: publiczne: połączenia przychodzące (AZ-WIN-202234) |
Opis: To ustawienie określa zachowanie dla połączeń przychodzących, które nie są zgodne z regułą zapory dla ruchu przychodzącego. Zalecanym stanem dla tego ustawienia jest: Block (default).Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profile publiczne\Połączenia przychodzące Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.3.2 CIS WS2019 9.3.2 |
= 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: publiczne: Rejestrowanie: porzucone pakiety dziennika (AZ-WIN-202237) |
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi odrzuca pakiet przychodzący z jakiegokolwiek powodu. Dziennik rejestruje, dlaczego i kiedy pakiet został porzucony. Wyszukaj wpisy ze słowem DROP w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Rejestrowanie Dostosowywanie\Porzucone pakiety dziennika Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.3.9 CIS WS2019 9.3.9 |
= 1 (Rejestr) |
Informacyjny |
| Zapora systemu Windows: publiczne: rejestrowanie: rejestrowanie zakończonych powodzeniem połączeń (AZ-WIN-202233) |
Opis: Użyj tej opcji, aby rejestrować, gdy zapora systemu Windows z zabezpieczeniami zaawansowanymi zezwala na połączenie przychodzące. Dziennik rejestruje przyczyny i czas utworzenia połączenia. Wyszukaj wpisy ze słowem ALLOW w kolumnie akcji dziennika. Zalecanym stanem dla tego ustawienia jest: Yes.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessful Połączenie ions System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Rejestrowanie Dostosowywanie\Pomyślne połączenia dziennika Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.3.10 CIS WS2019 9.3.10 |
= 1 (Rejestr) |
Ostrzeżenie |
| Zapora systemu Windows: publiczne: rejestrowanie: nazwa (AZ-WIN-202235) |
Opis: Użyj tej opcji, aby określić ścieżkę i nazwę pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: %SystemRoot%\System32\logfiles\firewall\publicfw.log.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Rejestrowanie Customize\Name Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.3.7 CIS WS2019 9.3.7 |
= %SystemRoot%\System32\logfiles\firewall\publicfw.log (Rejestr) |
Informacyjny |
| Zapora systemu Windows: publiczne: rejestrowanie: limit rozmiaru (KB) (AZ-WIN-202236) |
Opis: Użyj tej opcji, aby określić limit rozmiaru pliku, w którym Zapora systemu Windows zapisze informacje dziennika. Zalecanym stanem dla tego ustawienia jest: 16,384 KB or greater.Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Rejestrowanie Dostosowywanie\Limit rozmiaru (KB) Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 9.3.8 CIS WS2019 9.3.8 |
>= 16384 (Rejestr) |
Informacyjny |
| Zapora systemu Windows: publiczne: połączenia wychodzące (CCE-37434-8) |
Opis: To ustawienie określa zachowanie połączeń wychodzących, które nie są zgodne z regułą zapory ruchu wychodzącego. Domyślne zachowanie polega na zezwalaniu na połączenia, chyba że istnieją reguły zapory, które blokują połączenie. Ważne w przypadku ustawienia połączeń wychodzących na wartość Blokuj, a następnie wdrożenia zasad zapory przy użyciu obiektu zasad grupy, komputery odbierające ustawienia obiektu zasad grupy nie mogą odbierać kolejnych aktualizacji zasad grupy, chyba że utworzysz i wdrożysz regułę ruchu wychodzącego, która umożliwia działanie zasad grupy. Wstępnie zdefiniowane reguły dla sieci podstawowej obejmują reguły ruchu wychodzącego, które umożliwiają działanie zasad grupy. Przed wdrożeniem upewnij się, że te reguły ruchu wychodzącego są aktywne i dokładnie przetestuj profile zapory. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Allow (default):Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profile publiczne\Połączenia wychodzące Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.3.3 |
= 0 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: publiczna: Ustawienia: Stosowanie reguł zabezpieczeń połączeń lokalnych (CCE-36268-1) |
Opis: To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły połączeń, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy. Zalecany stan dla tego ustawienia to "Tak", spowoduje to ustawienie wartości rejestru na 1. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Ustawienia Dostosowywanie\Stosowanie reguł zabezpieczeń połączeń lokalnych Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.3.6 |
= 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: publiczna: Ustawienia: Stosowanie lokalnych reguł zapory (CCE-37861-2) |
Opis: To ustawienie określa, czy administratorzy lokalni mogą tworzyć lokalne reguły zapory, które mają zastosowanie razem z regułami zapory skonfigurowanymi przez zasady grupy. Zalecany stan tego ustawienia to Tak. Spowoduje to ustawienie wartości rejestru na 1. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Ustawienia Dostosowywanie\Stosowanie lokalnych reguł zapory Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.3.5 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Zapora systemu Windows: publiczna: Ustawienia: wyświetlanie powiadomienia (CCE-38043-6) |
Opis: Po wybraniu tej opcji dla użytkownika nie jest wyświetlane żadne powiadomienie, gdy program nie może odbierać połączeń przychodzących. W środowisku serwera wyskakujące okienka nie są przydatne, ponieważ użytkownicy nie są zalogowani, wyskakujące okienka nie są konieczne i mogą powodować zamieszanie dla administratora. Skonfiguruj to ustawienie zasad na wartość "Nie", spowoduje to ustawienie wartości rejestru na 1. Zapora systemu Windows nie wyświetli powiadomienia, gdy program nie będzie odbierał połączeń przychodzących. Ścieżka klucza: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\Właściwości zapory systemu Windows\Profil publiczny\Ustawienia Dostosowywanie\Wyświetlanie powiadomienia Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 9.3.4 |
= 1 (Rejestr) |
Ostrzeżenie |
Zasady inspekcji systemu — logowanie do konta
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja weryfikacji poświadczeń (CCE-37741-6) |
Opis: Tej podkategorii zgłasza wyniki testów sprawdzania poprawności poświadczeń przesłanych do żądanie logowania konta użytkownika. Te zdarzenia występują na komputerze, który jest autorytatywny dla poświadczenia. Dla kont domeny kontroler domeny jest autorytatywne dla kont lokalnych komputera lokalnego jest autorytatywne. W środowiskach domeny większość zdarzeń logowania konta występuje w dzienniku zabezpieczeń kontrolerów domeny, które są autorytatywne dla kont domeny. Jednak te zdarzenia może wystąpić na innych komputerach w organizacji, gdy kont lokalnych są używane do logowania. Zdarzenia dla tej podkategorii obejmują: - 4774: Konto zostało zamapowane na logowanie. - 4775: Nie można zamapować konta na logowanie. - 4776: Kontroler domeny próbował zweryfikować poświadczenia dla konta. - 4777: Kontroler domeny nie może zweryfikować poświadczeń dla konta. Zalecanym stanem dla tego ustawienia jest: "Powodzenie i niepowodzenie". Ścieżka klucza: {0CCE923F-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Account Logon\Audit Credential Validation Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja usługi uwierzytelniania Kerberos (AZ-WIN-00004) |
Opis: Ta podkategoria raportuje wyniki zdarzeń wygenerowanych po żądaniu biletu TGT uwierzytelniania Kerberos. Kerberos to rozproszona usługa uwierzytelniania, która umożliwia klientowi działającemu w imieniu użytkownika potwierdzenie tożsamości serwera bez wysyłania danych w sieci. Pomaga to uniknąć personifikacji użytkownika przez osobę atakującą lub serwer. - 4768: Zażądano biletu uwierzytelniania Kerberos (TGT). - 4771: Uwierzytelnianie wstępne protokołu Kerberos nie powiodło się. - 4772: Żądanie biletu uwierzytelniania Kerberos nie powiodło się. Zalecanym stanem dla tego ustawienia jest: Success and Failure.Ścieżka klucza: {0CCE9242-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Kerberos Authentication Service Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.1.2 CIS WS2019 17.1.2 |
>= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
Zasady inspekcji systemu — zarządzanie kontami
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja zarządzania grupami dystrybucyjnymi (CCE-36265-7) |
Opis: Ta podkategoria raportuje każde zdarzenie zarządzania grupami dystrybucyjnych, takie jak utworzenie, zmiana lub usunięcie grupy dystrybucyjnej lub dodanie lub usunięcie elementu członkowskiego z grupy dystrybucyjnej. Jeśli to ustawienie zasad inspekcji zostanie włączone, administratorzy będą mogli śledzić zdarzenia w celu wykrywania złośliwych, przypadkowych i autoryzowanych tworzenia kont grupy. Zdarzenia dla tej podkategorii obejmują: - 4744: utworzono grupę lokalną wyłączoną zabezpieczeń. - 4745: Zmieniono grupę lokalną wyłączoną zabezpieczeń. - 4746: Element członkowski został dodany do grupy lokalnej wyłączonej zabezpieczeń. - 4747: Element członkowski został usunięty z grupy lokalnej wyłączonej zabezpieczeń. - 4748: Usunięto wyłączoną zabezpieczeń grupę lokalną. - 4749: Utworzono grupę globalną wyłączoną zabezpieczeń. - 4750: Grupa globalna wyłączona zabezpieczeń została zmieniona. - 4751: Element członkowski został dodany do grupy globalnej wyłączonej zabezpieczeń. - 4752: Członek został usunięty z grupy globalnej wyłączonej zabezpieczeń. - 4753: Grupa globalna wyłączona zabezpieczeń została usunięta. - 4759: Utworzono grupę uniwersalną wyłączoną zabezpieczeń. - 4760: Zmieniono grupę uniwersalną wyłączoną zabezpieczeń. - 4761: Element członkowski został dodany do grupy uniwersalnej wyłączonej zabezpieczeń. - 4762: Element członkowski został usunięty z grupy uniwersalnej wyłączonej zabezpieczeń. - 4763: Usunięto grupę uniwersalną wyłączoną zabezpieczeń. Zalecanym stanem tego ustawienia jest: Success.Ścieżka klucza: {0CCE9238-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Group Management\Audit Group Management Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.2.3 CIS WS2019 17.2.3 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja innych zdarzeń zarządzania kontami (CCE-37855-4) |
Opis: Ta podkategoria raportuje inne zdarzenia zarządzania kontami. Zdarzenia dla tej podkategorii obejmują: — 4782: skrót hasła, do którego uzyskiwano dostęp do konta. — 4793: Wywołano interfejs API sprawdzania zasad haseł. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ścieżka klucza: {0CCE923A-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : SuccessKonfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Account Management\Audit Other Account Management Events Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.2.4 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja zarządzania grupami zabezpieczeń (CCE-38034-5) |
Opis: Ta podkategoria raportuje każde zdarzenie zarządzania grupami zabezpieczeń, takie jak utworzenie, zmiana lub usunięcie grupy zabezpieczeń albo dodanie lub usunięcie elementu członkowskiego z grupy zabezpieczeń. Jeśli to ustawienie zasad inspekcji zostanie włączone, administratorzy będą mogli śledzić zdarzenia wykrywające złośliwe, przypadkowe i autoryzowane tworzenie kont grup zabezpieczeń. Zdarzenia dla tej podkategorii obejmują: - 4727: utworzono grupę globalną z obsługą zabezpieczeń. - 4728: Element członkowski został dodany do grupy globalnej z obsługą zabezpieczeń. - 4729: Członek został usunięty z grupy globalnej obsługującej zabezpieczenia. - 4730: Grupa globalna z włączoną obsługą zabezpieczeń została usunięta. - 4731: Utworzono grupę lokalną z obsługą zabezpieczeń. - 4732: Element członkowski został dodany do grupy lokalnej z obsługą zabezpieczeń. - 4733: Członek został usunięty z grupy lokalnej z obsługą zabezpieczeń. - 4734: Usunięto grupę lokalną z obsługą zabezpieczeń. - 4735: Zmieniono grupę lokalną z obsługą zabezpieczeń. - 4737: Zmieniono grupę globalną z obsługą zabezpieczeń. - 4754: Utworzono grupę uniwersalną z obsługą zabezpieczeń. - 4755: Zmieniono grupę uniwersalną z obsługą zabezpieczeń. - 4756: Element członkowski został dodany do grupy uniwersalnej obsługującej zabezpieczenia. - 4757: Element członkowski został usunięty z grupy uniwersalnej obsługującej zabezpieczenia. - 4758: Usunięto grupę uniwersalną z obsługą zabezpieczeń. - 4764: Typ grupy został zmieniony. Zalecanym stanem dla tego ustawienia jest: Success and Failure.Ścieżka klucza: {0CCE9237-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : SuccessKonfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Account Management\Audit Group Management\Audit Group Management Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.2.5 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja zarządzania kontami użytkowników (CCE-37856-2) |
Opis: Ta podkategoria raportuje każde zdarzenie zarządzania kontami użytkowników, na przykład po utworzeniu, zmianie lub usunięciu konta użytkownika; nazwa konta użytkownika zostanie zmieniona, wyłączona lub włączona; albo hasło jest ustawione lub zmienione. Jeśli to ustawienie zasad inspekcji zostanie włączone, administratorzy będą mogli śledzić zdarzenia w celu wykrywania złośliwych, przypadkowych i autoryzowanych tworzenia kont użytkowników. Zdarzenia dla tej podkategorii obejmują: - 4720: utworzono konto użytkownika. - 4722: Konto użytkownika zostało włączone. - 4723: Podjęto próbę zmiany hasła konta. - 4724: Podjęto próbę zresetowania hasła konta. - 4725: Konto użytkownika zostało wyłączone. - 4726: Konto użytkownika zostało usunięte. - 4738: Konto użytkownika zostało zmienione. - 4740: Konto użytkownika zostało zablokowane. - 4765: Historia sid została dodana do konta. - 4766: Próba dodania historii sid do konta nie powiodła się. - 4767: Konto użytkownika zostało odblokowane. - 4780: Lista ACL została ustawiona na kontach, które są członkami grup administratorów. - 4781: Nazwa konta została zmieniona: - 4794: Podjęto próbę ustawienia trybu przywracania usług katalogowych. - 5376: Utworzono kopię zapasową poświadczeń menedżera poświadczeń. - 5377: Poświadczenia menedżera poświadczeń zostały przywrócone z kopii zapasowej. Zalecanym stanem dla tego ustawienia jest: Success and Failure.Ścieżka klucza: {0CCE9235-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Account Management\Audit Account Management\Audit User Account Management Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
Zasady inspekcji systemu — szczegółowe śledzenie
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja działania PNP (AZ-WIN-00182) |
Opis: To ustawienie zasad umożliwia inspekcję, gdy wtyczka i odtwarzanie wykrywa urządzenie zewnętrzne. Zalecanym stanem dla tego ustawienia jest: Success. Uwaga: System operacyjny Windows 10, Server 2016 lub nowszy jest wymagany do uzyskania dostępu i ustawić tę wartość w zasadach grupy.Ścieżka klucza: {0CCE9248-69AE-11D9-BED3-505054503030} System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Opcje zabezpieczeń\Inspekcja: Wymuś ustawienia podkategorii zasad inspekcji (Windows Vista lub nowszy) w celu zastąpienia ustawień kategorii zasad inspekcji Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.3.1 CIS WS2022 17.3.1 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Tworzenie procesu inspekcji (CCE-36059-4) |
Opis: Ta podkategoria zgłasza tworzenie procesu oraz nazwę programu lub użytkownika, który go utworzył. Zdarzenia dla tej podkategorii obejmują: - 4688: Utworzono nowy proces. - 4696: Do procesu przypisano token podstawowy. Aby uzyskać najnowsze informacje na temat tego ustawienia, zapoznaj się z artykułem bazy wiedzy Microsoft Knowledge Base 947226. Zalecanym stanem dla tego ustawienia jest: Success.Ścieżka klucza: {0CCE922B-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : SuccessKonfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Detailed Tracking\Audit Process Creation Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2 |
>= Powodzenie (Inspekcja) |
Krytyczne |
Zasady inspekcji systemu — dostęp do usług DS
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Przeprowadź inspekcję dostępu do usługi katalogowej (CCE-37433-0) |
