Compartilhar via


Linha de base de segurança do Windows

Este artigo detalha as definições de configuração para convidados do Windows conforme aplicável nas seguintes implementações:

  • [Versão prévia]: os computadores Windows devem atender aos requisitos da configuração de convidados do Azure Policy na linha de base de segurança de computação do Azure
  • As vulnerabilidades na configuração de segurança nas máquinas devem ser corrigidas na Central de Segurança do Azure

Para obter mais informações, confira Configuração do computador de Gerenciamento Automatizado do Azure.

Importante

A configuração de convidado da Política do Azure só se aplica à SKU do Windows Server e à SKU do Azure Stack. Ele não se aplica à computação do usuário final, como SKUs do Windows 10 e do Windows 11.

Políticas conta – Política de senha

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Duração do bloqueio de conta
(AZ-WIN-73312)
Descrição: esta configuração de política determina o período que deve ser passado antes que uma conta bloqueada seja desbloqueada e um usuário possa tentar fazer logon novamente. A configuração faz isso especificando o número de minutos que uma conta bloqueada permanecerá indisponível. Se o valor dessa configuração de política estiver definido como 0, as contas bloqueadas permanecerão bloqueadas até que um administrador as desbloqueie manualmente. Embora possa parecer uma boa ideia configurar o valor dessa configuração de política para um valor alto, essa configuração provavelmente aumentará o número de chamadas que o suporte técnico recebe para desbloquear contas bloqueadas por engano. Os usuários devem estar cientes do tempo em que um bloqueio permanece no local, para que eles percebam que só precisam chamar o suporte técnico se tiverem uma necessidade extremamente urgente de recuperar o acesso ao computador. O estado recomendado para essa configuração é: 15 or more minute(s). Observação: as configurações de Política de Senha (seção 1.1) e as configurações de Política de Bloqueio de Conta (seção 1.2) devem ser aplicadas por meio do GPO da Política de Domínio Padrão para estar globalmente em vigor nas contas de usuário do domínio como seu comportamento padrão. Se essas configurações estiverem configuradas em outro GPO, elas afetarão apenas as contas de usuário locais nos computadores que recebem o GPO. No entanto, exceções personalizadas para a política de senha padrão e regras de política de bloqueio de conta para usuários de domínio específicos e/ou grupos podem ser definidas usando PSOs (Objetos de Configuração de Senha), que são completamente separados de Política de Grupo e configurados com mais facilidade usando o Centro Administrativo do Active Directory.
Caminho da chave: [System Access]LockoutDuration
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Duração do bloqueio da conta
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 1.2.1
        CIS WS2019 1.2.1
>= 15
(Policy)
Aviso

Modelo Administrativo – Windows Defender

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Configurar a detecção de aplicativos potencialmente indesejados
(AZ-WIN-202219)
Descrição: esta configuração de política controla a detecção e a ação para PUA (Aplicativos Potencialmente Indesejados), que são empacotadores de aplicativos indesejados ou seus aplicativos empacotados que podem fornecer adware ou malware. O estado recomendado para essa configuração é: Enabled: Block. Para obter mais informações, confira este link: Bloquear aplicativos potencialmente indesejados com Microsoft Defender Antivírus | Microsoft Docs
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Configurar a detecção para aplicativos potencialmente indesejados
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.47.15
        CIS WS2019 18.9.47.15
= 1
(Registry)
Crítico
Verificar todos os arquivos baixados e anexos
(AZ-WIN-202221)
Descrição: esta configuração de política define verificação de todos os arquivos e anexos baixados. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Proteção em Tempo Real\Examinar todos os arquivos e anexos baixados
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.47.9.1
        CIS WS2019 18.9.47.9.1
= 0
(Registry)
Aviso
Desative o Microsoft Defender Antivírus
(AZ-WIN-202220)
Descrição: esta configuração de política desativa o Microsoft Defender Antivírus. Se a configuração estiver definida como Desabilitada, o Microsoft Defender Antivírus será executado e os computadores serão verificados em busca de malware e outros softwares potencialmente indesejados. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Desativar o Microsoft Defender AntiVírus
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.47.16
        CIS WS2019 18.9.47.16
= 0
(Registry)
Crítico
Desativar a proteção em tempo real
(AZ-WIN-202222)
Descrição: esta configuração de política define prompts de proteção em tempo real para detecção de malware conhecida. O Microsoft Defender Antivírus alerta você quando um malware ou software potencialmente indesejado tenta se instalar ou ser executado em seu computador. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Proteção em Tempo Real\Desativar a proteção em tempo real
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.47.9.2
        CIS WS2019 18.9.47.9.2
= 0
(Registry)
Aviso
Ativar a verificação de e-mail
(AZ-WIN-202218)
Descrição: esta configuração de política permite definir a verificação de email. Quando a varredura de email estiver habilitada, o mecanismo analisará os arquivos da caixa de correio e email, de acordo com seu formato específico, para analisar o corpo do email e os anexos. Atualmente há suporte para vários formatos de email, por exemplo: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Verificação\Ativar a verificação de email
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.47.12.2
        CIS WS2019 18.9.47.12.2
= 0
(Registry)
Aviso
Ativar a verificação de script
(AZ-WIN-202223)
Descrição: esta configuração de política permite que a verificação de script seja ativada/desativada. A verificação de script intercepta scripts e os examina antes de serem executados no sistema. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Proteção em Tempo Real\Ativar a proteção em tempo real
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.47.9.4
        CIS WS2019 18.9.47.9.4
= 0
(Registry)
Aviso

Modelos Administrativos – Painel de Controle

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Permitir personalização de entrada
(AZ-WIN-00168)
Descrição: essa política habilita o componente de aprendizado automático da personalização de entrada que inclui fala, escrita à tinta e digitação. O aprendizado automático permite a coleta de padrões de fala e manuscrito, histórico de digitação, contatos e informações recentes do calendário. Ele é necessário para o uso do Cortana. Algumas dessas informações coletadas podem ser armazenadas no OneDrive do usuário, no caso de escrita e digitação; algumas das informações serão carregadas na Microsoft para personalizar a fala. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho da interface do usuário como Disabled: Configuração do Computador\Políticas\Modelos Administrativos\Painel de Controle\Opções Regionais e de Idioma\Permitir que os usuários habilitem serviços de reconhecimento de fala online Observação: esse caminho da Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Política de Grupo Globalization.admx/adml incluído nos Modelos Administrativos do Microsoft Windows 10 RTM (Versão 1507) (ou mais recentes). Observação #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente denominada Permitir personalização de entrada, mas foi renomeada para Permitir que os usuários habilitem serviços de reconhecimento de fala online começando com os Modelos Administrativos do Windows 10 R1809 & Server 2019.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.1.2.2
= 0
(Registry)
Aviso

Modelos administrativos – Guia de segurança da MS

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Desabilitar o cliente SMB v1 (remover a dependência do LanmanWorkstation)
(AZ-WIN-00122)
Descrição: o SMBv1 é um protocolo herdado que usa o algoritmo MD5 como parte do SMB. O MD5 é conhecido por ser vulnerável a uma série de ataques, como ataques de colisão e pré-imagem, além de não ser compatível com FIPS.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService
SO: WS2008, WS2008R2, WS2012
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Guia de Segurança da MS\Configurar driver de cliente SMBv1
Mapeamentos padrão de conformidade:
Não existe ou = Bowser\0MRxSmb20\0NSI\0\0
(Registry)
Crítico
Autenticação WDigest
(AZ-WIN-73497)
Descrição: quando a autenticação do WDigest está habilitada, Lsass.exe retém uma cópia da senha de texto sem formatação do usuário na memória, onde pode estar em risco de roubo. Se essa configuração não estiver configurada, a autenticação WDigest será desabilitada no Windows 8.1 e no Windows Server 2012 R2; ela será habilitada por padrão em versões anteriores do Windows e Windows Server. Para obter mais informações sobre contas locais e roubo de credenciais, examine os documentos "Mitigando PtH (Ataques de passagem de hash) e outras técnicas de roubo de credenciais". Para obter mais informações sobre UseLogonCredential, confira o artigo da Base de Dados de Conhecimento da Microsoft 2871997: Atualização de Consultoria de Segurança da Microsoft para melhorar a proteção e o gerenciamento de credenciais em 13 de maio de 2014. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential
SO: WS2016, WS2019
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Guia de Segurança da MS\Autenticação do WDigest (a desabilitação pode exigir KB2871997)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.3.7
        CIS WS2019 18.3.7
= 0
(Registry)
Importante

Modelos administrativos – MSS

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
MSS: (DisableIPSourceRouting IPv6) nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes)
(AZ-WIN-202213)
Descrição: o roteamento de origem IP é um mecanismo que permite que o remetente determine a rota IP que um datagrama deve seguir pela rede. O estado recomendado para essa configuração é: Enabled: Highest protection, source routing is completely disabled.
Caminho da chave: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Herdado)\MSS: (DisableIPSourceRouting IPv6) nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.4.2
        CIS WS2019 18.4.2
= 2
(Registry)
Informativo
MSS: (DisableIPSourceRouting) nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes)
(AZ-WIN-202244)
Descrição: o roteamento de origem IP é um mecanismo que permite que o remetente determine a rota IP que um datagrama deve seguir pela rede. É recomendável definir essa configuração como Não Definida para ambientes empresariais e para a Proteção Mais Alta para ambientes de alta segurança para desabilitar completamente o roteamento de origem. O estado recomendado para essa configuração é: Enabled: Highest protection, source routing is completely disabled.
Caminho da chave: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Herdado)\MSS: (DisableIPSourceRouting) nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.4.3
        CIS WS2019 18.4.3
= 2
(Registry)
Informativo
MSS: (NoNameReleaseOnDemand) Permitir que o computador ignore solicitações de versão de nome do NetBIOS, exceto de servidores WINS
(AZ-WIN-202214)
Descrição: o NetBIOS por TCP/IP é um protocolo de rede que, entre outras coisas, fornece uma maneira de resolver facilmente os nomes NetBIOS registrados em sistemas baseados no Windows para os endereços IP configurados nesses sistemas. Essa configuração determina se o computador libera seu nome NetBIOS quando recebe uma solicitação de liberação do nome. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Herdado)\MSS: (NoNameReleaseOnDemand) Permitir que o computador ignore solicitações de versão de nome do NetBIOS, exceto de servidores WINS
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.4.6
        CIS WS2019 18.4.6
= 1
(Registry)
Informativo
MSS: (SafeDllSearchMode) Habilitar o modo de pesquisa de DLL seguro (recomendado)
(AZ-WIN-202215)
Descrição: a ordem de pesquisa de DLL pode ser configurada para pesquisar DLLs solicitadas executando processos de uma das duas maneiras – pesquisar pastas especificadas no caminho do sistema primeiro e pesquisar a pasta de trabalho atual. – Pesquise primeiro a pasta de trabalho atual e pesquise as pastas especificadas no caminho do sistema. Quando habilitado, o valor de registro é definido como 1. Com uma configuração de 1, o sistema primeiro pesquisa as pastas especificadas no caminho do sistema e pesquisa a pasta de trabalho atual. Quando desabilitado, o valor de registro é definido como 0 e o sistema primeiro pesquisa a pasta de trabalho atual e pesquisa as pastas especificadas no caminho do sistema. Os aplicativos serão forçados a procurar por DLLs no caminho do sistema primeiro. Para aplicativos que exigem versões exclusivas dessas DLLs incluídas no aplicativo, essa entrada pode causar problemas de desempenho ou estabilidade. O estado recomendado para essa configuração é: Enabled. Observações: mais informações sobre como funciona o modo de pesquisa DLL segura estão disponíveis neste link: Ordem de Pesquisa da Biblioteca de Link Dinâmico – aplicativos Windows | Microsoft Docs
Caminho da chave: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Herdado)\MSS: (SafeDllSearchMode) Habilitar o modo de pesquisa de DLL segura (recomendado)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.4.8
        CIS WS2019 18.4.8
= 1
(Registry)
Aviso
MSS: (WarningLevel) Limite de percentual do log de eventos de segurança no qual o sistema gera um aviso
(AZ-WIN-202212)
Descrição: esta configuração pode gerar uma auditoria de segurança no log de eventos de segurança quando o log atinge um limite definido pelo usuário. O estado recomendado para essa configuração é: Enabled: 90% or less. Observação: se as configurações de log estiverem configuradas para substituir eventos conforme necessário ou substituir eventos com mais de x dias, esse evento não será gerado.
Caminho da chave: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Herdado)\MSS: (WarningLevel) Limite percentual do log de eventos de segurança em que o sistema gera um aviso
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.4.12
        CIS WS2019 18.4.12
<= 90
(Registry)
Informativo
O Windows Server precisa ser configurado para impedir que os redirecionamentos do Protocolo ICMP substituam as rotas geradas por OSPF (Open Shortest Path First).
(AZ-WIN-73503)
Descrição: os redirecionamentos do ICMP (Protocolo de Mensagem de Controle de Internet) fazem com que a pilha IPv4 direcione rotas de host. Essas rotas substituem as rotas geradas pelo OSPF (Open Shortest Path First). O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Herdado)\MSS: (EnableICMPRedirect) Permitir que redirecionamentos do ICMP substituam rotas geradas pelo OSPF
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.4.4
        CIS WS2019 18.4.4
= 0
(Registry)
Informativo

Modelos Administrativos – Rede

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Habilitar os logons de convidado não seguros
(AZ-WIN-00171)
Descrição: essa configuração de política determina se o cliente SMB permitirá logons de convidado não seguros para um servidor SMB. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth
OS: WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos
etwork\Lanman Workstation\Habilitar logons de convidado não seguros
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Política de Grupo 'LanmanWorkstation.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Versão 1511 (ou mais recentes).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93239
        STIG WS2016 V-73507
        CIS WS2019 18.5.8.1
        CIS WS2022 18.5.8.1
= 0
(Registry)
Crítico
Caminhos UNC protegidos – NETLOGON
(AZ_WIN_202250)
Descrição: esta configuração de política define o acesso seguro aos caminhos UNC
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\NETLOGON
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Rede\Provedor de Rede\Caminhos UNC Protegidos
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Registry)
Aviso
Caminhos UNC protegidos – SYSVOL
(AZ_WIN_202251)
Descrição: esta configuração de política define o acesso seguro aos caminhos UNC
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\SYSVOL
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Rede\Provedor de Rede\Caminhos UNC Protegidos
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Registry)
Aviso
Minimize o número de conexões simultâneas com a Internet ou um Domínio do Windows
(CCE-38338-0)
Descrição: a configuração de política impede que os computadores se conectem a uma rede baseada em domínio e a uma rede não baseada em domínio simultaneamente. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: 3 = Prevent Wi-Fi when on Ethernet:
Configuração do Computador\Políticas\Modelos Administrativos
etwork\Gerenciador de Conexões do Windows\Minimizar o número de conexões simultâneas com a Internet ou um domínio do Windows
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'WCM.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não-R2). Ele foi atualizado com uma nova subconfiguração Minimizar Opções de Política , dos Modelos Administrativos do Windows 10 versão 1903 em diante.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.5.21.1
Não existe ou = 1
(Registry)
Aviso
Proibir a instalação e a configuração da ponte de rede em sua rede de domínio DNS
(CCE-38002-2)
Descrição: você pode usar este procedimento para controlar a capacidade do usuário de instalar e configurar uma ponte de rede. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\NetworkConnections\NC_AllowNetBridge_NLA
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Rede\Conexões de Rede\Proibir a instalação e a configuração da ponte de rede na rede do domínio DNS
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo NetworkConnections.admx/adml incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.5.11.2
        CIS WS2022 18.5.11.2
= 0
(Registry)
Aviso
Proíba o uso do compartilhamento de conexão com a Internet na rede de domínio DNS
(AZ-WIN-00172)
Descrição: embora essa configuração "herdada" seja tradicionalmente aplicada ao uso do ICS (compartilhamento de conexão com a Internet) no Windows 2000, Windows XP & Server 2003, essa configuração agora se aplica novamente ao recurso de hotspot móvel no Windows 10 & Server 2016. O estado recomendado para essa configuração é: Enabled.
Caminho da Chave: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos
etwork
Conexões de Rede\Proibir o uso do compartilhamento de conexão com a Internet na rede do domínio DNS
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'NetworkConnections.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.5.11.3
= 0
(Registry)
Aviso
Desabilitar a resolução de nomes multicast
(AZ-WIN-00145)
Descrição: o LLMNR é um protocolo de resolução de nomes secundário. Com o LLMNR, as consultas são enviadas usando multicast por meio de um link de rede local em uma única sub-rede de um computador cliente para outro computador cliente na mesma sub-rede que também tem o LLMNR habilitado. O LLMNR não requer uma configuração de cliente DNS ou servidor DNS e fornece resolução de nomes em cenários em que a resolução de nome DNS convencional não é possível. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast
OS: WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos
etwork\Cliente DNS\Desativar a resolução de nomes multicast
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'DnsClient.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.5.4.2
= 0
(Registry)
Aviso

Modelos administrativos – Guia de segurança

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Habilitar a SEHOP (proteção contra substituição no tratamento de exceção estruturado)
(AZ-WIN-202210)
Descrição: o Windows inclui suporte para o SEHOP (Structured Exception Handling Overwrite Protection). É recomendável habilitar esse recurso para melhorar o perfil de segurança do computador. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Guia de Segurança da MS\Habilitar a SEHOP (proteção de substituição de tratamento de exceções estruturada)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.3.4
        CIS WS2019 18.3.4
= 0
(Registry)
Crítico
Configuração do NodeType do NetBT
(AZ-WIN-202211)
Descrição: esta configuração determina qual método o NetBIOS por TCP/IP (NetBT) usa para registrar e resolver nomes. Os métodos disponíveis são: – O método B-node (transmissão) usa apenas transmissões. – O método P-node (ponto a ponto) usa apenas consultas de nome para um servidor de nome (WINS). – O método M-node (misto) transmite primeiro e depois consulta um servidor de nome (WINS) se a transmissão falhou. – O método H-node (híbrido) consulta primeiro um servidor de nome (WINS) e depois transmite se a consulta falhou. O estado recomendado para essa configuração é: Enabled: P-node (recommended) (ponto a ponto). Observação: a resolução por meio de LMHOSTS ou DNS segue esses métodos. Se o valor de registro NodeType estiver presente, ele substituirá qualquer valor de registro DhcpNodeType. Se NodeType nem DhcpNodeType estiver presente, o computador usará o B-node (transmissão) se não houver servidores WINS configurados para a rede ou H-node (híbrido) se houver pelo menos um servidor WINS configurado.
Caminho da chave: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Guia de Segurança da MS\Configuração de NodeType do NetBT
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.3.6
        CIS WS2019 18.3.6
= 2
(Registry)
Aviso

Modelos Administrativos – Sistema

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Impedir o usuário de mostrar detalhes da conta ao entrar
(AZ-WIN-00138)
Descrição: essa política impede que o usuário mostre detalhes da conta (endereço de email ou nome de usuário) na tela de entrada. Se você habilitar essa configuração de política, o usuário não poderá optar por mostrar os detalhes da conta na tela de entrada. Se você desabilitar ou não definir essa configuração de política, o usuário poderá optar por mostrar os detalhes da conta na tela de entrada.
Caminho da chave: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Impedir que os usuários mostrem detalhes da conta durante a entrada
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'Logon.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Release 1607 & Server 2016 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.28.1
= 1
(Registry)
Aviso
Inicializar a Política de Inicialização do Driver
(CCE-37912-3)
Descrição: Essa configuração de política permite que você especifique quais drivers de inicialização serão inicializados com base em uma classificação determinada por um driver de inicialização Antimalware de Início Antecipado. O driver de inicialização de antimalware de início antecipado pode retornar as seguintes classificações para cada driver de inicialização: - Bom: o driver foi assinado e não foi violado. - Inválido: o driver foi identificado como malware. É recomendável que você não permita que drivers sabidamente inválidos sejam inicializadas. - Inválido, mas necessário para a inicialização: o driver foi identificado como malware, mas o computador não pode ser inicializado com êxito sem carregá-lo. - Desconhecido: esse driver não foi atestado pelo aplicativo de detecção de malware e não foi classificado pelo driver de inicialização Antimalware de Início Antecipado. Se você habilitar essa configuração de política, poderá escolher quais drivers de inicialização do computador inicializar na próxima vez que o computador for iniciado. Se você desabilitar ou não configurar essa definição de política, os drivers de inicialização determinados como sendo Válidos, Desconhecidos ou Inválidos, mas Críticos para Inicialização, são inicializados e a inicialização dos drivers determinada como inválida é ignorada. Se seu aplicativo de detecção de malware não incluir um driver de inicialização Antimalware de Início Antecipado ou se o seu driver de inicialização Antimalware de Início Antecipado tiver sido desabilitado, essa configuração não terá nenhum efeito e todos os drivers de inicialização serão inicializados.
Caminho da chave: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Diretiva de Grupo: para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: Good, unknown and bad but critical:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Antimalware de Início Antecipado\Política de Inicialização de Driver de Início Antecipado
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'EarlyLaunchAM.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.14.1
Não existe ou = 3
(Registry)
Aviso
Configurar a assistência remota da oferta
(CCE-36388-7)
Descrição: Essa configuração de política permite ligar ou desligar a Assistência Remota (não solicitada) da Oferta neste computador. O suporte técnico e a equipe de apoio não poderão oferecer assistência proativamente, embora ainda possam responder às solicitações de assistência do usuário. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Assistência Remota\Configurar Assistência Remota da Oferta
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo RemoteAssistance.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.36.1
        CIS WS2022 18.8.36.1
Não existe ou = 0
(Registry)
Aviso
Configurar a assistência remota solicitada
(CCE-37281-3)
Descrição: essa configuração de política permite ligar ou desligar a Assistência Remota Solicitada (Solicitar) neste computador. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Assistência Remota\Configurar Assistência Remota Solicitada
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo RemoteAssistance.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.36.2
        CIS WS2022 18.8.36.2
= 0
(Registry)
Crítico
Não exibir interface do usuário de seleção de rede
(CCE-38353-9)
Descrição: essa configuração de política permite controlar se alguém pode interagir com a interface do usuário de redes disponíveis na tela de logon. Se você habilitar essa configuração de política, o estado de conectividade de rede do computador não poderá ser alterado sem entrar no Windows. Se você desabilitar ou não definir essa configuração de política, qualquer usuário poderá desconectar o computador da rede ou poderá conectar o computador a outras redes disponíveis sem entrar no Windows.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Não exibir a interface do usuário de seleção de rede
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'Logon.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.28.2
= 1
(Registry)
Aviso
Não enumerar usuários conectados em computadores ingressados no domínio
(AZ-WIN-202216)
Descrição: esta configuração de política impede que usuários conectados sejam enumerados em computadores ingressados no domínio. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Não enumerar usuários conectados em computadores conectados ao domínio
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.8.28.3
        CIS WS2019 18.8.28.3
= 1
(Registry)
Aviso
Habilitar autenticação de cliente do mapeador de ponto de extremidade RPC
(CCE-37346-4)
Descrição: essa configuração de política controla se os clientes RPC se autenticam com o serviço mapeador de ponto de extremidade quando a chamada que ele está fazendo contém informações de autenticação. O serviço mapeador de ponto de extremidade em computadores que executam o Windows NT4 (todos os Service Packs) não pode processar as informações de autenticação fornecidas dessa maneira. Se você desabilitar essa configuração de política, os clientes RPC não serão autenticados no serviço mapeador de ponto de extremidade, mas eles poderão se comunicar com o serviço mapeador de ponto de extremidade no Windows NT4 Server. Se você habilitar essa configuração de política, os clientes RPC serão autenticados no serviço mapeador de ponto de extremidade para chamadas que contêm informações de autenticação. Os clientes que fazem essas chamadas não poderão se comunicar com o serviço do mapeador de ponto de extremidade do Windows NT4 Server. Se você não definir essa configuração de política, ela permanecerá desabilitada. Os clientes RPC não serão autenticados no serviço mapeador de ponto de extremidade, mas poderão se comunicar com o serviço mapeador de ponto de extremidade no Windows NT4 Server. Observação: essa configuração de política não será aplicada até que o sistema seja reinicializado.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Chamada de Procedimento Remoto\Habilitar a autenticação do cliente do mapeador de ponto de extremidade RPC
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'RPC.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.37.1
= 1
(Registry)
Crítico
Habilitar Windows NTP Client
(CCE-37843-0)
Descrição: essa configuração de política especifica se o cliente NTP do Windows está habilitado. A habilitação do Windows NTP Client permite que seu computador sincronize o relógio do computador com outros servidores NTP. Talvez você queira desabilitar esse serviço se decidir usar um provedor de tempo de terceiros. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Serviço de Hora do Windows\Provedores de Hora\Configurar o cliente NTP do Windows
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'W32Time.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.53.1.1
= 1
(Registry)
Crítico
Correção de criptografia Oracle para o protocolo CredSSP
(AZ-WIN-201910)
Descrição: algumas versões do protocolo CredSSP usadas por alguns aplicativos (como a Conexão de Área de Trabalho Remota) são vulneráveis a um ataque oracle de criptografia contra o cliente. Esta política controla a compatibilidade com clientes e servidores vulneráveis e permite que você defina o nível de proteção desejado para a vulnerabilidade do oracle de criptografia. O estado recomendado para essa configuração é: Enabled: Force Updated Clients.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle
SO: WS2016, WS2019
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Delegação de Credenciais\Correção de criptografia do Oracle
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.8.4.1
        CIS WS2019 18.8.4.1
= 0
(Registry)
Crítico
Verifique se a opção 'Configurar o processamento de política do Registro: não aplicar durante o processamento periódico em segundo plano' está definida como 'Habilitada: FALSE'
(CCE-36169-1)
Descrição: a opção "Não aplicar durante o processamento periódico em segundo plano" impede que o sistema atualize as políticas afetadas em segundo plano enquanto o computador está em uso. Quando as atualizações em segundo plano estiverem desabilitadas, as alterações de política não entrarão em vigor até o próximo logon do usuário ou até que o sistema seja reiniciado. O estado recomendado para essa configuração é: Enabled: FALSE (desmarcada).
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled e defina a opção Process even if the Group Policy objects have not changed como TRUE (marcada):
Configuração do Computador\Diretivas\Modelos Administrativos\Sistema\Diretiva de Grupo\Configurar processamento de diretiva do Registro
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo GroupPolicy.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.21.2
        CIS WS2022 18.8.21.2
= 0
(Registry)
Crítico
Verifique se a opção 'Configurar o processamento de política do Registro: processar mesmo se os objetos Política de Grupo não tiverem sido alterados' está definida como 'Habilitada: TRUE'
(CCE-36169-1a)
Descrição: a opção "Processar mesmo que os objetos Política de Grupo não tenham sido alterados" atualizada e reaplica as políticas mesmo que elas não tenham sido alteradas. O estado recomendado para essa configuração é: Enabled: TRUE (marcado).
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o caminho da interface do usuário a seguir como Enabled e defina a opção "Processar mesmo que os objetos da Política de Grupo não tenham sido alterados" como "TRUE" (marcada):
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Política de Grupo\Configurar o processamento de política do Registro
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'GroupPolicy.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.21.3
= 0
(Registry)
Crítico
Verifique se “Continuar experiências neste dispositivo” está definido como “Desabilitado”
(AZ-WIN-00170)
Descrição: essa configuração de política determina se o dispositivo Windows tem permissão para participar de experiências entre dispositivos (continuar experiências). O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Política de Grupo\Continuar as experiências neste dispositivo
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'GroupPolicy.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Release 1607 & Server 2016 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.21.4
Não existe ou = 0
(Registry)
Aviso
Enumerar usuários locais em computadores ingressados no domínio
(AZ_WIN_202204)
Descrição: esta configuração de política permite que os usuários locais sejam enumerados em computadores conectados ao domínio. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Enumerar usuários locais em computadores conectados ao domínio
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.8.28.4
        CIS WS2019 18.8.28.4
Não existe ou = 0
(Registry)
Aviso
Incluir linha de comando em eventos de criação de processo
(CCE-36925-6)
Descrição: essa configuração de política determina quais informações são registradas nos eventos de auditoria de segurança quando um novo processo é criado. Essa configuração se aplica somente quando a política de criação de processo de auditoria está habilitada. Se você habilitar essa configuração de política, as informações de linha de comando para cada processo serão registradas em texto sem formatação no log de eventos de segurança como parte do evento de criação de processo de auditoria 4688, "um novo processo foi criado" nas estações de trabalho e servidores nos quais essa configuração de política é aplicada. Se você desabilitar ou não definir essa configuração de política, as informações de linha de comando do processo não serão incluídas nos eventos de criação do processo de auditoria. Padrão: não configurado Observação: quando essa configuração de política está habilitada, qualquer usuário com acesso para ler os eventos de segurança poderá ler os argumentos de linha de comando para qualquer processo criado com êxito. Argumentos de linha de comando podem conter informações confidenciais ou privadas, como senhas ou dados de usuário.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Criação de Processo de Auditoria\Incluir a linha de comando em eventos de criação de processo
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'AuditSettings.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.3.1
= 1
(Registry)
Crítico
Impedir a recuperação de metadados do dispositivo da Internet
(AZ-WIN-202251)
Descrição: esta configuração de política permite impedir que o Windows recupere os metadados do dispositivo da Internet. O estado recomendado para essa configuração é: Enabled. Observação: isto não impedirá a instalação de drivers de hardware básicos, mas impede que o software utilitário de terceiros associado seja instalado automaticamente no contexto da conta SYSTEM.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Instalação do Dispositivo\Impedir a recuperação de metadados do dispositivo da Internet
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.8.7.2
        CIS WS2019 18.8.7.2
= 1
(Registry)
Informativo
O host remoto permite a delegação de credenciais não exportáveis
(AZ-WIN-20199)
Descrição: o host remoto permite a delegação de credenciais não exportáveis. Ao usar a delegação de credencial, dispositivos fornecem uma versão exportável de credenciais para o host remoto. Isso expõe os usuários ao risco de roubo de credenciais por invasores no host remoto. O Modo de Administração Restrito e os recursos de Proteção de Credencial Remota do Windows Defender são duas opções para ajudar a proteger contra esse risco. O estado recomendado para essa configuração é: Enabled. Observação: informações mais detalhadas sobre a Proteção de Credencial Remota do Windows Defender e como ele se compara ao Modo de Administração Restrito podem ser encontradas neste link: Proteger credenciais da Área de Trabalho Remota com Proteção de Credencial Remota do Windows Defender (Windows 10) | Microsoft Docs
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds
SO: WS2016, WS2019
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Delegação de Credenciais\O host remoto permite a delegação de credenciais não exportáveis
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.8.4.2
        CIS WS2019 18.8.4.2
= 1
(Registry)
Crítico
Desativar notificações de aplicativos na tela de bloqueio
(CCE-35893-7)
Descrição: essa configuração de política permite impedir que as notificações do aplicativo apareçam na tela de bloqueio. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Desativar as notificações do aplicativo na tela de bloqueio
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'Logon.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não-R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.28.5
= 1
(Registry)
Aviso
Desativar a atualização em segundo plano da Política de Grupo
(CCE-14437-8)
Descrição: esta configuração de política impede que a Política de Grupo seja atualizada enquanto o computador estiver em uso. Esta configuração de política se aplica à Política de Grupo para computadores, usuários e controladores de domínio. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Política de Grupo\Desativar a atualização em segundo plano da Política de Grupo
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.8.21.5
        CIS WS2019 18.8.21.5
= 0
(Registry)
Aviso
Desativar o download de drivers de impressão via HTTP:
(CCE-36625-2)
Descrição: essa configuração de política controla se o computador pode baixar pacotes de driver de impressão via HTTP. Para configurar a impressão HTTP, os drivers de impressora que não estão disponíveis na instalação padrão do sistema operacional podem precisar ser baixados via HTTP. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Gerenciamento de Comunicação da Internet\Configurações de Comunicação da Internet\Desativar o download de drivers de impressão por HTTP
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'ICM.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.22.1.1
= 1
(Registry)
Aviso
Desligar Assistente de Conexão com a Internet se a URL de conexão fizer referência a Microsoft.com
(CCE-37163-3)
Descrição: essa configuração de política especifica se o assistente de conexão com a Internet pode se conectar à Microsoft para baixar uma lista de ISPs (provedores de serviços de Internet). O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Gerenciamento de Comunicação da Internet\Configurações de Comunicação da Internet\Desativar o assistente de conexão com a Internet se a conexão de URL estiver se referindo a Microsoft.com
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'ICM.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.22.1.4
= 1
(Registry)
Aviso
Ativar entrada com PIN de conveniência
(CCE-37528-7)
Descrição: essa configuração de política permite que você controle se um usuário de domínio pode entrar usando um PIN de conveniência. No Windows 10, o PIN de conveniência foi substituído pelo Passport, que tem propriedades de segurança mais robustas. Para configurar o Passport para usuários de domínio, use as políticas em Configuração do computador \Modelos administrativos\Componentes do Windows\Microsoft Passport for Work. Observação: a senha de domínio do usuário será armazenada em cache no cofre do sistema ao usar esse recurso. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Ativar a entrada por PIN fácil
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo CredentialProviders.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).Observação 2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração foi inicialmente chamada de Ativar entrada de PIN, mas foi renomeada a partir dos Modelos Administrativos do Windows 10 Release 1511.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.8.28.7
        CIS WS2022 18.8.28.7
Não existe ou = 0
(Registry)
Aviso