Opis: Ta podkategoria raportuje, gdy jest uzyskiwany dostęp do obiektu usług AD DS. Tylko obiekty z SACL powodują wygenerowanie zdarzeń inspekcji i tylko wtedy, gdy są one dostępne w sposób zgodny z SACL. Te zdarzenia są podobne do zdarzeń dostępu do usługi katalogowej w poprzednich wersjach systemu Windows Server. Ta podkategoria ma zastosowanie tylko do kontrolerów domeny. Zdarzenia dla tej podkategorii obejmują: - 4662 : Operacja została wykonana na obiekcie. Zalecanym stanem tego ustawienia jest: Failure.Ścieżka klucza: {0CCE923B-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Advanced Audit Policy Configuration\Audit Policy\DS Access\Audit Directory Service Access Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.4.1 CIS WS2019 17.4.1 |
>= Niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja zmian usługi katalogowej (CCE-37616-0) |
Opis: Ta podkategoria raportuje zmiany obiektów w usługach domena usługi Active Directory Services (AD DS). Rodzaje zmian, które są zgłaszane są tworzone, modyfikowania, przenoszenia i usuniętych operacji wykonywanych na obiekt. Inspekcja zmian ds, jeśli jest to konieczne, wskazuje stare i nowe wartości zmienionych właściwości obiektów, które zostały zmienione. Tylko obiekty z SACL powodują wygenerowanie zdarzeń inspekcji i tylko wtedy, gdy są one dostępne w sposób zgodny z SACL. Niektóre obiekty i właściwości nie powodują zdarzeń inspekcji został wygenerowany z powodu ustawień na klasę obiektu w schemacie. Ta podkategoria ma zastosowanie tylko do kontrolerów domeny. Zdarzenia dla tej podkategorii obejmują: - 5136: obiekt usługi katalogowej został zmodyfikowany. - 5137: Utworzono obiekt usługi katalogowej. - 5138: Obiekt usługi katalogowej został nieukończony. - 5139: Obiekt usługi katalogowej został przeniesiony. Zalecanym stanem tego ustawienia jest: Success.Ścieżka klucza: {0CCE923C-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\DS Access\Audit Directory Service Changes Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.4.2 CIS WS2019 17.4.2 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja replikacji usługi katalogowej (AZ-WIN-00093) |
Opis: Ta podkategoria raportuje, kiedy rozpoczyna się replikacja między dwoma kontrolerami domeny i kończy się. Zdarzenia dla tej podkategorii obejmują: - 4932: Rozpoczęto synchronizację repliki kontekstu nazewnictwa usługi Active Directory. – 4933: Zakończono synchronizację repliki kontekstu nazewnictwa usługi Active Directory. Zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: http:-support.microsoft.com-default.aspx-kb-947226 Ścieżka klucza: {0CCE923D-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\DS Access\Audit Directory Service Replication Mapowania standardowe zgodności: |
>= Brak inspekcji (Inspekcja) |
Krytyczne |
Zasady inspekcji systemu — wylogowanie i wylogowanie
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja blokady konta (CCE-37133-6) |
Opis: Ta podkategoria zgłasza, gdy konto użytkownika jest zablokowane w wyniku zbyt wielu nieudanych prób logowania. Zdarzenia dla tej podkategorii obejmują: — 4625: Nie można zalogować się na koncie. Aby uzyskać najnowsze informacje na temat tego ustawienia https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd, zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008". Ścieżka klucza: {0CCE9217-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : FailureKonfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Logon/Logoff\Audit Account Lockout Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.5.1 |
>= Niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja członkostwa w grupie (AZ-WIN-00026) |
Opis: Członkostwo w grupie inspekcji umożliwia inspekcję członkostwa w grupach, gdy są wyliczane na komputerze klienckim. Te zasady umożliwiają inspekcję informacji o członkostwie w grupie w tokenie logowania użytkownika. Zdarzenia w tej podkategorii są generowane na komputerze, na którym jest tworzona sesja logowania. W przypadku logowania interakcyjnego zdarzenie inspekcji zabezpieczeń jest generowane na komputerze zalogowanym przez użytkownika. W przypadku logowania sieciowego, takiego jak uzyskiwanie dostępu do folderu udostępnionego w sieci, zdarzenie inspekcji zabezpieczeń jest generowane na komputerze hostujący zasób. Należy również włączyć podkategorię Inspekcja logowania. Wiele zdarzeń jest generowanych, jeśli informacje o członkostwie w grupie nie mogą mieścić się w pojedynczym zdarzeniu inspekcji zabezpieczeń. Zdarzenia, które są poddawane inspekcji, obejmują następujące elementy: - 4627(S): informacje o członkostwie w grupie. Ścieżka klucza: {0CCE9249-69AE-11D9-BED3-505054503030} System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : SuccessKonfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Logon/Logoff\Audit Group Membership Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.5.2 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja wylogowania (CCE-38237-4) |
Opis: Ta podkategoria zgłasza, gdy użytkownik wyloguje się z systemu. Te zdarzenia występują na dostęp do komputera. Logowania interakcyjnego wystąpi generowanie tych zdarzeń na komputerze, który jest zalogowany. Logowanie do sieci odbywa się dostępu do udziału, te zdarzenia generować na komputerze, który obsługuje dostęp do zasobów. Jeśli to ustawienie zostanie skonfigurowane na Wartość Brak inspekcji, trudno lub nie można określić, do którego użytkownika uzyskiwał dostęp lub próbował uzyskać dostęp do komputerów organizacji. Zdarzenia dla tej podkategorii obejmują: - 4634: Konto zostało wylogowane. - 4647: Użytkownik zainicjował wylogowanie. Zalecanym stanem dla tego ustawienia jest: "Powodzenie". Ścieżka klucza: {0CCE9216-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : SuccessKonfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Logon/Logoff\Audit Logoff\Audit Logoff Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja logowania (CCE-38036-0) |
Opis: Tej podkategorii raportów, gdy użytkownik próbuje zalogować się do systemu. Te zdarzenia występują na dostęp do komputera. Logowania interakcyjnego wystąpi generowanie tych zdarzeń na komputerze, który jest zalogowany. Logowanie do sieci odbywa się dostępu do udziału, te zdarzenia generować na komputerze, który obsługuje dostęp do zasobów. Jeśli to ustawienie zostanie skonfigurowane na Wartość Brak inspekcji, trudno lub nie można określić, do którego użytkownika uzyskiwał dostęp lub próbował uzyskać dostęp do komputerów organizacji. Zdarzenia dla tej podkategorii obejmują: - 4624: Konto zostało pomyślnie zalogowane. - 4625: Nie można zalogować się na koncie. - 4648: Próbowano zalogować się przy użyciu jawnych poświadczeń. - 4675: Identyfikatory SID zostały przefiltrowane. Zalecanym stanem dla tego ustawienia jest: "Powodzenie i niepowodzenie". Ścieżka klucza: {0CCE9215-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Logon/Logoff\Audit Logon\Audit Logon Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja innych zdarzeń logowania/wylogowania (CCE-36322-6) |
Opis: Ta podkategoria zgłasza inne zdarzenia związane z logowaniem/wylogowaniem, takie jak sesja usług terminalowych rozłącza się i ponownie nawiąża, przy użyciu uruchomień procesów w ramach innego konta oraz blokowania i odblokowywania stacji roboczej. Zdarzenia dla tej podkategorii obejmują: — 4649: Wykryto atak powtarzania. — 4778: Sesja została ponownie połączona z stacją okien. — 4779: Sesja została odłączona od stacji okien. — 4800: Stacja robocza została zablokowana. — 4801: Stacja robocza została odblokowana. — 4802: Wywoływano wygaszacz ekranu. — 4803: Wygaszacz ekranu został odrzucony. — 5378: Żądane delegowanie poświadczeń zostało niedozwolone przez zasady. — 5632: Żądanie zostało złożone w celu uwierzytelnienia w sieci bezprzewodowej. — 5633: Żądanie zostało złożone w celu uwierzytelnienia w sieci przewodowej. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ścieżka klucza: {0CCE921C-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Logon/Logoff\Audit Other Logon/Logoff Events Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.5.5 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja logowania specjalnego (CCE-36266-5) |
Opis: Ta podkategoria raportuje, gdy jest używane specjalne logowanie. Specjalne logowanie to logowanie, które ma równoważne uprawnienia administratora i może służyć do podniesienia poziomu procesu do wyższego poziomu. Zdarzenia dla tej podkategorii obejmują: - 4964: Grupy specjalne zostały przypisane do nowego logowania. Zalecanym stanem dla tego ustawienia jest: Success.Ścieżka klucza: {0CCE921B-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : SuccessKonfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Logon/Logoff\Audit Special Logon Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6 |
>= Powodzenie (Inspekcja) |
Krytyczne |
Zasady inspekcji systemu — dostęp do obiektów
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja szczegółowego udziału plików (AZ-WIN-00100) |
Opis: Ta podkategoria umożliwia inspekcję prób uzyskania dostępu do plików i folderów w folderze udostępnionym. Zdarzenia dla tej podkategorii obejmują: - 5145: obiekt udziału sieciowego został sprawdzony, czy klient może uzyskać żądany dostęp. Zalecanym stanem tego ustawienia jest: FailureŚcieżka klucza: {0CCE9244-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Detailed File Share Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.6.1 CIS WS2019 17.6.1 |
>= Niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja udziału plików (AZ-WIN-00102) |
Opis: To ustawienie zasad umożliwia inspekcję prób uzyskania dostępu do folderu udostępnionego. Zalecanym stanem dla tego ustawienia jest: Success and Failure. Uwaga: nie ma list kontroli dostępu systemu (SACLs) dla folderów udostępnionych. Jeśli to ustawienie zasad jest włączone, dostęp do wszystkich folderów udostępnionych w systemie jest poddawane inspekcji.Ścieżka klucza: {0CCE9224-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Object Access\Audit File Share Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.6.2 CIS WS2019 17.6.2 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja innych zdarzeń dostępu do obiektów (AZ-WIN-00113) |
Opis: Ta podkategoria raportuje inne zdarzenia związane z dostępem do obiektów, takie jak zadania harmonogramu zadań i obiekty COM+. Zdarzenia dla tej podkategorii obejmują: — 4671: Aplikacja próbowała uzyskać dostęp do zablokowanej porządkowej za pośrednictwem tbS. — 4691: Zażądano pośredniego dostępu do obiektu. — 4698: Utworzono zaplanowane zadanie. — 4699: Zaplanowane zadanie zostało usunięte. — 4700: Zaplanowane zadanie zostało włączone. — 4701: Zaplanowane zadanie zostało wyłączone. — 4702: Zaplanowane zadanie zostało zaktualizowane. — 5888: Obiekt w wykazie COM+ został zmodyfikowany. — 5889: Obiekt został usunięty z wykazu COM+ . — 5890: Obiekt został dodany do wykazu COM+ . Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ścieżka klucza: {0CCE9227-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Object Access\Audit Other Object Access Events Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.6.3 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja magazynu wymiennego (CCE-37617-8) |
Opis: To ustawienie zasad umożliwia inspekcję prób uzyskania dostępu do obiektów systemu plików na wymiennym urządzeniu magazynu. Zdarzenie inspekcji zabezpieczeń jest generowane tylko dla wszystkich obiektów dla wszystkich typów żądanych dostępu. Jeśli to ustawienie zasad zostanie skonfigurowane, zdarzenie inspekcji jest generowane za każdym razem, gdy konto uzyskuje dostęp do obiektu systemu plików w magazynie wymiennym. Inspekcje powodzenia rejestrują pomyślne próby i Inspekcje niepowodzeń rejestrują nieudane próby. Jeśli to ustawienie zasad nie zostanie skonfigurowane, żadne zdarzenie inspekcji nie zostanie wygenerowane, gdy konto uzyskuje dostęp do obiektu systemu plików w magazynie wymiennym. Zalecanym stanem dla tego ustawienia jest: Success and Failure. Uwaga: System operacyjny Windows 8, Server 2012 (inny niż R2) lub nowszy jest wymagany do uzyskiwania dostępu i ustawiania tej wartości w zasadach grupy.Ścieżka klucza: {0CCE9245-69AE-11D9-BED3-505054503030} System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Object Access\Audit Removable Storage Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
Zasady inspekcji systemu — zmiana zasad
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja zmiany zasad uwierzytelniania (CCE-38327-3) |
Opis: Ta podkategoria zgłasza zmiany w zasadach uwierzytelniania. Zdarzenia dla tej podkategorii obejmują: — 4706: Utworzono nowe zaufanie do domeny. — 4707: Usunięto zaufanie do domeny. — 4713: Zmieniono zasady protokołu Kerberos. — 4716: Zmodyfikowano informacje o zaufanej domenie. — 4717: Dostęp zabezpieczeń systemu został przyznany kontu. — 4718: Dostęp zabezpieczeń systemu został usunięty z konta. — 4739: Zasady domeny zostały zmienione. — 4864: Wykryto kolizję przestrzeni nazw. — 4865: Dodano wpis informacji o zaufanym lesie. — 4866: Usunięto wpis informacji o zaufanym lesie. — 4867: Zmodyfikowano wpis informacji o zaufanym lesie. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ścieżka klucza: {0CCE9230-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : SuccessKonfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Policy Change\Audit Authentication Policy Change\ Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.7.2 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja zmiany zasad autoryzacji (CCE-36320-0) |
Opis: Ta podkategoria zgłasza zmiany w zasadach autoryzacji. Zdarzenia dla tej podkategorii obejmują: - 4704: Przypisano prawo użytkownika. - 4705: Prawo użytkownika zostało usunięte. - 4706: Utworzono nowe zaufanie do domeny. - 4707: Zaufanie do domeny zostało usunięte. - 4714: Zasady odzyskiwania zaszyfrowanych danych zostały zmienione. Zalecanym stanem tego ustawienia jest: Success.Ścieżka klucza: {0CCE9231-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Policy Change\Audit Authorization Policy Change\Audit Authorization Policy Change Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.7.3 CIS WS2019 17.7.3 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja zmiany zasad na poziomie reguł MPSSVC (AZ-WIN-00111) |
Opis: Ta podkategoria zgłasza zmiany reguł zasad używanych przez usługę Microsoft Protection (MPSSVC.exe). Ta usługa jest używana przez Zaporę systemu Windows i microsoft OneCare. Zdarzenia dla tej podkategorii obejmują: — 4944: Następujące zasady były aktywne po uruchomieniu Zapory systemu Windows. — 4945: Reguła została wyświetlona po uruchomieniu Zapory systemu Windows. — 4946: Wprowadzono zmianę na liście wyjątków Zapory systemu Windows. Dodano regułę. — 4947: Wprowadzono zmianę na liście wyjątków Zapory systemu Windows. Reguła została zmodyfikowana. — 4948: Wprowadzono zmianę na liście wyjątków Zapory systemu Windows. Reguła została usunięta. — 4949: Ustawienia Zapory systemu Windows zostały przywrócone do wartości domyślnych. — 4950: Zmieniono ustawienie Zapory systemu Windows. — 4951: Reguła została zignorowana, ponieważ jej numer wersji głównej nie został rozpoznany przez zaporę systemu Windows. — 4952: Części reguły zostały zignorowane, ponieważ jego numer wersji pomocniczej nie został rozpoznany przez zaporę systemu Windows. Pozostałe części reguły zostaną wymuszone. — 4953: Reguła została zignorowana przez Zaporę systemu Windows, ponieważ nie mogła przeanalizować reguły. — 4954: Ustawienia zasad grupy zapory systemu Windows zostały zmienione. Zastosowano nowe ustawienia. — 4956: Zapora systemu Windows zmieniła aktywny profil. — 4957: Zapora systemu Windows nie zastosowała następującej reguły: — 4958: Zapora systemu Windows nie zastosowała następującej reguły, ponieważ reguła odwoływała się do elementów nieskonfigurowane na tym komputerze: Zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ścieżka klucza: {0CCE9232-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Policy Change\Audit MPSSVC Rule-Level Policy Change\Audit MPSSVC Rule-Level Policy Change Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.7.4 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja innych zdarzeń zmiany zasad (AZ-WIN-00114) |