Modelos Administrativos – Componente do Windows

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Desativar o conteúdo do estado da conta de consumidor de nuvem
(AZ-WIN-202217)
Descrição: esta configuração de política determina se o conteúdo do estado da conta de consumidor na nuvem é permitido em todas as experiências do Windows. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Política de Grupo Caminho: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Conteúdo de Nuvem\Desativar o conteúdo do estado da conta de consumidor de nuvem
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.14.1
        CIS WS2019 18.9.14.1
= 1
(Registry)
Aviso

Modelos Administrativos – Componentes do Windows

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Não permitir redirecionamento de unidades
(AZ-WIN-73569)
Descrição: esta configuração de política impede que os usuários compartilhem as unidades locais em seus computadores cliente para Servidores de Área de Trabalho Remota que eles acessam. As unidades mapeadas aparecem na árvore de pastas de sessão no Windows Explorer no seguinte formato: \\TSClient\<driveletter>$ Se as unidades locais forem compartilhadas, elas estarão vulneráveis a intrusos que desejam explorar os dados armazenados nelas. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Redirecionamento de Dispositivos e Recursos\Não permitir o redirecionamento de unidade
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.65.3.3.3
        CIS WS2019 18.9.65.3.3.2
= 1
(Registry)
Aviso
Ativar a transcrição do PowerShell
(AZ-WIN-202208)
Descrição: esta configuração de Política permite capturar a entrada e a saída de comandos do Windows PowerShell em transcrições baseadas em texto. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows PowerShell\Ativar a transcrição do PowerShell
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.100.2
        CIS WS2019 18.9.100.2
= 0
(Registry)
Aviso

Modelos Administrativos – Segurança do Windows

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Impede que os usuários modifiquem as configurações
(AZ-WIN-202209)
Descrição: esta configuração de política impede que os usuários façam alterações na área de configurações de Proteção contra exploração nas configurações de Segurança do Windows. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Segurança do Windows\Proteção do aplicativo e do navegador\Impedir que os usuários modifiquem as configurações
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.105.2.1
        CIS WS2019 18.9.105.2.1
= 1
(Registry)
Aviso

Modelo Administrativo – Windows Defender

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Configurar regras de redução da superfície de ataque
(AZ_WIN_202205)
Descrição: esta configuração de política controla o estado das regras de ASR (Redução da superfície de ataque). O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Microsoft Defender Exploit Guard\Redução da superfície de ataque\Configurar regras de redução da superfície de ataque
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.47.5.1.1
        CIS WS2019 18.9.47.5.1.1
= 1
(Registry)
Aviso
Impede que usuários e aplicativos acessem sites perigosos
(AZ_WIN_202207)
Descrição: esta configuração de política controla a proteção de rede de Proteção contra explorações do Microsoft Defender. O estado recomendado para essa configuração é: Enabled: Block.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Microsoft Defender Exploit Guard\Proteção de Rede\Redução da superfície de ataque\Impedir que usuários e aplicativos acessem sites perigosos
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.47.5.3.1
        CIS WS2019 18.9.47.5.3.1
= 1
(Registry)
Aviso

Auditoria do gerenciamento da conta de computador

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria do gerenciamento da conta de computador
(CCE-38004-8)
Descrição: esta subcategoria relata cada evento de gerenciamento de contas de computador, como quando uma conta de computador é criada, alterada, excluída, renomeada, desabilitada ou habilitada. Eventos para esta subcategoria incluem: – 4741: uma conta de computador foi criada. – 4742: a conta de computador foi alterada. – 4743: uma conta de computador foi excluída. O estado recomendado para essa configuração é: Success.
Caminho da chave: {0CCE9236-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Gerenciamento de Conta\Auditar o gerenciamento de conta de computador
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.2.2
        CIS WS2019 17.2.2
= Sucesso
(Auditar)
Crítico

Núcleo seguro

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Habilitar a proteção contra DMA de inicialização
(AZ-WIN-202250)
Descrição: os servidores compatíveis com núcleo protegido dão suporte ao firmware do sistema, que fornece proteção contra ataques de DMA (Acesso direto à memória) mal-intencionados e não intencionais para todos os dispositivos compatíveis com DMA durante o processo de inicialização.
Caminho da chave: BootDMAProtection
OSEx: WSASHCI22H2
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: N/A
Mapeamentos padrão de conformidade:
= 1
(OsConfig)
Crítico
Habilitar a integridade do código imposta pelo hipervisor
(AZ-WIN-202246)
Descrição: HVCI e VBS melhoram o modelo de ameaça do Windows e fornecem proteções mais fortes contra malware que tenta explorar o Kernel do Windows. O HVCI é um componente crítico que protege o ambiente virtual isolado criado pelo VBS executando a integridade do código do modo kernel em execução e restringindo as alocações de memória do kernel que poderiam ser usadas para comprometer o sistema.
Caminho da chave: HypervisorEnforcedCodeIntegrityStatus
OSEx: WSASHCI22H2
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: N/A
Mapeamentos padrão de conformidade:
= 0
(OsConfig)
Crítico
Habilitar a inicialização segura
(AZ-WIN-202248)
Descrição: a inicialização segura é um padrão de segurança desenvolvido por membros do mercado de computadores para garantir que um dispositivo seja iniciado usando apenas o software de confiança do OEM (Fabricante de Equipamento Original).
Caminho da chave: SecureBootState
OSEx: WSASHCI22H2
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: N/A
Mapeamentos padrão de conformidade:
= 1
(OsConfig)
Crítico
Habilitar a proteção do sistema
(AZ-WIN-202247)
Descrição: usando o suporte do processador para a tecnologia DRTM (Dynamic Root of Trust Measurement), a Proteção do Sistema coloca firmware em uma área restrita baseada em hardware, ajudando a limitar o impacto das vulnerabilidades em milhões de linhas de código firmware altamente privilegiado.
Caminho da chave: SystemGuardStatus
OSEx: WSASHCI22H2
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: N/A
Mapeamentos padrão de conformidade:
= 0
(OsConfig)
Crítico
Habilitar segurança baseada em virtualização
(AZ-WIN-202245)
Descrição: a segurança baseada em virtualização, ou VBS, usa recursos de virtualização de hardware para criar e isolar uma região segura de memória do sistema operacional normal. Isso ajuda a garantir que os servidores permaneçam dedicados à execução de cargas de trabalho críticas e ajude a proteger aplicativos e dados relacionados contra ataques e exfiltração. O VBS está habilitado e bloqueado por padrão no Azure Stack HCI.
Caminho da chave: VirtualizationBasedSecurityStatus
OSEx: WSASHCI22H2
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: N/A
Mapeamentos padrão de conformidade:
= 0
(OsConfig)
Crítico
Definir a versão do TPM
(AZ-WIN-202249)
Descrição: a tecnologia TPM (Trusted Platform Module) foi desenvolvida para fornecer funções relacionadas à segurança com base em hardware. O TPM2.0 é necessário para os recursos de núcleo protegido.
Caminho da chave: TPMVersion
OSEx: WSASHCI22H2
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: N/A
Mapeamentos padrão de conformidade:
Contém 2.0
(OsConfig)
Crítico

Opções de Segurança – Contas

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Contas: Bloquear contas da Microsoft
(AZ-WIN-202201)
Descrição: esta configuração de política impede que os usuários adicionem novas contas da Microsoft a este computador. O estado recomendado para essa configuração é: Users can't add or log on with Microsoft accounts.
Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Contas: bloquear contas Microsoft
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.1.2
        CIS WS2019 2.3.1.2
= 3
(Registry)
Aviso
Contas: Status da conta de convidado
(CCE-37432-2)
Descrição: essa configuração de política determina se a conta de convidado está habilitada ou desabilitada. A conta de convidado permite que usuários de rede não autenticados tenham acesso ao sistema. O estado recomendado para essa configuração é: Disabled. Observação: essa configuração não terá nenhum impacto quando aplicada à unidade organizacional do controlador de domínio por meio da política de grupo, pois os controladores de domínio não têm nenhum banco de dados de conta local. Ele pode ser configurado no nível de domínio por meio da diretiva de grupo, semelhante às configurações de diretiva de bloqueio de conta e senha.
Caminho da chave: [System Access]EnableGuestAccount
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Contas: status da conta convidada
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93497
        STIG WS2016 V-73809
        CIS WS2019 2.3.1.3
        CIS WS2022 2.3.1.3
= 0
(Policy)
Crítico
Contas: Limitar o uso em contas locais de senhas em branco somente para logon no console
(CCE-37615-2)
Descrição: essa configuração de segurança determina se contas locais que não são protegidas por senha podem ser usadas para fazer logon de locais diferentes do console do computador físico. Se você habilitar essa configuração de política, as contas locais que têm senhas em branco não poderão fazer logon na rede de computadores cliente remotos. Essas contas só poderão fazer logon no teclado do computador. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Contas: limitar o uso de senhas em branco na conta local somente para logon do console

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93279
        STIG WS2016 V-73621
        CIS WS2019 2.3.1.4
        CIS WS2022 2.3.1.4
Não existe ou = 1
(Registry)
Crítico
Contas: Renomear conta de convidado
(AZ-WIN-202255)
Descrição: a conta de convidado local interna é outro nome bem conhecido para os invasores. É recomendável renomear essa conta para algo que não indique sua finalidade. Mesmo se você desabilitar essa conta, o que é recomendado, certifique-se de renomeá-la para maior segurança. Em Controladores de Domínio, uma vez que eles não têm suas próprias contas locais, essa regra refere-se à conta de Convidado interna que foi estabelecida quando o domínio foi criado pela primeira vez.
Caminho da chave: [System Access]NewGuestName
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Contas: renomear a conta de convidado
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.1.6
        CIS WS2019 2.3.1.6
!= Guest
(Policy)
Aviso
Acesso à rede: permitir SID anônimo/Conversão de nomes
(CCE-10024-8)
Descrição: esta configuração de política determina se um usuário anônimo pode solicitar atributos de SID (identificador de segurança) para outro usuário ou usar um SID para obter seu nome de usuário correspondente. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: [System Access]LSAAnonymousNameLookup
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Acesso à rede: permitir a conversão anônima de SID/Nome
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.10.1
        CIS WS2019 2.3.10.1
= 0
(Policy)
Aviso

Opções de Segurança – Auditoria

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria: Forçar configurações de subcategorias de política de auditoria (Windows Vista ou superior) para substituir configurações de categorias de política de auditoria
(CCE-37850-5)
Descrição: essa configuração de política permite que os administradores habilitem os recursos de auditoria mais precisos presentes no Windows Vista. As configurações de política de auditoria disponíveis no Windows Server 2003 Active Directory ainda não contêm configurações para gerenciar as novas subcategorias de auditoria. Para você aplicar corretamente as políticas de auditoria prescritas nessa linha de base, as configurações de subcategoria da política de auditoria Auditoria: Forçar (Windows Vista ou posterior) para substituir as configurações de categoria da política de auditoria precisam ser definidas como habilitadas.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Auditoria: forçar configurações de subcategoria de política de auditoria (Windows Vista ou posterior) para substituir as configurações da categoria da política de auditoria
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.2.1
Não existe ou = 1
(Registry)
Crítico
Auditoria: Desligar o sistema imediatamente se não for possível registrar auditorias de segurança
(CCE-35907-5)
Descrição: essa configuração de política determina se o sistema será desligado se não for possível registrar eventos de segurança. É um requisito para TCSEC (critérios de avaliação do sistema) de computador confiável-C2 e certificação de critérios comuns para evitar que eventos auditáveis ocorram se o sistema de auditoria não puder fazer o logon. A Microsoft optou por atender a esse requisito, interrompendo o sistema e exibindo uma mensagem de parada se o sistema de auditoria apresentar uma falha. Quando essa configuração de política estiver habilitada, o sistema será desligado se uma auditoria de segurança não puder ser registrada por qualquer motivo. Se a Auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança estiver habilitada, poderão ocorrer falhas não planejadas do sistema. A carga administrativa pode ser significativa, especialmente se você também configurar o método de retenção para o log de segurança para Não substituir eventos (limpar log manualmente). Essa configuração faz com que uma ameaça de repúdio (um operador de backup possa negar que tenha feito backup ou restaurado dados) se torne uma vulnerabilidade DoS (negação de serviço), pois um servidor pode ser forçado a desligar se estiver sobrecarregado com eventos de logon e outros eventos de segurança que são gravados no log de segurança. Além disso, como o desligamento não é normal, é possível que danos irreparáveis ao sistema operacional, aos aplicativos ou aos dados possam surgir. Embora o sistema de arquivos NTFS garanta sua integridade quando ocorrer um desligamento inesperado do computador, ele não poderá garantir que todos os arquivos de dados de cada aplicativo ainda estarão em um formato utilizável quando o computador for reiniciado. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.2.2
        CIS WS2022 2.3.2.2
Não existe ou = 0
(Registry)
Crítico

Opções de Segurança – Dispositivos

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Dispositivos: Permissão para formatar e ejetar a mídia removível
(CCE-37701-0)
Descrição: essa configuração de política determina quem tem permissão para formatar e ejetar mídia removível. Você pode usar esta configuração de política para impedir que usuários não autorizados removam dados de um computador para acessá-los em outro computador no qual tenham privilégios de administrador local.
Caminho da chave: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Dispositivos: permitido formatar e ejetar mídia removível
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.4.1
Não existe ou = 0
(Registry)
Aviso
Dispositivos: Evitar que usuários instalem drivers de impressora
(CCE-37942-0)
Descrição: para que um computador imprima em uma impressora compartilhada, o driver dessa impressora compartilhada deve ser instalado no computador local. Essa configuração de segurança determina quem tem permissão para instalar um driver de impressora como parte da conexão a uma impressora compartilhada. O estado recomendado para essa configuração é: Enabled. Observação: Essa configuração não afeta a capacidade de adicionar uma impressora local. Esta configuração não afeta os administradores.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Dispositivos: impedir que os usuários instalem drivers de impressora

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.4.2
        CIS WS2022 2.3.4.2
Não existe ou = 1
(Registry)
Aviso
Limita a instalação do driver de impressão aos Administradores
(AZ_WIN_202202)
Descrição: esta configuração de política controla se os usuários que não são Administradores podem instalar drivers de impressão no sistema. O estado recomendado para essa configuração é: Enabled. Observação: em 10 de agosto de 2021, a Microsoft anunciou uma Alteração de comportamento padrão de ponto e impressão que modifica a instalação da unidade Ponto e impressão padrão e o comportamento de atualização para exigir privilégios de Administrador. Isso está documentado no KB5005652�Gerenciar novo comportamento de instalação da unidade padrão de Ponto e Impressão (CVE-2021-34481).
Caminho da chave: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Guia de Segurança da MS\Limita a instalação de driver de impressora a administradores
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.3.5
        CIS WS2019 18.3.5
= 1
(Registry)
Aviso

Opções de segurança – Membro do domínio

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Verifique se a opção 'Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)' está definida como 'Habilitada'
(CCE-36142-8)
Descrição: esta configuração de segurança determina se todo o tráfego de canal seguro iniciado pelo membro do domínio deve ser assinado ou criptografado. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Membro do domínio: criptografar ou assinar digitalmente dados de canal seguro (sempre)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.6.1
        CIS WS2019 2.3.6.1
Não existe ou = 1
(Registry)
Crítico
Verifique se a opção 'Membro do domínio: criptografar digitalmente os dados de canal seguro (quando possível)' está definida como 'Habilitada'
(CCE-37130-2)
Descrição: esta configuração de política determina se um membro do domínio deve tentar negociar a criptografia para todo o tráfego de canal seguro que ele inicia. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Membro do domínio: criptografar digitalmente dados de canal seguro (quando possível)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.6.2
        CIS WS2019 2.3.6.2
Não existe ou = 1
(Registry)
Crítico
Verifique se a opção 'Membro do domínio: assinar digitalmente os dados de canal seguro (quando possível)' está definida como 'Habilitada'
(CCE-37222-7)
Descrição:

Essa configuração de política determina se um membro do domínio deve tentar negociar se todo o tráfego de canal seguro que ele inicia precisa ser assinado digitalmente. As assinaturas digitais protegem o tráfego contra modificação realizada por qualquer pessoa que capture os dados enquanto eles passam pela rede. O estado recomendado para essa configuração é: “Habilitado”.


Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Membro do domínio: assinar digitalmente dados de canal seguro (quando possível)

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93551
        STIG WS2016 V-73637
        CIS WS2019 2.3.6.3
        CIS WS2022 2.3.6.3
Não existe ou = 1
(Registry)
Crítico
Verifique se a opção 'Membro do domínio: desabilitar alterações de senha da conta do computador' está definida como 'Desabilitada'
(CCE-37508-9)
Descrição:

Essa configuração de política determina se um membro do domínio pode alterar periodicamente a senha da conta do computador. Computadores que não podem alterar automaticamente as senhas de conta podem ficar vulneráveis, porque um invasor pode conseguir determinar a senha da conta de domínio do sistema. O estado recomendado para essa configuração é: “Desabilitado”.


Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Membro do domínio: desabilitar alterações de senha de conta de computador

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93273
        STIG WS2016 V-73631
        CIS WS2019 2.3.6.4
        CIS WS2022 2.3.6.4
Não existe ou = 0
(Registry)
Crítico
Verifique se a opção 'Membro do domínio: idade máxima da senha da conta do computador' está definida como '30 ou menos dias, mas não 0'
(CCE-37431-4)
Descrição: essa configuração de política determina a idade máxima permitida para uma senha de conta de computador. Por padrão, os membros do domínio alteram automaticamente as senhas de domínio a cada 30 dias. Se você aumentar esse intervalo significativamente para que os computadores não alterem mais as senhas, um invasor terá mais tempo para realizar um ataque de força bruta contra uma das contas do computador. O estado recomendado para essa configuração é: 30 or fewer days, but not 0. Observação: o valor 0 não está em conformidade com o parâmetro de comparação, pois desabilita a idade máxima da senha.
Caminho da chave: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como 30 or fewer days, but not 0:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Membro do domínio: duração máxima da senha da conta de computador

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93285
        STIG WS2016 V-73641
        CIS WS2019 2.3.6.5
        CIS WS2022 2.3.6.5
Em 1-30
(Registry)
Crítico
Verifique se a opção 'Membro do domínio: exigir chave de sessão forte (Windows 2000 ou posterior)' está definida como 'Habilitada'
(CCE-37614-5)
Descrição: quando esta configuração de política está habilitada, um canal seguro só pode ser estabelecido com Controladores de domínio capazes de criptografar dados de canal seguro com uma chave de sessão forte (128 bits). Para habilitar esta configuração de política, todos os Controladores no domínio deverão ser capazes de criptografar dados de canal seguro com uma chave forte, o que significa que todos os Controladores de domínio deverão estar executando o Microsoft Windows 2000 ou mais recente. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Membro do domínio: exigir chave de sessão forte (Windows 2000 ou posteriores)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.6.6
        CIS WS2019 2.3.6.6
Não existe ou = 1
(Registry)
Crítico

Opções de Segurança – Logon Interativo

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
O cache de credenciais de logon precisa ser limitado
(AZ-WIN-73651)
Descrição: esta configuração de política determina se um usuário pode fazer logon em um domínio do Windows usando informações de conta armazenadas em cache. As informações de logon para contas de domínio podem ser armazenadas em cache localmente para permitir que os usuários façam logon mesmo que um Controlador de domínio não possa ser contatado. Esta configuração de política determina o número de usuários exclusivos para os quais as informações de logon são armazenadas em cache localmente. Se esse valor for definido como 0, o recurso de cache de logon será desabilitado. Um invasor que é capaz de acessar o sistema de arquivos do servidor pode localizar essas informações armazenadas em cache e usar um ataque de força bruta para determinar as senhas do usuário. O estado recomendado para essa configuração é: 4 or fewer logon(s).
Caminho da chave: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Logon interativo: número de logons anteriores no cache (caso o controlador de domínio não esteja disponível)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.7.6
        CIS WS2019 2.3.7.6
Em 1-4
(Registry)
Informativo
Logon interativo: Não exibir o último nome de usuário
(CCE-36056-0)
Descrição: essa configuração de política determina se o nome da conta do último usuário a fazer logon nos computadores cliente da sua organização será exibido na tela de logon do respectivo Windows de cada computador. Habilite essa configuração de política para impedir que intrusos coletem nomes de conta visualmente das telas de computadores desktop ou laptop em sua organização. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Logon interativo: não exibir a última entrada
Observação: em versões mais antigas do Microsoft Windows, essa configuração era chamada de Logon interativo: não exibir o sobrenome do usuário, mas foi renomeada do Windows Server 2019 em diante.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.7.2
        CIS WS2022 2.3.7.2
= 1
(Registry)
Crítico
Logon interativo: Não exigir CTRL + ALT + DEL
(CCE-37637-6)
Descrição: essa configuração de política determina se os usuários devem pressionar CTRL + ALT + DEL antes de fazer logon. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Logon interativo: não exigir CTRL+ALT+DEL

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.7.1
        CIS WS2022 2.3.7.1
Não existe ou = 0
(Registry)
Crítico
Logon interativo: Limite de inatividade do computador
(AZ-WIN-73645)
Descrição: o Windows detecta a inatividade de uma sessão de logon e, se o tempo de inatividade exceder o limite de inatividade, a proteção de tela será executada, bloqueando a sessão. O estado recomendado para essa configuração é: 900 or fewer second(s), but not 0. Observação: um valor de 0 não está em conformidade com o parâmetro de comparação, pois desabilita o limite de inatividade da máquina.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Logon interativo: limite de inatividade do computador
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.7.3
        CIS WS2019 2.3.7.3
Em 1-900
(Registry)
Importante
Logon interativo: Texto da mensagem para usuários tentando fazer logon
(AZ-WIN-202253)
Descrição: esta configuração de política especifica uma mensagem de texto que é exibida aos usuários quando eles fazem logon. Defina esta configuração de forma consistente com os requisitos operacionais e de segurança da sua organização.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Logon interativo: mensagem de texto para usuários que tentam entrar
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.7.4
        CIS WS2019 2.3.7.4
!=
(Registry)
Aviso
Logon interativo: Título da mensagem para usuários tentando fazer logon
(AZ-WIN-202254)
Descrição: esta configuração de política especifica o texto exibido na barra de título da janela que os usuários veem quando fazem logon no sistema. Defina esta configuração de forma consistente com os requisitos operacionais e de segurança da sua organização.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Logon interativo: título da mensagem para usuários que tentam entrar
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.7.5
        CIS WS2019 2.3.7.5
!=
(Registry)
Aviso
Logon interativo: Solicitar que o usuário altere a senha antes da expiração
(CCE-10930-6)
Descrição: esta configuração de política determina até que ponto os usuários são avisados de que sua senha expirará. É recomendável que você defina essa configuração de política para pelo menos cinco dias, mas não mais do que 14 dias para avisar os usuários suficientemente quando suas senhas expirarão. O estado recomendado para essa configuração é: between 5 and 14 days.
Caminho da chave: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Logon interativo: solicitar que o usuário altere a senha antes da expiração
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.7.7
        CIS WS2019 2.3.7.7
Em 5-14
(Registry)
Informativo

Opções de Segurança – Cliente de Rede Microsoft

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Cliente de rede Microsoft: Assinar comunicações digitalmente (sempre)
(CCE-36325-9)
Descrição:

Essa configuração de política determina se a assinatura de pacote é exigida pelo componente cliente SMB. Observação: Quando Windows computadores baseados no Vista têm essa configuração de política habilitada e se conectam a compartilhamentos de arquivos ou impressão em servidores remotos, é importante que a configuração seja sincronizada com sua configuração de suporte, servidor de rede da Microsoft: assinar digitalmente comunicações (sempre), nesses servidores. Para obter mais informações sobre essas configurações, confira a seção "Cliente e servidor de rede da Microsoft: assinar comunicações digitalmente (quatro configurações relacionadas)" no Capítulo 5 do guia Ameaças e contramedidas. O estado recomendado para essa configuração é: “Habilitado”.


Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Cliente de rede Microsoft: assinar comunicações digitalmente (sempre)

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93555
        STIG WS2016 V-73653
        CIS WS2019 2.3.8.1
        CIS WS2022 2.3.8.1
= 1
(Registry)
Crítico
Cliente de rede Microsoft: Assinar comunicações digitalmente (se o servidor concordar)
(CCE-36269-9)
Descrição: essa configuração de segurança determina se o cliente SMB tentará negociar a assinatura de pacotes SMB. Observação: habilitar essa configuração de política em clientes SMB em sua rede os torna totalmente efetivo para a assinatura de pacotes com todos os clientes e servidores em seu ambiente. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Cliente de rede da Microsoft: assinar as comunicações digitalmente (se o servidor concordar)

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93557
        STIG WS2016 V-73655
        CIS WS2019 2.3.8.2
        CIS WS2022 2.3.8.2
Não existe ou = 1
(Registry)
Crítico
Cliente de rede Microsoft: Enviar senha não criptografada para servidores SMB de terceiros
(CCE-37863-8)
Descrição:

Essa configuração de política determina se o redirecionador SMB enviará senhas de texto não criptografado durante a autenticação para servidores SMB de terceiros que não tenham suporte para criptografia de senha. É recomendável desabilitar essa configuração de política, a menos que haja um caso de negócios relevante para habilitá-la. Se essa configuração de política estiver habilitada, serão permitidas senhas não criptografadas na rede. O estado recomendado para essa configuração é: “Desabilitado”.


Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Cliente de rede da Microsoft: enviar senha não criptografada para servidores SMB de terceiros

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93469
        STIG WS2016 V-73657
        CIS WS2019 2.3.8.3
        CIS WS2022 2.3.8.3
Não existe ou = 0
(Registry)
Crítico
Servidor de rede Microsoft: quantidade de tempo ocioso necessário antes de suspender a sessão
(CCE-38046-9)
Descrição: essa configuração de política permite que você especifique a quantidade de tempo ocioso contínuo que deve passar em uma sessão SMB antes que a sessão seja suspensa por causa de inatividade. Os administradores podem usar essa configuração de política para controlar quando um computador suspende uma sessão SMB inativa. Se a atividade do cliente for retomada, a sessão será restabelecida automaticamente. Um valor de 0 é exibido para permitir que as sessões persistam indefinidamente. O valor máximo é 99999, que é de mais de 69 dias; em vigor, esse valor desabilita a configuração. O estado recomendado para essa configuração é: 15 or fewer minute(s), but not 0.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como 15 or fewer minute(s):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Servidor de rede da Microsoft: período de tempo ocioso necessário para suspender a sessão
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.9.1
Em 1-15
(Registry)
Crítico
Servidor de rede Microsoft: assinar comunicações digitalmente (sempre)
(CCE-37864-6)
Descrição: essa configuração de política determina se a assinatura de pacote é exigida pelo componente do servidor SMB. Habilite essa configuração de política em um ambiente misto para impedir que clientes downstream usem a estação de trabalho como um servidor de rede. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Servidor de rede da Microsoft: assinar comunicações digitalmente (sempre)

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93559
        STIG WS2016 V-73661
        CIS WS2019 2.3.9.2
        CIS WS2022 2.3.9.2
= 1
(Registry)
Crítico
Servidor de rede Microsoft: assinar comunicações digitalmente (se o cliente concordar)
(CCE-35988-5)
Descrição: essa configuração de política determina se o servidor SMB negociará a assinatura de pacotes SMB com clientes que o solicitam. Se nenhuma solicitação de assinatura vier do cliente, uma conexão será permitida sem uma assinatura se a configuração Servidor de rede da Microsoft: assinar digitalmente (sempre) não estiver habilitada. Observação: habilitar essa configuração de política em clientes SMB em sua rede os torna totalmente efetivo para a assinatura de pacotes com todos os clientes e servidores em seu ambiente. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Servidor de rede da Microsoft: assinar comunicações digitalmente (se o cliente concordar)

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93561
        STIG WS2016 V-73663
        CIS WS2019 2.3.9.3
        CIS WS2022 2.3.9.3
= 1
(Registry)
Crítico
Servidor de rede Microsoft: desconectar clientes quando o horário de logon terminar
(CCE-37972-7)
Descrição: essa configuração de segurança determina se os usuários que estão conectados ao computador local fora do horário de logon válido da sua conta de usuário devem ser desconectados. Essa configuração afeta o componente SMB (Server Message Block). Se você habilitar essa configuração de política, também deverá habilitar a segurança de rede: forçar logoff quando o horário de logon expirar (regra 2.3.11.6). Se sua organização configurar o horário de logon para os usuários, essa configuração de política será necessária para garantir que eles estejam em vigor. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Servidor de rede da Microsoft: desconectar os clientes quando as horas de logon expirarem

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.9.4
        CIS WS2022 2.3.9.4
Não existe ou = 1
(Registry)
Crítico
Servidor de rede Microsoft: Nível de validação de nome de destino do SPN do servidor
(CCE-10617-9)
Descrição: esta configuração de política controla o nível de validação que um computador com pastas compartilhadas ou impressoras (o servidor) executa no SPN (nome da entidade de serviço) fornecido pelo computador cliente quando ele estabelece uma sessão usando o protocolo SMB (bloco de mensagens do servidor). O protocolo SMB (bloco de mensagens do servidor) fornece a base para o arquivo e imprime compartilhamento e outras operações de rede, como administração remota do Windows. O protocolo SMB dá suporte à validação de SPN (nome da entidade de serviço do servidor SMB) no blob de autenticação fornecido por um cliente SMB, para impedir uma classe de ataques contra servidores SMB, referidos como ataques de retransmissão SMB. Essa configuração afetará o SMB1 e o SMB2. O estado recomendado para essa configuração é: Accept if provided by client. Definir essa configuração Required from client também está em conformidade com o parâmetro de comparação. Nota: desde o lançamento do patch de segurança MS KB3161561, esta configuração pode causar problemas significativos (como problemas de replicação, problemas de edição de política de grupo e falhas na tela azul) em Controladores de Domínio quando usada simultaneamente com proteção de caminho UNC (ou seja, Regra 18.5.14.1). Portanto, o CIS recomenda a implantação dessa configuração em Controladores de Domínio.
Caminho da chave: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Servidor de rede da Microsoft: nível de validação do nome de destino do SPN do servidor
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.9.5
        CIS WS2019 2.3.9.5
= 1
(Registry)
Aviso

Opções de Segurança – Servidor de Rede Microsoft

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Desativar servidor do SMB v1
(AZ-WIN-00175)
Descrição: desabilitar essa configuração desabilita o processamento do lado do servidor do protocolo SMBv1. (Recomendado.) A habilitação dessa configuração habilita o processamento no servidor do protocolo SMBv1. (Padrão.) As alterações nessa configuração exigem que uma reinicialização entre em vigor. Para obter mais informações, consulte https://support.microsoft.com/kb/2696547.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
caminho da Política de Grupo: não aplicável
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.3.3
Não existe ou = 0
(Registry)
Crítico

Opções de Segurança – Acesso à Rede

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Contas: Renomear conta de administrador
(CCE-10976-9)
Descrição: a conta de administrador local interna é um nome de conta bem conhecido que os invasores serão direcionados. É recomendável escolher outro nome para essa conta e evitar nomes que denotem contas de acesso administrativas ou elevadas. Altere também a descrição padrão para o administrador local (por meio do console de Gerenciamento de Computador). Em Controladores de Domínio, uma vez que eles não têm suas próprias contas locais, essa regra refere-se à conta de Administrador interna que foi estabelecida quando o domínio foi criado pela primeira vez.
Caminho da chave: [System Access]NewAdministratorName
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Contas: renomear conta de administrador
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.3.1.5
        CIS WS2019 2.3.1.5
!= Administrator
(Policy)
Aviso
Acesso à rede: Não permitir enumeração anônima de contas SAM
(CCE-36316-8)
Descrição: essa configuração de política controla a capacidade de usuários anônimos enumerarem as contas no SAM (Gerenciador de contas de segurança). Se você habilitar essa configuração de política, os usuários com conexões anônimas não poderão enumerar nomes de usuário de conta de domínio nos sistemas em seu ambiente. Essa configuração de política também permite restrições adicionais em conexões anônimas. O estado recomendado para essa configuração é: Enabled. Observação: essa política não tem nenhum efeito nos controladores de domínio.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do computador\Políticas\ Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança
Acesso à rede: não permitir enumeração anônima de contas SAM
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.10.2
Não existe ou = 1
(Registry)
Crítico
Acesso à rede: Não permitir enumeração anônima de contas SAM e compartilhamentos
(CCE-36077-6)
Descrição: essa configuração de política controla a capacidade de usuários anônimos enumerarem contas SAM, bem como compartilhamentos. Se você habilitar essa configuração de política, os usuários com conexões anônimas não poderão enumerar nomes de usuário de conta de domínio nos sistemas em seu ambiente. O estado recomendado para essa configuração é: Enabled. Observação: essa política não tem nenhum efeito nos controladores de domínio.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do computador\Políticas\ Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança
Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.10.3
= 1
(Registry)
Crítico
Acesso à rede: Permitir que as permissões Todos se apliquem a usuários anônimos
(CCE-36148-5)
Descrição: essa configuração de política determina quais permissões adicionais são atribuídas para conexões anônimas ao computador. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Acesso à rede: permitir que as permissões de todos se apliquem a usuários anônimos

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93293
        STIG WS2016 V-73673
        CIS WS2019 2.3.10.5
        CIS WS2022 2.3.10.5
Não existe ou = 0
(Registry)
Crítico
Acesso à rede: Caminhos do registro acessíveis remotamente
(CCE-37194-8)
Descrição: essa configuração de política determina quais caminhos de registro estarão acessíveis depois de referenciar a chave WinReg para determinar as permissões de acesso aos caminhos. Observação: essa configuração não existe no Windows XP. Houve uma configuração com esse nome no Windows XP, mas ele é chamado de "acesso à rede: caminhos e subcaminhos de registro acessíveis remotamente" no Windows Server 2003, Windows Vista e Windows Server 2008. Observação: ao definir essa configuração, você especifica uma lista de um ou mais objetos. O delimitador usado ao inserir a lista é uma alimentação de linha ou retorno de carro, ou seja, digite o primeiro objeto na lista, pressione o botão Enter, digite o próximo objeto, pressione Enter novamente etc. O valor da configuração é armazenado como uma lista delimitada por vírgulas em modelos de segurança de diretiva de grupo. Ele também é renderizado como uma lista delimitada por vírgulas no painel de exibição Editor de Política de Grupo e no console Conjunto de Políticas Resultantes. Ele é registrado como uma lista delimitada por alimentação de linha em um valor REG_MULTI_SZ.
Caminho da chave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Diretiva de Grupo: para estabelecer a configuração recomendada via GP, defina o seguinte caminho de interface do usuário para:
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Acesso à rede: caminhos de registro acessíveis remotamente
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.10.8
Não existe ou = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0
(Registry)
Crítico
Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente
(CCE-36347-3)
Descrição: essa configuração de política determina quais caminhos e subcaminhos do registro estarão acessíveis quando um aplicativo ou processo fizer referência à chave WinReg para determinar as permissões de acesso. Observação: no Windows XP, essa configuração é chamada de "acesso à rede: caminhos de registro acessíveis remotamente", a configuração com esse mesmo nome no Windows Vista, no Windows Server 2008 e no Windows Server 2003 não existe no Windows XP. Observação: ao definir essa configuração, você especifica uma lista de um ou mais objetos. O delimitador usado ao inserir a lista é uma alimentação de linha ou retorno de carro, ou seja, digite o primeiro objeto na lista, pressione o botão Enter, digite o próximo objeto, pressione Enter novamente etc. O valor da configuração é armazenado como uma lista delimitada por vírgulas em modelos de segurança de diretiva de grupo. Ele também é renderizado como uma lista delimitada por vírgulas no painel de exibição Editor de Política de Grupo e no console Conjunto de Políticas Resultantes. Ele é registrado como uma lista delimitada por alimentação de linha em um valor REG_MULTI_SZ.
Caminho da chave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Diretiva de Grupo: para estabelecer a configuração recomendada via GP, defina o seguinte caminho de interface do usuário para:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog

Configuração do computador\Políticas\ Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança
Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente

Quando um servidor tem a função Serviços de Certificados do Active Directory com o serviço de função Autoridade de Certificação, a lista acima também deve incluir: 'System\CurrentControlSet\Services\CertSvc'.

Quando um servidor tem o recurso servidor WINS instalado, a lista acima também deve incluir:
'System\CurrentControlSet\Services\WINS'
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.10.9
Não existe ou = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0
(Registry)
Crítico
Acesso de rede: acesso anônimo restrito a pipes nomeados e compartilhamentos
(CCE-36021-4)
Descrição: quando habilitada, essa configuração de política restringe o acesso anônimo somente aos compartilhamentos e aos pipes que são nomeados nas configurações Network access: Named pipes that can be accessed anonymously e Network access: Shares that can be accessed anonymously. Essa configuração de política controla o acesso de sessão nula a compartilhamentos em seus computadores adicionando RestrictNullSessAccess com o valor 1 na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters. Esse valor de registro alterna ou desativa os compartilhamentos de sessão nulos para controlar se o serviço de servidor restringe o acesso de clientes não autenticados aos recursos nomeados. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Acesso à rede: restringir o acesso anônimo a pipes e compartilhamentos nomeados

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93539
        STIG WS2016 V-73675
        CIS WS2019 2.3.10.10
        CIS WS2022 2.3.10.10
Não existe ou = 1
(Registry)
Crítico
Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM
(AZ-WIN-00142)
Descrição: essa configuração de política permite restringir conexões RPC remotas ao SAM. Se não estiver selecionada, o descritor de segurança padrão será usado. Essa política tem suporte pelo menos no Windows Server 2016.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM
OS: WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators: Remote Access: Allow:
Configuração do computador\Políticas\ Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança
Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.10.11
Não existe ou = O:BAG:BAD:(A;;RC;;;BA)
(Registry)
Crítico
Acesso à rede: Compartilhamentos que podem ser acessados anonimamente
(CCE-38095-6)
Descrição: essa configuração de política determina quais compartilhamentos de rede podem ser acessados por usuários anônimos. A configuração padrão dessa configuração de política tem pouco efeito, porque todos os usuários precisam ser autenticados para acessarem os recursos compartilhados no servidor. Observação: pode ser muito perigoso adicionar outros compartilhamentos a essa configuração de Política de Grupo. Qualquer usuário de rede pode acessar qualquer compartilhamento listado, que poderia expor ou corromper dados confidenciais. Observação: ao definir essa configuração, você especifica uma lista de um ou mais objetos. O delimitador usado ao inserir a lista é uma alimentação de linha ou retorno de carro, ou seja, digite o primeiro objeto na lista, pressione o botão Enter, digite o próximo objeto, pressione Enter novamente etc. O valor da configuração é armazenado como uma lista delimitada por vírgulas em modelos de segurança de diretiva de grupo. Ele também é renderizado como uma lista delimitada por vírgulas no painel de exibição Editor de Política de Grupo e no console Conjunto de Políticas Resultantes. Ele é registrado como uma lista delimitada por alimentação de linha em um valor REG_MULTI_SZ.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como <blank> (ou seja, Nenhum):
Configuração do computador\Políticas\ Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança
Acesso à rede: compartilhamentos que podem ser acessados anonimamente
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.10.12
Não existe ou =
(Registry)
Crítico
Acesso à rede: Modelo de compartilhamento e segurança para contas locais
(CCE-37623-6)
Descrição: essa configuração de política determina como os logons de rede que usam contas locais são autenticados. A opção Clássico permite o controle preciso do acesso aos recursos, incluindo a capacidade de atribuir diferentes tipos de acesso a diferentes usuários para o mesmo recurso. A opção Somente convidado permite que você trate todos os usuários igualmente. Nesse contexto, todos os usuários se autenticam como Somente convidados para receber o mesmo nível de acesso a um determinado recurso. O estado recomendado para essa configuração é: Classic - local users authenticate as themselves. Observação: essa configuração não afeta os logons interativos que são executados remotamente usando serviços como Telnet ou Serviços de Área de Trabalho Remota (anteriormente chamados de serviços de terminal).
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Classic - local users authenticate as themselves:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Acesso à rede: modelo de compartilhamento e de segurança para contas locais

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.10.13
        CIS WS2022 2.3.10.13
Não existe ou = 0
(Registry)
Crítico

Opções de Segurança – Segurança de Rede

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Segurança de rede: Permitir que o sistema local use a identidade do computador para NTLM
(CCE-38341-4)
Descrição: quando habilitada, essa configuração de política faz com que os serviços do sistema local que usam Negotiate usem a identidade do computador quando a autenticação NTLM é selecionada pela negociação. Essa política tem suporte pelo menos no Windows Server 7 ou Windows Server 2008 R2.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do computador\Políticas\ Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança
Segurança de rede: Permitir que o sistema local use a identidade do computador para NTLM
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.11.1
= 1
(Registry)
Crítico
Segurança de rede: Permitir fallback de sessão NULA do LocalSystem
(CCE-37035-3)
Descrição: essa configuração de política determina se o NTLM tem permissão para fazer fallback para uma sessão nula quando usada com LocalSystem. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: permitir fallback de sessão NULL do LocalSystem

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93297
        STIG WS2016 V-73681
        CIS WS2019 2.3.11.2
        CIS WS2022 2.3.11.2
Não existe ou = 0
(Registry)
Crítico
Segurança de rede: Permitir que solicitações de autenticação PKU2U a este computador usem identidades online
(CCE-38047-7)
Descrição: essa configuração determina se as identidades online podem ser autenticadas neste computador. O protocolo PKU2U (usuário-para-usuário baseado em criptografia de chave pública) introduzido no Windows 7 e no Windows Server 2008 R2 é implementado como um SSP (provedor de suporte de segurança). O SSP habilita a autenticação ponto a ponto, especialmente por meio do recurso de compartilhamento de arquivos e mídia do Windows 7 chamado grupo doméstico, que permite o compartilhamento entre computadores que não são membros de um domínio. Com o PKU2U, uma nova extensão foi introduzida ao pacote de autenticação Negotiate, Spnego.dll. Nas versões anteriores do Windows, o Negotiate decidiu se o Kerberos ou NTLM deve ser usado para autenticação. O SSP de extensão para Negotiate, Negoexts.dll, que é tratado como um protocolo de autenticação pelo Windows, dá suporte a SSPs da Microsoft, incluindo PKU2U. Quando os computadores são configurados para aceitar solicitações de autenticação usando IDs online, o Negoexts.dll chama o SSP do PKU2U no computador que é usado para fazer logon. O SSP do PKU2U obtém um certificado local e troca a política entre os computadores pares. Quando validado no computador par, o certificado dentro dos metadados é enviado para o ponto de logon para validação e associa o certificado do usuário a um token de segurança e o processo de logon é concluído. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de Rede: permitir que solicitações de autenticação PKU2U para este computador usem identidades online

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93299
        STIG WS2016 V-73683
        CIS WS2019 2.3.11.3
        CIS WS2022 2.3.11.3
Não existe ou = 0
(Registry)
Aviso
Segurança de rede: configurar tipos de criptografia permitidos para Kerberos
(CCE-37755-6)
Descrição: essa configuração de política permite que você defina os tipos de criptografia que o Kerberos tem permissão para usar. Essa política tem suporte pelo menos no Windows Server 7 ou Windows Server 2008 R2.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: configurar tipos de criptografia permitidos para Kerberos
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.11.4
Não existe ou = 2147483640
(Registry)
Crítico
Segurança de rede: Não armazenar valor de hash do LAN Manager na próxima alteração de senha
(CCE-36326-7)
Descrição: essa configuração de política determina se o valor de hash do LM (LAN Manager) para a nova senha é armazenado quando a senha é alterada. O hash do LM é relativamente fraco e propenso a ataques em comparação com o hash do Microsoft Windows NT criptograficamente mais forte. Como os hashes do LM são armazenados no computador local no banco de dados de segurança, as senhas podem ser facilmente comprometidas se o banco de dados for atacado. Observação: sistemas operacionais mais antigos e alguns aplicativos de terceiros podem falhar quando essa configuração de política está habilitada. Além disso, observe que a senha precisará ser alterada em todas as contas depois que você habilitar essa configuração para obter o benefício adequado. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93467
        STIG WS2016 V-73687
        CIS WS2019 2.3.11.5
        CIS WS2022 2.3.11.5
Não existe ou = 1
(Registry)
Crítico
Segurança de rede: Nível de autenticação do LAN Manager
(CCE-36173-3)
Descrição: o LM (LAN Manager) é uma linha de software cliente/servidor da Microsoft inicial que permite aos usuários vincular computadores pessoais em uma única rede. Os recursos de rede incluem compartilhamento transparente de arquivos e impressão, recursos de segurança do usuário e ferramentas de administração de rede. Em domínios do Active Directory, o protocolo Kerberos é o protocolo de autenticação padrão. No entanto, se o protocolo Kerberos não for negociado por algum motivo, o Active Directory usará LM, NTLM ou NTLMv2. A autenticação do LAN Manager inclui as variantes LM, NTLM e NTLM versão 2 (NTLMv2) e é o protocolo usado para autenticar todos os clientes Windows quando eles executam as seguintes operações: - Ingressar em um domínio - Autenticar entre florestas do Active Directory - Autenticar em domínios de nível inferior - Autenticar em computadores que não executam o Windows 2000, Windows Server 2003 ou Windows XP) - Autenticar em computadores que não estão no domínio Os valores possíveis para a segurança de rede: As configurações de nível de autenticação do LAN Manager são: - Enviar LM & respostas NTLM - Enviar LM & NTLM — use a segurança da sessão NTLMv2 se negociado - Enviar somente respostas NTLM - Enviar somente respostas NTLMv2 - Enviar somente respostas NTLMv2\recusar LM - Enviar somente respostas NTLMv2\recusar LM & NTLM - Não definido A configuração Segurança de rede: nível de autenticação do LAN Manager determina qual protocolo de autenticação de desafio/resposta é usado para logons de rede. Essa escolha afeta o nível de protocolo de autenticação que os clientes usam, o nível de segurança da sessão que os computadores negociam e o nível de autenticação que os servidores aceitam da seguinte maneira: - Enviar respostas LM e NTLM. Clientes usam autenticação LM e NTLM e nunca usam segurança de sessão de NTLMv2. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Enviar LM & NTLM — use a segurança da sessão NTLMv2 se negociado. Os clientes usam autenticação LM e NTLM e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Enviar somente resposta NTLM. Os clientes usam somente autenticação NTLM e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Enviar somente resposta NTLMv2. Os clientes usam somente autenticação NTLMv2 e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Enviar somente resposta NTLMv2\recusar LM. Os clientes usam somente autenticação NTLMv2 e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio recusam LM (aceitam somente autenticação NTLM e NTLMv2). - Enviar somente resposta NTLMv2\recusar LM e NTLMV2. Os clientes usam somente autenticação NTLMv2 e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio recusam LM e NTLM (aceitam somente a autenticação NTLMv2). Essas configurações correspondem aos níveis discutidos em outros documentos da Microsoft da seguinte maneira:- Nível 0 — enviar resposta LM e NTLM; nunca use a segurança de sessão NTLMv2. Clientes usam autenticação LM e NTLM e nunca usam segurança de sessão de NTLMv2. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Nível 1 — Usar a segurança de sessão NTLMv2, se negociada. Os clientes usam autenticação LM e NTLM e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Nível 2 — Enviar somente resposta NTLM. Os clientes usam somente autenticação NTLM e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Nível 3 — Enviar somente resposta NTLMv2. Os clientes usam somente autenticação NTLMv2 e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Nível 4 — Os controladores de domínio recusam respostas LM. Os clientes usam autenticação NTLMv2 e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio recusam a autenticação LM, ou seja, aceitam NTLM e NTLMv2. -Nível 5 — Os controladores de domínio recusam as respostas LM e NTLM (aceitam somente NTLMv2). Os clientes usam somente autenticação NTLMv2 e usam segurança de sessão NTLMv2 se o servidor dá suporte a ele. Os controladores de domínio recusam a autenticação NTLM e LM (aceitam somente NTLMv2).
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como: 'Enviar resposta NTLMv2 somente. Recusar LM & NTLM':
Configuração do computador\Políticas\ Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança
Segurança de rede: nível de autenticação do LAN Manager
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.11.7
= 5
(Registry)
Crítico
Segurança de rede: Requisitos de assinatura do cliente LDAP
(CCE-36858-9)
Descrição: essa configuração de política determina o nível de assinatura de dados que é solicitado em nome dos clientes que emitem solicitações de ligação LDAP. Observação: essa configuração de política não tem impacto sobre associação simples LDAP (ldap_simple_bind) ou associação simples LDAP por SSL (ldap_simple_bind_s). Nenhum cliente LDAP da Microsoft incluído no Windows XP Professional usa ldap_simple_bind ou ldap_simple_bind_s para se comunicar com um controlador de domínio. O estado recomendado para essa configuração é: Negotiate signing. Definir essa configuração Require signing também está em conformidade com o parâmetro de comparação.
Caminho da chave: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Negotiate signing (definir como Require signing também está em conformidade com o parâmetro de comparação):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: requisitos de assinatura de cliente LDAP

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93303
        STIG WS2016 V-73693
        CIS WS2019 2.3.11.8
        CIS WS2022 2.3.11.8
Não existe ou = 1
(Registry)
Crítico
Segurança de rede: Segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro)
(CCE-37553-5)
Descrição: essa configuração de política especifica quais comportamentos são permitidos por clientes para aplicativos que usam o SSP (provedor de suporte de segurança) NTLM. A SSPI (Interface do SSP) é usada por aplicativos que precisam de serviços de autenticação. A configuração não modifica como a sequência de autenticação funciona, mas requer determinados comportamentos em aplicativos que usam o SSPI. O estado recomendado para essa configuração é: Require NTLMv2 session security, Require 128-bit encryption. Observação: esses valores dependem do valor de configuração de segurança do Segurança de rede: Nível de autenticação do gerenciador de LAN.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Require NTLMv2 session security, Require 128-bit encryption: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: segurança mínima da sessão para clientes baseados em SSP NTLM (incluindo RPC seguro)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.11.9
= 537395200
(Registry)
Crítico
Segurança de rede: Segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro)
(CCE-37835-6)
Descrição: essa configuração de política determina quais comportamentos são permitidos por servidores para aplicativos que usam o SSP (provedor de suporte de segurança) NTLM. A SSPI (Interface do SSP) é usada por aplicativos que precisam de serviços de autenticação. A configuração não modifica como a sequência de autenticação funciona, mas requer determinados comportamentos em aplicativos que usam o SSPI. O estado recomendado para essa configuração é: Require NTLMv2 session security, Require 128-bit encryption. Observação: esses valores dependem do valor de configuração de segurança do Segurança de rede: Nível de autenticação do gerenciador de LAN.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: segurança mínima da sessão para servidores baseados em SSP NTLM (incluindo RPC seguro) para Exigir segurança de sessão NTLMv2 e Exigir criptografia de 128 bits (todas as opções selecionadas).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.11.10
= 537395200
(Registry)
Crítico

Opções de Segurança – Desligamento

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Desligamento: Permitir que o sistema seja encerrado sem fazer logon
(CCE-36788-8)
Descrição: essa configuração de política determina se um computador pode ser desligado quando um usuário não está conectado. Se essa configuração de política estiver habilitada, o comando de desligamento estará disponível na tela de logon do Windows. É recomendável desabilitar essa configuração de política para restringir a capacidade de desligar o computador para os usuários com credenciais no sistema. O estado recomendado para essa configuração é: Disabled. Observação: no Server 2008 R2 e versões mais antigas, essa configuração não teve impacto sobre a Área de Trabalho Remota (RDP)/sessões de serviços de terminal - ela afetou apenas o console local. No entanto, a Microsoft alterou o comportamento no Windows Server 2012 (não R2) e acima, em que, se estiver definido como habilitado, as sessões RDP também terão permissão para desligar ou reiniciar o servidor.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Desligamento: permitir que o sistema seja desligado sem precisar fazer logon