Opis: Ta podkategoria zawiera zdarzenia dotyczące zmian zasad agenta odzyskiwania danych SYSTEMU EFS, zmian w filtrze Platformy filtrowania systemu Windows, stanu aktualizacji ustawień zasad zabezpieczeń dla lokalnych ustawień zasad grupy, zmian centralnych zasad dostępu i szczegółowych zdarzeń rozwiązywania problemów dotyczących operacji kryptograficznych następnej generacji (CNG). - 5063: Podjęto próbę wykonania operacji dostawcy kryptograficznego. - 5064: Podjęto próbę wykonania operacji kontekstu kryptograficznego. - 5065: Podjęto próbę modyfikacji kontekstu kryptograficznego. - 5066: Podjęto próbę wykonania operacji funkcji kryptograficznych. - 5067: Podjęto próbę modyfikacji funkcji kryptograficznych. - 5068: Podjęto próbę wykonania operacji dostawcy funkcji kryptograficznych. - 5069: Podjęto próbę wykonania operacji właściwości funkcji kryptograficznych. - 5070: Podjęto próbę modyfikacji właściwości funkcji kryptograficznych. - 6145: Wystąpił co najmniej jeden błąd podczas przetwarzania zasad zabezpieczeń w obiektach zasad grupy. Zalecanym stanem tego ustawienia jest: Failure.Ścieżka klucza: {0CCE9234-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Other Policy Change Events Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.7.5 CIS WS2019 17.7.5 |
>= Niepowodzenie (Inspekcja) |
Krytyczne |
| Zmiana zasad inspekcji (CCE-38028-7) |
Opis: Ta podkategoria raportuje zmiany w zasadach inspekcji, w tym zmiany SACL. Zdarzenia dla tej podkategorii obejmują: — 4715: Zasady inspekcji (SACL) dla obiektu zostały zmienione. — 4719: Zasady inspekcji systemu zostały zmienione. — 4902: Utworzono tabelę zasad inspekcji dla poszczególnych użytkowników. — 4904: Podjęto próbę zarejestrowania źródła zdarzeń zabezpieczeń. — 4905: Podjęto próbę wyrejestrowania źródła zdarzeń zabezpieczeń. — 4906: Zmieniono wartość CrashOnAuditFail. — 4907: Zmieniono ustawienia inspekcji obiektu. — 4908: Zmodyfikowano tabelę logowania grup specjalnych. — 4912: Zmieniono zasady inspekcji poszczególnych użytkowników. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ścieżka klucza: {0CCE922F-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Policy Change\Audit Policy Change Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.7.1 |
>= Powodzenie (Inspekcja) |
Krytyczne |
Zasady inspekcji systemu — użycie uprawnień
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja użycia poufnych uprawnień (CCE-36267-3) |
Opis: Ta podkategoria raportuje, gdy konto użytkownika lub usługa używa poufnych uprawnień. Poufne uprawnienia obejmują następujące prawa użytkownika: Działanie jako część systemu operacyjnego, pliki kopii zapasowej i katalogi, tworzenie obiektu tokenu, programy debugowania, Włączanie kont komputerów i użytkowników, które mają być zaufane dla delegowania, Generowanie inspekcji zabezpieczeń, Personifikacja klienta po uwierzytelnieniu, Ładowanie i zwalnianie sterowników urządzeń, Zarządzanie inspekcją i dziennikiem zabezpieczeń, Modyfikowanie wartości środowiska oprogramowania układowego, Zastąp token na poziomie procesu, przywróć pliki i katalogi oraz przejmij na własność pliki lub inne obiekty. Inspekcja tej podkategorii utworzy duża liczba zdarzeń. Zdarzenia dla tej podkategorii obejmują: — 4672: Specjalne uprawnienia przypisane do nowego logowania. — 4673: Wywołano usługę uprzywilejowaną. — 4674: Podjęto próbę wykonania operacji na uprzywilejowanym obiekcie. Aby uzyskać najnowsze informacje na temat tego ustawienia https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd, zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008". Ścieżka klucza: {0CCE9228-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Success and Failure:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Privilege Use\Audit Sensitive Privilege Use\Audit Privilege Use Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.8.1 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
Zasady inspekcji systemu — system
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Inspekcja sterownika IPsec (CCE-37853-9) |
Opis: Ta podkategoria raportuje działania sterownika Zabezpieczeń protokołu internetowego (IPsec). Zdarzenia dla tej podkategorii obejmują: - 4960: protokół IPsec porzucił pakiet przychodzący, który zakończył się niepowodzeniem sprawdzania integralności. Jeśli ten problem będzie się powtarzać, może to oznaczać problem z siecią lub że pakiety są modyfikowane podczas przesyłania do tego komputera. Sprawdź, czy pakiety wysyłane z komputera zdalnego są takie same jak pakiety odbierane przez ten komputer. Ten błąd może również wskazywać na problemy ze współdziałaniem z innymi implementacjami protokołu IPsec. - 4961: Protokół IPsec porzucił pakiet przychodzący, który zakończył się niepowodzeniem sprawdzania powtórki. Jeśli ten problem będzie się powtarzać, może to wskazywać na atak na ten komputer. - 4962: Protokół IPsec porzucił pakiet przychodzący, który zakończył się niepowodzeniem sprawdzania powtórki. Pakiet przychodzący miał zbyt małą liczbę sekwencji, aby upewnić się, że nie była to powtórka. - 4963: Protokół IPsec porzucił przychodzący pakiet zwykłego tekstu, który powinien zostać zabezpieczony. Jest to zwykle spowodowane zmianą zasad protokołu IPsec przez komputer zdalny bez informowania tego komputera. Może to być również próba fałszowania ataku. - 4965: Protokół IPsec odebrał pakiet z komputera zdalnego z nieprawidłowym indeksem parametrów zabezpieczeń (SPI). Jest to zwykle spowodowane awarią sprzętu, który powoduje uszkodzenie pakietów. Jeśli te błędy będą się powtarzać, sprawdź, czy pakiety wysyłane z komputera zdalnego są takie same jak pakiety odebrane przez ten komputer. Ten błąd może również wskazywać na problemy ze współdziałaniem z innymi implementacjami protokołu IPsec. W takim przypadku, jeśli łączność nie jest utrudniona, te zdarzenia można zignorować. - 5478: Usługi IPsec zostały pomyślnie uruchomione. - 5479: Usługi IPsec zostały pomyślnie zamknięte. Zamknięcie usług IPsec może narażać komputer na większe ryzyko ataku sieciowego lub narażać komputer na potencjalne zagrożenia bezpieczeństwa. - 5480: Usługi IPsec nie mogą uzyskać pełnej listy interfejsów sieciowych na komputerze. Stwarza to potencjalne zagrożenie bezpieczeństwa, ponieważ niektóre interfejsy sieciowe mogą nie uzyskać ochrony zapewnianej przez zastosowane filtry IPsec. Użyj przystawki Monitor zabezpieczeń ip, aby zdiagnozować problem. - 5483: Nie można zainicjować serwera RPC usług IPsec. Nie można uruchomić usług IPsec. - 5484: Usługi IPsec doświadczyły krytycznej awarii i zostały zamknięte. Zamknięcie usług IPsec może narażać komputer na większe ryzyko ataku sieciowego lub narażać komputer na potencjalne zagrożenia bezpieczeństwa. - 5485: Usługi IPsec nie mogą przetworzyć niektórych filtrów IPsec dla zdarzeń plug-and-play dla interfejsów sieciowych. Stwarza to potencjalne zagrożenie bezpieczeństwa, ponieważ niektóre interfejsy sieciowe mogą nie uzyskać ochrony zapewnianej przez zastosowane filtry IPsec. Użyj przystawki Monitor zabezpieczeń ip, aby zdiagnozować problem. Zalecanym stanem dla tego ustawienia jest: Success and Failure.Ścieżka klucza: {0CCE9213-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policies\System\Audit IPsec Driver Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.9.1 CIS WS2019 17.9.1 |
>= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja innych zdarzeń systemowych (CCE-38030-3) |
Opis: Ta podkategoria raportów dotyczących innych zdarzeń systemowych. Zdarzenia dla tej podkategorii obejmują: - 5024: Usługa Zapory systemu Windows została pomyślnie uruchomiona. - 5025: Usługa Zapory systemu Windows została zatrzymana. - 5027: Usługa Zapory systemu Windows nie może pobrać zasad zabezpieczeń z magazynu lokalnego. Usługa będzie nadal wymuszać bieżące zasady. - 5028: Usługa Zapory systemu Windows nie może przeanalizować nowych zasad zabezpieczeń. Usługa będzie kontynuowana z aktualnie wymuszanymi zasadami. - 5029: Nie można zainicjować sterownika przez usługę Zapory systemu Windows. Usługa będzie nadal wymuszać bieżące zasady. - 5030: Nie można uruchomić usługi Zapory systemu Windows. - 5032: Zapora systemu Windows nie może powiadomić użytkownika, że zablokowała aplikacji akceptowanie połączeń przychodzących w sieci. - 5033: Sterownik zapory systemu Windows został uruchomiony pomyślnie. - 5034: Sterownik zapory systemu Windows został zatrzymany. - 5035: Nie można uruchomić sterownika zapory systemu Windows. - 5037: Sterownik zapory systemu Windows wykrył krytyczny błąd środowiska uruchomieniowego. Kończące. - 5058: Operacja klucza pliku. - 5059: Operacja migracji klucza. Zalecanym stanem dla tego ustawienia jest: Success and Failure.Ścieżka klucza: {0CCE9214-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policies\System\Audit Other System Events Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 17.9.2 CIS WS2019 17.9.2 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
| Inspekcja zmian stanu zabezpieczeń (CCE-38114-5) |
Opis: Ta podkategoria zgłasza zmiany stanu zabezpieczeń systemu, na przykład po uruchomieniu i zatrzymaniu podsystemu zabezpieczeń. Zdarzenia dla tej podkategorii obejmują: — 4608: Uruchamianie systemu Windows. — 4609: System Windows jest zamykany. — 4616: Czas systemowy został zmieniony. — 4621: Administracja istrator odzyskał system z crashOnAuditFail. Użytkownicy, którzy nie są administratorami, będą mogli się zalogować. Niektóre działania podlegające inspekcji mogły nie zostać zarejestrowane. Aby uzyskać najnowsze informacje na temat tego ustawienia https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd, zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008". Ścieżka klucza: {0CCE9210-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : SuccessKonfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\System\Audit State Change Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.9.3 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja rozszerzenia systemu zabezpieczeń (CCE-36144-4) |
Opis: Ta podkategoria zgłasza ładowanie kodu rozszerzenia, takiego jak pakiety uwierzytelniania przez podsystem zabezpieczeń. Zdarzenia dla tej podkategorii obejmują: — 4610: Pakiet uwierzytelniania został załadowany przez urząd zabezpieczeń lokalnych. — 4611: Zaufany proces logowania został zarejestrowany w urzędzie zabezpieczeń lokalnych. — 4614: Pakiet powiadomień został załadowany przez Menedżera kont zabezpieczeń. — 4622: Pakiet zabezpieczeń został załadowany przez urząd zabezpieczeń lokalnych. — 4697: Usługa została zainstalowana w systemie. Zapoznaj się z artykułem Bazy wiedzy Microsoft Knowledgebase "Opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008", aby uzyskać najnowsze informacje o tym ustawieniu: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ścieżka klucza: {0CCE9211-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : SuccessKonfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\System\Audit System\Audit System Security System Extension Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.9.4 |
>= Powodzenie (Inspekcja) |
Krytyczne |
| Inspekcja integralności systemu (CCE-37132-8) |
Opis: Ta podkategoria zgłasza naruszenia integralności podsystemu zabezpieczeń. Zdarzenia dla tej podkategorii obejmują: — 4612: Zasoby wewnętrzne przydzielone do kolejkowania komunikatów inspekcji zostały wyczerpane, co prowadzi do utraty niektórych inspekcji. — 4615: Nieprawidłowe użycie portu LPC. — 4618: Wystąpił monitorowany wzorzec zdarzeń zabezpieczeń. — 4816: RPC wykrył naruszenie integralności podczas odszyfrowywania komunikatu przychodzącego. — 5038: Integralność kodu ustaliła, że skrót obrazu pliku jest nieprawidłowy. Plik może być uszkodzony z powodu nieautoryzowanej modyfikacji lub nieprawidłowy skrót może wskazywać na potencjalny błąd urządzenia dysku. — 5056: Wykonano kryptograficzny self-test. — 5057: Operacja kryptograficzna typu pierwotnego nie powiodła się. — 5060: Operacja weryfikacji nie powiodła się. — 5061: Operacja kryptograficzna. — 5062: Wykonano kryptograficzny test kryptograficzny w trybie jądra. Aby uzyskać najnowsze informacje na temat tego ustawienia https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd, zapoznaj się z artykułem "Opis zdarzeń zabezpieczeń w systemie Windows Vista i w systemie Windows Server 2008". Ścieżka klucza: {0CCE9212-69AE-11D9-BED3-505054503030} System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na "Powodzenie i niepowodzenie:" Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\System\Inspekcja integralności systemu Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 17.9.5 |
= Powodzenie i niepowodzenie (Inspekcja) |
Krytyczne |
Przypisywanie praw użytkownika
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Dostęp do Menedżera poświadczeń jako zaufany obiekt wywołujący (CCE-37056-9) |
Opis: To ustawienie zabezpieczeń jest używane przez Menedżera poświadczeń podczas tworzenia kopii zapasowej i przywracania. Żadne konta nie powinny mieć prawa użytkownika, ponieważ jest ono przypisane tylko do winlogonu. Poświadczenia zapisane przez użytkowników mogą zostać naruszone, jeśli to uprawnienie użytkownika zostanie przypisane do innych jednostek. Zalecanym stanem dla tego ustawienia jest: No One.Ścieżka klucza: [Privilege Rights]SeTrustedCredManAccessPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Access Credential Manager jako zaufany obiekt wywołujący Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1 |
= Nikt (Zasady) |
Ostrzeżenie |
| Uzyskaj dostęp do tego komputera z sieci (CCE-35818-4) |
Opis: To ustawienie zasad umożliwia innym użytkownikom w sieci łączenie się z komputerem i jest wymagane przez różne protokoły sieciowe, które obejmują protokoły oparte na bloku komunikatów serwera (SMB), NetBIOS, Common Internet File System (CIFS) i Component Object Model Plus (COM+). - Poziom 1 — kontroler domeny. Zalecanym stanem tego ustawienia jest: "Administracja istratory, uwierzytelnieni użytkownicy, KONTROLERY DOMENY PRZEDSIĘBIORSTWA". - Poziom 1 — serwer członkowski. Zalecanym stanem tego ustawienia jest: "Administracja istratory, uwierzytelnieni użytkownicy". Ścieżka klucza: [Privilege Rights]SeNetworkLogonRight System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Uzyskiwanie dostępu do tego komputera z sieci Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3 |
<= Administracja istratory, uwierzytelnieni użytkownicy (Zasady) |
Krytyczne |
| Działanie jako część systemu operacyjnego (CCE-36876-1) |
Opis: To ustawienie zasad umożliwia procesowi założenie tożsamości dowolnego użytkownika, a tym samym uzyskanie dostępu do zasobów, do których użytkownik ma uprawnienia dostępu. Zalecanym stanem dla tego ustawienia jest: No One.Ścieżka klucza: [Prawa uprawnień]SeTcbPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Działanie jako część systemu operacyjnego Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4 |
= Nikt (Zasady) |
Krytyczne |
| Zezwalaj na logowanie lokalne (CCE-37659-0) |
Opis: To ustawienie zasad określa, którzy użytkownicy mogą interaktywnie logować się do komputerów w danym środowisku. Logowania inicjowane przez naciśnięcie sekwencji klawiszy CTRL+ALT+DEL na klawiaturze komputera klienckiego wymagają prawa tego użytkownika. Użytkownicy, którzy próbują zalogować się za pośrednictwem usług terminalowych lub usług IIS, również wymagają tego prawa użytkownika. Konto gościa jest domyślnie przypisane do tego użytkownika. Mimo że to konto jest domyślnie wyłączone, firma Microsoft zaleca włączenie tego ustawienia za pomocą zasad grupy. Jednak to prawo użytkownika powinno być ogólnie ograniczone do Administracja istratorów i grup Użytkownicy. Przypisz temu użytkownikowi prawo do grupy Operatorzy kopii zapasowych, jeśli twoja organizacja wymaga, aby ta możliwość miała. Podczas konfigurowania użytkownika bezpośrednio w programie SCM wprowadź rozdzielaną przecinkami listę kont. Konta mogą być lokalne lub zlokalizowane w usłudze Active Directory, mogą to być grupy, użytkownicy lub komputery. Ścieżka klucza: [Privilege Rights]SeInteractiveLogonRight System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Zezwalaj na logowanie lokalne Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.2.7 |
= Administracja istratory (Zasady) |
Krytyczne |
| Zezwalaj na logowanie za pomocą usług pulpitu zdalnego (CCE-37072-6) |
Opis: To ustawienie zasad określa, którzy użytkownicy lub grupy mają prawo zalogować się jako klient usług terminalowych. Użytkownicy pulpitu zdalnego wymagają tego prawa użytkownika. Jeśli twoja organizacja używa pomocy zdalnej w ramach strategii pomocy technicznej, utwórz grupę i przypisz go bezpośrednio za pomocą zasad grupy. Jeśli dział pomocy technicznej w organizacji nie korzysta z pomocy zdalnej, przypisz temu użytkownikowi prawo tylko do grupy Administracja istratorów lub użyj funkcji grupy z ograniczeniami, aby upewnić się, że żadne konta użytkowników nie są częścią grupy Użytkownicy pulpitu zdalnego. Ogranicz to prawo użytkownika do grupy Administracja istratorów i ewentualnie grupy Użytkownicy pulpitu zdalnego, aby uniemożliwić niechcianym użytkownikom uzyskanie dostępu do komputerów w sieci za pomocą funkcji Pomoc zdalna. - Poziom 1 — kontroler domeny. Zalecanym stanem tego ustawienia jest: "Administracja istrators". - Poziom 1 — serwer członkowski. Zalecanym stanem tego ustawienia jest: "Administracja istratory, użytkownicy pulpitu zdalnego". Uwaga: Serwer członkowski, który zawiera rolę usług pulpitu zdalnego z usługą roli pulpitu zdalnego Połączenie ion brokera, będzie wymagać specjalnego wyjątku dla tego zalecenia, aby umożliwić grupie "Uwierzytelnieni użytkownicy" przyznanie tego prawa użytkownika. Uwaga 2: Powyższe listy mają być traktowane jako listy dozwolonych, co oznacza, że powyższe podmioty zabezpieczeń nie muszą być obecne do oceny tego zalecenia do przekazania. Ścieżka klucza: [Privilege Rights]SeRemoteInteractiveLogonRight System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Zezwalaj na logowanie za pośrednictwem usług pulpitu zdalnego Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9 |
<= Administracja istratory, użytkownicy pulpitu zdalnego (Zasady) |
Krytyczne |
| Tworzenie kopii zapasowej plików i katalogów (CCE-35912-5) |
Opis: To ustawienie zasad umożliwia użytkownikom obejście uprawnień do plików i katalogów w celu utworzenia kopii zapasowej systemu. To prawo użytkownika jest włączone tylko wtedy, gdy aplikacja (np. NTBACKUP) próbuje uzyskać dostęp do pliku lub katalogu za pośrednictwem interfejsu programowania aplikacji kopii zapasowej systemu plików NTFS (API). W przeciwnym razie mają zastosowanie przypisane uprawnienia do pliku i katalogu. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeBackupPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators.Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie kopii zapasowych plików i katalogów Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10 |
<= Administracja istratory, operatorzy kopii zapasowych, operatorzy serwera (Zasady) |
Krytyczne |
| Pomiń sprawdzanie przechodzenia (AZ-WIN-00184) |
Opis: To ustawienie zasad umożliwia użytkownikom, którzy nie mają uprawnień dostępu do folderu przechodzenia do przekazywania folderów podczas przeglądania ścieżki obiektu w systemie plików NTFS lub rejestrze. To prawo użytkownika nie zezwala użytkownikom na wyświetlanie listy zawartości folderu. Podczas konfigurowania użytkownika bezpośrednio w programie SCM wprowadź rozdzielaną przecinkami listę kont. Konta mogą być lokalne lub zlokalizowane w usłudze Active Directory, mogą to być grupy, użytkownicy lub komputery. Ścieżka klucza: [Privilege Rights]SeChangeNotifyPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: Skonfiguruj wartość zasad dla Konfiguracji komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Obejście sprawdzania przechodzenia tylko do następujących kont lub grup: Administrators, Authenticated Users, Backup Operators, Local Service, Network ServiceMapowania standardowe zgodności: |
<= Administracja istratory, uwierzytelnieni użytkownicy, operatorzy kopii zapasowych, usługa lokalna, usługa sieciowa (Zasady) |
Krytyczne |
| Zmiana czasu systemowego (CCE-37452-0) |
Opis: To ustawienie zasad określa, którzy użytkownicy i grupy mogą zmieniać godzinę i datę na wewnętrznym zegarze komputerów w danym środowisku. Użytkownicy, którym przypisano to prawo użytkownika, mogą mieć wpływ na wygląd dzienników zdarzeń. Gdy ustawienie czasu komputera zostanie zmienione, zarejestrowane zdarzenia odzwierciedlają nowy czas, a nie rzeczywisty czas wystąpienia zdarzeń. Podczas konfigurowania użytkownika bezpośrednio w programie SCM wprowadź rozdzielaną przecinkami listę kont. Konta mogą być lokalne lub zlokalizowane w usłudze Active Directory, mogą to być grupy, użytkownicy lub komputery. Uwaga: Rozbieżności między czasem na komputerze lokalnym i na kontrolerach domeny w środowisku mogą powodować problemy z protokołem uwierzytelniania Kerberos, co może uniemożliwić użytkownikom logowanie się do domeny lub uzyskanie autoryzacji dostępu do zasobów domeny po zalogowaniu się. Ponadto problemy będą występować, gdy zasady grupy są stosowane do komputerów klienckich, jeśli czas systemowy nie jest synchronizowany z kontrolerami domeny. Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE.Ścieżka klucza: [Privilege Rights]SeSystemtimePrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, LOCAL SERVICE:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Zmienianie czasu systemowego Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.2.11 CIS WS2022 2.2.11 |
<= Administracja istratory, operatory serwera, usługa lokalna (Zasady) |
Krytyczne |
| Zmiana strefy czasowej (CCE-37700-2) |
Opis: To ustawienie określa, którzy użytkownicy mogą zmieniać strefę czasową komputera. Ta zdolność nie ma wielkiego zagrożenia dla komputera i może być przydatna dla pracowników mobilnych. Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE.Ścieżka klucza: [Privilege Rights]SeTimeZonePrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, LOCAL SERVICE:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Zmienianie strefy czasowej Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.2.12 CIS WS2022 2.2.12 |
<= Administracja istratory, USŁUGA LOKALNA (Zasady) |
Krytyczne |
| Tworzenie pliku stronicowania (CCE-35821-8) |
Opis: To ustawienie zasad umożliwia użytkownikom zmianę rozmiaru pliku stronicowania. Dzięki dokonaniu bardzo dużego lub bardzo małego pliku stronicowania osoba atakująca może łatwo wpłynąć na wydajność naruszonego komputera. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeCreatePagefilePrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie pliku stronicowania Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13 |
= Administracja istratory (Zasady) |
Krytyczne |
| Tworzenie obiektu tokenu (CCE-36861-3) |
Opis: To ustawienie zasad umożliwia procesowi utworzenie tokenu dostępu, który może zapewnić podwyższony poziom uprawnień dostępu do poufnych danych. Zalecanym stanem dla tego ustawienia jest: No One.Ścieżka klucza: [Privilege Rights]SeCreateTokenPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie obiektu tokenu Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14 |
= Nikt (Zasady) |
Ostrzeżenie |
| Tworzenie obiektów globalnych (CCE-37453-8) |
Opis: To ustawienie zasad określa, czy użytkownicy mogą tworzyć obiekty globalne, które są dostępne dla wszystkich sesji. Użytkownicy nadal mogą tworzyć obiekty specyficzne dla własnej sesji, jeśli nie mają tego prawa użytkownika. Użytkownicy, którzy mogą tworzyć obiekty globalne, mogą mieć wpływ na procesy uruchamiane w ramach sesji innych użytkowników. Ta funkcja może prowadzić do różnych problemów, takich jak awaria aplikacji lub uszkodzenie danych. Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Uwaga: Serwer członkowski z programem Microsoft SQL Server i zainstalowanym opcjonalnym składnikiem "Integration Services" będzie wymagał specjalnego wyjątku dla tego zalecenia, aby dodatkowe wpisy wygenerowane przez program SQL zostały przyznane temu prawu użytkownika.Ścieżka klucza: [Privilege Rights]SeCreateGlobalPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie obiektów globalnych Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15 |
<= Administracja istratory, USŁUGA, USŁUGA LOKALNA, USŁUGA SIECIOWA (Zasady) |
Ostrzeżenie |
| Utwórz trwałe obiekty udostępnione (CCE-36532-0) |
Opis: To prawo użytkownika jest przydatne w przypadku składników trybu jądra, które rozszerzają przestrzeń nazw obiektów. Jednak składniki uruchamiane w trybie jądra mają to prawo z natury. W związku z tym zazwyczaj nie jest konieczne przypisanie tego prawa użytkownika. Zalecanym stanem dla tego ustawienia jest: No One.Ścieżka klucza: [Prawa uprawnień]SeCreatePermanentPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie stałych obiektów udostępnionych Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16 |
= Nikt (Zasady) |
Ostrzeżenie |
| Tworzenie łączy symbolicznych (CCE-35823-4) |
Opis: To ustawienie zasad określa, którzy użytkownicy mogą tworzyć łącza symboliczne. W systemie Windows Vista istniejące obiekty systemu plików NTFS, takie jak pliki i foldery, można uzyskać dostęp, odwołując się do nowego rodzaju obiektu systemu plików o nazwie link symboliczny. Łącze symboliczne to wskaźnik (podobnie jak skrót lub plik lnk) do innego obiektu systemu plików, który może być plikiem, folderem, skrótem lub innym łączem symbolicznym. Różnica między skrótem a linkiem symbolicznym polega na tym, że skrót działa tylko z poziomu powłoki systemu Windows. W przypadku innych programów i aplikacji skróty są po prostu kolejnym plikiem, natomiast z linkami symbolicznymi pojęcie skrótu jest implementowane jako funkcja systemu plików NTFS. Linki symboliczne mogą potencjalnie uwidaczniać luki w zabezpieczeniach w aplikacjach, które nie są przeznaczone do ich używania. Z tego powodu uprawnienie do tworzenia linków symbolicznych powinno być przypisane tylko do zaufanych użytkowników. Domyślnie tylko Administracja istratorzy mogą tworzyć łącza symboliczne. - Poziom 1 — kontroler domeny. Zalecanym stanem tego ustawienia jest: "Administracja istrators". - Poziom 1 — serwer członkowski. Zalecanym stanem tego ustawienia jest: "Administracja istratory" i (po zainstalowaniu roli funkcji Hyper-V) "NT VIRTUAL MACHINE\Virtual Machines". Ścieżka klucza: [Privilege Rights]SeCreateSymbolicLinkPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Aby zaimplementować zalecany stan konfiguracji, skonfiguruj następującą ścieżkę interfejsu użytkownika: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Tworzenie łączy symbolicznych Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18 |
<= Administracja istratory, NT VIRTUAL MACHINE\Virtual Machines (Zasady) |
Krytyczne |
| Debugowanie programów (AZ-WIN-73755) |
Opis: To ustawienie zasad określa, które konta użytkowników będą miały prawo dołączać debuger do dowolnego procesu lub jądra, co zapewnia pełny dostęp do poufnych i krytycznych składników systemu operacyjnego. Deweloperzy, którzy debugują własne aplikacje, nie muszą mieć przypisanego prawa użytkownika; jednak deweloperzy, którzy debugują nowe składniki systemu, będą go potrzebować. Zalecanym stanem dla tego ustawienia jest: Administrators. Uwaga: to prawo użytkownika jest uznawane za "poufne uprawnienia" na potrzeby inspekcji.Ścieżka klucza: [Privilege Rights]SeDebugPrivilege System operacyjny: WS2016, WS2019 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Debugowanie programów Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.2.19 CIS WS2019 2.2.19 |
= Administracja istratory (Zasady) |
Krytyczne |
| Odmowa dostępu do tego komputera z sieci (CCE-37954-5) |
Opis: To ustawienie zasad uniemożliwia użytkownikom nawiązywanie połączenia z komputerem z całej sieci, co pozwoliłoby użytkownikom na zdalny dostęp do danych i potencjalnie ich modyfikowanie. W środowiskach o wysokim poziomie zabezpieczeń nie powinno być potrzeby, aby użytkownicy zdalni uzyskiwali dostęp do danych na komputerze. Zamiast tego udostępnianie plików powinno odbywać się przy użyciu serwerów sieciowych. - Poziom 1 — kontroler domeny. Zalecanym stanem dla tego ustawienia jest dołączenie: "Goście, konto lokalne". - Poziom 1 — serwer członkowski. Zalecanym stanem tego ustawienia jest: "Goście, konto lokalne i członek grupy Administracja istratorów". Uwaga: skonfigurowanie autonomicznego (nieprzyłączonych do domeny) serwera zgodnie z powyższym opisem może spowodować brak możliwości zdalnego administrowania serwerem. Uwaga: skonfigurowanie serwera członkowskiego lub serwera autonomicznego zgodnie z powyższym opisem może mieć negatywny wpływ na aplikacje, które tworzą konto usługi lokalnej i umieszczają je w grupie Administracja istrators — w takim przypadku należy przekonwertować aplikację na użycie konta usługi hostowanej w domenie lub usunąć konto lokalne i członka grupy Administracja istrators z tego przypisania praw użytkownika. Korzystanie z konta usługi hostowanej w domenie jest zdecydowanie preferowane w przypadku wyjątku od tej reguły, jeśli to możliwe. Ścieżka klucza: [Privilege Rights]SeDenyNetworkLogonRight System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Odmowa dostępu do tego komputera z sieci Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21 |
>= Goście (Zasady) |
Krytyczne |
| Odmowa logowania w trybie wsadowym (CCE-36923-1) |
Opis: To ustawienie zasad określa, które konta nie będą mogły zalogować się na komputerze jako zadanie wsadowe. Zadanie wsadowe nie jest plikiem wsadowym (bat), ale raczej obiektem kolejki wsadowej. Konta korzystające z harmonogramu zadań do planowania zadań potrzebują tego użytkownika. Odmowa logowania jako użytkownik zadania wsadowego zastępuje prawo logowania wsadowego jako użytkownika zadania wsadowego, które może służyć do zezwalania kont na planowanie zadań zużywających nadmierne zasoby systemowe. Takie zdarzenie może spowodować wystąpienie usługi DoS. Brak przypisania tego prawa użytkownika do zalecanych kont może stanowić zagrożenie bezpieczeństwa. Zalecanym stanem tego ustawienia jest: Guests.Ścieżka klucza: [Privilege Rights]SeDenyBatchLogonRight System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : GuestsKonfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Odmowa logowania jako zadanie wsadowe Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22 |
>= Goście (Zasady) |
Krytyczne |
| Odmowa logowania w trybie usługi (CCE-36877-9) |
Opis: To ustawienie zabezpieczeń określa, które konta usług nie mogą rejestrować procesu jako usługi. To ustawienie zasad zastępuje ustawienie zasad Logowanie jako usługa , jeśli konto podlega obu zasadom. Zalecanym stanem tego ustawienia jest: Guests. Uwaga: to ustawienie zabezpieczeń nie ma zastosowania do kont systemu, usługi lokalnej ani usługi sieciowej.Ścieżka klucza: [Privilege Rights]SeDenyServiceLogonRight System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : GuestsKonfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Odmowa logowania jako usługa Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23 |
>= Goście (Zasady) |
Krytyczne |
| Odmowa logowania lokalnego (CCE-37146-8) |
Opis: To ustawienie zabezpieczeń określa, którzy użytkownicy nie mogą się zalogować na komputerze. To ustawienie zasad zastępuje ustawienie zasad Zezwalaj na logowanie lokalne , jeśli konto podlega obu zasadom. Ważne: Jeśli zastosujesz te zasady zabezpieczeń do grupy Wszyscy, nikt nie będzie mógł zalogować się lokalnie. Zalecanym stanem tego ustawienia jest: Guests.Ścieżka klucza: [Privilege Rights]SeDenyInteractiveLogonRight System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika, aby uwzględnić : GuestsKonfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Odmowa logowania lokalnego Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24 |
>= Goście (Zasady) |
Krytyczne |
| Odmowa logowania za pomocą usług pulpitu zdalnego (CCE-36867-0) |
Opis: To ustawienie zasad określa, czy użytkownicy mogą logować się jako klienci usług terminalowych. Po dołączeniu serwera członkowskiego punktu odniesienia do środowiska domeny nie ma potrzeby używania kont lokalnych do uzyskiwania dostępu do serwera z sieci. Konta domeny mogą uzyskiwać dostęp do serwera na potrzeby przetwarzania administracyjnego i użytkownika końcowego. Zalecanym stanem tego ustawienia jest: Guests, Local account. Uwaga: skonfigurowanie autonomicznego (nieprzyłączonych do domeny) serwera zgodnie z powyższym opisem może spowodować brak możliwości zdalnego administrowania serwerem.Ścieżka klucza: [Privilege Rights]SeDenyRemoteInteractiveLogonRight System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Odmowa logowania za pośrednictwem usług pulpitu zdalnego Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.2.26 |
>= Goście (Zasady) |
Krytyczne |
| Określ konta komputerów i użytkowników jako zaufany dla celów delegacji (CCE-36860-5) |
Opis: To ustawienie zasad umożliwia użytkownikom zmianę ustawienia Zaufane delegowanie na obiekcie komputera w usłudze Active Directory. Nadużycie tego uprawnienia może umożliwić nieautoryzowanym użytkownikom personifikację innych użytkowników w sieci. - Poziom 1 — kontroler domeny. Zalecanym stanem tego ustawienia jest: "Administracja istrators" — Poziom 1 — Serwer członkowski. Zalecanym stanem dla tego ustawienia jest: "Nikt". Ścieżka klucza: [Privilege Rights]SeEnableDelegationPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Włączanie kont komputerów i użytkowników do delegowania Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28 |
= Nikt (Zasady) |
Krytyczne |
| Wymuszanie zamknięcia systemu z systemu zdalnego (CCE-37877-8) |
Opis: To ustawienie zasad umożliwia użytkownikom zamykanie komputerów z systemem Windows Vista z lokalizacji zdalnych w sieci. Każdy, kto został przypisany do tego prawa użytkownika, może spowodować odmowę usługi (DoS), co uniemożliwiłoby komputerowi obsługę żądań użytkowników. W związku z tym zaleca się przypisanie tego prawa użytkownika tylko wysoce zaufanym administratorom. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeRemoteShutdownPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Wymuś zamknięcie z systemu zdalnego Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29 |
= Administracja istratory (Zasady) |
Krytyczne |
| Generowanie inspekcji zabezpieczeń (CCE-37639-2) |
Opis: To ustawienie zasad określa, którzy użytkownicy lub procesy mogą generować rekordy inspekcji w dzienniku zabezpieczeń. Zalecanym stanem dla tego ustawienia jest: LOCAL SERVICE, NETWORK SERVICE. Uwaga: Serwer członkowski, na którym znajduje się rola serwera sieci Web (IIS) z usługą roli serwera sieci Web, będzie wymagał specjalnego wyjątku od tego zalecenia, aby zezwolić pulam aplikacji usług IIS na przyznanie tego prawa użytkownika. Uwaga nr 2: Serwer członkowski, który posiada rolę usług federacyjnych Active Directory, będzie wymagał specjalnego wyjątku od tego zalecenia, aby zezwolić na NT SERVICE\ADFSSrv usługi i, NT SERVICE\DRS a także skojarzone konto usługi Active Directory Federation Services, aby otrzymać to prawo użytkownika.Ścieżka klucza: [Privilege Rights]SeAuditPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na LOCAL SERVICE, NETWORK SERVICE:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Generowanie inspekcji zabezpieczeń Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30 |
<= Usługa lokalna, usługa sieciowa, PULA APLIKACJI USŁUG IIS\DefaultAppPool (Zasady) |
Krytyczne |
| Zwiększ zestaw roboczy procesu (AZ-WIN-00185) |
Opis: To uprawnienie określa, które konta użytkowników mogą zwiększyć lub zmniejszyć rozmiar zestawu roboczego procesu. Zestaw roboczy procesu to zestaw stron pamięci, które są obecnie widoczne dla procesu w fizycznej pamięci RAM. Te strony są rezydentami i są dostępne dla aplikacji do użycia bez wyzwalania błędu strony. Minimalny i maksymalny rozmiar zestawu roboczego wpływa na zachowanie stronicowania pamięci wirtualnej procesu. Podczas konfigurowania użytkownika bezpośrednio w programie SCM wprowadź rozdzielaną przecinkami listę kont. Konta mogą być lokalne lub zlokalizowane w usłudze Active Directory, mogą to być grupy, użytkownicy lub komputery. Ścieżka klucza: [Privilege Rights]SeIncreaseWorkingSetPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Zwiększ zestaw roboczy procesu Mapowania standardowe zgodności: |
<= Administracja istratory, usługa lokalna (Zasady) |
Ostrzeżenie |
| Zwiększ priorytet planowania (CCE-38326-5) |
Opis: To ustawienie zasad określa, czy użytkownicy mogą zwiększyć klasę priorytetu podstawowego procesu. (Nie jest to operacja uprzywilejowana, aby zwiększyć względny priorytet w klasie priorytetu). To prawo użytkownika nie jest wymagane przez narzędzia administracyjne dostarczane z systemem operacyjnym, ale może być wymagane przez narzędzia programistyczne. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeIncreaseBasePriorityPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, Window Manager\Window Manager Group:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Zwiększanie priorytetu planowania Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33 |
= Administracja istratory (Zasady) |
Ostrzeżenie |
| Ładowanie i zwalnianie sterowników urządzeń (CCE-36318-4) |
Opis: To ustawienie zasad umożliwia użytkownikom dynamiczne ładowanie nowego sterownika urządzenia w systemie. Osoba atakująca może potencjalnie użyć tej funkcji, aby zainstalować złośliwy kod, który wydaje się być sterownikiem urządzenia. To prawo użytkownika jest wymagane dla użytkowników do dodawania drukarek lokalnych lub sterowników drukarek w systemie Windows Vista. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeLoadDriverPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Ładowanie i zwalnianie sterowników urządzeń Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34 |
<= Administracja istratory, operatory drukowania (Zasady) |
Ostrzeżenie |
| Blokowanie stron w pamięci (CCE-36495-0) |
Opis: To ustawienie zasad umożliwia procesowi przechowywanie danych w pamięci fizycznej, co uniemożliwia systemowi stronicowanie danych na pamięć wirtualną na dysku. Jeśli przypisano to prawo użytkownika, może wystąpić znaczne obniżenie wydajności systemu. Zalecanym stanem dla tego ustawienia jest: No One.Ścieżka klucza: [Privilege Rights]SeLockMemoryPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Blokowanie stron w pamięci Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35 |
= Nikt (Zasady) |
Ostrzeżenie |
| Zarządzanie dziennikiem inspekcji i zabezpieczeń (CCE-35906-7) |
Opis: To ustawienie zasad określa, którzy użytkownicy mogą zmieniać opcje inspekcji plików i katalogów oraz czyścić dziennik zabezpieczeń. W przypadku środowisk z uruchomionym programem Microsoft Exchange Server grupa "Serwery exchange" musi mieć to uprawnienie na kontrolerach domeny, aby działały prawidłowo. Biorąc pod uwagę to, kontrolery domeny udzielające grupy "Serwery Exchange" to uprawnienie są zgodne z tym testem porównawczym. Jeśli środowisko nie korzysta z programu Microsoft Exchange Server, to uprawnienie powinno być ograniczone tylko do "Administracja istratorów" na kontrolerach domeny. - Poziom 1 — kontroler domeny. Zalecanym stanem tego ustawienia jest: "Administracja istratory i (gdy program Exchange jest uruchomiony w środowisku) "Exchange Servers". - Poziom 1 — serwer członkowski. Zalecanym stanem dla tego ustawienia jest: "Administracja istrators" Ścieżka klucza: [Privilege Rights]SeSecurityPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, skonfiguruj następującą ścieżkę interfejsu użytkownika: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Zarządzanie inspekcją i dziennikiem zabezpieczeń Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38 |
= Administracja istratory (Zasady) |
Krytyczne |
| Modyfikuj etykietę obiektu (CCE-36054-5) |
Opis: To uprawnienie określa, które konta użytkowników mogą modyfikować etykietę integralności obiektów, takich jak pliki, klucze rejestru lub procesy należące do innych użytkowników. Procesy uruchomione na koncie użytkownika mogą modyfikować etykietę obiektu należącego do tego użytkownika na niższy poziom bez tego uprawnienia. Zalecanym stanem dla tego ustawienia jest: No One.Ścieżka klucza: [Privilege Rights]SeRelabelPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na No One:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Modyfikowanie etykiety obiektu Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.2.39 CIS WS2022 2.2.39 |
= Nikt (Zasady) |
Ostrzeżenie |
| Modyfikowanie wartości środowiska oprogramowania układowego (CCE-38113-7) |
Opis: To ustawienie zasad umożliwia użytkownikom konfigurowanie zmiennych środowiskowych obejmujących cały system, które mają wpływ na konfigurację sprzętu. Te informacje są zwykle przechowywane w ostatniej znanej dobrej konfiguracji. Modyfikacja tych wartości może prowadzić do awarii sprzętu, co spowodowałoby odmowę usługi. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeSystemEnvironmentPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Modyfikowanie wartości środowiska oprogramowania układowego Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40 |
= Administracja istratory (Zasady) |
Ostrzeżenie |
| Wykonywanie zadań konserwacji woluminów (CCE-36143-6) |
Opis: To ustawienie zasad umożliwia użytkownikom zarządzanie konfiguracją woluminu lub dysku systemu, co może umożliwić użytkownikowi usunięcie woluminu i spowodowanie utraty danych oraz stanu odmowy usługi. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeManageVolumePrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Wykonywanie zadań konserwacji woluminu Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41 |
= Administracja istratory (Zasady) |
Ostrzeżenie |
| Profilowanie pojedynczego procesu (CCE-37131-0) |
Opis: To ustawienie zasad określa, którzy użytkownicy mogą używać narzędzi do monitorowania wydajności procesów niesystemowych. Zazwyczaj nie trzeba konfigurować tego prawa użytkownika do korzystania z przystawki Wydajności programu Microsoft Management Console (MMC). Jednak musisz mieć to prawo użytkownika, jeśli monitor systemu jest skonfigurowany do zbierania danych przy użyciu instrumentacji zarządzania Windows (WMI). Ograniczenie prawa użytkownika pojedynczego procesu profilu uniemożliwia intruzom uzyskanie dodatkowych informacji, których można użyć do zainstalowania ataku na system. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeProfileSingleProcessPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Pojedynczy proces Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42 |
= Administracja istratory (Zasady) |
Ostrzeżenie |
| Profilowanie wydajności systemu (CCE-36052-9) |
Opis: To ustawienie zasad umożliwia użytkownikom używanie narzędzi do wyświetlania wydajności różnych procesów systemowych, które mogą być nadużywane w celu umożliwienia osobom atakującym określenia aktywnych procesów systemu i zapewnienia wglądu w potencjalną powierzchnię ataków komputera. Zalecanym stanem dla tego ustawienia jest: Administrators, NT SERVICE\WdiServiceHost.Ścieżka klucza: [Privilege Rights]SeSystemProfilePrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators, NT SERVICE\WdiServiceHost:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Wydajność systemu profilów Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.2.43 CIS WS2022 2.2.43 |
<= Administracja istratory, NT SERVICE\WdiServiceHost (Zasady) |
Ostrzeżenie |
| Zastępowanie tokenu poziomu procesu (CCE-37430-6) |
Opis: To ustawienie zasad umożliwia jednemu procesowi lub usłudze uruchomienie innej usługi lub procesu przy użyciu innego tokenu dostępu zabezpieczającego, który może służyć do modyfikowania tokenu dostępu zabezpieczeń tego podprocesu i eskalowania uprawnień. Zalecanym stanem dla tego ustawienia jest: LOCAL SERVICE, NETWORK SERVICE. Uwaga: Serwer członkowski, na którym znajduje się rola serwera sieci Web (IIS) z usługą roli serwera sieci Web, będzie wymagał specjalnego wyjątku od tego zalecenia, aby zezwolić pulam aplikacji usług IIS na przyznanie tego prawa użytkownika. Uwaga nr 2: Serwer członkowski z zainstalowanym programem Microsoft SQL Server będzie wymagał specjalnego wyjątku dla tego zalecenia, aby dodatkowe wpisy wygenerowane przez program SQL zostały przyznane temu użytkownikowi prawo.Ścieżka klucza: [Privilege Rights]SeAssignPrimaryTokenPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na LOCAL SERVICE, NETWORK SERVICE:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Zastępowanie tokenu poziomu procesu Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.2.44 CIS WS2022 2.2.44 |
<= USŁUGA LOKALNA, USŁUGA SIECIOWA (Zasady) |
Ostrzeżenie |
| Przywracanie plików i katalogów (CCE-37613-7) |
Opis: To ustawienie zasad określa, którzy użytkownicy mogą pomijać pliki, katalog, rejestr i inne trwałe uprawnienia obiektu podczas przywracania kopii zapasowych plików i katalogów na komputerach z systemem Windows Vista w środowisku. To prawo użytkownika określa również, którzy użytkownicy mogą ustawić prawidłowe podmioty zabezpieczeń jako właścicieli obiektów; jest podobny do prawa użytkownika Pliki kopii zapasowej i katalogi. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeRestorePrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Przywracanie plików i katalogów Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.2.45 |
<= Administracja istratory, operatorzy kopii zapasowych (Zasady) |
Ostrzeżenie |
| Zamykanie systemu (CCE-38328-1) |
Opis: To ustawienie zasad określa, którzy użytkownicy są zalogowani lokalnie na komputerach w danym środowisku, mogą zamknąć system operacyjny za pomocą polecenia Zamknij. Nieprawidłowe użycie tego prawa użytkownika może spowodować odmowę usługi. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeShutdownPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Zamknij system Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 2.2.46 CIS WS2022 2.2.46 |
<= Administracja istratory, operatorzy kopii zapasowych (Zasady) |
Ostrzeżenie |
| Przejęcie na własność plików lub innych obiektów (CCE-38325-7) |
Opis: To ustawienie zasad umożliwia użytkownikom przejęcie na własność plików, folderów, kluczy rejestru, procesów lub wątków. To prawo użytkownika pomija wszelkie uprawnienia, które są w miejscu, aby chronić obiekty w celu nadania własności określonemu użytkownikowi. Zalecanym stanem dla tego ustawienia jest: Administrators.Ścieżka klucza: [Privilege Rights]SeTakeOwnershipPrivilege System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Administrators:Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Przejęcie własności plików lub innych obiektów Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48 |
= Administracja istratory (Zasady) |
Krytyczne |
| Personifikuj klienta po uwierzytelnieniu prawa użytkownika musi być przypisany tylko do Administracja istratorów, usługi, usługi lokalnej i usługi sieciowej. (AZ-WIN-73785) |
Opis: Ustawienie zasad umożliwia programom uruchamianym w imieniu użytkownika personifikację tego użytkownika (lub innego określonego konta), aby mogły działać w imieniu użytkownika. Jeśli to prawo użytkownika jest wymagane w przypadku tego rodzaju personifikacji, nieautoryzowany użytkownik nie będzie mógł przekonać klienta do nawiązania połączenia, na przykład przez zdalne wywołanie procedury (RPC) lub nazwane potoki do usługi utworzonej w celu personifikacji tego klienta, co może podnieść uprawnienia nieautoryzowanego użytkownika do poziomów administracyjnych lub systemowych. Usługi uruchamiane przez program Service Control Manager mają wbudowaną grupę usług dodaną domyślnie do tokenów dostępu. Serwery COM, które są uruchamiane przez infrastrukturę COM i skonfigurowane do uruchamiania w ramach określonego konta, mają również grupę usług dodaną do swoich tokenów dostępu. W związku z tym te procesy są przypisywane do tego użytkownika bezpośrednio po uruchomieniu. Ponadto użytkownik może personifikować token dostępu, jeśli istnieją jakiekolwiek z następujących warunków: — token dostępu, który jest personifikowany, jest przeznaczony dla tego użytkownika. — Użytkownik w tej sesji logowania zalogował się do sieci przy użyciu jawnych poświadczeń w celu utworzenia tokenu dostępu. — Żądany poziom jest mniejszy niż Personifikuj, na przykład Anonimowy lub Identyfikowanie. Osoba atakująca z personifikuj klienta po uwierzytelnieniu prawa użytkownika może utworzyć usługę, nakłonić klienta do nawiązania połączenia z usługą, a następnie personifikować tego klienta w celu podniesienia poziomu dostępu osoby atakującej do tego klienta. Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Uwaga: to prawo użytkownika jest uznawane za "poufne uprawnienia" na potrzeby inspekcji. Uwaga nr 2: Serwer członkowski z programem Microsoft SQL Server i zainstalowanym opcjonalnym składnikiem "Integration Services" będzie wymagał specjalnego wyjątku dla tego zalecenia w celu udzielenia tego prawa użytkownika dodatkowych wpisów wygenerowanych przez program SQL.Ścieżka klucza: [Privilege Rights]SeImpersonatePrivilege System operacyjny: WS2016, WS2019 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisanie praw użytkownika\Personifikuj klienta po uwierzytelnieniu Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.2.31 CIS WS2019 2.2.31 |
<= Administracja istratory,usługa,usługa lokalna,usługa sieciowa (Zasady) |
Ważne |
Składniki systemu Windows
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Zezwalaj na uwierzytelnianie podstawowe (CCE-36254-1) |
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy usługa Windows Remote Management (WinRM) akceptuje uwierzytelnianie podstawowe od klienta zdalnego. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow Basic Authentication Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon WindowsRemoteManagement.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows.Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Zezwalaj na dane diagnostyczne (AZ-WIN-00169) |
Opis: To ustawienie zasad określa ilość danych diagnostycznych i danych użycia zgłoszonych firmie Microsoft. Wartość 0 spowoduje wysłanie minimalnych danych do firmy Microsoft. Te dane obejmują dane narzędzia do usuwania złośliwego oprogramowania (MSRT) i danych usługi Windows Defender, jeśli są włączone, oraz ustawienia klienta telemetrii. Ustawienie wartości 0 dotyczy tylko urządzeń korporacyjnych, EDU, IoT i serwerów. Ustawienie wartości 0 dla innych urządzeń jest równoważne wybraniu wartości 1. Wartość 1 wysyła tylko podstawową ilość danych diagnostycznych i danych użycia. Należy pamiętać, że ustawienie wartości 0 lub 1 spowoduje obniżenie wydajności niektórych środowisk na urządzeniu. Wartość 2 wysyła rozszerzone dane diagnostyczne i dane użycia. Wartość 3 wysyła te same dane co wartość 2, a także dodatkowe dane diagnostyczne, w tym pliki i zawartość, które mogły spowodować problem. Ustawienia telemetrii systemu Windows 10 mają zastosowanie do systemu operacyjnego Windows i niektórych aplikacji innych firm. To ustawienie nie ma zastosowania do aplikacji innych firm działających w systemie Windows 10. Zalecanym stanem dla tego ustawienia jest: Enabled: 0 - Security [Enterprise Only]. Uwaga: Jeśli ustawienie "Zezwalaj na telemetrię" jest skonfigurowane na wartość "0 — zabezpieczenia [tylko dla przedsiębiorstw]", opcje w usłudze Windows Update w celu odroczenia uaktualnień i aktualizacji nie będą miały żadnego wpływu.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: Diagnostic data off (not recommended) lub Enabled: Send required diagnostic data:Konfiguracja komputera\Zasady\szablony Administracja istracyjne\Składniki systemu Windows\Zbieranie danych i kompilacje w wersji zapoznawczej\Zezwalaj na dane diagnostyczne Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "DataCollection.admx/adml", który jest dołączony do systemu Microsoft Windows 11 Release 21H2 Administracja istrative Templates (lub nowszych). Uwaga nr 2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Zezwalaj na telemetrię, ale zmieniono jej nazwę na Zezwalaj na dane diagnostyczne począwszy od szablonów diagnostycznych systemu Windows 11 w wersji 21H2 Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1 |
>= 1 (Rejestr) |
Ostrzeżenie |
| Zezwalaj na indeksowanie zaszyfrowanych plików (CCE-38277-0) |
Opis: To ustawienie zasad określa, czy zaszyfrowane elementy mogą być indeksowane. Po zmianie tego ustawienia indeks zostanie całkowicie skompilowany. Pełne szyfrowanie woluminów (takie jak szyfrowanie dysków funkcją BitLocker lub rozwiązanie firmy innej niż Microsoft) musi być używane do lokalizacji indeksu w celu zachowania zabezpieczeń zaszyfrowanych plików. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Search\Zezwalaj na indeksowanie zaszyfrowanych plików Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon Search.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows.Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Zezwalaj na opcjonalne konta Microsoft (CCE-38354-7) |
Opis: To ustawienie zasad umożliwia kontrolowanie, czy konta Microsoft są opcjonalne dla aplikacji ze Sklepu Windows, które wymagają zalogowania się konta. Te zasady dotyczą tylko aplikacji ze Sklepu Windows, które je obsługują. Jeśli to ustawienie zasad zostanie włączone, aplikacje ze Sklepu Windows, które zazwyczaj wymagają zalogowania się konta Microsoft, umożliwią użytkownikom logowanie się przy użyciu konta przedsiębiorstwa. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownicy będą musieli zalogować się przy użyciu konta Microsoft. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional System operacyjny: WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Składniki systemu Windows\Środowisko uruchomieniowe aplikacji\Zezwalaj na opcjonalne konta Microsoft Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "AppXRuntime.admx/adml", który jest dołączony do systemu Microsoft Windows 8.1 i Server 2012 R2 Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.6.1 |
= 1 (Rejestr) |
Ostrzeżenie |
| Zezwalaj na niezaszyfrowany ruch (CCE-38223-4) |
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy usługa Windows Remote Management (WinRM) wysyła i odbiera niezaszyfrowane komunikaty za pośrednictwem sieci. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Policies\Administracja istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow unencrypted traffic Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon WindowsRemoteManagement.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows.Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Zezwalaj użytkownikowi na kontrolę nad instalacjami (CCE-36400-0) |
Opis: umożliwia użytkownikom zmianę opcji instalacji, które są zwykle dostępne tylko dla administratorów systemu. Funkcje zabezpieczeń Instalatora Windows uniemożliwiają użytkownikom zmianę opcji instalacji zwykle zarezerwowanych dla administratorów systemu, takich jak określanie katalogu, do którego są zainstalowane pliki. Jeśli Instalator Windows wykryje, że pakiet instalacyjny zezwolił użytkownikowi na zmianę chronionej opcji, zatrzymuje instalację i wyświetla komunikat. Te funkcje zabezpieczeń działają tylko wtedy, gdy program instalacyjny jest uruchomiony w uprzywilejowanym kontekście zabezpieczeń, w którym ma dostęp do katalogów zabronionych użytkownikowi. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows Installer\Allow user control over installs Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon MSI.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows. Uwaga nr 2: W starszych szablonach systemu Microsoft Windows Administracja istracyjnych to ustawienie miało nazwę Włącz kontrolę użytkownika nad instalacjami, ale zmieniono jej nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates.Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Zawsze instaluj z podwyższonym poziomem uprawnień (CCE-37490-0) |
Opis: To ustawienie określa, czy Instalator Windows powinien używać uprawnień systemowych podczas instalowania dowolnego programu w systemie. Uwaga: to ustawienie jest wyświetlane zarówno w folderach Konfiguracja komputera, jak i Konfiguracja użytkownika. Aby to ustawienie było skuteczne, należy włączyć to ustawienie w obu folderach. Uwaga: jeśli jest włączona, wykwalifikowani użytkownicy mogą korzystać z uprawnień, które to ustawienie przyznaje, aby zmienić swoje uprawnienia i uzyskać stały dostęp do ograniczonych plików i folderów. Należy pamiętać, że wersja konfiguracji użytkownika tego ustawienia nie ma gwarancji bezpieczeństwa. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja użytkownika\Zasady\Administracja istrative Templates\Windows Components\Windows Installer\Always install with elevated privileges Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon MSI.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows.Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Zawsze monituj o podanie hasła podczas połączenia (CCE-37929-7) |
Opis: To ustawienie zasad określa, czy usługi terminalowe zawsze monitują komputer kliencki o podanie hasła podczas połączenia. To ustawienie zasad umożliwia wymuszenie monitu o hasło dla użytkowników, którzy logują się do usług terminalowych, nawet jeśli już podano hasło w kliencie pulpitu zdalnego Połączenie ion. Domyślnie usługi terminalowe umożliwiają użytkownikom automatyczne logowanie się w przypadku wprowadzenia hasła w kliencie Połączenie ion pulpitu zdalnego. Uwaga Jeśli to ustawienie zasad nie zostanie skonfigurowane, administrator komputera lokalnego może użyć narzędzia konfiguracji usług terminalowych, aby zezwolić na automatyczne wysyłanie haseł lub uniemożliwić wysyłanie haseł. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Zabezpieczenia\Zawsze monituj o hasło podczas połączenia Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga nr 2: W szablonach Administracja istracyjnych systemu Microsoft Windows Vista to ustawienie miało nazwę Zawsze monituj klienta o podanie hasła podczas połączenia, ale zmieniono jego nazwę, począwszy od systemu Windows Server 2008 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.65.3.9.1 |
= 1 (Rejestr) |
Krytyczne |
| Aplikacja: kontrolowanie zachowania dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar (CCE-37775-4) |
Opis: To ustawienie zasad steruje zachowaniem dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar. Jeśli to ustawienie zasad zostanie włączone, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia nie zostaną zapisane w dzienniku i zostaną utracone. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia zastępują stare zdarzenia. Uwaga: Stare zdarzenia mogą być zachowywane lub nie są zachowywane zgodnie z ustawieniem zasad "Dziennik kopii zapasowej automatycznie po pełnym". Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługa dziennika zdarzeń\Application\Control Zachowanie dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga nr 2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Zachowaj stare zdarzenia, ale zmieniono jego nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.27.1.1 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Aplikacja: określ maksymalny rozmiar pliku dziennika (KB) (CCE-37948-7) |
Opis: to ustawienie zasad określa maksymalny rozmiar pliku dziennika w kilobajtach. Jeśli to ustawienie zasad zostanie włączone, można skonfigurować maksymalny rozmiar pliku dziennika w zakresie od 1 megabajtów (1024 kilobajtów) i 2 terabajtów (2147483647 kilobajtów) w kilobajtach przyrostowych. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, maksymalny rozmiar pliku dziennika zostanie ustawiony na wartość skonfigurowaną lokalnie. Tę wartość można zmienić przez administratora lokalnego przy użyciu okna dialogowego Właściwości dziennika i domyślnie wynosi 20 megabajtów. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 32,768 or greater:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługa dziennika zdarzeń\Aplikacja\Określ maksymalny rozmiar pliku dziennika (KB) Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga #2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Maximum Log Size (KB), ale zmieniono jego nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.27.1.2 |
>= 32768 (Rejestr) |
Krytyczne |
| Blokuj uwierzytelnianie użytkownika konta Microsoft dla wszystkich konsumentów (AZ-WIN-20198) |
Opis: To ustawienie określa, czy aplikacje i usługi na urządzeniu mogą korzystać z nowego uwierzytelniania konta Microsoft użytkownika za pośrednictwem systemu Windows OnlineID i WebAccountManager interfejsów API. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth System operacyjny: WS2016, WS2019 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Microsoft accounts\Block all consumer account user authentication Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1 |
= 1 (Rejestr) |
Krytyczne |
| Konfigurowanie zastępowania ustawień lokalnych na potrzeby raportowania w usłudze Microsoft MAPS (AZ-WIN-00173) |
Opis: To ustawienie zasad umożliwia skonfigurowanie lokalnego zastąpienia konfiguracji w celu dołączenia do usługi Microsoft MAPS. To ustawienie można ustawić tylko za pomocą zasad grupy. Jeśli to ustawienie zostanie włączone, ustawienie preferencji lokalnych będzie mieć priorytet nad zasadami grupy. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, zasady grupy przejmią priorytet nad ustawieniem preferencji lokalnych. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows Defender Antivirus\MAPS\Configure local setting override for reporting to Microsoft MAPS Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy dołączony do szablonu WindowsDefender.admx/adml Microsoft Windows 8.1 & Server 2012 R2 Administracja istrative Templates (lub nowszych).Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Konfigurowanie filtru Windows SmartScreen (CCE-35859-8) |
Opis: To ustawienie zasad umożliwia zarządzanie zachowaniem filtru Windows SmartScreen. Filtr Windows SmartScreen pomaga zapewnić bezpieczeństwo komputerów przez ostrzeganie użytkowników przed uruchomieniem nierozpoznanych programów pobranych z Internetu. Niektóre informacje są wysyłane do firmy Microsoft o plikach i programach uruchamianych na komputerach z włączoną tą funkcją. Jeśli to ustawienie zasad zostanie włączone, zachowanie filtru Windows SmartScreen może być kontrolowane przez ustawienie jednej z następujących opcji: * Nadaj użytkownikowi ostrzeżenie przed uruchomieniem pobranego nieznanego oprogramowania * Wyłącz filtr SmartScreen Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, zachowanie filtru Windows SmartScreen jest zarządzane przez administratorów na komputerze przy użyciu filtru Windows SmartScreen Ustawienia w obszarze Zabezpieczenia i konserwacja. Opcje: * Nadaj użytkownikowi ostrzeżenie przed uruchomieniem pobranego nieznanego oprogramowania * Wyłącz filtr SmartScreen Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: Ostrzegaj i zapobiegaj obejściu: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows Defender SmartScreen\Explorer\Configure Windows Defender SmartScreen Uwaga: Ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy WindowsExplorer.admx/adml, który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates (lub nowsze). Uwaga nr 2: W starszych szablonach microsoft Windows Administracja istrative, to ustawienie początkowo nosiło nazwę Configure Windows SmartScreen (Konfigurowanie filtru Windows SmartScreen), ale zmieniono jego nazwę, począwszy od szablonów systemu Windows 10 w wersji 1703 Administracja istrative Templates.Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.85.1.1 |
= 1 (Rejestr) |
Ostrzeżenie |
| Wykrywanie zmian z domyślnego portu protokołu RDP (AZ-WIN-00156) |
Opis: To ustawienie określa, czy port sieciowy nasłuchujący Połączenie pulpitu zdalnego został zmieniony z domyślnego 3389 Ścieżka klucza: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: nie dotyczy Mapowania standardowe zgodności: |
= 3389 (Rejestr) |
Krytyczne |
| Wyłączanie usługi Windows Search (AZ-WIN-00176) |
Opis: To ustawienie rejestru wyłącza usługę Windows Search Ścieżka klucza: System\CurrentControlSet\Services\Wsearch\Start System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: nie dotyczy Mapowania standardowe zgodności: |
Nie istnieje lub = 4 (Rejestr) |
Krytyczne |
| Nie zezwalaj na autoodtwarzanie dla urządzeń niebędących woluminami (CCE-37636-8) |