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.13.1
        CIS WS2022 2.3.13.1
Não existe ou = 0
(Registry)
Aviso
Desligamento: Limpar arquivo de paginação de memória virtual
(AZ-WIN-00181)
Descrição: essa configuração de política determina se o arquivo de paginação de memória virtual é limpo quando o sistema é desligado. Quando essa configuração de política está habilitada, o arquivo de paginação do sistema é limpo toda vez que o sistema é desligado corretamente. Se você habilitar essa configuração de segurança, o arquivo de hibernação (Hiberfil.sys) será zerado quando a hibernação for desabilitada em um sistema de computador portátil. Levará mais tempo para desligar e reiniciar o computador e será especialmente perceptível em computadores com arquivos de paginação grandes.
Caminho da chave: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Desligamento: limpar arquivo de página de memória virtual para Disabled.
Mapeamentos padrão de conformidade:
Não existe ou = 0
(Registry)
Crítico

Opções de segurança – Criptografia do sistema

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Os usuários precisam ser obrigados a inserir uma senha para acessar as chaves privadas armazenadas no computador.
(AZ-WIN-73699)
Descrição: se a chave privada for descoberta, um invasor poderá usar a chave para se autenticar como um usuário autorizado e obter acesso à infraestrutura de rede. A pedra angular da PKI é a chave privada usada para criptografar ou assinar digitalmente informações. Se a chave privada for roubada, isso levará ao comprometimento da autenticação e do não repúdio obtidos por meio da PKI, pois o invasor poderá usar a chave privada para assinar documentos digitalmente e fingir ser o usuário autorizado. Os detentores de um certificado digital e a autoridade emissora devem proteger os computadores, dispositivos de armazenamento ou o que eles usam para manter as chaves privadas.
Caminho da chave: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Criptografia do sistema: forçar a proteção de chave forte para chaves de usuário armazenadas no computador
Mapeamentos padrão de conformidade:
= 2
(Registry)
Importante
O Windows Server precisa ser configurado para usar algoritmos em conformidade com o FIPS para criptografia, definição de hash e assinatura.
(AZ-WIN-73701)
Descrição: esta configuração garante que o sistema use algoritmos compatíveis com FIPS para criptografia, hash e assinatura. Os algoritmos compatíveis com FIPS atendem a padrões específicos estabelecidos pelo governo dos EUA e devem ser os algoritmos usados para todas as funções de criptografia do sistema operacional.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
OS: WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Criptografia do sistema: usar algoritmos em conformidade com FIPS para criptografia, hash e assinatura
Mapeamentos padrão de conformidade:
= 1
(Registry)
Importante

Opções de Segurança – Objetos do sistema

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Objetos do sistema: Exibir a não diferenciação entre minúsculas e maiúsculas para subsistemas não Windows
(CCE-37885-1)
Descrição: essa configuração de política determina se a diferenciação de maiúsculas e minúsculas é imposta para todos os subsistemas. O subsistema Microsoft Win32 não diferencia maiúsculas de minúsculas. No entanto, o kernel dá suporte à distinção de maiúsculas e minúsculas para outros subsistemas, como a interface do sistema operacional portátil para UNIX (POSIX). Como o Windows não diferencia maiúsculas de minúsculas (mas o subsistema POSIX oferecerá suporte à distinção entre maiúsculas e minúsculas), a falha ao impor essa configuração de política possibilita que um usuário do subsistema POSIX crie um arquivo com o mesmo nome de outro arquivo usando maiúsculas e minúsculas para rotulá-lo. Essa situação pode bloquear o acesso a esses arquivos por outro usuário que usa ferramentas típicas do Win32, porque apenas um dos arquivos estará disponível. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Objetos do sistema: exigir não diferenciação de maiúsculas e minúsculas em subsistemas que não sejam Windows

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.15.1
        CIS WS2022 2.3.15.1
Não existe ou = 1
(Registry)
Aviso
Objetos de sistema: restringir permissões padrão de objetos internos do sistema (por exemplo, Links simbólicos)
(CCE-37644-2)
Descrição: essa configuração de política determina a força da DACL (lista de controle de acesso discricionário) padrão para objetos. O Active Directory mantém uma lista global de recursos compartilhados do sistema, como nomes de dispositivo DOS, mutexes e semáforos. Dessa forma, os objetos podem ser localizados e compartilhados entre processos. Cada tipo de objeto é criado com uma DACL padrão que especifica quem pode acessar os objetos e quais permissões são concedidas. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Objetos do sistema: fortalecer as permissões padrão de objetos internos do sistema (por exemplo, Links Simbólicos) para Enabled
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.3.15.2
= 1
(Registry)
Crítico

Opções de Segurança – Configurações do sistema

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Configurações do sistema: Usar regras de certificado em arquivos executáveis do Windows para políticas de restrição de software
(AZ-WIN-00155)
Descrição: essa configuração de política determina se os certificados digitais são processados quando as diretivas de restrição de software são habilitadas e um usuário ou processo tenta executar o software com uma extensão de nome de arquivo. exe. Ele habilita ou desabilita as regras de certificado (um tipo de regra de diretivas de restrição de software). Com as diretivas de restrição de software, você pode criar uma regra de certificado que permitirá ou não poderá permitir a execução de software de Authenticode registrado, com base no certificado digital associado ao software. Para que as regras de certificado entrem em vigor nas políticas de restrição de software, você deve habilitar essa configuração de política.
Caminho da chave: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Configurações do sistema: usar regras de certificado em executáveis do Windows para políticas de restrição de software
Mapeamentos padrão de conformidade:
= 1
(Registry)
Aviso

Opções de Segurança – Controle de Conta de Usuário

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta interna Administrador
(CCE-36494-3)
Descrição: essa configuração de política controla o comportamento do modo de aprovação de administrador para a conta de administrador interno. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de Conta de Usuário: modo de aprovação de administrador para a conta de administrador interna

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93431
        STIG WS2016 V-73707
        CIS WS2019 2.3.17.1
        CIS WS2022 2.3.17.1
= 1
(Registry)
Crítico
Controle de Conta de Usuário: permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho protegida
(CCE-36863-9)
Descrição: essa configuração de política controla se os programas de UIAccess ou UIA (Acessibilidade da Interface do Usuário) podem desabilitar automaticamente a área de trabalho protegida para solicitações de elevação usadas por um usuário padrão. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de conta de usuário: permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho segura
Mapeamentos padrão de conformidade:
= 0
(Registry)
Crítico
Controle de Conta de Usuário: comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador
(CCE-37029-6)
Descrição: essa configuração de política não altera o comportamento do prompt de elevação para administradores. O estado recomendado para essa configuração é: Prompt for consent on the secure desktop.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Prompt for consent on the secure desktop:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de conta de usuário: comportamento do prompt de elevação para administradores no modo de aprovação de administrador

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93523
        STIG WS2016 V-73711
        CIS WS2019 2.3.17.2
        CIS WS2022 2.3.17.2
= 2
(Registry)
Crítico
Controle de Conta de Usuário: comportamento da solicitação de elevação de usuários padrão
(CCE-36864-7)
Descrição: essa configuração de política controla o comportamento do prompt de elevação para usuários padrão. O estado recomendado para essa configuração é: Automatically deny elevation requests.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Automatically deny elevation requests:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de conta de usuário: comportamento do prompt de elevação para usuários padrão

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93433
        STIG WS2016 V-73713
        CIS WS2019 2.3.17.3
        CIS WS2022 2.3.17.3
= 0
(Registry)
Crítico
Controle de Conta de Usuário: detectar instalações de aplicativos e perguntar se deseja elevar
(CCE-36533-8)
Descrição: essa configuração de política controla o comportamento da detecção de instalação de aplicativo para o computador. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de conta de usuário: detectar instalações de aplicativo e solicitar elevação

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93525
        STIG WS2016 V-73715
        CIS WS2019 2.3.17.4
        CIS WS2022 2.3.17.4
= 1
(Registry)
Crítico
Controle de Conta de Usuário: eleve apenas aplicativos UIAccess que estejam instalados em locais seguros
(CCE-37057-7)
Descrição: essa configuração de política controla se os aplicativos que solicitam execução com um nível de integridade UIAccess (acessibilidade da interface do usuário) devem residir em um local seguro no sistema de arquivos. Locais seguros são limitados ao seguinte: - …\Program Files\, incluindo subpastas – …\Windows\system32\ - …\Program Files (x86)\, incluindo subpastas para versões de 64 bits do Windows Observação: o Windows impõe uma verificação de assinatura de PKI (infraestrutura de chave pública) em qualquer aplicativo interativo que solicite a execução com um nível de integridade de UIAccess, independentemente do estado dessa configuração de segurança. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de conta de usuário: elevar apenas os aplicativos UIAccess instalados em locais seguros

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93527
        STIG WS2016 V-73717
        CIS WS2019 2.3.17.5
        CIS WS2022 2.3.17.5
= 1
(Registry)
Crítico
Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador
(CCE-36869-6)
Descrição: essa configuração de política controla o comportamento de todas as configurações de política de controle de conta de usuário (UAC) para o computador. Se você alterar essa configuração de política, deverá reiniciar o computador. O estado recomendado para essa configuração é: Enabled. Observação: se essa configuração de política estiver desabilitada, a Central de Segurança notificará o usuário de que a segurança global do sistema operacional está reduzida.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de conta de usuário: executar todos os administradores no modo de aprovação de administrador

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93435
        STIG WS2016 V-73719
        CIS WS2019 2.3.17.6
        CIS WS2022 2.3.17.6
= 1
(Registry)
Crítico
Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação
(CCE-36866-2)
Descrição: essa configuração de política controla se o prompt de solicitação de elevação é exibido na área de trabalho do usuário interativo ou na área de trabalho segura. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de conta de usuário: mudar para a área de trabalho segura ao solicitar elevação

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93521
        STIG WS2016 V-73709
        CIS WS2019 2.3.17.7
        CIS WS2022 2.3.17.7
= 1
(Registry)
Crítico
Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e Registros para locais por usuário
(CCE-37064-3)
Descrição: essa configuração de política controla se falhas de gravação de aplicativo são redirecionadas para locais do sistema de arquivos e registro definidos. Essa configuração de política mitiga aplicativos que são executados como administrador e gravam dados de aplicativo em tempo de execução em: - %ProgramFiles%, - %Windir%, - %Windir%\system32 ou - HKEY_LOCAL_MACHINE\Software. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de conta de usuário: virtualizar falhas de gravação de arquivo e de registro em locais por usuário

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93529
        STIG WS2016 V-73721
        CIS WS2019 2.3.17.8
        CIS WS2022 2.3.17.8
= 1
(Registry)
Crítico

Configurações de Segurança – Políticas de Contas

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Limite de bloqueio de conta
(AZ-WIN-73311)
Descrição: esta configuração de política determina o número de tentativas de logon com falha antes que a conta seja bloqueada. Definir essa política como 0 não está em conformidade com o parâmetro de comparação, pois isso desabilita o limite de bloqueio da conta. O estado recomendado para essa configuração é: 5 or fewer invalid logon attempt(s), but not 0. Observação: as configurações de Política de Senha (seção 1.1) e as configurações de Política de Bloqueio de Conta (seção 1.2) devem ser aplicadas por meio do GPO da Política de Domínio Padrão para estar globalmente em vigor nas contas de usuário do domínio como seu comportamento padrão. Se essas configurações estiverem configuradas em outro GPO, elas afetarão apenas as contas de usuário locais nos computadores que recebem o GPO. No entanto, exceções personalizadas para a política de senha padrão e regras de política de bloqueio de conta para usuários de domínio específicos e/ou grupos podem ser definidas usando PSOs (Objetos de Configuração de Senha), que são completamente separados de Política de Grupo e configurados com mais facilidade usando o Centro Administrativo do Active Directory.
Caminho da chave: [System Access]LockoutBadCount
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Limite do bloqueio da conta
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 1.2.2
        CIS WS2019 1.2.2
Em 1-3
(Policy)
Importante
Aplicar histórico de senhas
(CCE-37166-6)
Descrição:

Essa configuração de política determina o número de senhas renovadas e exclusivas que devem ser associadas a uma conta de usuário antes que uma senha antiga possa ser reutilizada. O valor dessa configuração de política deve estar entre 0 e 24 senhas. O valor padrão para Windows Vista é de 0 senha, mas a configuração padrão em um domínio é de 24 senhas. Para manter a eficácia dessa configuração de política, use a configuração de Idade mínima da senha para impedir que os usuários mudem as próprias senhas repetidamente. O estado recomendado para essa configuração é: “24 ou mais senhas”.


Caminho da chave: [System Access]PasswordHistorySize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como 24 or more password(s):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Impor histórico de senhas
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 1.1.1
>= 24
(Policy)
Crítico
Duração máxima da senha
(CCE-37167-4)
Descrição: essa configuração de política define por quanto tempo um usuário pode usar sua senha antes de expirar. Os valores para essa faixa de configuração de política variam de 0 a 999 dias. Se você definir o valor como 0, a senha nunca expirará. Como os invasores podem decifrar senhas, quanto mais frequentemente você alterar a senha, menos oportunidade um invasor terá que usar uma senha decifrada. No entanto, quanto menor esse valor for definido, maior será o potencial para um aumento nas chamadas para suporte técnico, devido aos usuários que precisavam alterar sua senha ou esquecer qual senha está atualizada. O estado recomendado para essa configuração é: 60 or fewer days, but not 0.
Caminho da chave: [System Access]MaximumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como 365 or fewer days, but not 0:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Duração máxima da senha
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 1.1.2
Em 1-70
(Policy)
Crítico
Duração mínima da senha
(CCE-37073-4)
Descrição: essa configuração de política determina o número de dias durante o qual você deve usar uma senha para poder alterá-la. O intervalo de valores para essa configuração de política está entre 1 e 999 dias. (Você também pode definir o valor como 0 para permitir alterações de senha imediatas.) O valor padrão dessa configuração é 0 dias. O estado recomendado para essa configuração é: 1 or more day(s).
Caminho da chave: [System Access]MinimumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como 1 or more day(s):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Duração mínima da senha
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 1.1.3
>= 1
(Policy)
Crítico
Comprimento mínimo da senha
(CCE-36534-6)
Descrição: a configuração de política determina o menor número de caracteres que podem formar uma senha para uma conta de usuário. Há muitas teorias diferentes sobre como determinar o melhor comprimento de senha para uma organização, mas talvez “frase secreta” seja um termo melhor do que “senha”. No Microsoft Windows 2000 ou posterior, as frases secretas podem ser bastante longas e podem incluir espaços. Portanto, uma frase como "Eu quero tomar um milkshake de $5" é uma frase secreta válida; é uma senha consideravelmente mais forte do que uma cadeia de 8 ou 10 caracteres de números e letras aleatórios e, ainda assim, é mais fácil de lembrar. Os usuários devem ser instruídos sobre a seleção adequada e a manutenção de senhas, especialmente com relação ao seu comprimento. Em ambientes corporativos, o valor ideal para a configuração de comprimento mínimo da senha é de 14 caracteres, no entanto, você deve ajustar esse valor para atender aos requisitos de negócios da sua organização. O estado recomendado para essa configuração é: 14 or more character(s).
Caminho da chave: [System Access]MinimumPasswordLength
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como 14 or more character(s):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Tamanho mínimo da senha
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 1.1.4
>= 14
(Policy)
Crítico
A senha deve atender aos requisitos de complexidade
(CCE-37063-5)
Descrição: essa configuração de política verifica todas as novas senhas para garantir que elas atendam aos requisitos básicos para senhas fortes. Quando essa política está habilitada, as senhas devem atender aos seguintes requisitos mínimos: – não conter o nome da conta do usuário ou partes do nome completo do usuário que excedem dois caracteres consecutivos – ter pelo menos seis caracteres de comprimento – conter caracteres de três das quatro categorias a seguir: – caracteres maiúsculos em inglês (A a Z) – caracteres minúsculos em inglês (a a z) – dígitos da base 10 (0 a 9) – caracteres não alfabéticos (por exemplo, !, $, #, %) – uma categoria catch-all de qualquer caractere Unicode que não se enquadrar nas quatro categorias anteriores. Essa quinta categoria pode ser específica de região. Cada caractere adicional em uma senha aumenta exponencialmente sua complexidade. Por exemplo, uma senha alfabética de sete caracteres, todas em minúsculas, teria 267 (aproximadamente 8 x 109 ou 8 bilhões) combinações possíveis. A 1 milhão tentativas por segundo (uma capacidade de muitos utilitários de decifração de senha), levaria apenas 133 minutos para ser decifrada. Uma senha alfabética de sete caracteres com distinção de maiúsculas e minúsculas tem 527 combinações. Uma senha alfanumérica com diferenciação de maiúsculas e minúsculas sem pontuação tem 627 combinações. Uma senha de oito caracteres tem 268 (ou 2 x 1011) combinações possíveis. Embora pareça ser um grande número, a 1 milhão tentativas por segundo, levaria apenas 59 horas para testar todas as senhas possíveis. Lembre-se de que esses horários aumentarão significativamente as senhas que usam caracteres ALT e outros caracteres especiais de teclado, como "!" ou "@". O uso adequado das configurações de senha pode ajudar a dificultar a organização de um ataque de força bruta. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: [System Access]PasswordComplexity
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\A senha precisa atender a requisitos de complexidade

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93459
        STIG WS2016 V-73323
        CIS WS2019 1.1.5
        CIS WS2022 1.1.5
= 1
(Policy)
Crítico
Zerar contador de bloqueios de conta após
(AZ-WIN-73309)
Descrição: esta configuração de política determina o período antes que o limite de bloqueio da conta seja redefinido para zero. O valor padrão dessa configuração de política é Não Definido. Se o limite de bloqueio da conta for definido, esse tempo de redefinição deverá ser menor ou igual ao valor da configuração de duração de bloqueio da conta. Se você deixar essa configuração de política com seu valor padrão ou configurar o valor para um intervalo muito longo, seu ambiente poderá ficar vulnerável a um ataque do DoS. Um invasor pode executar mal-intencionado uma série de tentativas de logon com falha em todos os usuários da organização, o que bloqueará suas contas. Se nenhuma política fosse determinada para redefinir o bloqueio da conta, seria uma tarefa manual para os administradores. Por outro lado, se um valor de tempo razoável for configurado para essa configuração de política, os usuários ficarão bloqueados por um período definido até que todas as contas sejam desbloqueadas automaticamente. O estado recomendado para essa configuração é: 15 or more minute(s). Observação: as configurações de Política de Senha (seção 1.1) e as configurações de Política de Bloqueio de Conta (seção 1.2) devem ser aplicadas por meio do GPO da Política de Domínio Padrão para estar globalmente em vigor nas contas de usuário do domínio como seu comportamento padrão. Se essas configurações estiverem configuradas em outro GPO, elas afetarão apenas as contas de usuário locais nos computadores que recebem o GPO. No entanto, exceções personalizadas para a política de senha padrão e regras de política de bloqueio de conta para usuários de domínio específicos e/ou grupos podem ser definidas usando PSOs (Objetos de Configuração de Senha), que são completamente separados de Política de Grupo e configurados com mais facilidade usando o Centro Administrativo do Active Directory.
Caminho da chave: [System Access]ResetLockoutCount
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Redefinir contagem de bloqueio da conta após
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 1.2.3
        CIS WS2019 1.2.3
>= 15
(Policy)
Importante
Armazenar senhas usando criptografia reversível
(CCE-36286-3)
Descrição: essa configuração de política determina se o sistema operacional armazena senhas de uma maneira que usa criptografia reversível, que fornece suporte para protocolos de aplicativo que exigem conhecimento da senha do usuário para fins de autenticação. As senhas que são armazenadas com criptografia reversível são essencialmente as mesmas que as versões de texto não criptografado das senhas. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: [System Access]ClearTextPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Armazenar senhas usando criptografia reversível

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93465
        STIG WS2016 V-73325
        CIS WS2019 1.1.7
        CIS WS2022 1.1.7
= 0
(Policy)
Crítico

Configurações de segurança – Firewall do Windows

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Firewall do Windows: Domínio: permitir resposta unicast
(AZ-WIN-00088)
Descrição:

Essa opção será útil se você precisar controlar se este computador recebe respostas unicast para suas mensagens de difusão ou multicast de saída.  

Recomendamos que essa configuração seja "Sim" para os perfis de domínio e particular; isto definitá o valor do registro como 0.


Caminho da chave: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil de Domínio\Configurações (selecione Personalizar)\Resposta Unicast, Permitir resposta unicast
Mapeamentos padrão de conformidade:
= 0
(Registry)
Aviso
Firewall do Windows: Domínio: Estado do firewall
(CCE-36062-8)
Descrição: Selecione Ativado (recomendado) para o Firewall do Windows com o Advanced Security usar as definições para esse perfil filtrar o tráfego de rede. Se você selecionar Desativado, o Firewall do Windows com Segurança Avançada não usará nenhuma das regras de firewall nem as regras de segurança de conexão nesse perfil.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como On (recommended):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Estado do firewall
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.1.1
= 1
(Registry)
Crítico
Firewall do Windows: domínio: conexões de entrada
(AZ-WIN-202252)
Descrição: esta definição especifica o comportamento das conexões de entrada que não correspondem a uma regra de firewall de entrada. O estado recomendado para essa configuração é: Block (default).
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Conexões de entrada
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.1.2
        CIS WS2019 9.1.2
= 1
(Registry)
Crítico
Firewall do Windows: domínio: log: registrar em log os pacotes removidos
(AZ-WIN-202226)
Descrição: use esta opção para fazer logon quando o Firewall do Windows com Segurança Avançada descartar um pacote de entrada por qualquer motivo. O log registra o motivo e quando o pacote foi removido. Procure entradas com a palavra DROP na coluna de ação do log. O estado recomendado para essa configuração é: Yes.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Personalização de Log\Pacotes descartados do log
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.1.7
        CIS WS2019 9.1.7
= 1
(Registry)
Informativo
Firewall do Windows: domínio: log: registrar em log as conexões bem-sucedidas
(AZ-WIN-202227)
Descrição: use esta opção para registrar quando o Firewall do Windows com Segurança Avançada permitir uma conexão de entrada. O log registra por que e quando a conexão foi formada. Procure entradas com a palavra ALLOW na coluna de ação do log. O estado recomendado para essa configuração é: Yes.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Personalização de Log\Registrar Conexões bem-sucedidas
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.1.8
        CIS WS2019 9.1.8
= 1
(Registry)
Aviso
Firewall do Windows: domínio: log: nome
(AZ-WIN-202224)
Descrição: use esta opção para especificar o caminho e o nome do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: %SystemRoot%\System32\logfiles\firewall\domainfw.log.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Personalização de Log\Nome
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.1.5
        CIS WS2019 9.1.5
= %SystemRoot%\System32\logfiles\firewall\domainfw.log
(Registry)
Informativo
Firewall do Windows: domínio: log: limite de tamanho (KB)
(AZ-WIN-202225)
Descrição: use esta opção para especificar limite de tamanho do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: 16,384 KB or greater.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Personalização de Log\Limite de tamanho (KB)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.1.6
        CIS WS2019 9.1.6
>= 16384
(Registry)
Aviso
Firewall do Windows: Domínio: Conexões de saída
(CCE-36146-9)
Descrição: essa definição especifica o comportamento das conexões de saída que não correspondem a uma regra de firewall de saída. No Windows Vista, o comportamento padrão é permitir conexões, a menos que haja regras de firewall que bloqueiem a conexão.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Allow (default):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Conexões de saída
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.1.3
= 0
(Registry)
Crítico
Firewall do Windows: Domínio: Definições: Aplicar regras de segurança de conexão local
(CCE-38040-2)
Descrição:

Essa definição controla se os administradores locais têm permissão para criar regras de conexão locais que são aplicadas junto com as regras de firewall configuradas pela Política de Grupo para o perfil Público. O estado recomendado para essa configuração é "Sim"; isto definirá o valor do registro como 1.


Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil de Domínio\Configurações (selecione Personalizar)\Mesclagem de regras, Aplicar regras de segurança de conexão local
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.3.6
= 1
(Registry)
Crítico
Firewall do Windows: Domínio: Definições: Aplicar regras de firewall local
(CCE-37860-4)
Descrição:

Essa definição controla se os administradores locais têm permissão para criar regras de firewall locais que são aplicadas junto com as regras de firewall configuradas pela Política de Grupo para o perfil Público.

O estado recomendado para essa configuração é Sim, o valor do registro será definido como 1.


Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil Privado\Configurações (selecione Personalizar)\Mesclagem de regras, Aplicar regras de firewall local
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.3.5
Não existe ou = 1
(Registry)
Crítico
Firewall do Windows: Domínio: Configurações: Exibir uma notificação
(CCE-38041-0)
Descrição:

Ao selecionar essa opção, nenhuma notificação será exibida ao usuário quando um programa for impedido de receber conexões de entrada. Em um ambiente de servidor, as pop-ups não são úteis, pois os usuários não estão conectados; as pop-ups não são necessárias e podem confundir o administrador.  

Defina essa configuração de política como "Não"; isto definitá o valor do registro como 1.  O Firewall do Windows não exibirá uma notificação quando um programa for impedido de receber conexões de entrada.


Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Personalização de Configurações\Exibir uma notificação
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.1.4
= 1
(Registry)
Aviso
Firewall do Windows: Particular: permitir resposta unicast
(AZ-WIN-00089)
Descrição:

Essa opção será útil se você precisar controlar se este computador recebe respostas unicast para suas mensagens de difusão ou multicast de saída.  

Recomendamos que essa configuração seja "Sim" para os perfis de domínio e particular; isto definitá o valor do registro como 0.


Caminho da chave: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil Privado\Configurações (selecione Personalizar)\Resposta Unicast, Permitir resposta unicast
Mapeamentos padrão de conformidade:
= 0
(Registry)
Aviso
Firewall do Windows: Privado: Estado do firewall
(CCE-38239-0)
Descrição: Selecione Ativado (recomendado) para o Firewall do Windows com o Advanced Security usar as definições para esse perfil filtrar o tráfego de rede. Se você selecionar Desativado, o Firewall do Windows com Segurança Avançada não usará nenhuma das regras de firewall nem as regras de segurança de conexão nesse perfil.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como On (recommended):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Estado do firewall
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.2.1
= 1
(Registry)
Crítico
Firewall do Windows: privado: conexões de entrada
(AZ-WIN-202228)
Descrição: esta definição especifica o comportamento das conexões de entrada que não correspondem a uma regra de firewall de entrada. O estado recomendado para essa configuração é: Block (default).
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Conexões de entrada
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.2.2
        CIS WS2019 9.2.2
= 1
(Registry)
Crítico
Firewall do Windows: privado: registrar em log os pacotes removidos
(AZ-WIN-202231)
Descrição: use esta opção para fazer logon quando o Firewall do Windows com Segurança Avançada descartar um pacote de entrada por qualquer motivo. O log registra o motivo e quando o pacote foi removido. Procure entradas com a palavra DROP na coluna de ação do log. O estado recomendado para essa configuração é: Yes.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Personalização de Log\Pacotes removidos do log
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.2.7
        CIS WS2019 9.2.7
= 1
(Registry)
Informativo
Firewall do Windows: privado: log: registrar em log as conexões bem-sucedidas
(AZ-WIN-202232)
Descrição: use esta opção para registrar quando o Firewall do Windows com Segurança Avançada permitir uma conexão de entrada. O log registra por que e quando a conexão foi formada. Procure entradas com a palavra ALLOW na coluna de ação do log. O estado recomendado para essa configuração é: Yes.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Personalização de Log\Registrar conexões bem-sucedidas
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.2.8
        CIS WS2019 9.2.8
= 1
(Registry)
Aviso
Firewall do Windows: privado: log: nome
(AZ-WIN-202229)
Descrição: use esta opção para especificar o caminho e o nome do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: %SystemRoot%\System32\logfiles\firewall\privatefw.log.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Personalização de Log\Nome
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.2.5
        CIS WS2019 9.2.5
= %SystemRoot%\System32\logfiles\firewall\privatefw.log
(Registry)
Informativo
Firewall do Windows: privado: log: limite de tamanho (KB)
(AZ-WIN-202230)
Descrição: use esta opção para especificar limite de tamanho do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: 16,384 KB or greater.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Personalização de Log\Limite de tamanho (KB)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.2.6
        CIS WS2019 9.2.6
>= 16384
(Registry)
Aviso
Firewall do Windows: Privado: Conexões de saída
(CCE-38332-3)
Descrição: essa definição especifica o comportamento das conexões de saída que não correspondem a uma regra de firewall de saída. O comportamento padrão é permitir conexões, a menos que haja regras de firewall que bloqueiem a conexão. Importante: se você definir conexões de saída para bloquear e, em seguida, implantar a política de firewall usando um GPO, os computadores que recebem as configurações de GPO não poderão receber atualizações de Política de Grupo subsequentes, a menos que você crie e implante uma regra de saída que permita que Política de Grupo funcione. Regras predefinidas para rede principal incluem regras de saída que permitem que Política de Grupo funcionem. Verifique se essas regras de saída estão ativas e teste exaustivamente os perfis de firewall antes de implantar.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Allow (default):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Conexões de saída
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.2.3
= 0
(Registry)
Crítico
Firewall do Windows: Privado: Configurações: Aplicar regras de segurança de conexão local
(CCE-36063-6)
Descrição:

Essa definição controla se os administradores locais têm permissão para criar regras de conexão locais que são aplicadas junto com as regras de firewall configuradas pela Política de Grupo para o perfil Público. O estado recomendado para essa configuração é "Sim"; isto definirá o valor do registro como 1.


Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil Privado\Configurações (selecione Personalizar)\Mesclagem de regras, Aplicar regras de segurança de conexão local
Mapeamentos padrão de conformidade:
= 1
(Registry)
Crítico
Firewall do Windows: Privado: Configurações: Aplicar regras de firewall local
(CCE-37438-9)
Descrição:

Essa definição controla se os administradores locais têm permissão para criar regras de firewall locais que são aplicadas junto com as regras de firewall configuradas pela Política de Grupo para o perfil Público.

O estado recomendado para essa configuração é Sim, o valor do registro será definido como 1.


Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil Privado\Configurações (selecione Personalizar)\Mesclagem de regras, Aplicar regras de firewall local
Mapeamentos padrão de conformidade:
Não existe ou = 1
(Registry)
Crítico
Firewall do Windows: Privado: Configurações: Exibir uma notificação
(CCE-37621-0)
Descrição:

Ao selecionar essa opção, nenhuma notificação será exibida ao usuário quando um programa for impedido de receber conexões de entrada. Em um ambiente de servidor, as pop-ups não são úteis, pois os usuários não estão conectados; as pop-ups não são necessárias e podem confundir o administrador.  

 Defina essa configuração de política como "Não"; isto definitá o valor do registro como 1.  O Firewall do Windows não exibirá uma notificação quando um programa for impedido de receber conexões de entrada.


Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Personalização de Configurações\Exibir uma notificação
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.2.4
= 1
(Registry)
Aviso
Firewall do Windows: Público: permitir resposta unicast
(AZ-WIN-00090)
Descrição:

Essa opção será útil se você precisar controlar se este computador recebe respostas unicast para suas mensagens de difusão ou multicast de saída. Isso pode ser feito alterando o estado dessa configuração para "No", o que definirá o valor do registro como 1.


Caminho da chave: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil Público\Configurações (selecione Personalizar)\Resposta Unicast, Permitir resposta unicast
Mapeamentos padrão de conformidade:
= 1
(Registry)
Aviso
Firewall do Windows: Público: Estado do firewall
(CCE-37862-0)
Descrição: Selecione Ativado (recomendado) para o Firewall do Windows com o Advanced Security usar as definições para esse perfil filtrar o tráfego de rede. Se você selecionar Desativado, o Firewall do Windows com Segurança Avançada não usará nenhuma das regras de firewall nem as regras de segurança de conexão nesse perfil.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como On (recommended):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Estado do firewall
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.3.1
= 1
(Registry)
Crítico
Firewall do Windows: público: conexões de entrada
(AZ-WIN-202234)
Descrição: esta definição especifica o comportamento das conexões de entrada que não correspondem a uma regra de firewall de entrada. O estado recomendado para essa configuração é: Block (default).
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Conexões de entrada
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.3.2
        CIS WS2019 9.3.2
= 1
(Registry)
Crítico
Firewall do Windows: público: log: registrar em log os pacotes removidos
(AZ-WIN-202237)
Descrição: use esta opção para fazer logon quando o Firewall do Windows com Segurança Avançada descartar um pacote de entrada por qualquer motivo. O log registra o motivo e quando o pacote foi removido. Procure entradas com a palavra DROP na coluna de ação do log. O estado recomendado para essa configuração é: Yes.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Log\Registrar pacotes removidos
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.3.9
        CIS WS2019 9.3.9
= 1
(Registry)
Informativo
Firewall do Windows: público: log: registrar em log as conexões bem-sucedidas
(AZ-WIN-202233)
Descrição: use esta opção para registrar quando o Firewall do Windows com Segurança Avançada permitir uma conexão de entrada. O log registra por que e quando a conexão foi formada. Procure entradas com a palavra ALLOW na coluna de ação do log. O estado recomendado para essa configuração é: Yes.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Log\Registrar conexões bem-sucedidas
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.3.10
        CIS WS2019 9.3.10
= 1
(Registry)
Aviso
Firewall do Windows: público: log: nome
(AZ-WIN-202235)
Descrição: use esta opção para especificar o caminho e o nome do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: %SystemRoot%\System32\logfiles\firewall\publicfw.log.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Log\Nome
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.3.7
        CIS WS2019 9.3.7
= %SystemRoot%\System32\logfiles\firewall\publicfw.log
(Registry)
Informativo
Firewall do Windows: público: log: limite de tamanho (KB)
(AZ-WIN-202236)
Descrição: use esta opção para especificar limite de tamanho do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: 16,384 KB or greater.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Log\Limite de tamanho (KB)
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 9.3.8
        CIS WS2019 9.3.8
>= 16384
(Registry)
Informativo
Firewall do Windows: Público: Conexões de saída
(CCE-37434-8)
Descrição: essa definição especifica o comportamento das conexões de saída que não correspondem a uma regra de firewall de saída. O comportamento padrão é permitir conexões, a menos que haja regras de firewall que bloqueiem a conexão. Importante: se você definir conexões de saída para bloquear e, em seguida, implantar a política de firewall usando um GPO, os computadores que recebem as configurações de GPO não poderão receber atualizações de Política de Grupo subsequentes, a menos que você crie e implante uma regra de saída que permita que Política de Grupo funcione. Regras predefinidas para rede principal incluem regras de saída que permitem que Política de Grupo funcionem. Verifique se essas regras de saída estão ativas e teste exaustivamente os perfis de firewall antes de implantar.
Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Allow (default):
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Conexões de saída
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.3.3
= 0
(Registry)
Crítico
Firewall do Windows: Público: Configurações: Aplicar regras de segurança de conexão local
(CCE-36268-1)
Descrição:

Essa definição controla se os administradores locais têm permissão para criar regras de conexão locais que são aplicadas junto com as regras de firewall configuradas pela Política de Grupo para o perfil Público. O estado recomendado para essa configuração é "Sim"; isto definirá o valor do registro como 1.


Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Configurações\Aplicar regras de segurança de conexão local
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.3.6
= 1
(Registry)
Crítico
Firewall do Windows: Público: Configurações: Aplicar regras de firewall local
(CCE-37861-2)
Descrição:

Essa definição controla se os administradores locais têm permissão para criar regras de firewall locais que são aplicadas junto com as regras de firewall configuradas pela Política de Grupo para o perfil Público.

O estado recomendado para essa configuração é Sim, o valor do registro será definido como 1.


Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Configurações\Aplicar regras de firewall local
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.3.5
Não existe ou = 1
(Registry)
Crítico
Firewall do Windows: Público: Configurações: Exibir uma notificação
(CCE-38043-6)
Descrição:

Ao selecionar essa opção, nenhuma notificação será exibida ao usuário quando um programa for impedido de receber conexões de entrada. Em um ambiente de servidor, as pop-ups não são úteis, pois os usuários não estão conectados; as pop-ups não são necessárias e podem confundir o administrador.  

Defina essa configuração de política como "Não"; isto definitá o valor do registro como 1.  O Firewall do Windows não exibirá uma notificação quando um programa for impedido de receber conexões de entrada.


Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Configurações\Exibir uma notificação
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 9.3.4
= 1
(Registry)
Aviso

Políticas de Auditoria do Sistema – Logon de Conta

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria da validação de credenciais
(CCE-37741-6)
Descrição:

Essa subcategoria relata os resultados de testes de validação em credenciais enviadas para uma solicitação de logon da conta de usuário. Esses eventos ocorrem no computador que é autoritativo para as credenciais. Para contas de domínio, o controlador de domínio é autoritativo; já para contas locais, o computador local é autoritativo. Em ambientes de domínio, a maioria dos eventos de Logon de conta ocorre no Log de segurança dos controladores de domínio que são autoritativos para as contas de domínio. Contudo, esses eventos podem ocorrer em outros computadores da organização quando contas locais forem usadas para fazer logon. Os eventos para essa subcategoria incluem: - 4774: uma conta foi mapeada para logon. - 4775: não foi possível mapear uma conta para logon. - 4776: o controlador de domínio tentou validar as credenciais de uma conta. - 4777: o controlador de domínio não conseguiu validar as credenciais de uma conta. O estado recomendado para essa configuração é: “Sucesso e Falha”.


Caminho da chave: {0CCE923F-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Success and Failure:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon de Conta\Auditar a validação de credenciais

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93153
        STIG WS2016 V-73413
        CIS WS2019 17.1.1
        CIS WS2022 17.1.1
= Sucesso e falha
(Auditar)
Crítico
Auditoria do serviço de autenticação Kerberos
(AZ-WIN-00004)
Descrição: esta subcategoria relata os resultados dos eventos gerados após uma solicitação TGT de autenticação Kerberos. Kerberos é um serviço de autenticação distribuída que permite que um cliente em execução em nome de um usuário prove sua identidade para um servidor sem enviar dados pela rede. Isso ajuda a reduzir um invasor ou servidor de representar um usuário. – 4768: um TGT (tíquete de autenticação Kerberos) foi solicitado. – 4771: falha na pré-autenticação Kerberos. – 4772: falha na solicitação de tíquete de autenticação Kerberos. O estado recomendado para essa configuração é: Success and Failure.
Caminho da chave: {0CCE9242-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon de Conta\Auditar o Serviço de Autenticação Kerberos
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.1.2
        CIS WS2019 17.1.2
>= Sucesso e falha
(Auditar)
Crítico

Políticas de Auditoria do Sistema – Gerenciamento de Contas

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria do gerenciamento do grupo de distribuição
(CCE-36265-7)
Descrição: esta subcategoria relata cada evento de gerenciamento de grupo de distribuição, como quando um grupo de distribuição é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de distribuição. Se você habilitar essa configuração de diretiva de auditoria, os administradores poderão acompanhar eventos para detectar a criação de contas de grupo mal intencionadas, acidentais e autorizadas. Os eventos para essa subcategoria incluem: – 4744: um grupo global desabilitado para segurança foi criado. – 4745: um grupo local desabilitado para segurança foi alterado. – 4746: um membro foi adicionado a um grupo global desabilitado para segurança. – 4747: um membro foi removido de um grupo global desabilitado para segurança. – 4748: um grupo local desabilitado para segurança foi excluído. – 4749: um grupo global desabilitado para segurança foi criado. – 4750: um grupo global desabilitado para segurança foi alterado. – 4751: um membro foi adicionado a um grupo global desabilitado para segurança. - 4752: um membro foi removido de um grupo global desabilitado para segurança. – 4753: um grupo global desabilitado para segurança foi excluído. – 4759: um grupo universal desabilitado para segurança foi criado. – 4760: um grupo universal desabilitado para segurança foi alterado. – 4761: um membro foi adicionado a um grupo universal desabilitado para segurança. – 4762: um membro foi removido de um grupo global desabilitado para segurança. – 4763: um grupo universal desabilitado para segurança foi excluído. O estado recomendado para essa configuração é: Success.
Caminho da chave: {0CCE9238-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Gerenciamento de Conta\Auditar o gerenciamento de grupo de distribuição
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.2.3
        CIS WS2019 17.2.3
>= Sucesso
(Auditar)
Crítico
Auditoria de outros eventos de gerenciamento de conta
(CCE-37855-4)
Descrição: essa subcategoria relata outros eventos de gerenciamento de conta. Os eventos para essa subcategoria incluem: — 4782: o hash de senha que uma conta foi acessada. — 4793: a API de verificação da política de senha foi chamada. Consulte o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE923A-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Success:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Gerenciamento de Conta\Auditar outros eventos de gerenciamento de conta
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.2.4
>= Sucesso
(Auditar)
Crítico
Auditoria de gerenciamento do grupo de distribuição
(CCE-38034-5)
Descrição: essa subcategoria relata cada evento de gerenciamento de grupo de segurança, como quando um grupo de segurança é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de segurança. Se você habilitar essa configuração de diretiva de auditoria, os administradores poderão acompanhar eventos para detectar a criação de contas de grupo de segurança maliciosas, acidentais e autorizadas. Os eventos para essa subcategoria incluem: - 4727: um grupo global habilitado para segurança foi criado. - 4728: um membro foi adicionado a um grupo global habilitado para segurança. - 4729: um membro foi removido de um grupo global habilitado para segurança. - 4730: um grupo global habilitado para segurança foi excluído. - 4731: um grupo local habilitado para segurança foi criado. - 4732: um membro foi adicionado a um grupo global habilitado para segurança. - 4733: um membro foi removido de um grupo global habilitado para segurança. - 4734: um grupo local habilitado para segurança foi excluído. - 4735: um grupo local habilitado para segurança foi alterado. - 4737: um grupo global habilitado para segurança foi alterado. - 4754: um grupo universal habilitado para segurança foi criado. - 4755: um grupo universal habilitado para segurança foi alterado. - 4756: um membro foi adicionado a um grupo universal habilitado para segurança. - 4757: um membro foi removido de um grupo global habilitado para segurança. - 4758: um grupo universal habilitado para segurança foi excluído. - 4764: o tipo de um grupo foi alterado. O estado recomendado para essa configuração é: Success and Failure.
Caminho da chave: {0CCE9237-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Success:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Gerenciamento de Conta\Auditar o gerenciamento de grupo de segurança
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.2.5
>= Sucesso
(Auditar)
Crítico
Auditoria de gerenciamento de conta de usuário
(CCE-37856-2)
Descrição: essa subcategoria relata cada evento de gerenciamento de conta de usuário, como quando uma conta de usuário é criada, alterada ou excluída; uma conta de usuário é renomeada, desabilitada ou habilitada; ou uma senha é definida ou alterada. Se você habilitar essa configuração de diretiva de auditoria, os administradores poderão acompanhar eventos para detectar a criação de contas de grupo de segurança mal intencionadas, acidentais e autorizadas. Os eventos para essa subcategoria incluem: - 4720: uma conta de usuário foi criada. - 4722: a conta foi ativada. - 4723: foi feita uma tentativa de alterar a senha de uma conta. - 4724: foi feita uma tentativa de alterar a senha de uma conta. - 4725: a conta de usuário foi desabilitada. - 4726: a conta de usuário foi excluída. - 4738: a conta de usuário foi excluída. - 4740: uma conta de usuário foi bloqueada. - 4765: o histórico de SID foi adicionado a uma conta. - 4766: uma tentativa de adicionar o histórico de SID a uma conta falhou. - 4767: uma conta de usuário foi desbloqueada. - 4780: a ACL foi definida em contas que são membros de grupos de administradores. - 4781: o nome de uma conta foi alterado: - 4794: foi feita uma tentativa de definir o Modo de Restauração dos Serviços de Diretório. - 5376: o backup das credenciais do Gerenciador de credenciais foi feito. - 5377: as credenciais do Gerenciador de credenciais foram restauradas de um backup. O estado recomendado para essa configuração é: Success and Failure.
Caminho da chave: {0CCE9235-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Success and Failure:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Gerenciamento de Conta\Auditar o gerenciamento de conta de usuário

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-92981
        STIG WS2016 V-73427
        CIS WS2019 17.2.6
        CIS WS2022 17.2.6
= Sucesso e falha
(Auditar)
Crítico

Políticas de Auditoria do Sistema – Acompanhamento Detalhado

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria das atividades PNP
(AZ-WIN-00182)
Descrição: essa configuração de política permite que você audite quando o plug and play detecta um dispositivo externo. O estado recomendado para essa configuração é: Success. Observação: um sistema operacional Windows 10, Server 2016 ou superior é necessário para acessar e definir esse valor em Política de Grupo.
Caminho da chave: {0CCE9248-69AE-11D9-BED3-505054503030}
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Auditoria: forçar configurações de subcategoria de política de auditoria (Windows Vista ou posterior) para substituir as configurações da categoria da política de auditoria

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.3.1
        CIS WS2022 17.3.1
>= Sucesso
(Auditar)
Crítico
Auditoria do processo de criação
(CCE-36059-4)
Descrição: essa subcategoria relata a criação de um processo e o nome do programa ou usuário que o criou. Os eventos para essa subcategoria incluem: - 4688: um novo processo foi criado. - 4696: um token primário foi atribuído ao processo. Confira o artigo 947226 da Base de Dados de Conhecimento da Microsoft para obter as informações mais recentes sobre essa configuração. O estado recomendado para essa configuração é: Success.
Caminho da chave: {0CCE922B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Success:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acompanhamento Detalhado\Auditar a criação de processo

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93173
        STIG WS2016 V-73433
        CIS WS2019 17.3.2
        CIS WS2022 17.3.2
>= Sucesso
(Auditar)
Crítico

Políticas de auditoria do sistema – Acesso do DS

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria de acesso do serviço de diretório
(CCE-37433-0)
Descrição: esta subcategoria relata quando um objeto AD DS é acessado. Somente objetos com SACLs fazem com que eventos de auditoria sejam gerados e somente quando eles são acessados de uma maneira que corresponda ao SACL. Estes eventos são semelhantes aos eventos de acesso ao serviço de diretório em versões anteriores do Windows Server. Esta subcategoria se aplica somente aos Controladores de domínio. Os eventos para essa subcategoria incluem: – 4662: uma operação foi executada em um objeto. O estado recomendado para essa configuração é: Failure.
Caminho da chave: {0CCE923B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso ao DS\Auditar o acesso ao serviço de diretório
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.4.1
        CIS WS2019 17.4.1
>= Com falha
(Auditar)
Crítico
Auditoria de mudanças do serviço de diretório
(CCE-37616-0)
Descrição: esta subcategoria relata alterações em objetos no AD DS (Active Directory Domain Services). Os tipos de alterações relatadas são operações de criação, modificação, movimentação e cancelamento da exclusão que são executadas em um objeto. A auditoria de alterações de DS, quando apropriado, indicará os valores antigos e novos das propriedades alteradas dos objetos que foram alterados. Somente objetos com SACLs fazem com que eventos de auditoria sejam gerados e somente quando eles são acessados de uma maneira que corresponda ao SACL. Alguns objetos e propriedades não fazem com que eventos de auditoria sejam gerados devido a configurações na classe de objeto no esquema. Esta subcategoria se aplica somente aos Controladores de domínio. Os eventos para essa subcategoria incluem: – 5136: um objeto de serviço de diretório foi modificado. – 5137: um objeto de serviço de diretório foi criado. – 5138 : um objeto do serviço de diretório teve a exclusão cancelada. – 5139 : um objeto do serviço de diretório foi movido. O estado recomendado para essa configuração é: Success.
Caminho da chave: {0CCE923C-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso ao DS\Auditar alterações no serviço de diretório
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.4.2
        CIS WS2019 17.4.2
>= Sucesso
(Auditar)
Crítico
Auditoria de replicação do serviço de diretório
(AZ-WIN-00093)
Descrição: esta subcategoria relata quando a replicação entre dois controladores de domínio começa e termina. Os eventos para essa subcategoria incluem: – 4932: a sincronização de uma réplica de um contexto de nomenclatura do Active Directory foi iniciada. – 4933: terminada a sincronização de uma réplica de um contexto de nomenclatura do Active Directory. Confira o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: http:--support.microsoft.com-default.aspx-kb-947226
Caminho da chave: {0CCE923D-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso ao DS\Auditar a replicação do serviço de diretório
Mapeamentos padrão de conformidade:
>= Sem auditoria
(Auditar)
Crítico

Políticas de Auditoria do Sistema – Logon-Logoff

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria de bloqueio de conta
(CCE-37133-6)
Descrição: essa subcategoria relata quando a conta de um usuário é bloqueada como resultado de muitas tentativas de logon com falha. Os eventos para essa subcategoria incluem: — 4625: uma conta falhou ao fazer logon. Consulte o artigo da base de conhecimentos da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE9217-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Failure:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Auditar o bloqueio de conta
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.5.1
>= Com falha
(Auditar)
Crítico
Auditoria da associação a um grupo
(AZ-WIN-00026)
Descrição: a associação de grupo de auditoria permite que você audite as associações de grupo quando elas são enumeradas no computador cliente. essa política permite auditar as informações de associação de grupo no token de logon do usuário. Os eventos nessa subcategoria são gerados no computador no qual a sessão de logon é criada. Para um logon interativo, o evento de auditoria de segurança é gerado no computador no qual o usuário fez logon. Para um logon de rede, por exemplo, ao acessar uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso. Você também deve habilitar a subcategoria Logon de Auditoria. Vários eventos são gerados caso as informações de associação a um grupo não caibam em um único evento de auditoria de segurança. Os eventos auditados incluem os seguintes: - 4627(S): informações de associação de grupo.
Caminho da chave: {0CCE9249-69AE-11D9-BED3-505054503030}
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Success:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Auditar a associação a um grupo
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.5.2
>= Sucesso
(Auditar)
Crítico
Auditoria de logoff
(CCE-38237-4)
Descrição:

Essa subcategoria relata quando um usuário faz logoff do sistema. Esses eventos ocorrem no computador acessado. Para logons interativos, a geração desses eventos ocorre no computador em que está feito o logon. Se for feito um logon de rede para acessar um compartilhamento, esses eventos são gerados no computador que hospeda o recurso acessado. Se você definir essa configuração como Sem auditoria, será difícil ou impossível determinar qual usuário acessou ou tentou acessar os computadores da organização. Os eventos para essa subcategoria incluem: - 4634: uma conta fez logoff. - 4647: logoff iniciado pelo usuário. O estado recomendado para essa configuração é: “Sucesso”.


Caminho da chave: {0CCE9216-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Success:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Auditar o logoff

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93171
        STIG WS2016 V-73449
        CIS WS2019 17.5.3
        CIS WS2022 17.5.3
>= Sucesso
(Auditar)
Crítico
Auditoria de logon
(CCE-38036-0)
Descrição:

Essa subcategoria relata quando um usuário tenta fazer logon no sistema. Esses eventos ocorrem no computador acessado. Para logons interativos, a geração desses eventos ocorre no computador em que está feito o logon. Se for feito um logon de rede para acessar um compartilhamento, esses eventos são gerados no computador que hospeda o recurso acessado. Se você definir essa configuração como Sem auditoria, será difícil ou impossível determinar qual usuário acessou ou tentou acessar os computadores da organização. Os eventos para essa subcategoria incluem: - 4624: uma conta fez logon com sucesso. - 4625: falha no logon de uma conta. - 4648: houve uma tentativa de logon usando credenciais explícitas. - 4675: os SIDs foram filtrados. O estado recomendado para essa configuração é: “Sucesso e Falha”.


Caminho da chave: {0CCE9215-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Success and Failure:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Auditar o logon

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-92967
        STIG WS2016 V-73451
        CIS WS2019 17.5.4
        CIS WS2022 17.5.4
= Sucesso e falha
(Auditar)
Crítico
Auditoria de outros eventos de logon/logoff
(CCE-36322-6)
Descrição: essa subcategoria relata outros eventos relacionados ao logon/logoff, como desconexões e reconexões de sessão de serviços de terminal, usando o RunAs para executar processos em uma conta diferente, bloqueando e desbloqueando uma estação de trabalho. Os eventos para essa subcategoria incluem: — 4649: foi detectado um ataque de reprodução. — 4778: uma sessão foi reconectada a uma estação de janela. — 4779: uma sessão foi desconectada de uma estação de janela. — 4800: a estação de trabalho foi bloqueada. — 4801: a estação de trabalho foi desbloqueada. — 4802: a proteção de tela foi invocada. — 4803: a proteção de tela foi ignorada. — 5378: a delegação de credenciais solicitada não foi permitida pela política. — 5632: foi feita uma solicitação para autenticar em uma rede sem fio. — 5633: uma solicitação foi feita para autenticar a uma rede com fio. Consulte o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE921C-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Success and Failure:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Auditar outros logons\Eventos de logoff
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.5.5
= Sucesso e falha
(Auditar)
Crítico
Auditoria de logon especial
(CCE-36266-5)
Descrição: essa subcategoria informa quando um logon especial é usado. Um logon especial é um logon que tem privilégios equivalentes ao de administrador e pode ser usado para elevar um processo a um nível mais alto. Os eventos para essa subcategoria incluem: - 4964: grupos especiais foram atribuídos a um novo logon. O estado recomendado para essa configuração é: Success.
Caminho da chave: {0CCE921B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Success:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Auditar logon especial

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93161
        STIG WS2016 V-73455
        CIS WS2019 17.5.6
        CIS WS2022 17.5.6
>= Sucesso
(Auditar)
Crítico

Políticas de Auditoria do Sistema – Acesso a Objetos

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria de compartilhamento de arquivos detalhado
(AZ-WIN-00100)
Descrição: esta subcategoria permite que você audite tentativas de acessar arquivos e pastas em uma pasta compartilhada. Os eventos esta subcategoria incluem: – 5145: o objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado. O estado recomendado para esta configuração é: Failure
Caminho da chave: {0CCE9244-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso de objeto\Auditar compartilhamento de arquivo detalhado
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.6.1
        CIS WS2019 17.6.1
>= Com falha
(Auditar)
Crítico
Auditoria de compartilhamento de arquivos
(AZ-WIN-00102)
Descrição: esta configuração de política permite que você audite tentativas de acessar uma pasta compartilhada. O estado recomendado para essa configuração é: Success and Failure. Observação: não há SACLs (listas de controle de acesso do sistema) para pastas compartilhadas. Se essa configuração de política estiver habilitada, o acesso a todas as pastas compartilhadas no sistema será auditado.
Caminho da chave: {0CCE9224-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso de objeto\Auditar compartilhamento de arquivo
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.6.2
        CIS WS2019 17.6.2
= Sucesso e falha
(Auditar)
Crítico
Auditoria de outros eventos de acesso ao objeto
(AZ-WIN-00113)
Descrição: essa subcategoria relata outros eventos relacionados ao acesso a objetos, como trabalhos do Agendador de tarefas e objetos COM+. Os eventos para essa subcategoria incluem: — 4671: um aplicativo tentou acessar um ordinal bloqueado por meio do TBS. — 4691: o acesso indireto a um objeto foi solicitado. — 4698: uma tarefa agendada foi criada. — 4699: uma tarefa agendada foi excluída. — 4700: uma tarefa agendada foi habilitada. — 4701: uma tarefa agendada foi desabilitada. — 4702: uma tarefa agendada foi atualizada. — 5888: um objeto no catálogo COM+ foi modificado. — 5889: um objeto foi excluído do catálogo COM+. — 5890: um objeto foi adicionado ao catálogo COM+. Consulte o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE9227-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Success and Failure:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso de objeto\Auditar outros eventos de acesso de objeto
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.6.3
= Sucesso e falha
(Auditar)
Crítico
Auditoria do armazenamento removível
(CCE-37617-8)
Descrição: essa configuração de política permite auditar tentativas do usuário de acessar objetos do sistema de arquivos em um dispositivo de armazenamento removível. Somente um evento de auditoria de segurança é gerado para todos os objetos para todos os tipos de acesso solicitados. Se você definir essa configuração de política, um evento de auditoria será gerado sempre que uma conta acessar um objeto do sistema de arquivos em um armazenamento removível. Auditorias com êxito registram tentativas bem-sucedidas e auditorias com falha registram tentativas malsucedidas. Se você não definir essa configuração de política, nenhum evento de auditoria será gerado quando uma conta acessar um objeto do sistema de arquivos em um armazenamento removível. O estado recomendado para essa configuração é: Success and Failure. Observação: um sistema operacional Windows 8, Server 2012 (não R2) ou superior é necessário para acessar e definir esse valor em Política de Grupo.
Caminho da chave: {0CCE9245-69AE-11D9-BED3-505054503030}
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Success and Failure:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso de objeto\Auditar armazenamento removível

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93167
        STIG WS2016 V-73457
        CIS WS2019 17.6.4
        CIS WS2022 17.6.4
= Sucesso e falha
(Auditar)
Crítico

Políticas de Auditoria do Sistema – Alteração de Política

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria da mudança na política de autenticação
(CCE-38327-3)
Descrição: essa subcategoria relata as alterações na política de autenticação. Os eventos para essa subcategoria incluem: — 4706: uma nova relação de confiança foi criada para um domínio. — 4707: uma relação de confiança com um domínio foi removida. — 4713: a política do Kerberos foi alterada. — 4716: informações de domínio confiável foram modificadas. — 4717: o acesso à segurança do sistema foi concedido a uma conta. — 4718: o acesso à segurança do sistema foi removido de uma conta. — 4739: a política de domínio foi alterada. — 4864: foi detectada uma colisão de namespace. — 4865: uma entrada de informações de floresta confiável foi adicionada. — 4866: uma entrada de informações de floresta confiável foi removida. — 4867: uma entrada de informações de floresta confiável foi modificada. Consulte o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE9230-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Success:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração de Política\Auditar alterações de política de autenticação
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.7.2
>= Sucesso
(Auditar)
Crítico
Auditoria da mudança na política de autorização
(CCE-36320-0)
Descrição: essa subcategoria relata as alterações na política de autorização. Os eventos para essa subcategoria incluem: – 4704: um direito do usuário foi atribuído. – 4705: um direito do usuário foi removido. – 4706: uma nova relação de confiança foi criada para um domínio. – 4707: uma relação de confiança com um domínio foi removida. – 4714: a política de recuperação de dados criptografados foi alterada. O estado recomendado para essa configuração é: Success.
Caminho da chave: {0CCE9231-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração de Política\Auditar alterações de política de autorização
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.7.3
        CIS WS2019 17.7.3
>= Sucesso
(Auditar)
Crítico
Auditoria da mudança na política de nível de regra MPSSVC
(AZ-WIN-00111)
Descrição: essa subcategoria relata as alterações nas regras de política usadas pelo serviço de proteção da Microsoft (MPSSVC.exe). Esse serviço é usado pelo firewall do Windows e pelo Microsoft OneCare. Os eventos para essa subcategoria incluem: — 4944: a política a seguir estava ativa quando o firewall do Windows foi iniciado. — 4945: uma regra foi listada quando o firewall do Windows foi iniciado. — 4946: uma alteração foi feita na lista de exceções do firewall do Windows. Uma regra foi adicionada. — 4947: uma alteração foi feita na lista de exceções do firewall do Windows. Uma regra foi modificada. — 4948: uma alteração foi feita na lista de exceções do firewall do Windows. Uma regra foi excluída. — 4949: as configurações do firewall do Windows foram restauradas para os valores padrão. — 4950: uma configuração de firewall do Windows foi alterada. — 4951: uma regra foi ignorada porque seu número de versão principal não foi reconhecido pelo firewall do Windows. — 4952: partes de uma regra foram ignoradas porque seu número de versão principal não foi reconhecido pelo firewall do Windows. As demais partes da regra serão executadas. — 4953: uma regra foi ignorada pelo firewall do Windows porque não pôde analisar a regra. — 4954: as configurações de Política de Firewall do Windows foram alteradas. Novas configurações foram aplicadas. — 4956: o Firewall do Windows alterou o perfil ativo. — 4957: o Firewall do Windows não aplicou a seguinte regra: — 4958: o Firewall do Windows não aplicou a seguinte regra porque a regra se referia a itens não configurados neste computador: confira o artigo da base de conhecimentos da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE9232-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Success and Failure:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração de Política\Auditar alteração de política no nível da regra do MPSSVC
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.7.4
= Sucesso e falha
(Auditar)
Crítico
Auditoria de outros eventos de mudança de política
(AZ-WIN-00114)
Descrição: esta subcategoria contém eventos sobre alterações na política do Agente de Recuperação de Dados do EFS, alterações no filtro da Plataforma para Filtros do Windows, status sobre as atualizações de configurações da política de segurança da Política de Grupo local, alterações na Política de Acesso Central e eventos detalhados de solução de problemas para operações de CNG (Cryptographic Next Generation). – 5063: foi tentada uma operação de provedor criptográfico. – 5064: foi tentada uma operação de contexto criptográfico. – 5065: foi tentada uma alteração do contexto criptográfico. – 5066: foi tentada uma operação de função criptográfica. – 5067: foi tentada uma alteração da função criptográfica. – 5068: foi tentada uma operação do provedor de função criptográfica. – 5069: foi tentada uma operação de propriedade de função criptográfica. – 5070: foi tentada uma alteração da propriedade de função criptográfica. – 6145: um ou mais erros ocorreram durante o processamento da política de segurança nos objetos de política de grupo. O estado recomendado para essa configuração é: Failure.
Caminho da chave: {0CCE9234-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração de Política\Auditar outros eventos de alteração de política
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.7.5
        CIS WS2019 17.7.5
>= Com falha
(Auditar)
Crítico
Auditoria de alteração de política
(CCE-38028-7)
Descrição: essa subcategoria relata alterações na política de auditoria, incluindo alterações de SACL. Os eventos para essa subcategoria incluem: — 4715: a política de auditoria (SACL) em um objeto foi alterada. — 4719: a política de auditoria do sistema foi alterada. — 4902: a tabela de política de auditoria por usuário foi criada. — 4904: foi feita uma tentativa de registrar uma fonte de eventos de segurança. — 4905: foi feita uma tentativa de cancelar o registro de uma fonte de eventos de segurança. — 4906: o valor de CrashOnAuditFail foi alterado. — 4907: as configurações de auditoria no objeto foram alteradas. — 4908: tabela de logon de grupos especiais modificada. — 4912: a política de auditoria do sistema foi alterada. Consulte o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE922F-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração de Política\Auditar alteração de política de auditoria
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.7.1
>= Sucesso
(Auditar)
Crítico

Políticas de Auditoria do Sistema – Uso de Privilégios

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria do uso de privilégios confidenciais
(CCE-36267-3)
Descrição: essa subcategoria relata quando uma conta de usuário ou serviço usa um privilégio confidencial. Um privilégio confidencial inclui os seguintes direitos de usuário: atuar como parte do sistema operacional, fazer backup de arquivos e diretórios, criar um objeto de token, depurar programas, habilitar contas de computador e de usuário para serem confiáveis para delegação, gerar auditorias de segurança, representar um cliente após autenticação, carregar e descarregar drivers de dispositivo, gerenciar auditoria e log de segurança, mudar os valores de ambiente de firmware, restaurar arquivos e diretórios e apropriar-se de arquivos ou outros objetos. A auditoria dessa subcategoria criará um alto volume de eventos. Os eventos para essa subcategoria incluem: — 4672: privilégios especiais atribuídos a um novo logon. — 4673: um serviço com privilégios foi chamado. — 4674: uma operação foi tentada em um objeto com privilégios. Consulte o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE9228-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Success and Failure:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Uso Privilegiado\Auditar o uso privilegiado
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.8.1
= Sucesso e falha
(Auditar)
Crítico

Políticas de Auditoria do Sistema – Sistema

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Auditoria do driver IPsec
(CCE-37853-9)
Descrição: esta subcategoria relata as atividades do driver IPsec (internet protocol security). Os eventos para esta subcategoria incluem: – 4960: IPsec derrubou um pacote de entrada que falhou em uma verificação de integridade. Se esse problema persistir, ele poderá indicar um problema de rede ou que os pacotes estão sendo modificados em trânsito para este computador. Verifique se os pacotes enviados do computador remoto são iguais aos recebidos por este computador. Esse erro também pode indicar problemas de interoperabilidade com outras implementações IPsec. – 4961: o IPsec derrubou um pacote de entrada que falhou em uma verificação de reprodução. Se esse problema persistir, poderá indicar um ataque de reprodução contra este computador. – 4962: o IPsec derrubou um pacote de entrada que falhou em uma verificação de reprodução. O pacote de entrada tinha um número de sequência muito baixo para garantir que não fosse uma reprodução. – 4963: o IPsec retirou um pacote de texto claro de entrada que deveria ter sido protegido. Isso geralmente ocorre devido ao computador remoto alterar sua política IPsec sem informar o computador. Também pode ser uma tentativa de ataque de falsificação. – 4965: o IPsec recebeu um pacote de um computador remoto com um SPI (Índice de Parâmetro de Segurança) incorreto. Geralmente é causado por hardware com defeito que está corrompendo pacotes. Se esses erros persistirem, verifique se os pacotes enviados do computador remoto são iguais aos recebidos por este computador. Também pode indicar problemas de interoperabilidade com outras implementações IPsec. Nesse caso, se a conectividade não for impedida, esses eventos poderão ser ignorados. – 5478: os Serviços IPsec foram iniciados com êxito. – 5479: os Serviços IPsec foram desligados com êxito. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque de rede ou expor o computador a possíveis riscos de segurança. – 5480: os Serviços IPsec falharam ao obter a lista completa de interfaces de rede no computador. Representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in do Monitor de Segurança IP para diagnosticar o problema. – 5483: falha nos Serviços IPsec ao inicializar o servidor RPC. Os Serviços IPsec não puderam ser iniciados. – 5484: os Serviços IPsec sofreram uma falha crítica e foram desligados. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque de rede ou expor o computador a possíveis riscos de segurança. – 5485: os Serviços IPsec falharam ao processar alguns filtros IPsec em um evento plug-and-play para interfaces de rede. Representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in do Monitor de Segurança IP para diagnosticar o problema. O estado recomendado para essa configuração é: Success and Failure.
Caminho da chave: {0CCE9213-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Auditar o driver IPsec
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.9.1
        CIS WS2019 17.9.1
>= Sucesso e falha
(Auditar)
Crítico
Auditoria de outros eventos do sistema
(CCE-38030-3)
Descrição: esta subcategoria relata outros eventos do sistema. Os eventos para esta subcategoria incluem: – 5024 : o Serviço de Firewall do Windows foi iniciado com êxito. – 5025: o Serviço do Firewall do Windows interrompido. – 5027: o Serviço de Firewall do Windows não pôde recuperar a política de segurança do armazenamento local. O serviço continuará executando a diretiva atual. – 5028: o Serviço do Firewall do Windows foi incapaz de analisar a nova diretiva de segurança. O serviço continuará com a diretiva atualmente executada. – 5029: o Serviço de Firewall do Windows não pôde inicializar o driver. O serviço continuará executando a diretiva atual. – 5030: não foi possível iniciar o Serviço do Firewall do Windows. – 5032: o Firewall do Windows não pôde notificar o usuário de que bloqueou um aplicativo para aceitar as conexões recebidas na rede. – 5033: o Driver do Firewall do Windows iniciado com sucesso. – 5034: o Driver do Firewall do Windows foi interrompido. – 5035: o Driver do Firewall do Windows falhou ao inicializar. – 5037: o Driver do Firewall do Windows detectou um erro crítico de tempo de execução. Terminação. – 5058: operação do arquivo de chave. – 5059: operação de migração da chave. O estado recomendado para essa configuração é: Success and Failure.
Caminho da chave: {0CCE9214-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Auditar outros eventos do sistema
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 17.9.2
        CIS WS2019 17.9.2
= Sucesso e falha
(Auditar)
Crítico
Auditoria da mudança no estado de segurança
(CCE-38114-5)
Descrição: essa subcategoria relata as alterações no estado de segurança do sistema, como quando o subsistema de segurança é iniciado e interrompido. Os eventos para essa subcategoria incluem: — 4608: o Windows está sendo inicializado. — 4609: o Windows está sendo desligado. — 4616: a hora do sistema foi alterada. — 4621: o administrador recuperou o sistema do CrashOnAuditFail. Os usuários que não forem administradores agora terão permissão para fazer logon. Algumas atividades auditáveis podem não ter sido registradas. Consulte o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE9210-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Success:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Auditar alteração de estado de segurança
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.9.3
>= Sucesso
(Auditar)
Crítico
Auditoria da extensão do sistema de segurança
(CCE-36144-4)
Descrição: essa subcategoria relata o carregamento do código de extensão, como pacotes de autenticação pelo subsistema de segurança. Os eventos para essa subcategoria incluem: — 4610: um pacote de autenticação foi carregado pela autoridade de segurança local. — 4611: um processo de logon confiável foi registrado com a autoridade de segurança local. — 4614: um pacote de notificação foi carregado pelo Gerenciador de contas de segurança. — 4622: um pacote de segurança foi carregado pela autoridade de segurança local. — 4697: um serviço foi instalado no sistema. Consulte o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE9211-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Success:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Auditar extensão do sistema
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.9.4
>= Sucesso
(Auditar)
Crítico
Auditoria da integridade do sistema
(CCE-37132-8)
Descrição: essa subcategoria relata violações de integridade do subsistema de segurança. Os eventos para essa subcategoria incluem: — 4612: recursos internos alocados para o enfileiramento de mensagens de auditoria foram esgotados, levando à perda de algumas auditorias. — 4615: uso inválido da porta LPC. — 4618: ocorreu um padrão de evento de segurança monitorado. — 4816: o RPC detectou uma violação de integridade ao descriptografar uma mensagem de entrada. — 5038: a integridade do código determinou que o hash da imagem de um arquivo não é válido. O arquivo pode estar corrompido devido a uma modificação não autorizada ou o hash inválido pode indicar um possível erro de dispositivo de disco. — 5056: um autoteste de criptografia foi executado. — 5057: falha em uma operação de criptografia primitiva. — 5060: falha na operação de verificação. — 5061: operação de criptografia. — 5062: um autoteste de criptografia de modo kernel foi executado. Consulte o artigo de conhecimento da Microsoft "Descrição dos eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Caminho da chave: {0CCE9212-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como 'Êxito e Falha':
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Auditar a integridade do sistema
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 17.9.5
= Sucesso e falha
(Auditar)
Crítico

Atribuição de Direitos do Usuário

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Acessar Gerenciador de credenciais como chamador confiável
(CCE-37056-9)
Descrição: essa configuração de segurança é usada pelo Gerenciador de credenciais durante o backup e a restauração. Nenhuma conta deve ter esse direito de usuário, pois ele só é atribuído ao Winlogon. As credenciais salvas dos usuários poderão ser comprometidas se esse direito de usuário for atribuído a outras entidades. O estado recomendado para essa configuração é: No One.
Caminho da chave: [Privilege Rights]SeTrustedCredManAccessPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No One:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Gerenciador de Credenciais de Acesso como um chamador confiável

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93049
        STIG WS2016 V-73729
        CIS WS2019 2.2.1
        CIS WS2022 2.2.1
= Ninguém
(Policy)
Aviso
Acesso a este computador da rede
(CCE-35818-4)
Descrição:

Essa configuração de política permite que outros usuários na rede se conectem ao computador e é requerida por vários protocolos de rede que incluem protocolos baseados em SMB, NetBIOS, CIFS (Common Internet File System) e COM+ (Component Object Model Plus). - Nível 1 – Controlador de domínio. O estado recomendado para essa configuração é: “Administradores, usuários autenticados, CONTROLADORES DE DOMÍNIO DA EMPRESA”. - Nível 1 – Servidor membro. O estado recomendado para essa configuração é: “Administradores, usuários autenticados”.


Caminho da chave: [Privilege Rights]SeNetworkLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Acessar este computador na rede

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-92995
        STIG WS2016 V-73731
        CIS WS2019 2.2.3
        CIS WS2022 2.2.3
<= Administradores, Usuários autenticados
(Policy)
Crítico
Atuar como parte do sistema operacional
(CCE-36876-1)
Descrição: essa configuração de política permite que um processo assuma a identidade de qualquer usuário e, assim, tenha acesso aos recursos que o usuário está autorizado a acessar. O estado recomendado para essa configuração é: No One.
Caminho da chave: [Privilege Rights]SeTcbPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No One:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Agir como parte do sistema operacional

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93051
        STIG WS2016 V-73735
        CIS WS2019 2.2.4
        CIS WS2022 2.2.4
= Ninguém
(Policy)
Crítico
Permitir logon localmente
(CCE-37659-0)
Descrição: essa configuração de política determina quais usuários podem fazer logon interativamente em computadores em seu ambiente. Os logons iniciados pressionando a sequência de teclas CTRL + ALT + DEL no teclado do computador cliente exigem esse direito de usuário. Os usuários que tentam fazer logon por meio dos serviços de terminal ou do IIS também exigem esse direito de usuário. A conta de convidado recebe esse direito de usuário por padrão. Embora essa conta esteja desabilitada por padrão, a Microsoft recomenda que você habilite essa configuração por meio da Política de Grupo. No entanto, esse direito de usuário geralmente deve ser restrito aos grupos Administradores e usuários. Atribua esse direito de usuário ao grupo Operadores de backup se sua organização exigir que ele tenha essa capacidade. Ao configurar um direito de usuário no SCM, insira uma lista de contas delimitada por vírgula. As contas podem ser locais ou localizadas no Active Directory, podem ser grupos, usuários ou computadores.
Caminho da chave: [Privilege Rights]SeInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Permitir logon localmente
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.2.7
= Administradores
(Policy)
Crítico
Permitir logon por meio dos Serviços de Área de Trabalho Remota
(CCE-37072-6)
Descrição:

Essa configuração de política determina quais usuários ou grupos têm o direito de fazer logon como um cliente de Serviços de terminal. Os usuários da área de trabalho remota requerem esse direito de usuário. Caso sua organização use a Assistência remota como parte de sua estratégia de suporte técnico, crie um grupo e atribua a ele esse usuário diretamente por meio de Política de Grupo. Caso o suporte técnico da sua organização não use a Assistência remota, atribua esse direito somente ao grupo Administradores ou use o recurso grupos restritos para garantir que nenhuma conta de usuário faça parte do grupo de Usuários da Área de Trabalho Remota. Restrinja esse direito de usuário ao grupo de Administradores e, possivelmente, ao grupo de Usuários da Área de Trabalho Remota, para impedir que usuários indesejados obtenham acesso aos computadores em sua rede por meio do recurso de Assistência remota. - Nível 1 – Controlador de domínio. O estado recomendado para essa configuração é: “Administradores”. - Nível 1 – Servidor membro. O estado recomendado para essa configuração é: “Administradores, Usuários da Área de Trabalho Remota”. Observação: um Servidor membro que contenha a função Serviços de Área de Trabalho Remota com o serviço de função do Agente de Conexão de Área de Trabalho Remota exigirá uma exceção especial a essa recomendação para permitir que o grupo "Usuários autenticados" seja concedido a esse direito de usuário. Observação 2: as listas acima devem ser tratadas como listas de permitidos, o que implica que as entidades de entidades acima não precisam estar presentes para que a avaliação dessa recomendação seja aprovada.


Caminho da chave: [Privilege Rights]SeRemoteInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Permitir logon por meio dos Serviços de Área de Trabalho Remota

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-92997
        STIG WS2016 V-73741
        CIS WS2019 2.2.8
        CIS WS2022 2.2.8
        CIS WS2019 2.2.9
        CIS WS2022 2.2.9
<= Administradores, Usuários da Área de Trabalho Remota
(Policy)
Crítico
Fazer backup de arquivos e pastas
(CCE-35912-5)
Descrição: essa configuração de política permite que os usuários contornem permissões de arquivo e diretório para fazer backup do sistema. Esse direito de usuário é habilitado somente quando um aplicativo (como o NTBACKUP) tenta acessar um arquivo ou diretório por meio da API (interface de programação de aplicativo) de backup do sistema de arquivos NTFS. Caso contrário, as permissões de arquivo e diretório atribuídas serão aplicadas. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeBackupPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators.
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Fazer backup de arquivos e diretórios

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93053
        STIG WS2016 V-73743
        CIS WS2019 2.2.10
        CIS WS2022 2.2.10
<= Administradores, operadores de backup, operadores de servidor
(Policy)
Crítico
Ignorar a verificação completa
(AZ-WIN-00184)
Descrição: essa configuração de política permite que os usuários que não têm a permissão de acesso de Pasta de Passagem passem por pastas quando navegam por um caminho de objeto no sistema de arquivos NTFS ou no registro. Esse direito de usuário não permite que os usuários listem o conteúdo de uma pasta. Ao configurar um direito de usuário no SCM, insira uma lista de contas delimitada por vírgula. As contas podem ser locais ou localizadas no Active Directory, podem ser grupos, usuários ou computadores.
Caminho da chave: [Privilege Rights]SeChangeNotifyPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: configurar o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Ignorar verificação de passagem para incluir apenas as seguintes contas ou grupos: Administrators, Authenticated Users, Backup Operators, Local Service, Network Service
Mapeamentos padrão de conformidade:
<= Administradores, Usuários autenticados, Operadores de backup, Serviço local, Serviço de rede
(Policy)
Crítico
Alterar a hora do sistema
(CCE-37452-0)
Descrição: essa configuração de política determina quais usuários e grupos podem alterar a hora e a data no relógio interno dos computadores em seu ambiente. Os usuários que recebem esse direito de usuário podem afetar a aparência dos logs de eventos. Quando a configuração de hora de um computador é alterada, os eventos registrados refletem a nova hora, não a hora real em que os eventos ocorreram. Ao configurar um direito de usuário no SCM, insira uma lista de contas delimitada por vírgula. As contas podem ser locais ou localizadas no Active Directory, podem ser grupos, usuários ou computadores. Observação: as discrepâncias entre a hora no computador local e os controladores de domínio em seu ambiente podem causar problemas para o protocolo de autenticação Kerberos, o que pode tornar impossível para os usuários fazer logon no domínio ou obter autorização para acessar recursos de domínio depois de serem conectados. Além disso, ocorrerão problemas quando a Política de Grupo for aplicada a computadores cliente se a hora do sistema não estiver sincronizada com os controladores de domínio. O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE.
Caminho da chave: [Privilege Rights]SeSystemtimePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators, LOCAL SERVICE:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Alterar a hora do sistema

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.2.11
        CIS WS2022 2.2.11
<= Administradores, Operadores de servidor, Serviço local
(Policy)
Crítico
Alterar o fuso horário
(CCE-37700-2)
Descrição: essa configuração determina quais usuários podem alterar o fuso horário do computador. Essa capacidade não tem um grande perigo para o computador e pode ser útil para trabalhadores móveis. O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE.
Caminho da chave: [Privilege Rights]SeTimeZonePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators, LOCAL SERVICE:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Alterar o fuso horário

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.2.12
        CIS WS2022 2.2.12
<= Administradores, Serviço local
(Policy)
Crítico
Criar um arquivo de página
(CCE-35821-8)
Descrição: essa configuração de política permite que os usuários alterem o tamanho do arquivo de paginação. Ao tornar o arquivo de paginação extremamente grande ou extremamente pequeno, um invasor pode afetar facilmente o desempenho de um computador comprometido. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeCreatePagefilePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Criar um arquivo de página

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93055
        STIG WS2016 V-73745
        CIS WS2019 2.2.13
        CIS WS2022 2.2.13
= Administradores
(Policy)
Crítico
Criar um objeto token
(CCE-36861-3)
Descrição: essa configuração de política permite que um processo crie um token de acesso, que pode fornecer direitos elevados para acessar dados confidenciais. O estado recomendado para essa configuração é: No One.
Caminho da chave: [Privilege Rights]SeCreateTokenPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No One:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Criar um objeto de token

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93057
        STIG WS2016 V-73747
        CIS WS2019 2.2.14
        CIS WS2022 2.2.14
= Ninguém
(Policy)
Aviso
Create global objects
(CCE-37453-8)
Descrição: essa configuração de política determina se os usuários podem criar objetos globais que estão disponíveis para todas as sessões. Os usuários ainda podem criar objetos específicos para sua própria sessão se não tiverem esse direito de usuário. Os usuários que podem criar objetos globais poderiam afetar os processos executados em sessões de outros usuários. Esse recurso pode gerar vários problemas, como falha de aplicativo ou corrupção de dados. O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Observação: um servidor membro com Microsoft SQL Server e seu componente opcional "Integration Services" instalado exigirá uma exceção especial para essa recomendação para que as entradas adicionais geradas pelo SQL recebam esse direito de usuário.
Caminho da chave: [Privilege Rights]SeCreateGlobalPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Criar objetos globais

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93059
        STIG WS2016 V-73749
        CIS WS2019 2.2.15
        CIS WS2022 2.2.15
<= Administradores, Serviço, Serviço local, Serviço de rede
(Policy)
Aviso
Criar objetos compartilhados permanentemente
(CCE-36532-0)
Descrição: esse direito de usuário é útil para componentes do modo kernel que estendem o namespace do objeto. No entanto, os componentes executados no modo kernel têm esse direito de usuário inerentemente. Portanto, normalmente não é necessário atribuir esse direito de usuário especificamente. O estado recomendado para essa configuração é: No One.
Caminho da chave: [Privilege Rights]SeCreatePermanentPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No One:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Criar objetos compartilhados permanentes

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93061
        STIG WS2016 V-73751
        CIS WS2019 2.2.16
        CIS WS2022 2.2.16
= Ninguém
(Policy)
Aviso
Criar vínculos simbólicos
(CCE-35823-4)
Descrição:

Essa configuração de política determina quais usuários podem criar links simbólicos. No Windows Vista, os objetos do sistema de arquivos NTFS existentes, como arquivos e pastas, podem ser acessados referindo-se a um novo tipo de objeto do sistema de arquivos chamado de link simbólico. Um link simbólico é um ponteiro (muito parecido com um atalho ou um arquivo. lnk) para outro objeto do sistema de arquivos, o qual pode ser um arquivo, uma pasta, um atalho ou outro link simbólico. A diferença entre um atalho e um link simbólico é que um atalho funciona apenas dentro do shell do Windows. Para outros programas e aplicativos, os atalhos são apenas outro arquivo, ao passo que, com links simbólicos, o conceito de um atalho é implementado como um recurso do sistema de arquivos NTFS. Os links simbólicos podem potencialmente expor vulnerabilidades de segurança em aplicativos que não foram projetados para usá-los. Por esse motivo, o privilégio de criar links simbólicos só deve ser atribuído a usuários confiáveis. Por padrão, somente Administradores podem criar links simbólicos. - Nível 1 – Controlador de domínio. O estado recomendado para essa configuração é: “Administradores”. - Nível 1 – Servidor membro. O estado recomendado para essa configuração é: “Administradores” e (quando a Função Hyper-V estiver instalada) “NT VIRTUAL MACHINE\Virtual Machines”.


Caminho da chave: [Privilege Rights]SeCreateSymbolicLinkPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para implementar o estado de configuração recomendado por GP, defina o seguinte caminho de interface do usuário:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Criar links simbólicos

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93063
        STIG WS2016 V-73753
        CIS WS2019 2.2.17
        CIS WS2022 2.2.17
        CIS WS2019 2.2.18
        CIS WS2022 2.2.18
<= Administradores, Máquina virtual NT\Máquinas virtuais
(Policy)
Crítico
Depurar programas
(AZ-WIN-73755)
Descrição: esta configuração de política determina quais contas de usuário terão o direito de anexar um depurador a qualquer processo ou ao kernel, que fornece acesso completo a componentes confidenciais e críticos do sistema operacional. Os desenvolvedores que estão depurando seus próprios aplicativos não precisam receber esse direito de usuário. No entanto, os desenvolvedores que estiverem depurando novos componentes do sistema precisarão dele. O estado recomendado para essa configuração é: Administrators. Observação: este direito de usuário é considerado um "privilégio confidencial" para fins de auditoria.
Caminho da chave: [Privilege Rights]SeDebugPrivilege
SO: WS2016, WS2019
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Programas de depuração
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.2.19
        CIS WS2019 2.2.19
= Administradores
(Policy)
Crítico
Negar acesso a este computador pela rede
(CCE-37954-5)
Descrição:

Essa configuração de política proíbe que os usuários se conectem a um computador por meio da rede, o que permitiria que eles acessassem e potencialmente modificassem os dados remotamente. Em ambientes de alta segurança, não deve ser preciso que usuários remotos acessem dados em um computador. Em vez disso, o compartilhamento de arquivos deve ser realizado pelo uso de servidores de rede. - Nível 1 – Controlador de domínio. O estado recomendado para essa configuração é: “Convidados, Conta local”. - Nível 1 – Servidor de membro. O estado recomendado para essa configuração é: “Convidados, Conta local e membro do grupo Administradores”. Cuidado: configurar um servidor autônomo (não ingressado no domínio), conforme descrito acima, pode resultar na incapacidade de administrar remotamente o servidor. Observação: configurar um servidor membro ou servidor autônomo, conforme descrito acima, pode afetar negativamente os aplicativos que criam uma conta de serviço local e a colocam no grupo Administradores – nesse caso, você deve converter o aplicativo para usar uma conta de serviço hospedada no domínio ou remover a conta local e o membro do grupo Administradores dessa Atribuição de direito de usuário. Usar uma conta de serviço hospedada em domínio é altamente preferível ao fazer uma exceção a essa regra, sempre que possível.