Opis: To ustawienie zasad nie zezwala na autoodtwarzanie dla urządzeń MTP, takich jak aparaty fotograficzne lub telefony. Jeśli to ustawienie zasad zostanie włączone, autoodtwarzanie nie będzie dozwolone dla urządzeń MTP, takich jak aparaty fotograficzne lub telefony. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, autoodtwarzanie jest włączone dla urządzeń innych niż woluminy. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Policies\Administracja istrative Templates\Windows Components\AutoPlay Policies\Disallow Autoplay for non-volume devices Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "AutoPlay.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Administracja szablony administracyjne (lub nowsze). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.8.1 |
= 1 (Rejestr) |
Krytyczne |
| Nie zezwalaj na uwierzytelnianie szyfrowane (CCE-38318-2) |
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy klient zdalnego zarządzania systemem Windows (WinRM) nie będzie używać uwierzytelniania szyfrowane. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Policies\Administracja istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client\Disallow Digest Authentication Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon WindowsRemoteManagement.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows.Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3 |
= 0 (Rejestr) |
Krytyczne |
| Nie zezwalaj programowi WinRM na przechowywanie poświadczeń Uruchom jako (CCE-36000-8) |
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy usługa Windows Remote Management (WinRM) nie zezwala na przechowywanie poświadczeń Uruchom jako dla żadnych wtyczek. Jeśli to ustawienie zasad zostanie włączone, usługa WinRM nie zezwoli na ustawienie wartości konfiguracji RunAsUser lub RunAsPassword dla wszystkich wtyczek. Jeśli wtyczka ustawiła już wartości konfiguracji RunAsUser i RunAsPassword, wartość konfiguracji RunAsPassword zostanie wymazana z magazynu poświadczeń na tym komputerze. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, usługa WinRM zezwoli na bezpieczne przechowywanie wartości konfiguracji RunAsUser i RunAsPassword dla wtyczek. Jeśli to ustawienie zasad zostanie włączone, a następnie wyłączysz je, wszystkie wartości, które zostały wcześniej skonfigurowane dla elementu RunAsPassword, będą musiały zostać zresetowane. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Disallow WinRM from storing RunAs credentials (Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Disallow WinRM from storing RunAs credentials (WinRM) Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "WindowsRemoteManagement.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (non-R2) Administracja istrative Templates (lub nowsze). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.102.2.4 |
= 1 (Rejestr) |
Krytyczne |
| Nie zezwalaj na zapisywanie haseł (CCE-36223-6) |
Opis: To ustawienie zasad pomaga uniemożliwić klientom usług terminalowych zapisywanie haseł na komputerze. Uwaga Jeśli to ustawienie zasad zostało wcześniej skonfigurowane jako Wyłączone lub Nieskonfigurowane, wszystkie wcześniej zapisane hasła zostaną usunięte po raz pierwszy po odłączeniu klienta usług terminalowych od dowolnego serwera. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\szablony Administracja istracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Klient pulpitu zdalnego Połączenie ion\Nie zezwalaj na zapisywanie haseł Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.65.2.2 |
= 1 (Rejestr) |
Krytyczne |
| Nie usuwaj folderów tymczasowych po zakończeniu (CCE-37946-1) |
Opis: To ustawienie zasad określa, czy usługi pulpitu zdalnego zachowują foldery tymczasowe użytkownika na sesję podczas wylogowywowania. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji pulpitu zdalnego\Foldery tymczasowe\Nie usuwaj folderów tymczasowych po zakończeniu Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga #2: W starszych szablonach microsoft Windows Administracja istrative o nazwie Nie usuwaj folderu tymczasowego po zakończeniu, ale zmieniono jego nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.65.3.11.1 |
Nie istnieje lub = 1 (Rejestr) |
Ostrzeżenie |
| Nie wyświetlaj przycisku odsłaniania hasła (CCE-37534-5) |
Opis: To ustawienie zasad umożliwia skonfigurowanie wyświetlania przycisku wyświetlania hasła w środowiskach użytkownika wpisu hasła. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Składniki systemu Windows\Credential User Interface\Nie wyświetlaj przycisku ujawniania hasła Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "CredUI.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates (lub nowsze). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.16.1 |
= 1 (Rejestr) |
Ostrzeżenie |
| Nie pokazuj powiadomień o opiniach (AZ-WIN-00140) |
Opis: To ustawienie zasad umożliwia organizacji uniemożliwienie urządzeniom wyświetlania pytań zwrotnych od firmy Microsoft. Jeśli to ustawienie zasad zostanie włączone, użytkownicy nie będą już widzieć powiadomień zwrotnych za pośrednictwem aplikacji Opinie dotyczące systemu Windows. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownicy mogą zobaczyć powiadomienia za pośrednictwem aplikacji Opinie dotyczące systemu Windows z prośbą o opinię użytkowników. Uwaga: jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownicy będą mogli kontrolować, jak często otrzymują pytania zwrotne. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Składniki systemu Windows\Zbieranie danych i kompilacje w wersji zapoznawczej\Nie pokazuj powiadomień o opiniach Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "FeedbackNotifications.admx/adml", który jest dołączony do systemu Microsoft Windows 10 Release 1511 Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.17.4 |
= 1 (Rejestr) |
Krytyczne |
| Nie używaj folderów tymczasowych na sesję (CCE-38180-6) |
Opis: Domyślnie usługi pulpitu zdalnego tworzy oddzielny folder tymczasowy na serwerze hosta sesji usług pulpitu zdalnego dla każdej aktywnej sesji, którą użytkownik utrzymuje na serwerze hosta sesji usług pulpitu zdalnego. Folder tymczasowy jest tworzony na serwerze hosta sesji usług pulpitu zdalnego w folderze Temp w folderze profilu użytkownika i ma nazwę "sessionid". Ten folder tymczasowy służy do przechowywania pojedynczych plików tymczasowych. Aby odzyskać miejsce na dysku, folder tymczasowy zostanie usunięty, gdy użytkownik wyloguje się z sesji. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Foldery tymczasowe\Nie używaj folderów tymczasowych na sesję Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.65.3.11.2 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Wyliczanie kont administratorów w przypadku podniesienia uprawnień (CCE-36512-2) |
Opis: To ustawienie zasad określa, czy konta administratora są wyświetlane, gdy użytkownik próbuje podnieść poziom uruchomionej aplikacji. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\Enumerate Administracja istrators System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Składniki systemu Windows\Credential User Interface\Wyliczanie kont administratorów przy podniesienie uprawnień Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon CredUI.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows.Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Zapobieganie pobieraniu obudów (CCE-37126-0) |
Opis: To ustawienie zasad uniemożliwia użytkownikowi pobieranie załączników (plików) z kanału informacyjnego do komputera użytkownika. Zalecanym stanem dla tego ustawienia jest: Enabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\RSS Feeds\Zapobieganie pobieraniu obudów Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "InetRes.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga nr 2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie miało nazwę Wyłącz pobieranie załączników, ale zmieniono jego nazwę, począwszy od windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.66.1 |
= 1 (Rejestr) |
Ostrzeżenie |
| Wymagaj bezpiecznej komunikacji RPC (CCE-37567-5) |
Opis: określa, czy serwer hosta sesji usług pulpitu zdalnego wymaga bezpiecznej komunikacji RPC ze wszystkimi klientami lub zezwala na niezabezpieczoną komunikację. Za pomocą tego ustawienia można zwiększyć bezpieczeństwo komunikacji RPC z klientami, zezwalając tylko na uwierzytelnione i zaszyfrowane żądania. Jeśli stan ma wartość Włączone, usługi pulpitu zdalnego akceptują żądania od klientów RPC obsługujących bezpieczne żądania i nie zezwalają na niezabezpieczoną komunikację z niezaufanymi klientami. Jeśli stan ma wartość Wyłączone, usługi pulpitu zdalnego zawsze żądają zabezpieczeń dla całego ruchu RPC. Jednak niezabezpieczona komunikacja jest dozwolona dla klientów RPC, którzy nie odpowiadają na żądanie. Jeśli stan ma wartość Nieskonfigurowane, niezabezpieczona komunikacja jest dozwolona. Uwaga: interfejs RPC jest używany do administrowania i konfigurowania usług pulpitu zdalnego. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Zabezpieczenia\Wymagaj bezpiecznej komunikacji RPC Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.65.3.9.2 |
= 1 (Rejestr) |
Krytyczne |
| Wymaganie uwierzytelniania użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci (AZ-WIN-00149) |
Opis: Wymagaj uwierzytelniania użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Zabezpieczenia\Wymagaj uwierzytelniania użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga nr 2: W szablonach Administracja istracyjnych systemu Microsoft Windows Vista to ustawienie początkowo miało nazwę Wymagaj uwierzytelniania użytkownika przy użyciu protokołu RDP 6.0 dla połączeń zdalnych, ale zmieniono jego nazwę, począwszy od systemu Windows Server 2008 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.65.3.9.4 |
Nie istnieje lub = 1 (Rejestr) |
Krytyczne |
| Skanowanie dysków wymiennych (AZ-WIN-00177) |
Opis: To ustawienie zasad umożliwia zarządzanie tym, czy skanowanie pod kątem złośliwego oprogramowania i niechcianego oprogramowania w zawartości dysków wymiennych, takich jak dyski flash USB podczas uruchamiania pełnego skanowania. Jeśli to ustawienie zostanie włączone, dyski wymienne będą skanowane podczas dowolnego typu skanowania. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, dyski wymienne nie będą skanowane podczas pełnego skanowania. Dyski wymienne mogą być nadal skanowane podczas szybkiego skanowania i skanowania niestandardowego. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows Defender Antivirus\Scan\Scan\Scan dysków wymiennych Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy dołączony do szablonu WindowsDefender.admx/adml Microsoft Windows 8.1 & Server 2012 R2 Administracja istrative Templates (lub nowszych).Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1 |
= 0 (Rejestr) |
Krytyczne |
| Zabezpieczenia: Kontrolowanie zachowania dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar (CCE-37145-0) |
Opis: To ustawienie zasad steruje zachowaniem dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar. Jeśli to ustawienie zasad zostanie włączone, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia nie zostaną zapisane w dzienniku i zostaną utracone. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia zastępują stare zdarzenia. Uwaga: Stare zdarzenia mogą być zachowywane lub nie są zachowywane zgodnie z ustawieniem zasad "Dziennik kopii zapasowej automatycznie po pełnym". Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Event Log Service\Security\Control Event Log Zachowanie, gdy plik dziennika osiągnie maksymalny rozmiar Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga nr 2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Zachowaj stare zdarzenia, ale zmieniono jego nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.27.2.1 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Zabezpieczenia: określ maksymalny rozmiar pliku dziennika (KB) (CCE-37695-4) |
Opis: to ustawienie zasad określa maksymalny rozmiar pliku dziennika w kilobajtach. Jeśli to ustawienie zasad zostanie włączone, można skonfigurować maksymalny rozmiar pliku dziennika na 1 megabajt (1024 kilobajty) i 2 terabajty (2147 483 647 kilobajtów) w kilobajtach. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, maksymalny rozmiar pliku dziennika zostanie ustawiony na wartość skonfigurowaną lokalnie. Tę wartość można zmienić przez administratora lokalnego przy użyciu okna dialogowego Właściwości dziennika i domyślnie wynosi 20 megabajtów. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 196,608 or greater:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Event Log Service\Security\Określ maksymalny rozmiar pliku dziennika (KB) Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga #2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Maximum Log Size (KB), ale zmieniono jego nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.27.2.2 |
>= 196608 (Rejestr) |
Krytyczne |
| Wysyłanie przykładów plików, gdy wymagana jest dalsza analiza (AZ-WIN-00126) |
Opis: To ustawienie zasad konfiguruje zachowanie przesyłania próbek w przypadku ustawienia zgody na telemetrię MAPS. Możliwe opcje to: (0x0) Zawsze monituj (0x1) Automatyczne wysyłanie bezpiecznych próbek (0x2) Nigdy nie wysyłaj (0x3) Wyślij wszystkie próbki automatycznie Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Administracja istrative Templates\Windows Components\Program antywirusowy Microsoft Defender\MAPS\Send przykłady plików, gdy wymagana jest dalsza analiza Mapowania standardowe zgodności: |
= 1 (Rejestr) |
Ostrzeżenie |
| Ustawianie poziomu szyfrowania połączeń klienta (CCE-36627-8) |
Opis: To ustawienie zasad określa, czy komputer, który ma hostować połączenie zdalne, będzie wymuszać poziom szyfrowania dla wszystkich danych wysyłanych między nim a komputerem klienckim dla sesji zdalnej. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: High Level:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Zabezpieczenia\Ustaw poziom szyfrowania połączenia klienta Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "TerminalServer.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.65.3.9.5 |
Nie istnieje lub = 3 (Rejestr) |
Krytyczne |
| Ustawianie domyślnego zachowania dla funkcji AutoUruchomienie (CCE-38217-6) |
Opis: To ustawienie zasad ustawia domyślne zachowanie dla poleceń Autorun. Polecenia autorun są zwykle przechowywane w plikach autorun.inf. Często uruchamiają program instalacyjny lub inne procedury. Przed systemem Windows Vista po wstawieniu nośnika zawierającego polecenie autorun system automatycznie wykona program bez interwencji użytkownika. Spowoduje to utworzenie poważnego problemu z zabezpieczeniami, ponieważ kod może być wykonywany bez wiedzy użytkownika. Domyślne zachowanie rozpoczynające się od systemu Windows Vista to monit użytkownika, czy polecenie autorun ma zostać uruchomione. Polecenie autorun jest reprezentowane jako procedura obsługi w oknie dialogowym autoodtwarzania. Jeśli to ustawienie zasad zostanie włączone, Administracja istrator może zmienić domyślne zachowanie systemu Windows Vista lub nowszego dla autorun na: a) Całkowicie wyłącz polecenia autorun lub b) Przywróć zachowanie przywracania do wstępnie systemu Windows Vista automatycznego wykonywania polecenia autorun. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, system Windows Vista lub nowszy wyświetli użytkownikowi monit o to, czy polecenie autorun ma zostać uruchomione. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: Do not execute any autorun commands:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\AutoPlay Policies\Ustaw domyślne zachowanie funkcji AutoRun Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "AutoPlay.admx/adml", który jest dołączony do systemu Microsoft Windows 8.0 i Server 2012 (inne niż R2) Administracja szablony administracyjne (lub nowsze). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.8.2 |
= 1 (Rejestr) |
Krytyczne |
| Konfiguracja: kontrolowanie zachowania dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar (CCE-38276-2) |
Opis: To ustawienie zasad steruje zachowaniem dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar. Jeśli to ustawienie zasad zostanie włączone, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia nie zostaną zapisane w dzienniku i zostaną utracone. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia zastępują stare zdarzenia. Uwaga: Stare zdarzenia mogą być zachowywane lub nie są zachowywane zgodnie z ustawieniem zasad "Dziennik kopii zapasowej automatycznie po pełnym". Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługa dziennika zdarzeń\Setup\Control Zachowanie dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga nr 2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Zachowaj stare zdarzenia, ale zmieniono jego nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.27.3.1 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Konfiguracja: określ maksymalny rozmiar pliku dziennika (KB) (CCE-37526-1) |
Opis: to ustawienie zasad określa maksymalny rozmiar pliku dziennika w kilobajtach. Jeśli to ustawienie zasad zostanie włączone, można skonfigurować maksymalny rozmiar pliku dziennika na 1 megabajt (1024 kilobajty) i 2 terabajty (2147 483 647 kilobajtów) w kilobajtach. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, maksymalny rozmiar pliku dziennika zostanie ustawiony na wartość skonfigurowaną lokalnie. Tę wartość można zmienić przez administratora lokalnego przy użyciu okna dialogowego Właściwości dziennika i domyślnie wynosi 20 megabajtów. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 32,768 or greater:Konfiguracja komputera\Zasady\Administracja istrative Templates\Składniki systemu Windows\Usługa dziennika zdarzeń\Setup\Określ maksymalny rozmiar pliku dziennika (KB) Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga #2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Maximum Log Size (KB), ale zmieniono jego nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.27.3.2 |
>= 32768 (Rejestr) |
Krytyczne |
| Logowanie ostatniego interakcyjnego użytkownika automatycznie po ponownym uruchomieniu zainicjowanym przez system (CCE-36977-7) |
Opis: To ustawienie zasad określa, czy urządzenie będzie automatycznie logować ostatniego interakcyjnego użytkownika po ponownym uruchomieniu systemu przez usługę Windows Update. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn System operacyjny: WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows Logon Options\Sign-in ostatni interakcyjny użytkownik automatycznie po ponownym uruchomieniu zainicjowanym przez system Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy dołączony do szablonu WinLogon.admx/adml Microsoft Windows 8.1 & Server 2012 R2 Administracja istrative Templates (lub nowszych).Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1 |
= 1 (Rejestr) |
Krytyczne |
| Określ interwał sprawdzania dostępności aktualizacji definicji (AZ-WIN-00152) |
Opis: To ustawienie zasad umożliwia określenie interwału, w którym mają być sprawdzane aktualizacje definicji. Wartość czasu jest reprezentowana jako liczba godzin między sprawdzaniem aktualizacji. Prawidłowe wartości wahają się od 1 (co godzinę) do 24 (raz dziennie). Jeśli to ustawienie zostanie włączone, sprawdzanie dostępności aktualizacji definicji zostanie wykonane w określonym przedziale czasu. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, sprawdzanie dostępności aktualizacji definicji będzie wykonywane w domyślnym interwale. Ścieżka klucza: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Aktualizacje\SignatureUpdateInterval System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Administracja istrative Templates\Windows Components\Program antywirusowy Microsoft Defender\Security Intelligence Aktualizacje\Określ interwał sprawdzania aktualizacji analizy zabezpieczeń Mapowania standardowe zgodności: |
8= (Rejestr) |
Krytyczne |
| System: Kontrolowanie zachowania dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar (CCE-36160-0) |
Opis: To ustawienie zasad steruje zachowaniem dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar. Jeśli to ustawienie zasad zostanie włączone, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia nie zostaną zapisane w dzienniku i zostaną utracone. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, a plik dziennika osiągnie maksymalny rozmiar, nowe zdarzenia zastępują stare zdarzenia. Uwaga: Stare zdarzenia mogą być zachowywane lub nie są zachowywane zgodnie z ustawieniem zasad "Dziennik kopii zapasowej automatycznie po pełnym". Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Usługa dziennika zdarzeń\System\Kontrola zachowania dziennika zdarzeń, gdy plik dziennika osiągnie maksymalny rozmiar Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga nr 2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Zachowaj stare zdarzenia, ale zmieniono jego nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.27.4.1 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| System: określ maksymalny rozmiar pliku dziennika (KB) (CCE-36092-5) |
Opis: to ustawienie zasad określa maksymalny rozmiar pliku dziennika w kilobajtach. Jeśli to ustawienie zasad zostanie włączone, można skonfigurować maksymalny rozmiar pliku dziennika na 1 megabajt (1024 kilobajty) i 2 terabajty (2147 483 647 kilobajtów) w kilobajtach. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, maksymalny rozmiar pliku dziennika zostanie ustawiony na wartość skonfigurowaną lokalnie. Tę wartość można zmienić przez administratora lokalnego przy użyciu okna dialogowego Właściwości dziennika i domyślnie wynosi 20 megabajtów. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: 32,768 or greater:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Event Log Service\System\Określ maksymalny rozmiar pliku dziennika (KB) Uwaga: Ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "EventLog.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Uwaga #2: W starszych szablonach microsoft Windows Administracja istrative to ustawienie początkowo nosiło nazwę Maximum Log Size (KB), ale zmieniono jego nazwę, począwszy od systemu Windows 8.0 i Server 2012 (inne niż R2) Administracja istrative Templates. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.27.4.2 |
>= 32768 (Rejestr) |
Krytyczne |
| Spis programu zgodności aplikacji nie może zbierać danych i wysyłać ich do firmy Microsoft. (AZ-WIN-73543) |
Opis: Niektóre funkcje mogą komunikować się z dostawcą, wysyłać informacje o systemie lub pobierać dane lub składniki dla tej funkcji. Wyłączenie tej możliwości uniemożliwi wysyłanie potencjalnie poufnych informacji poza przedsiębiorstwem i uniemożliwi niekontrolowane aktualizacje systemu. To ustawienie uniemożliwi spisowi programu zbieranie danych o systemie i wysyłanie informacji do firmy Microsoft. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory System operacyjny: WS2016, WS2019, WS2022 Typ serwera: element członkowski domeny Ścieżka zasad grupy: Konfiguracja komputera\Administracja istrative Templates\Składniki systemu Windows\Zgodność aplikacji\Wyłącz moduł zbierający spis Mapowania standardowe zgodności: |
= 1 (Rejestr) |
Informacyjny |
| Wyłącz autoodtwarzanie (CCE-36875-3) |
Opis: Autoodtwarzanie zaczyna odczytywać z dysku zaraz po wstawieniu nośnika na dysku, co powoduje natychmiastowe uruchomienie pliku instalacyjnego programów lub multimediów audio. Osoba atakująca może użyć tej funkcji, aby uruchomić program, aby uszkodzić komputer lub dane na komputerze. Możesz włączyć ustawienie Wyłącz autoodtwarzanie, aby wyłączyć funkcję autoodtwarzania. Autoodtwarzanie jest domyślnie wyłączone w niektórych typach dysków wymiennych, takich jak dyskietka i dyskietki, ale nie na dyskach CD-ROM. Uwaga Nie można użyć tego ustawienia zasad, aby włączyć autoodtwarzanie na dyskach komputerowych, w których jest domyślnie wyłączone, takie jak dyskietka i dyskietki. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled: All drives:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Zasady autoodtwarzania\Wyłącz autoodtwarzanie Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon zasad grupy "AutoPlay.admx/adml", który jest dołączony do wszystkich wersji szablonów microsoft Windows Administracja istrative. Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.8.3 |
= 255 (Rejestr) |
Krytyczne |
| Wyłączanie zapobiegania wykonywaniu danych dla Eksploratora (CCE-37809-1) |
Opis: Wyłączenie zapobiegania wykonywaniu danych może umożliwić działanie niektórych starszych aplikacji wtyczek bez przerywania Eksploratora. Zalecanym stanem dla tego ustawienia jest: Disabled. Uwaga: Niektóre starsze aplikacje wtyczki i inne oprogramowanie mogą nie działać z zapobieganiem wykonywaniu danych i wymagają wyjątku zdefiniowanego dla tej konkretnej wtyczki/oprogramowania.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention System operacyjny: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Eksplorator plików\Wyłącz zapobieganie wykonywaniu danych dla Eksploratora Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon Explorer.admx/adml zasad grupy, który jest dołączony do systemu Microsoft Windows 7 i Server 2008 R2 Administracja istrative Templates (lub nowszych).Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Wyłączanie kończenia sterty w przypadku uszkodzenia (CCE-36660-9) |
Opis: bez kończenia sterty po uszkodzeniu starsze aplikacje wtyczek mogą nadal działać, gdy sesja Eksplorator plików uległa uszkodzeniu. Zapewnienie, że zakończenie stert w przypadku uszkodzenia jest aktywne, zapobiegnie temu. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istracyjne Szablony\Składniki systemu Windows\Eksplorator plików\Wyłącz kończenie sterty po uszkodzeniu Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon Explorer.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows.Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3 |
Nie istnieje lub = 0 (Rejestr) |
Krytyczne |
| Wyłączanie środowisk konsumenckich firmy Microsoft (AZ-WIN-00144) |
Opis: To ustawienie zasad wyłącza środowiska, które ułatwiają konsumentom jak najwięcej urządzeń i konta Microsoft. Jeśli to ustawienie zasad zostanie włączone, użytkownicy nie będą już widzieć spersonalizowanych zaleceń od firmy Microsoft i powiadomień dotyczących ich konta Microsoft. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, użytkownicy mogą zobaczyć sugestie od firmy Microsoft i powiadomienia dotyczące ich konta Microsoft. Uwaga: to ustawienie dotyczy tylko jednostek SKU Enterprise i Education. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Cloud Content\Wyłącz środowiska konsumentów firmy Microsoft Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy "CloudContent.admx/adml", który jest dołączony do systemu Microsoft Windows 10 Release 1511 Administracja istrative Templates (lub nowszych). Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.14.2 |
Nie istnieje lub = 1 (Rejestr) |
Ostrzeżenie |
| Wyłączanie trybu chronionego protokołu powłoki (CCE-36809-2) |
Opis: To ustawienie zasad umożliwia skonfigurowanie ilości funkcji, które może mieć protokół powłoki. W przypadku korzystania z pełnej funkcjonalności tego protokołu aplikacje mogą otwierać foldery i uruchamiać pliki. Tryb chroniony zmniejsza funkcjonalność tego protokołu, umożliwiając aplikacjom otwieranie tylko ograniczonego zestawu folderów. Aplikacje nie mogą otwierać plików za pomocą tego protokołu, gdy jest w trybie chronionym. Zaleca się pozostawienie tego protokołu w trybie chronionym w celu zwiększenia bezpieczeństwa systemu Windows. Zalecanym stanem dla tego ustawienia jest: Disabled.Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior System operacyjny: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Disabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Składniki systemu Windows\Eksplorator plików\Wyłącz tryb chroniony protokołem powłoki Uwaga: ta ścieżka zasad grupy jest dostarczana przez szablon WindowsExplorer.admx/adml zasad grupy, który jest dołączony do wszystkich wersji szablonów Administracja istracyjnych systemu Microsoft Windows.Mapowania standardowe zgodności: Identyfikator platformynazw STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Włączanie monitorowania zachowania (AZ-WIN-00178) |
Opis: To ustawienie zasad umożliwia skonfigurowanie monitorowania zachowania. Jeśli włączysz lub nie skonfigurujesz tego ustawienia monitorowanie zachowania zostanie włączone. Jeśli to ustawienie zostanie wyłączone, monitorowanie zachowania zostanie wyłączone. Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: aby ustanowić zalecaną konfigurację za pośrednictwem gp, ustaw następującą ścieżkę interfejsu użytkownika na Enabled:Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows Defender Antivirus\Ochrona w czasie rzeczywistym\Włączanie monitorowania zachowania Uwaga: ta ścieżka zasad grupy może nie istnieć domyślnie. Jest on dostarczany przez szablon zasad grupy dołączony do szablonu WindowsDefender.admx/adml Microsoft Windows 8.1 & Server 2012 R2 Administracja istrative Templates (lub nowszych).Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3 |
Nie istnieje lub = 0 (Rejestr) |
Ostrzeżenie |
| Włączanie rejestrowania bloków skryptów programu PowerShell (AZ-WIN-73591) |
Opis: To ustawienie zasad umożliwia rejestrowanie wszystkich danych wejściowych skryptu programu PowerShell w Applications and Services Logs\Microsoft\Windows\PowerShell\Operational kanale dziennika zdarzeń. Zalecanym stanem dla tego ustawienia jest: Enabled. Uwaga: Jeśli włączono rejestrowanie zdarzeń uruchamiania/zatrzymywania bloku skryptów (pole wyboru opcji), program PowerShell będzie rejestrować dodatkowe zdarzenia podczas wywoływannia polecenia, bloku skryptu, funkcji lub skryptu uruchamia lub zatrzymuje. Włączenie tej opcji powoduje wygenerowanie dużej liczby dzienników zdarzeń. CiS celowo nie zdecydowała się na zalecenie dla tej opcji, ponieważ generuje dużą liczbę zdarzeń. Jeśli organizacja zdecyduje się włączyć opcjonalne ustawienie (zaznaczone), jest to również zgodne z testem porównawczym.Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging System operacyjny: WS2016, WS2019, WS2022 Typ serwera: kontroler domeny, członek domeny, członek grupy roboczej Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Administracja istrative Templates\Windows Components\Windows PowerShell\Włącz rejestrowanie bloków skryptów programu PowerShell Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1 |
= 1 (Rejestr) |
Ważne |
Windows Ustawienia — Ustawienia zabezpieczeń
| Nazwisko (IDENTYFIKATOR) |
Szczegóły | Oczekiwana wartość (Typ) |
Ważność |
|---|---|---|---|
| Dostosowywanie przydziałów pamięci dla procesu (CCE-10849-8) |
Opis: To ustawienie zasad umożliwia użytkownikowi dostosowanie maksymalnej ilości pamięci dostępnej dla procesu. Możliwość dostosowywania przydziałów pamięci jest przydatna do dostrajania systemu, ale może być nadużywana. W nieprawidłowych rękach można użyć go do uruchomienia ataku typu "odmowa usługi" (DoS). Zalecanym stanem dla tego ustawienia jest: Administrators, LOCAL SERVICE, NETWORK SERVICE. Uwaga: Serwer członkowski, na którym znajduje się rola serwera sieci Web (IIS) z usługą roli serwera sieci Web, będzie wymagał specjalnego wyjątku od tego zalecenia, aby zezwolić pulam aplikacji usług IIS na przyznanie tego prawa użytkownika. Uwaga nr 2: Serwer członkowski z zainstalowanym programem Microsoft SQL Server będzie wymagał specjalnego wyjątku dla tego zalecenia, aby dodatkowe wpisy wygenerowane przez program SQL zostały przyznane temu użytkownikowi prawo.Ścieżka klucza: [Privilege Rights]SeIncreaseQuotaPrivilege System operacyjny: WS2012, WS2012R2, WS2016, WS2019, WS2022 Typ serwera: Kontroler domeny, Członek domeny Ścieżka zasad grupy: Konfiguracja komputera\Zasady\Windows Ustawienia\Zabezpieczenia Ustawienia\Zasady lokalne\Przypisywanie praw użytkownika\Dostosowywanie przydziałów pamięci dla procesu Mapowania standardowe zgodności: Identyfikator platformynazw CIS WS2022 2.2.6 CIS WS2019 2.2.6 |
<= Administracja istratory, usługa lokalna, usługa sieciowa (Zasady) |
Ostrzeżenie |
Uwaga
Dostępność określonych ustawień konfiguracji gościa usługi Azure Policy może się różnić w przypadku platformy Azure Government i innych chmur krajowych.
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy i konfiguracji gościa:
- Konfiguracja gościa usługi Azure Policy.
- Omówienie zgodności z przepisami .
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.