Caminho da chave: [Privilege Rights]SeDenyNetworkLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Negar acesso a este computador pela rede

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-92999
        STIG WS2016 V-73757
        CIS WS2019 2.2.20
        CIS WS2022 2.2.20
        CIS WS2019 2.2.21
        CIS WS2022 2.2.21
>= Convidados
(Policy)
Crítico
Negar o logon como um trabalho em lotes
(CCE-36923-1)
Descrição: essa configuração de política determina quais contas não poderão fazer logon no computador como um trabalho em lotes. Um trabalho em lotes não é um arquivo de lote (.bat), mas sim um recurso de fila de lote. As contas que usam o Agendador de Tarefas para agendar trabalhos precisam desse direito de usuário. O direito de usuário Negar logon como um trabalho em lotes substitui o direito de usuário Fazer logon como um trabalho em lotes, que pode ser usado para permitir que contas agendem trabalhos que consomem recursos excessivos do sistema. Essa ocorrência poderia causar uma condição de DoS. A falha ao atribuir esse direito de usuário às contas recomendadas pode ser um risco de segurança. O estado recomendado para essa configuração é: Guests.
Caminho da chave: [Privilege Rights]SeDenyBatchLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Guests:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Negar logon como um trabalho em lotes

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93001
        STIG WS2016 V-73761
        CIS WS2019 2.2.22
        CIS WS2022 2.2.22
>= Convidados
(Policy)
Crítico
Negar o logon como um serviço
(CCE-36877-9)
Descrição: essa configuração de segurança determina quais contas de serviço não podem registrar um processo como um serviço. Essa configuração de política substitui a configuração de política de Logon como um serviço se uma conta estiver sujeita a ambas as políticas. O estado recomendado para essa configuração é: Guests. Observação: essa configuração de segurança não se aplica às contas do sistema, serviço local ou serviço de rede.
Caminho da chave: [Privilege Rights]SeDenyServiceLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Guests:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Negar logon como um serviço

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93003
        STIG WS2016 V-73765
        CIS WS2019 2.2.23
        CIS WS2022 2.2.23
>= Convidados
(Policy)
Crítico
Negar o logon localmente
(CCE-37146-8)
Descrição: essa configuração de segurança determina quais usuários não podem fazer logon no computador. Essa configuração de política substitui a configuração de política de Logon como um serviço se uma conta estiver sujeita a ambas as políticas. Importante: se você aplicar essa política de segurança ao grupo Todos, ninguém poderá fazer logon localmente. O estado recomendado para essa configuração é: Guests.
Caminho da chave: [Privilege Rights]SeDenyInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário para incluir Guests:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Negar logon localmente

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93017
        STIG WS2016 V-73739
        CIS WS2019 2.2.24
        CIS WS2022 2.2.24
>= Convidados
(Policy)
Crítico
Negar o logon por meio dos Serviços de Área de Trabalho Remota
(CCE-36867-0)
Descrição: essa configuração de política determina se os usuários podem fazer logon como clientes de serviços de terminal. Depois que o servidor membro de linha de base é adicionado a um ambiente de domínio, não é necessário usar contas locais para acessar o servidor da rede. As contas de domínio podem acessar o servidor para administração e processamento do usuário final. O estado recomendado para essa configuração é: Guests, Local account. Cuidado: configurar um servidor autônomo (não ingressado no domínio), conforme descrito acima, pode resultar na incapacidade de administrar remotamente o servidor.
Caminho da chave: [Privilege Rights]SeDenyRemoteInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Negar logon por meio dos Serviços de Área de Trabalho Remota
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.2.26
>= Convidados
(Policy)
Crítico
Permitir que contas de computador e usuário sejam confiáveis para delegação
(CCE-36860-5)
Descrição:

Essa configuração de política permite que os usuários alterem a configuração Confiável para delegação em um objeto de computador no Active Directory. O abuso desse privilégio pode permitir que usuários não autorizados representem outros usuários na rede. - Nível 1 – Controlador de domínio. O estado recomendado para essa configuração é: “Administradores” – Nível 1 – Servidor Membro. O estado recomendado para essa configuração é: “Ninguém”.


Caminho da chave: [Privilege Rights]SeEnableDelegationPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Permitir que contas de computador e de usuário sejam confiáveis para delegação

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93041
        STIG WS2016 V-73777
        CIS WS2019 2.2.28
        CIS WS2022 2.2.28
= Ninguém
(Policy)
Crítico
Forçar o desligamento a partir de um sistema remoto
(CCE-37877-8)
Descrição: essa configuração de política permite que os usuários desliguem computadores baseados no Windows Vista de locais remotos na rede. Qualquer pessoa que tenha sido atribuída a esse direito de usuário pode causar uma condição de DoS (negação de serviço), o que tornaria o computador indisponível para atender às solicitações de usuário. Portanto, é recomendável que apenas administradores altamente confiáveis sejam atribuídos a esse direito de usuário. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeRemoteShutdownPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Forçar desligamento por meio de um sistema remoto

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93067
        STIG WS2016 V-73781
        CIS WS2019 2.2.29
        CIS WS2022 2.2.29
= Administradores
(Policy)
Crítico
Gerar auditorias de segurança
(CCE-37639-2)
Descrição: essa configuração de política determina quais usuários ou processos podem gerar registros de auditoria no Log de Segurança. O estado recomendado para essa configuração é: LOCAL SERVICE, NETWORK SERVICE. Observação: um servidor membro que mantém a função do servidor Web (IIS) com o serviço de função do servidor Web exigirá uma exceção especial para essa recomendação, para permitir que os pools de aplicativos do IIS recebam esse direito de usuário. Observação nº 2: um servidor membro que mantém a função de serviços de Federação do Active Directory (AD FS) exigirá uma exceção especial para essa recomendação, para permitir que os serviços NT SERVICE\ADFSSrv e NT SERVICE\DRS, bem como a conta de serviço serviços de Federação do Active Directory (AD FS) associada, recebam esse direito de usuário.
Caminho da chave: [Privilege Rights]SeAuditPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como LOCAL SERVICE, NETWORK SERVICE:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Gerar auditorias de segurança

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93069
        STIG WS2016 V-73783
        CIS WS2019 2.2.30
        CIS WS2022 2.2.30
<= Serviço local, Serviço de rede, IIS APPPOOL\DefaultAppPool
(Policy)
Crítico
Aumentar um conjunto de trabalho de processo
(AZ-WIN-00185)
Descrição: esse privilégio determina quais contas de usuário podem aumentar ou diminuir o tamanho do conjunto de trabalho de um processo. O conjunto de trabalho de um processo é o conjunto de páginas de memória visíveis no momento para o processo na memória RAM física. Essas páginas são residentes e estão disponíveis para um aplicativo usar sem disparar uma falha de página. Os tamanhos mínimo e máximo do conjunto de trabalho afetam o comportamento de paginação da memória virtual de um processo. Ao configurar um direito de usuário no SCM, insira uma lista de contas delimitada por vírgula. As contas podem ser locais ou localizadas no Active Directory, podem ser grupos, usuários ou computadores.
Caminho da chave: [Privilege Rights]SeIncreaseWorkingSetPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Aumentar um conjunto de trabalho de processo
Mapeamentos padrão de conformidade:
<= Administradores, Serviço local
(Policy)
Aviso
Aumentar prioridade de agendamento
(CCE-38326-5)
Descrição: essa configuração de política determina se os usuários podem aumentar a classe de prioridade base de um processo. (Não é uma operação privilegiada para aumentar a prioridade relativa dentro de uma classe de prioridade.) Esse direito de usuário não é exigido pelas ferramentas administrativas que são fornecidas com o sistema operacional, mas podem ser exigidas pelas ferramentas de desenvolvimento de software. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeIncreaseBasePriorityPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators, Window Manager\Window Manager Group:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Aumentar prioridade de agendamento

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93073
        STIG WS2016 V-73787
        CIS WS2019 2.2.33
        CIS WS2022 2.2.33
= Administradores
(Policy)
Aviso
Carregar e descarregar drivers de dispositivo
(CCE-36318-4)
Descrição: essa configuração de política permite que os usuários carreguem dinamicamente um novo driver de dispositivo em um sistema. Um invasor pode potencialmente usar esse recurso para instalar código mal intencionado que parece ser um driver de dispositivo. Esse direito de usuário é necessário para que os usuários adicionem impressoras locais ou drivers de impressora no Windows Vista. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeLoadDriverPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Carregar e descarregar drivers de dispositivo

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93075
        STIG WS2016 V-73789
        CIS WS2019 2.2.34
        CIS WS2022 2.2.34
<= Administradores, Operadores de impressora
(Policy)
Aviso
Bloquear páginas na memória
(CCE-36495-0)
Descrição: essa política determina quais contas podem usar um processo para manter dados na memória física, impedindo que o sistema faça a paginação dos dados para a memória virtual em disco. Se esse direito de usuário for atribuído, a degradação significativa do desempenho do sistema poderá ocorrer. O estado recomendado para essa configuração é: No One.
Caminho da chave: [Privilege Rights]SeLockMemoryPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No One:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Bloquear páginas na memória

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93077
        STIG WS2016 V-73791
        CIS WS2019 2.2.35
        CIS WS2022 2.2.35
= Ninguém
(Policy)
Aviso
Gerenciar a auditoria e o log de segurança
(CCE-35906-7)
Descrição:

Essa configuração de política determina quais usuários podem alterar as opções de auditoria para arquivos e diretórios e limpar o log de Segurança. Para ambientes que executam o Microsoft Exchange Server, o grupo “Servidores do Exchange” deve ter esse privilégio em Controladores de Domínio para funcionar corretamente. Com base nisso, os DCs que concedem esse privilégio ao grupo "Servidores do Exchange" estão em conformidade com esse parâmetro de comparação. Caso o ambiente não use o Microsoft Exchange Server, esse privilégio deverá ser limitado somente a “Administradores” em DCs. - Nível 1 – Controlador de domínio.O estado recomendado para essa configuração é: “Administradores” e (quando o Exchange estiver em execução no ambiente) “Servidores do Exchange”. - Nível 1 – Servidor membro. O estado recomendado para essa configuração é: “Administradores”.


Caminho da chave: [Privilege Rights]SeSecurityPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Gerenciar log de auditoria e de segurança

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93197
        STIG WS2016 V-73793
        CIS WS2019 2.2.37
        CIS WS2022 2.2.37
        CIS WS2019 2.2.38
        CIS WS2022 2.2.38
= Administradores
(Policy)
Crítico
Modificar um rótulo de objeto
(CCE-36054-5)
Descrição: esse privilégio determina quais contas de usuário podem modificar o rótulo de integridade de objetos, como arquivos, chaves do registro ou processos pertencentes a outros usuários. Processos em execução em uma conta de usuário podem modificar o rótulo de um objeto pertencente a esse usuário para um nível inferior sem esse privilégio. O estado recomendado para essa configuração é: No One.
Caminho da chave: [Privilege Rights]SeRelabelPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como No One:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Modificar um rótulo de objeto

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.2.39
        CIS WS2022 2.2.39
= Ninguém
(Policy)
Aviso
Modificar valores de ambiente de firmware
(CCE-38113-7)
Descrição: essa configuração de política permite que os usuários configurem as variáveis de ambiente de todo o sistema que afetam a configuração de hardware. Essas informações normalmente são armazenadas na última configuração válida conhecida. A modificação desses valores pode causar uma falha de hardware que resultaria em uma condição de negação de serviço. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [direitos de privilégio]SeSystemEnvironmentPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Modificar valores de ambiente de firmware

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93079
        STIG WS2016 V-73795
        CIS WS2019 2.2.40
        CIS WS2022 2.2.40
= Administradores
(Policy)
Aviso
Executar tarefas de manutenção de volume
(CCE-36143-6)
Descrição: essa configuração de política permite que os usuários gerenciem o volume ou a configuração de disco do sistema, o que pode permitir que um usuário exclua um volume e cause a perda de dados, bem como uma condição de negação de serviço. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeManageVolumePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Executar tarefas de manutenção de volume

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93081
        STIG WS2016 V-73797
        CIS WS2019 2.2.41
        CIS WS2022 2.2.41
= Administradores
(Policy)
Aviso
Traçar um perfil de um único processo
(CCE-37131-0)
Descrição: essa configuração de política determina quais usuários podem usar ferramentas para monitorar o desempenho de processos que não são do sistema. Normalmente, você não precisa configurar esse direito de usuário para usar o snap-in de desempenho do MMC (console de gerenciamento Microsoft). No entanto, você precisará desse direito de usuário se o monitor do sistema estiver configurado para coletar dados usando Instrumentação de Gerenciamento do Windows (WMI). A restrição do direito de usuário de processo único de perfil impede que intrusos obtenham informações adicionais que poderiam ser usadas para montar um ataque no sistema. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeProfileSingleProcessPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Criar perfil de processo único

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93083
        STIG WS2016 V-73799
        CIS WS2019 2.2.42
        CIS WS2022 2.2.42
= Administradores
(Policy)
Aviso
Traçar um perfil do desempenho do sistema
(CCE-36052-9)
Descrição: essa configuração de política permite que os usuários usem ferramentas para exibir o desempenho de diferentes processos do sistema, o que pode permitir que os invasores determinem os processos ativos do sistema e forneçam informações sobre a possível superfície de ataque do computador. O estado recomendado para essa configuração é: Administrators, NT SERVICE\WdiServiceHost.
Caminho da chave: [Privilege Rights]SeSystemProfilePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators, NT SERVICE\WdiServiceHost:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Criar perfil de desempenho do sistema

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.2.43
        CIS WS2022 2.2.43
<= Administradores, Serviço NT\WdiServiceHost
(Policy)
Aviso
Substituir um token de nível de processo
(CCE-37430-6)
Descrição: essa configuração de política permite que um processo ou serviço inicie outro serviço ou processo com um token de acesso de segurança diferente, que pode ser usado para modificar o token de acesso de segurança desse subprocesso e resultar no escalonamento de privilégios. O estado recomendado para essa configuração é: LOCAL SERVICE, NETWORK SERVICE. Observação: um servidor membro que mantém a função do servidor Web (IIS) com o serviço de função do servidor Web exigirá uma exceção especial para essa recomendação, para permitir que os pools de aplicativos do IIS recebam esse direito de usuário. Observação nº 2: um servidor membro com Microsoft SQL Server instalado exigirá uma exceção especial para essa recomendação para que as entradas adicionais geradas pelo SQL recebam esse direito de usuário.
Caminho da chave: [Privilege Rights]SeAssignPrimaryTokenPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como LOCAL SERVICE, NETWORK SERVICE:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Substituir um token no nível do processo

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.2.44
        CIS WS2022 2.2.44
<= Serviço local, Serviço de rede
(Policy)
Aviso
Restaurar arquivos e diretórios
(CCE-37613-7)
Descrição: essa configuração de política determina quais usuários podem ignorar o arquivo, o diretório, o registro e outras permissões de objeto persistentes ao restaurar arquivos e diretórios de backup em computadores que executam o Windows Vista em seu ambiente. Esse direito de usuário também determina quais usuários podem definir entidades de segurança válidas como proprietários de objeto; é semelhante ao direito de usuário fazer backup de arquivos e diretórios. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeRestorePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Restaurar arquivos e diretórios
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.2.45
<= Administradores, Operadores de Backup
(Policy)
Aviso
Desligar o sistema
(CCE-38328-1)
Descrição: essa configuração de política determina quais usuários e grupos conectados localmente aos computadores no seu ambiente têm permissão para desligar o sistema operacional com o comando Desligar. O uso indevido desse direito de usuário pode resultar em uma condição de negação de serviço. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeShutdownPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Desligar o sistema

Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 2.2.46
        CIS WS2022 2.2.46
<= Administradores, Operadores de Backup
(Policy)
Aviso
Apropriar-se de arquivos ou de outros objetos
(CCE-38325-7)
Descrição: essa configuração de política permite que os usuários se apropriem de arquivos, pastas, chaves de registro, processos ou threads. O direito do usuário ignora todas as permissões que estão em vigor para proteger objetos para dar propriedade ao usuário especificado. O estado recomendado para essa configuração é: Administrators.
Caminho da chave: [Privilege Rights]SeTakeOwnershipPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Administrators:
Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Assumir a propriedade de arquivos ou outros objetos

Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93087
        STIG WS2016 V-73803
        CIS WS2019 2.2.48
        CIS WS2022 2.2.48
= Administradores
(Policy)
Crítico
O direito do usuário Representar um cliente após o usuário de autenticação só pode ser atribuído a Administradores, Serviço, Serviço Local e Serviço de Rede.
(AZ-WIN-73785)
Descrição: a configuração de política permite que programas executados em nome de um usuário representem esse usuário (ou outra conta especificada) para que eles possam agir em nome do usuário. Se esse direito de usuário for necessário para este tipo de representação, um usuário não autorizado não poderá convencer um cliente a se conectar�por exemplo, por RPC (chamada de procedimento remoto) ou pipes nomeados�para um serviço que ele criou para representar esse cliente, o que poderia elevar as permissões do usuário não autorizado para níveis administrativos ou do sistema. Os serviços iniciados pelo Gerenciador de Controle de Serviço têm o grupo de serviços interno adicionado por padrão aos tokens de acesso. Os servidores COM iniciados pela infraestrutura COM e configurados para serem executados em uma conta específica também têm o grupo de serviços adicionado aos tokens de acesso. Como resultado, esses processos são atribuídos ao usuário logo quando são iniciados. Além disso, um usuário poderá representar um token de acesso se alguma das seguintes condições existir: – O token de acesso que está sendo representado é para esse usuário. – O usuário, nesta sessão de logon, fez logon na rede com credenciais explícitas para criar o token de acesso. – O nível solicitado é menor que Representação, como Anônimo ou Identificador. Um invasor com o direito de usuário de Representação de um cliente após autenticação pode criar um serviço, enganar um cliente para fazê-lo se conectar ao serviço e imitar esse cliente para elevar o nível de acesso do invasor ao acesso do cliente. O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Observação: este direito de usuário é considerado um "privilégio confidencial" para fins de auditoria. Observação 2: um servidor membro com Microsoft SQL Server e seu componente opcional "Integration Services" instalado exigirá uma exceção especial para essa recomendação para que as entradas adicionais geradas pelo SQL recebam esse direito de usuário.
Caminho da chave: [Privilege Rights]SeImpersonatePrivilege
SO: WS2016, WS2019
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Representar um cliente após a autenticação
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.2.31
        CIS WS2019 2.2.31
<= Administradores, Serviço, Serviço local, Serviço de rede
(Policy)
Importante

Componentes do Windows

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Permitir autenticação básica
(CCE-36254-1)
Descrição: essa configuração de política permite que você gerencie se o serviço WinRM (Windows Remote Management) aceita autenticação básica de um cliente remoto. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\WinRM (Gerenciamento Remoto do Windows)\Serviço do WinRM\Permitir a autenticação básica
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo WindowsRemoteManagement.admx/adml incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93507
        STIG WS2016 V-73599
        CIS WS2019 18.9.102.1.1
        CIS WS2022 18.9.102.2.1
Não existe ou = 0
(Registry)
Crítico
Permitir dados de diagnóstico
(AZ-WIN-00169)
Descrição: essa configuração de política determina a quantidade de dados de diagnóstico e de uso relatados à Microsoft. Um valor de 0 enviará dados mínimos para a Microsoft. Esses dados incluem a MSRT (Ferramenta de remoção de software mal intencionado) e dados do Windows Defender, se habilitados, e configurações do cliente de telemetria. Definir um valor de 0 aplica-se somente a dispositivos empresariais, do servidor, bem como EDU e IoT. A definição de um valor de 0 para outros dispositivos é equivalente à escolha de um valor de 1. Um valor de 1 envia apenas uma quantidade básica de dados de diagnóstico e de uso. Observe que definir valores de 0 ou 1 degradará determinadas experiências no dispositivo. Um valor de 2 envia dados avançados de diagnóstico e de uso. Um valor de 3 envia os mesmos dados que o valor de 2, além de dados de diagnóstico adicionais, incluindo os arquivos e o conteúdo que podem ter causado o problema. As configurações de telemetria do Windows 10 se aplicam ao sistema operacional Windows e a alguns aplicativos de terceiros. Essa configuração não se aplica a aplicativos de terceiros em execução no Windows 10. O estado recomendado para essa configuração é: Enabled: 0 - Security [Enterprise Only]. Observação: se a configuração "Permitir telemetria" estiver configurada como "0 - Segurança [somente empresa]", as opções em Windows Update para adiar atualizações e atualizações não terão nenhum efeito.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: Diagnostic data off (not recommended) ou Enabled: Send required diagnostic data:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Coleta de dados e builds de versão prévia\Permitir dados de diagnóstico
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Política de Grupo 'DataCollection.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 11 Versão 21H2 (ou mais recentes).
Observação nº 2: em Modelos Administrativos mais antigos do Microsoft Windows, essa configuração era chamada de Permitir a telemetria, mas foi renomeada para Permitir dados de diagnóstico dos Modelos Administrativos do Windows 11 Versão 21H2 em diante.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93257
        STIG WS2016 V-73551
        CIS WS2019 18.9.17.1
        CIS WS2022 18.9.17.1
>= 1
(Registry)
Aviso
Permitir a indexação de arquivos criptografados
(CCE-38277-0)
Descrição: essa configuração de política controla se itens criptografados podem ser indexados. Quando essa configuração é alterada, o índice é recriado completamente. A criptografia de volume completo (como Criptografia de Unidade de Disco BitLocker ou uma solução que não seja da Microsoft) deve ser usada para o local do índice para manter a segurança de arquivos criptografados. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Pesquisa\Permitir a indexação de arquivos criptografados
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo Search.admx/adml incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93415
        STIG WS2016 V-73581
        CIS WS2019 18.9.67.3
        CIS WS2022 18.9.67.3
Não existe ou = 0
(Registry)
Aviso
Permitir que contas da Microsoft sejam opcionais
(CCE-38354-7)
Descrição: essa configuração de política permite controlar se as contas da Microsoft são opcionais para aplicativos da Windows Store que exigem uma conta para entrada. Essa política afeta somente aplicativos da Windows Store que dão suporte a ele. Se você habilitar essa configuração de política, aplicativos da Windows Store que normalmente exigem uma conta Microsoft para entrar permitirá aos usuários entrar com uma conta da empresa em vez disso. Se você desabilitar ou não definir essa configuração de política, os usuários precisarão entrar com uma conta Microsoft.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional
OS: WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Runtime do aplicativo\Permitir que as contas Microsoft sejam opcionais
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'AppXRuntime.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.6.1
= 1
(Registry)
Aviso
Permitir o tráfego não criptografado
(CCE-38223-4)
Descrição: essa configuração de política permite que você gerencie se o serviço de WinRM (gerenciamento remoto do Windows) envia e recebe mensagens não criptografadas pela rede. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\WinRM (Gerenciamento Remoto do Windows)\Serviço do WinRM\Permitir tráfego não criptografado
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo WindowsRemoteManagement.admx/adml incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93499
        STIG WS2016 V-73601
        CIS WS2019 18.9.102.1.2
        CIS WS2022 18.9.102.1.2
        CIS WS2019 18.9.102.2.3
        CIS WS2022 18.9.102.2.3
Não existe ou = 0
(Registry)
Crítico
Permitir controle de usuário sobre instalações
(CCE-36400-0)
Descrição: permite aos usuários alterar as opções de instalação que normalmente estão disponíveis somente a administradores do sistema. Os recursos de segurança do Windows Installer evitarão que os usuários alterem as opções de instalação normalmente reservadas a administradores do sistema, como especificar o diretório de instalação de arquivos. Se o Windows Installer detectar que um pacote de instalação permitiu que o usuário alterasse uma opção protegida, ele interromperá a instalação e exibirá uma mensagem. Esses recursos de segurança operam somente quando o programa de instalação está sendo executado em um contexto de segurança privilegiado em que tem acesso aos diretórios negados ao usuário. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Installer\Permitir controle do usuário sobre instalações
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo MSI.admx/adml incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração era chamada Habilitar controle de usuário sobre instalações, mas foi renomeada a partir dos modelos administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93199
        STIG WS2016 V-73583
        CIS WS2019 18.9.90.1
        CIS WS2022 18.9.90.1
Não existe ou = 0
(Registry)
Crítico
Sempre instalar com privilégios elevados
(CCE-37490-0)
Descrição: essa configuração controla se o Windows Installer deve ou não usar permissões do sistema ao instalar qualquer programa no sistema. Observação: essa configuração de política é exibida nas pastas de Configuração do Computador e Configuração do Usuário. Para tornar essa configuração de política eficaz, habilite-a em ambas as pastas. Cuidado: usuários experientes podem tirar vantagem das permissões que essa configuração de política concede para alterar seus privilégios e obter acesso permanente a arquivos e pastas restritos. Observe que a versão de Configuração do Usuário dessa configuração de política não tem garantia de segurança. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Usuário\Políticas\Modelos Administrativos\Componentes do Windows\Windows Installer\Sempre instalar com privilégios elevados
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo MSI.admx/adml incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93201
        STIG WS2016 V-73585
        CIS WS2019 18.9.90.2
        CIS WS2022 18.9.90.2
Não existe ou = 0
(Registry)
Aviso
Sempre solicitar senha ao conectar
(CCE-37929-7)
Descrição: essa configuração de política especifica se os Serviços de Terminal sempre solicitarão uma senha ao computador cliente durante a conexão. Você pode usar essa configuração de política para impor um prompt de senha para os usuários que fazem logon nos serviços de terminal, mesmo que eles já tenham fornecido a senha no cliente Conexão de Área de Trabalho Remota. Por padrão, os Serviços de Terminal permitem que os usuários façam logon automaticamente inserindo uma senha no cliente de Conexão de Área de Trabalho Remota. Observação: se você não definir essa configuração de política, o administrador do computador local poderá usar a ferramenta Configuração de Serviços de terminal para permitir ou impedir que senhas sejam enviadas automaticamente.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Segurança\Sempre solicitar senha na conexão
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação nº 2: nos Modelos Administrativos do Microsoft Windows Vista, essa configuração era chamada de Sempre solicitar senha ao cliente na conexão, mas foi renomeada dos Modelos Administrativos do Windows Server 2008 (não R2) em diante.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.65.3.9.1
= 1
(Registry)
Crítico
Aplicativo: controlar o comportamento do log de eventos quando o arquivo de log atingir seu tamanho máximo
(CCE-37775-4)
Descrição: essa configuração de política controla o comportamento do log de eventos quando o arquivo de log atinge seu tamanho máximo. Se você habilitar essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos não serão gravados no log e serão perdidos. Se você desabilitar ou não definir essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos substituirão eventos antigos. Observação: eventos antigos podem ou não ser retidos de acordo com a configuração de política "Log de backup automático quando completo".
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Aplicativo\Controlar o comportamento do log de eventos quando o arquivo de log atingir o tamanho máximo
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração foi inicialmente chamada de Reter eventos antigos, mas foi renomeada a partir dos modelos administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.27.1.1
Não existe ou = 0
(Registry)
Crítico
Aplicativo: especificar o tamanho máximo do arquivo de log (KB)
(CCE-37948-7)
Descrição: essa configuração de política especifica o tamanho máximo do arquivo de log em quilobytes. Se você habilitar essa configuração de política, poderá configurar o tamanho máximo do arquivo de log para ser entre 1 megabyte (1.024 quilobytes) e 2 terabytes (2.147.483.647 quilobytes) em incrementos de quilobytes. Se você desabilitar ou não definir essa configuração de política, o tamanho máximo do arquivo de log será definido como o valor configurado localmente. Esse valor pode ser alterado pelo administrador local usando a caixa de diálogo Propriedades de Log e o padrão é 20 megabytes.
Key Path: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: 32,768 or greater:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Aplicativo\Especificar o tamanho máximo do arquivo de log (KB)
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração foi inicialmente chamada de Tamanho Máximo de Log (KB), mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.27.1.2
>= 32768
(Registry)
Crítico
Bloquear toda a autenticação de usuários de conta Microsoft de consumidores
(AZ-WIN-20198)
Descrição: esta configuração determina se aplicativos e serviços no dispositivo podem utilizar a nova autenticação de conta da Microsoft de consumidor por meio das APIs OnlineID e WebAccountManager do Windows. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth
SO: WS2016, WS2019
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Contas Microsoft\Bloquear a autenticação de todos os usuários de conta Microsoft de consumidor
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.46.1
        CIS WS2019 18.9.46.1
= 1
(Registry)
Crítico
Configurar a substituição de configuração local para relatar para a Microsoft MAPS
(AZ-WIN-00173)
Descrição: essa configuração de política define uma substituição local para a configuração para ingressar no Microsoft SpyNet. Essa configuração só pode ser definida pela Política de Grupo. Se você habilitar essa configuração, a configuração de preferência local terá prioridade sobre a Política de Grupo. Se você desabilitar ou não definir essa configuração, a Política de Grupo terá prioridade sobre a configuração de preferência local.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Defender Antivírus\MAPS\Definir substituição de configuração local para relatórios para o MAPS da Microsoft
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo WindowsDefender.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.47.4.1
        CIS WS2022 18.9.47.4.1
Não existe ou = 0
(Registry)
Aviso
Configurar o Windows SmartScreen
(CCE-35859-8)
Descrição: essa configuração de política permite que você gerencie o comportamento do Windows SmartScreen. O Windows SmartScreen ajuda a manter os PCs mais seguros, avisando os usuários antes de executar programas não reconhecidos baixados da Internet. Algumas informações são enviadas à Microsoft sobre arquivos e programas executados em computadores com esse recurso habilitado. Se você habilitar essa configuração de política, o comportamento do Windows SmartScreen poderá ser controlado definindo uma das seguintes opções: * Fornecer ao usuário um aviso antes de executar o software desconhecido baixado * Desativar o SmartScreen; se você desabilitar ou não definir essa configuração de política, o comportamento do Windows SmartScreen será gerenciado por administradores no computador usando as configurações do Windows SmartScreen em segurança e manutenção. Opções: * Fornecer um aviso ao usuário antes de executar o software desconhecido baixado * Desativar o SmartScreen
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: Avisar e impedir bypass: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Defender SmartScreen\Explorer\Configurar Windows Defender SmartScreen Observação: esse caminho da Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo WindowsExplorer.admx/adml incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente). Observação nº 2: em Modelos Administrativos mais antigos do Microsoft Windows, essa configuração era chamada de "Configurar o Windows SmartScreen", mas foi renomeada dos Modelos Administrativos do Windows 10 Versão 1703 em diante.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.85.1.1
= 1
(Registry)
Aviso
Detectar alteração da porta RDP padrão
(AZ-WIN-00156)
Descrição: essa configuração determina se a porta de rede que escuta as Conexões de Área de Trabalho Remota foi alterada do padrão 3389
Caminho da chave: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
caminho da Política de Grupo: não aplicável
Mapeamentos padrão de conformidade:
= 3389
(Registry)
Crítico
Desative o Serviço Windows Search
(AZ-WIN-00176)
Descrição: essa configuração do registro desabilita o serviço de pesquisa do Windows
Caminho da chave: System\CurrentControlSet\Services\Wsearch\Start
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
caminho da Política de Grupo: não aplicável
Mapeamentos padrão de conformidade:
Não existe ou = 4
(Registry)
Crítico
Não permitir reprodução automática para dispositivos que não sejam de volume
(CCE-37636-8)
Descrição: essa configuração de política não permite a Reprodução Automática para dispositivos MTP como câmeras ou telefones. Se você habilitar essa configuração de política, a Reprodução Automática não será permitida para dispositivos MTP como câmeras ou telefones. Se você desabilitar ou não definir essa configuração de política, a Reprodução Automática será habilitada para dispositivos não de volume.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Políticas de Reprodução Automática\Não permitir a Reprodução Automática para dispositivos sem volume
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'AutoPlay.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.8.1
= 1
(Registry)
Crítico
Não permitir a autenticação Digest
(CCE-38318-2)
Descrição: essa configuração de política permite que você gerencie se o cliente do WinRM (Windows Remote Management) usa a autenticação de código hash. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\WinRM (Gerenciamento Remoto do Windows)\Cliente do WinRM\Não permitir a autenticação resumida
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo WindowsRemoteManagement.admx/adml incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93505
        STIG WS2016 V-73597
        CIS WS2019 18.9.102.1.3
        CIS WS2022 18.9.102.1.3
= 0
(Registry)
Crítico
Não permitir que o WinRM armazene credenciais RunAs
(CCE-36000-8)
Descrição: essa configuração de política permite que você gerencie se o serviço de gerenciamento remoto do Windows (WinRM) não permitirá que credenciais RunAs sejam armazenadas para quaisquer plug-ins. Se você habilitar essa configuração de política, o serviço WinRM não permitirá que os valores de configuração RunAsUser ou RunAsPassword sejam definidos para quaisquer plug-ins. Se um plug-in já tiver definido os valores de configuração RunAsUser e RunAsPassword, o valor de configuração de RunAsPassword será apagado do repositório de credenciais neste computador. Se você desabilitar ou não definir essa configuração de política, o serviço WinRM permitirá que os valores de configuração RunAsUser e RunAsPassword sejam definidos para plug-ins e o valor RunAsPassword será armazenado com segurança. Se você habilitar e desabilitar essa configuração de política, todos os valores que foram previamente configurados para RunAsPassword precisarão ser redefinidos.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\WinRM (Gerenciamento Remoto do Windows)\Serviço do WinRM\Não permitir que o WinRM armazene credenciais de RunAs
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'WindowsRemoteManagement.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.102.2.4
= 1
(Registry)
Crítico
Não permitir que senhas sejam salvas
(CCE-36223-6)
Descrição: essa configuração de política ajuda a impedir que os clientes dos serviços de terminal salvem senhas em um computador. Observação: se essa configuração de política tiver sido configurada anteriormente como desabilitada ou não configurada, todas as senhas salvas anteriormente serão excluídas na primeira vez que um cliente de serviços de terminal se desconectar de qualquer servidor.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Cliente de Conexão da Área de Trabalho Remota\Não permitir que as senhas sejam salvas
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.65.2.2
= 1
(Registry)
Crítico
Não excluir pastas temporárias depois de sair
(CCE-37946-1)
Descrição: essa configuração de política especifica se serviços de área de trabalho remota retêm as pastas temporárias por sessão de um usuário no logoff. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Pastas Temporárias\Não excluir as pastas temporárias após a saída
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração era chamada Não excluir pasta temporária ao sair, mas foi renomeada a partir dos modelos administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.65.3.11.1
Não existe ou = 1
(Registry)
Aviso
Não exibir o botão de revelação de senha
(CCE-37534-5)
Descrição: essa configuração de política permite que você configure a exibição do botão de revelações de senha em experiências de usuário de entrada de senha. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Interface do Usuário de Credenciais\Não exibir o botão de revelação de senha
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'CredUI.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.16.1
= 1
(Registry)
Aviso
Não mostrar notificações de comentários
(AZ-WIN-00140)
Descrição: essa configuração de política permite que uma organização impeça que seus dispositivos mostrem perguntas de comentários da Microsoft. Se você habilitar essa configuração de política, os usuários não verão mais as notificações de comentários por meio do aplicativo de comentários do Windows. Se você desabilitar ou não definir essa configuração de política, os usuários poderão ver notificações por meio do aplicativo de comentários do Windows solicitando aos usuários comentários. Observação: se você desabilitar ou não definir essa configuração de política, os usuários poderão controlar a frequência com que recebem perguntas de comentários.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Coleta de dados e builds de versão prévia\Não mostrar notificações de comentários
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Política de Grupo 'FeedbackNotifications.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Versão 1511 (ou mais recentes).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.17.4
= 1
(Registry)
Crítico
Não usar pastas temporárias por sessão
(CCE-38180-6)
Descrição: por padrão, o Serviço de Área de Trabalho Remota cria uma pasta temporária separada no servidor host da Sessão RD para cada sessão ativa que um usuário mantém no servidor host da Sessão RD. A pasta temporária é criada no servidor de Host da Sessão RD em uma pasta Temp sob a pasta de perfil do usuário e é nomeada com a "sessionid". Essa pasta temporária é usada para armazenar arquivos temporários individuais. Para recuperar o espaço em disco, a pasta temporária é excluída quando o usuário faz logoff de uma sessão. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Pastas Temporárias\Não usar pastas temporárias por sessão
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.65.3.11.2
Não existe ou = 1
(Registry)
Crítico
Enumerar contas de administrador na elevação
(CCE-36512-2)
Descrição: essa configuração de política controla se as contas de administrador são exibidas quando um usuário tenta elevar um aplicativo em execução. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Interface de Credenciais do Usuário\Enumerar contas de administrador na elevação
Observação: esse caminho de Política de Grupo é fornecido pelo modelo CredUI.admx/adml da Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93517
        STIG WS2016 V-73487
        CIS WS2019 18.9.16.2
        CIS WS2022 18.9.16.2
Não existe ou = 0
(Registry)
Aviso
Impedir o download de compartimentos
(CCE-37126-0)
Descrição: essa configuração de política impede que compartimentos (anexos de arquivo) sejam baixados de um feed para o computador do usuário. O estado recomendado para essa configuração é: Enabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\RSS Feeds\Impedir o download de compartimentos
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'InetRes.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração era chamada Desativar download de gabinetes, mas foi renomeada a partir dos modelos administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.66.1
= 1
(Registry)
Aviso
Exigir comunicação RPC segura
(CCE-37567-5)
Descrição: especifica se um servidor Host da Sessão da Área de Trabalho Remota requer comunicação RPC segura com todos os clientes ou permite comunicação não segura. Você pode usar essa configuração para reforçar a segurança de comunicação RPC com clientes, permitindo somente solicitações autenticadas e criptografadas. Se o status for definido como habilitado, os Serviços de Área de Trabalho Remota aceitarão solicitações de clientes RPC que dão suporte a solicitações seguras e não permitirá comunicação segura com clientes não confiáveis. Se o status estiver definido como desabilitado, os serviços de área de trabalho remota sempre solicitarão a segurança para todo o tráfego RPC. No entanto, comunicação não protegida é permitida para clientes RPC que não responderam à solicitação. Se o status estiver definido como não configurado, comunicação não protegida será permitida. Observação: A interface RPC é usada para administrar e configurar serviços de área de trabalho remota.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Segurança\Exigir a comunicação RPC segura
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.65.3.9.2
= 1
(Registry)
Crítico
Exija autenticação de usuário para conexões remotas usando a Autenticação no Nível da Rede
(AZ-WIN-00149)
Descrição: exigir autenticação do usuário para conexões remotas usando a autenticação no nível de rede
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Segurança\Exigir a autenticação do usuário para conexões remotas usando a autenticação no nível da rede
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação nº 2: nos Modelos Administrativos do Microsoft Windows Vista, essa configuração era chamada de Exigir autenticação de usuário usando o RDP 6.0 para conexões remotas, mas foi renomeada dos Modelos Administrativos do Windows Server 2008 (não R2) em diante.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.65.3.9.4
Não existe ou = 1
(Registry)
Crítico
Verificar unidades removíveis
(AZ-WIN-00177)
Descrição: essa configuração de política permite que você gerencie se deseja ou não verificar software mal intencionado e software indesejado no conteúdo de unidades removíveis, como unidades flash USB ao executar uma verificação completa. Se você habilitar essa configuração, as unidades removíveis serão verificadas durante qualquer tipo de verificação. Se você desabilitar ou não definir essa configuração, as unidades removíveis não serão verificadas durante uma verificação completa. As unidades removíveis ainda podem ser verificadas durante a verificação rápida e a verificação personalizada.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Defender Antivírus\Verificação\Verificar unidades removíveis
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo WindowsDefender.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.47.12.1
        CIS WS2022 18.9.47.12.1
= 0
(Registry)
Crítico
Segurança: controlar o comportamento do log de eventos quando o arquivo de log atingir seu tamanho máximo
(CCE-37145-0)
Descrição: essa configuração de política controla o comportamento do log de eventos quando o arquivo de log atinge seu tamanho máximo. Se você habilitar essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos não serão gravados no log e serão perdidos. Se você desabilitar ou não definir essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos substituirão eventos antigos. Observação: eventos antigos podem ou não ser retidos de acordo com a configuração de política "Log de backup automático quando completo".
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Segurança\Controlar o comportamento do log de eventos quando o arquivo de log atingir o tamanho máximo
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração foi inicialmente chamada de Reter eventos antigos, mas foi renomeada a partir dos modelos administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.27.2.1
Não existe ou = 0
(Registry)
Crítico
Segurança: especificar o tamanho máximo do arquivo de log (KB)
(CCE-37695-4)
Descrição: essa configuração de política especifica o tamanho máximo do arquivo de log em quilobytes. Se você habilitar essa configuração de política, poderá configurar o tamanho máximo do arquivo de log para ser entre 1 megabyte (1024 quilobytes) e 2 terabytes (2.147.483.647 quilobytes) em incrementos de quilobytes. Se você desabilitar ou não definir essa configuração de política, o tamanho máximo do arquivo de log será definido como o valor configurado localmente. Esse valor pode ser alterado pelo administrador local usando a caixa de diálogo Propriedades de Log e o padrão é 20 megabytes.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: 196,608 or greater:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Segurança\Especificar o tamanho máximo do arquivo de log (KB)
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração foi inicialmente chamada de Tamanho Máximo de Log (KB), mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.27.2.2
>= 196608
(Registry)
Crítico
Enviar amostras de arquivo quando outra análise for necessária
(AZ-WIN-00126)
Descrição: essa configuração de política define o comportamento de envio de amostras quando o consentimento para telemetria de mapas é definido. As opções possíveis são: (0x0) Sempre avisar (0x1) Enviar amostras seguras automaticamente (0x2) Nunca enviar (0x3) Enviar todas as amostras automaticamente
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\MAPS\Enviar exemplos de arquivo quando uma análise adicional for necessária
Mapeamentos padrão de conformidade:
= 1
(Registry)
Aviso
Defina o nível de criptografia da conexão do cliente
(CCE-36627-8)
Descrição: essa configuração de política especifica se o computador que está prestes a hospedar a conexão remota vai impor um nível de criptografia para todos os dados enviados entre ele e o computador cliente para a sessão remota.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: High Level:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Segurança\Definir o nível de criptografia de conexão do cliente
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.65.3.9.5
Não existe ou = 3
(Registry)
Crítico
Definir o comportamento padrão de Execução Automática
(CCE-38217-6)
Descrição: essa configuração de política define o comportamento padrão para comandos Autorun. Comandos autorun costumam ser armazenados em arquivos autorun.inf. Geralmente, eles iniciam o programa de instalação ou outras rotinas. Antes do Windows Vista, quando a mídia que contém um comando autorun é inserida, o sistema executa automaticamente o programa sem intervenção do usuário. Isso cria um grande problema de segurança, pois o código pode ser executado sem o conhecimento do usuário. O comportamento padrão que começa com o Windows Vista é solicitar ao usuário se o comando autorun deve ser executado. O comando autorun é representado como um manipulador na caixa de diálogo de reprodução automática. Se você habilitar essa configuração de política, um administrador poderá alterar o comportamento padrão do Windows Vista ou posterior para autorun para: a) Desabilitar completamente os comandos de autorun ou b) Reverter para o comportamento anterior ao Windows Vista da execução automática do comando autorun. Se você desabilitar ou não definir essa configuração de política, o Windows Vista ou posterior solicitará ao usuário se o comando autorun deve ser executado.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: Do not execute any autorun commands:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Políticas de Reprodução Automática\Definir o comportamento padrão para Execução Automática
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Diretiva de Grupo 'AutoPlay.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.8.2
= 1
(Registry)
Crítico
Configuração: controlar o comportamento do log de eventos quando o arquivo de log atingir seu tamanho máximo
(CCE-38276-2)
Descrição: essa configuração de política controla o comportamento do log de eventos quando o arquivo de log atinge seu tamanho máximo. Se você habilitar essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos não serão gravados no log e serão perdidos. Se você desabilitar ou não definir essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos substituirão eventos antigos. Observação: eventos antigos podem ou não ser retidos de acordo com a configuração de política "Log de backup automático quando completo".
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Aplicativo\Instalação\Controlar o comportamento do log de eventos quando o arquivo de log atingir o tamanho máximo
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração foi inicialmente chamada de Reter eventos antigos, mas foi renomeada a partir dos modelos administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.27.3.1
Não existe ou = 0
(Registry)
Crítico
Instalação: especificar o tamanho máximo do arquivo de log (KB)
(CCE-37526-1)
Descrição: essa configuração de política especifica o tamanho máximo do arquivo de log em quilobytes. Se você habilitar essa configuração de política, poderá configurar o tamanho máximo do arquivo de log para ser entre 1 megabyte (1024 quilobytes) e 2 terabytes (2.147.483.647 quilobytes) em incrementos de quilobytes. Se você desabilitar ou não definir essa configuração de política, o tamanho máximo do arquivo de log será definido como o valor configurado localmente. Esse valor pode ser alterado pelo administrador local usando a caixa de diálogo Propriedades de Log e o padrão é 20 megabytes.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: 32,768 or greater:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Instalação\Especificar o tamanho máximo do arquivo de log (KB)
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração foi inicialmente chamada de Tamanho Máximo de Log (KB), mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.27.3.2
>= 32768
(Registry)
Crítico
Conectar o último usuário interativo automaticamente após uma reinicialização iniciada pelo sistema
(CCE-36977-7)
Descrição: essa configuração de política controla se um dispositivo vai entrar automaticamente no último usuário interativo depois que o Windows Update reiniciar o sistema. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn
OS: WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Opções de Logon do Windows\Fazer a entrada automática do último usuário interativo após uma reinicialização iniciada pelo sistema
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo WinLogon.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93269
        STIG WS2016 V-73589
        CIS WS2019 18.9.86.1
        CIS WS2022 18.9.86.1
= 1
(Registry)
Crítico
Especificar o intervalo para verificar se há atualizações de definição
(AZ-WIN-00152)
Descrição: essa configuração de política permite que você especifique um intervalo no qual verificar atualizações de definições. O valor temporal é representado como o número de horas entre verificações de atualização. Os valores válidos variam de 1 (a cada hora) até 24 (uma vez por dia). Se você habilitar essa configuração, as verificações de atualizações de definição ocorrerão no intervalo especificado. Se você desabilitar ou não definir essa configuração, as verificações por atualizações de definição serão feitas no intervalo padrão.
Caminho da chave: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval
SO: WS2008, WS2008R2, WS2012, WS2012R2
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Atualizações de Inteligência de Segurança\Especificar o intervalo para verificar se há atualizações de inteligência de segurança
Mapeamentos padrão de conformidade:
= 8
(Registry)
Crítico
Sistema: controlar o comportamento do log de eventos quando o arquivo de log atingir seu tamanho máximo
(CCE-36160-0)
Descrição: essa configuração de política controla o comportamento do log de eventos quando o arquivo de log atinge seu tamanho máximo. Se você habilitar essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos não serão gravados no log e serão perdidos. Se você desabilitar ou não definir essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos substituirão eventos antigos. Observação: eventos antigos podem ou não ser retidos de acordo com a configuração de política "Log de backup automático quando completo".
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Sistema\Controlar o comportamento do log de eventos quando o arquivo de log atingir o tamanho máximo
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração foi inicialmente chamada de Reter eventos antigos, mas foi renomeada a partir dos modelos administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.27.4.1
Não existe ou = 0
(Registry)
Crítico
Sistema: especificar o tamanho máximo do arquivo de log (KB)
(CCE-36092-5)
Descrição: essa configuração de política especifica o tamanho máximo do arquivo de log em quilobytes. Se você habilitar essa configuração de política, poderá configurar o tamanho máximo do arquivo de log para ser entre 1 megabyte (1024 quilobytes) e 2 terabytes (2.147.483.647 quilobytes) em incrementos de quilobytes. Se você desabilitar ou não definir essa configuração de política, o tamanho máximo do arquivo de log será definido como o valor configurado localmente. Esse valor pode ser alterado pelo administrador local usando a caixa de diálogo Propriedades de Log e o padrão é 20 megabytes.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: 32,768 or greater:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Sistema\Especificar o tamanho máximo do arquivo de log (KB)
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Observação #2: Em modelos administrativos mais antigos do Microsoft Windows, essa configuração foi inicialmente chamada de Tamanho Máximo de Log (KB), mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não-R2).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.27.4.2
>= 32768
(Registry)
Crítico
O Inventário do Programa de Compatibilidade do Aplicativo precisa ser impedido de coletar dados e enviar as informações à Microsoft.
(AZ-WIN-73543)
Descrição: alguns recursos podem se comunicar com o fornecedor, enviando informações do sistema ou baixando dados ou componentes para o recurso. Desativar esta funcionalidade impedirá que informações potencialmente confidenciais sejam enviadas para fora da empresa e impedirá atualizações descontroladas para o sistema. Esta configuração impedirá que o Inventário de Programas colete dados sobre um sistema e envie as informações para a Microsoft.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory
OS: WS2016, WS2019, WS2022
Tipo de servidor: membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Componentes do Windows\Compatibilidade do Aplicativo\Desativar coletor de inventário
Mapeamentos padrão de conformidade:
= 1
(Registry)
Informativo
Desativar Reprodução Automática
(CCE-36875-3)
Descrição: a reprodução automática começa a ler a partir de uma unidade assim que você insere a mídia na unidade, o que faz com que o arquivo de instalação de programas ou mídia de áudio seja iniciado imediatamente. Um invasor pode usar esse recurso para iniciar um programa para danificar o computador ou os dados no computador. Você pode habilitar a configuração Desativar reprodução automática para desabilitar o recurso de Reprodução automática. A reprodução automática é desabilitada por padrão em alguns tipos de unidade removíveis, como unidades de disquete e de rede, mas não em unidades de CD-ROM. Observação: você não pode usar essa configuração de política para habilitar a reprodução automática em unidades de computador nas quais ele está desabilitado por padrão, como unidades de disquete e de rede.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled: All drives:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Políticas de Reprodução Automática\Desligar a Reprodução Automática
Observação: esse caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'AutoPlay.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.8.3
= 255
(Registry)
Crítico
Desabilitar a Prevenção de Execução de Dados para o Explorer
(CCE-37809-1)
Descrição: desabilitar a prevenção de execução de dados pode permitir que determinados aplicativos de plug-in herdados funcionem sem encerrar o Explorer. O estado recomendado para essa configuração é: Disabled. Observação: Alguns aplicativos de plug-in herdados e outros softwares podem não funcionar com a prevenção de execução de dados e exigirão que uma exceção seja definida para esse plug-in/software específico.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Explorador de Arquivos\Desativar a Prevenção de Execução de Dados do Explorer
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo Explorer.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 7 & Server 2008 R2 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93563
        STIG WS2016 V-73561
        CIS WS2019 18.9.31.2
        CIS WS2022 18.9.31.2
Não existe ou = 0
(Registry)
Crítico
Desligar a terminação de heap ao corromper
(CCE-36660-9)
Descrição: sem terminação de heap na corrupção, os aplicativos de plug-in herdados podem continuar a funcionar quando uma sessão do explorador de arquivos se tornar corrompida. Garantir que a terminação de heap na corrupção esteja ativa, impedirá isso. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Explorador de Arquivos\Desativar o término do heap em caso de corrupção
Observação: esse caminho de Política de Grupo é fornecido pelo modelo Explorer.admx/adml da Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93261
        STIG WS2016 V-73563
        CIS WS2019 18.9.31.3
        CIS WS2022 18.9.31.3
Não existe ou = 0
(Registry)
Crítico
Desativar as experiências do cliente da Microsoft
(AZ-WIN-00144)
Descrição: essa configuração de política desativa as experiências que ajudam os consumidores a aproveitar ao máximo seus dispositivos e conta Microsoft. Se você habilitar esta configuração de política, os usuários não verão mais recomendações personalizadas da Microsoft e notificações sobre as respectivas contas Microsoft. Se você desabilitar ou não definir essa configuração de política, os usuários poderão ver sugestões da Microsoft e notificações sobre suas contas Microsoft. Observação: essa configuração se aplica somente a SKUs empresariais e educacionais.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Conteúdo de Nuvem\Desativar experiências de consumidor da Microsoft
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo de Política de Grupo 'CloudContent.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Versão 1511 (ou mais recentes).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.14.2
Não existe ou = 1
(Registry)
Aviso
Desligar o modo protegido do protocolo de shell
(CCE-36809-2)
Descrição: essa configuração de política permite que você configure a quantidade de funcionalidade que o protocolo de shell pode ter. Ao usar a funcionalidade completa desse protocolo, os aplicativos podem abrir pastas e iniciar arquivos. O modo protegido reduz a funcionalidade desse protocolo, permitindo que os aplicativos abram apenas um conjunto limitado de pastas. Os aplicativos não podem abrir arquivos com esse protocolo quando ele está no modo protegido. É recomendável deixar esse protocolo no modo protegido para aumentar a segurança do Windows. O estado recomendado para essa configuração é: Disabled.
Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Disabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Explorador de Arquivos\Desativar o modo protegido pelo protocolo shell
Observação: esse caminho de Política de Grupo é fornecido pelo modelo WindowsExplorer.admx/adml da Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.
Mapeamentos padrão de conformidade:
        NomePlataformaID
        STIG WS2019 V-93263
        STIG WS2016 V-73565
        CIS WS2019 18.9.31.4
        CIS WS2022 18.9.31.4
Não existe ou = 0
(Registry)
Aviso
Ativar o monitoramento do comportamento
(AZ-WIN-00178)
Descrição: essa configuração de política permite que você configure o monitoramento de comportamento. Se você habilitar ou não definir essa configuração, a proteção de rede será habilitada. Se você desabilitar essa configuração, o monitoramento de comportamento será desabilitado.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: para estabelecer a configuração recomendada por GP, defina o seguinte caminho de interface do usuário como Enabled:
Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Defender Antivírus\Proteção em Tempo Real\Ativar o monitoramento de comportamento
Observação: esse caminho de Política de Grupo pode não existir por padrão. Ele é fornecido pelo modelo WindowsDefender.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recente).
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2019 18.9.47.9.3
        CIS WS2022 18.9.47.9.3
Não existe ou = 0
(Registry)
Aviso
Ativar o Registro em Log de Blocos de Script do PowerShell
(AZ-WIN-73591)
Descrição: esta configuração de política permite o registro em log de todas as entradas do script PowerShell para o canal do Log de eventos do Applications and Services Logs\Microsoft\Windows\PowerShell\Operational. O estado recomendado para essa configuração é: Enabled. Observação: se o registro em log de Eventos de início/parada do bloco de script estiver habilitado (caixa de opção marcada), o PowerShell registrará eventos adicionais quando a invocação de um comando, bloco de script, função ou script for iniciada ou interrompida. Habilitar esta opção gerará um alto volume de logs de eventos. A CIS optou intencionalmente por não fazer uma recomendação para essa opção, pois gera um grande volume de eventos. Se uma organização optar por habilitar a configuração opcional (marcada), isso também estará em conformidade com o parâmetro de comparação.
Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging
OS: WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio, membro do grupo de trabalho
Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows PowerShell\Ativar log de blocos de script do PowerShell
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 18.9.100.1
        CIS WS2019 18.9.100.1
= 1
(Registry)
Importante

Configurações do Windows – Configurações de segurança

Nome
(ID)
Detalhes Valor esperado
(Type)
Severidade
Ajustar quotas de memória para um processo
(CCE-10849-8)
Descrição: esta configuração de política permite que um usuário ajuste a quantidade máxima de memória disponível para um processo. A capacidade de ajustar cotas de memória é útil para ajuste do sistema, mas pode ser abusada. Em mãos erradas, pode ser usada para iniciar um ataque de DoS (negação de serviço). O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE, NETWORK SERVICE. Observação: um servidor membro que mantém a função do servidor Web (IIS) com o serviço de função do servidor Web exigirá uma exceção especial para essa recomendação, para permitir que os pools de aplicativos do IIS recebam esse direito de usuário. Observação nº 2: um servidor membro com Microsoft SQL Server instalado exigirá uma exceção especial para essa recomendação para que as entradas adicionais geradas pelo SQL recebam esse direito de usuário.
Caminho da chave: [Privilege Rights]SeIncreaseQuotaPrivilege
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Tipo de servidor: controlador de domínio, membro do domínio
Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Ajustar cotas de memória para um processo
Mapeamentos padrão de conformidade:
        NomePlataformaID
        CIS WS2022 2.2.6
        CIS WS2019 2.2.6
<= Administradores, Serviço local, Serviço de rede
(Policy)
Aviso

Observação

A disponibilidade de definições específicas de configuração do convidado do Azure Policy pode variar no Azure Government e em outras nuvens nacionais.

Próximas etapas

Artigos adicionais sobre Azure Policy e configuração de convidado: