Linha de base de segurança do Windows
Este artigo detalha as definições de configuração para convidados do Windows, conforme aplicável nas seguintes implementações:
- [Pré-visualização]: As máquinas Windows devem cumprir os requisitos para a definição de configuração de convidado de convidado da Política do Azure para a linha de base de segurança de computação do Azure
- As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas na Central de Segurança do Azure
Para obter mais informações, consulte Configuração da máquina de gerenciamento automático do Azure.
Importante
A configuração de convidado da Política do Azure só se aplica ao SKU do Windows Server e ao SKU do Azure Stack. Ele não se aplica à computação do usuário final, como Windows 10 e Windows 11 SKUs.
Políticas de Conta - Política de Senha
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Duração do bloqueio de conta (AZ-WIN-73312) |
Descrição: esta definição de política determina o período de tempo que tem de decorrer até que uma conta bloqueada seja desbloqueada e um utilizador possa tentar iniciar sessão novamente. A configuração faz isso especificando o número de minutos que uma conta bloqueada permanecerá indisponível. Se o valor dessa configuração de política estiver configurado como 0, as contas bloqueadas permanecerão bloqueadas até que um administrador as desbloqueie manualmente. Embora possa parecer uma boa ideia configurar o valor dessa configuração de política para um valor alto, essa configuração provavelmente aumentará o número de chamadas que o suporte técnico recebe para desbloquear contas bloqueadas por engano. Os usuários devem estar cientes do período de tempo que um bloqueio permanece no lugar, para que percebam que só precisam ligar para o suporte técnico se tiverem uma necessidade extremamente urgente de recuperar o acesso ao computador. O estado recomendado para essa configuração é: 15 or more minute(s). Nota: As definições de Política de Palavra-passe (secção 1.1) e de Política de Bloqueio de Conta (secção 1.2) têm de ser aplicadas através do GPO de Política de Domínio Predefinido para estarem globalmente em vigor nas contas de utilizador de domínio como comportamento predefinido. Se essas configurações forem definidas em outro GPO, elas afetarão apenas as contas de usuário locais nos computadores que recebem o GPO. No entanto, exceções personalizadas à política de senha padrão e regras de política de bloqueio de conta para usuários e/ou grupos de domínio específicos podem ser definidas usando PSOs (Objetos de Configurações de Senha), que são completamente separados da Diretiva de Grupo e configurados mais facilmente usando o Centro Administrativo do Ative Directory.Caminho da chave: [Acesso ao sistema]LockoutDuration SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Duração do bloqueio de Conta Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 1.2.1 CIS WS2019 1.2.1 |
>= 15 (Política) |
Aviso |
Modelo Administrativo - Window Defender
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Configurar a deteção para aplicações potencialmente indesejadas (AZ-WIN-202219) |
Descrição: Esta definição de política controla a deteção e ação de Aplicações Potencialmente Indesejadas (API), que são agregadores de aplicações indesejadas sorrateiras ou as suas aplicações agregadas, que podem fornecer adware ou malware. O estado recomendado para essa configuração é: Enabled: Block. Para obter mais informações, consulte este link: Bloquear aplicações potencialmente indesejadas com o Microsoft Defender Antivirus | Documentos MicrosoftCaminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\Configurar deteção para aplicações potencialmente indesejadas Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15 |
= 1 (Registo) |
Crítico |
| Analise todos os ficheiros e anexos descarregados (AZ-WIN-202221) |
Descrição: esta definição de política configura a análise de todos os ficheiros e anexos transferidos. O estado recomendado para essa configuração é: Enabled.Caminho da chave: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\Real-Time Protection\Analise todos os ficheiros e anexos transferidos Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1 |
= 0 (Registo) |
Aviso |
| Desativar o Microsoft Defender AntiVirus (AZ-WIN-202220) |
Descrição: Esta definição de política desativa o Microsoft Defender Antivirus. Se a configuração estiver configurada como Desabilitada, o Microsoft Defender Antivírus será executado e os computadores serão verificados em busca de malware e outros softwares potencialmente indesejados. O estado recomendado para essa configuração é: Disabled.Caminho da chave: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\Desativar o Microsoft Defender AntiVirus Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16 |
= 0 (Registo) |
Crítico |
| Desligue a proteção em tempo real (AZ-WIN-202222) |
Descrição: esta definição de política configura pedidos de proteção em tempo real para deteção de malware conhecido. O Microsoft Defender Antivírus alerta-o quando malware ou software potencialmente indesejado tenta instalar-se ou ser executado no seu computador. O estado recomendado para essa configuração é: Disabled.Caminho da chave: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\Real-Time Protection\Desativar a proteção em tempo real Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2 |
= 0 (Registo) |
Aviso |
| Ativar a análise de correio eletrónico (AZ-WIN-202218) |
Descrição: esta definição de política permite-lhe configurar a análise de correio eletrónico. Quando a varredura de e-mail está ativada, o mecanismo analisará a caixa de correio e os arquivos de e-mail, de acordo com seu formato específico, a fim de analisar os corpos de e-mail e anexos. Vários formatos de e-mail são suportados atualmente, por exemplo: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\Scan\Ativar a análise de correio eletrónico Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2 |
= 0 (Registo) |
Aviso |
| Ativar a análise de scripts (AZ-WIN-202223) |
Descrição: esta definição de política permite ativar/desativar a análise de scripts. A varredura de scripts interceta scripts e os verifica antes de serem executados no sistema. O estado recomendado para essa configuração é: Enabled.Caminho da chave: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\Real-Time Protection\Ativar verificação de scripts Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4 |
= 0 (Registo) |
Aviso |
Modelos Administrativos - Painel de Controle
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Permitir personalização de entrada (AZ-WIN-00168) |
Descrição: esta política permite o componente de aprendizagem automática da personalização de entrada que inclui fala, escrita à tinta e digitação. A aprendizagem automática permite a recolha de padrões de voz e escrita manual, histórico de escrita, contactos e informações de calendário recentes. É necessário para o uso da Cortana. Algumas destas informações recolhidas podem ser armazenadas no OneDrive do utilizador, no caso de escrita à tinta e digitação; algumas das informações serão carregadas para a Microsoft para personalizar a fala. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled: Configuração do Computador\Políticas\Modelos Administrativos\Painel de Controle\Opções Regionais e de Idioma\Permitir que os usuários habilitem serviços de reconhecimento de fala online Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo Globalization.admx/adml incluído nos Modelos Administrativos do Microsoft Windows 10 RTM (Release 1507) (ou mais recentes). Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente denominada Permitir personalização de entrada, mas foi renomeada para Permitir que os usuários habilitem serviços de reconhecimento de fala online a partir dos Modelos Administrativos do Windows 10 R1809 & Server 2019.Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.1.2.2 |
= 0 (Registo) |
Aviso |
Modelos Administrativos - Guia de Segurança do MS
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Desativar o cliente SMB v1 (remover dependência em LanmanWorkstation) (AZ-WIN-00122) |
Descrição: SMBv1 é um protocolo herdado que usa o algoritmo MD5 como parte do SMB. O MD5 é conhecido por ser vulnerável a uma série de ataques, como ataques de colisão e pré-imagem, além de não ser compatível com FIPS. Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService SO: WS2008, WS2008R2, WS2012 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Guia de Segurança do MS\Configurar driver de cliente SMBv1 Mapeamentos de padrão de conformidade: |
Não existe ou = Bowser\0MRxSmb20\0NSI\0\0 (Registo) |
Crítico |
| Autenticação WDigest (AZ-WIN-73497) |
Descrição: Quando a autenticação WDigest está ativada, o Lsass.exe retém uma cópia da senha de texto sem formatação do usuário na memória, onde pode estar em risco de roubo. Se essa configuração não estiver configurada, a autenticação WDigest será desabilitada no Windows 8.1 e no Windows Server 2012 R2; ele é habilitado por padrão em versões anteriores do Windows e do Windows Server. Para obter mais informações sobre contas locais e roubo de credenciais, consulte os documentos "Mitigando ataques Pass-the-Hash (PtH) e outras técnicas de roubo de credenciais". Para obter mais informações sobre UseLogonCredentialo , consulte o artigo da Base de Dados de Conhecimento Microsoft 2871997: Atualização do Comunicado de Segurança da Microsoft para melhorar a proteção e o gerenciamento de credenciais em 13 de maio de 2014. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential SO: WS2016, WS2019 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Guia de Segurança do MS\WDigest Authentication (a desativação pode exigir KB2871997) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.3.7 CIS WS2019 18.3.7 |
= 0 (Registo) |
Importante |
Modelos Administrativos - MSS
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| MSS: (DisableIPSourceRouting IPv6) Nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes) (AZ-WIN-202213) |
Descrição: O roteamento de origem IP é um mecanismo que permite ao remetente determinar a rota IP que um datagrama deve seguir através da rede. O estado recomendado para essa configuração é: Enabled: Highest protection, source routing is completely disabled.Caminho da chave: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Legado)\MSS: (DisableIPSourceRouting IPv6) Nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.4.2 CIS WS2019 18.4.2 |
= 2 (Registo) |
Informativo |
| MSS: (DisableIPSourceRouting) Nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes) (AZ-WIN-202244) |
Descrição: O roteamento de origem IP é um mecanismo que permite ao remetente determinar a rota IP que um datagrama deve percorrer através da rede. Recomenda-se definir essa configuração como Não definido para ambientes corporativos e para Proteção máxima para ambientes de alta segurança para desabilitar completamente o roteamento de origem. O estado recomendado para essa configuração é: Enabled: Highest protection, source routing is completely disabled.Caminho da chave: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Legado)\MSS: (DisableIPSourceRouting) Nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.4.3 CIS WS2019 18.4.3 |
= 2 (Registo) |
Informativo |
| MSS: (NoNameReleaseOnDemand) Permitir que o computador ignore solicitações de liberação de nome NetBIOS, exceto de servidores WINS (AZ-WIN-202214) |
Descrição: NetBIOS sobre TCP/IP é um protocolo de rede que, entre outras coisas, fornece uma maneira de resolver facilmente nomes NetBIOS que estão registrados em sistemas baseados no Windows para os endereços IP que estão configurados nesses sistemas. Essa configuração determina se o computador libera seu nome NetBIOS quando recebe uma solicitação de liberação de nome. O estado recomendado para essa configuração é: Enabled.Caminho da chave: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Legado)\MSS: (NoNameReleaseOnDemand) Permitir que o computador ignore as solicitações de liberação de nome NetBIOS, exceto de servidores WINS Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.4.6 CIS WS2019 18.4.6 |
= 1 (Registo) |
Informativo |
| MSS: (SafeDllSearchMode) Ativar modo de pesquisa DLL segura (recomendado) (AZ-WIN-202215) |
Descrição: A ordem de pesquisa de DLL pode ser configurada para procurar DLLs que são solicitadas pela execução de processos de uma de duas maneiras: - Pesquise pastas especificadas no caminho do sistema primeiro e, em seguida, pesquise a pasta de trabalho atual. - Pesquise a pasta de trabalho atual primeiro e, em seguida, pesquise as pastas especificadas no caminho do sistema. Quando habilitado, o valor do Registro é definido como 1. Com uma configuração de 1, o sistema primeiro pesquisa as pastas especificadas no caminho do sistema e, em seguida, pesquisa a pasta de trabalho atual. Quando desativado, o valor do Registro é definido como 0 e o sistema primeiro pesquisa a pasta de trabalho atual e, em seguida, pesquisa as pastas especificadas no caminho do sistema. Os aplicativos serão forçados a procurar DLLs no caminho do sistema primeiro. Para aplicativos que exigem versões exclusivas dessas DLLs incluídas com o aplicativo, essa entrada pode causar problemas de desempenho ou estabilidade. O estado recomendado para essa configuração é: Enabled. Nota: Mais informações sobre como funciona o modo de pesquisa Safe DLL estão disponíveis neste link: Ordem de pesquisa de biblioteca de vínculo dinâmico - aplicativos do Windows | Documentos MicrosoftCaminho da chave: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Legado)\MSS: (SafeDllSearchMode) Ativar o modo de pesquisa Safe DLL (recomendado) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.4.8 CIS WS2019 18.4.8 |
= 1 (Registo) |
Aviso |
| MSS: (WarningLevel) Limite percentual para o log de eventos de segurança no qual o sistema gerará um aviso (AZ-WIN-202212) |
Descrição: essa configuração pode gerar uma auditoria de segurança no log de eventos de segurança quando o log atingir um limite definido pelo usuário. O estado recomendado para essa configuração é: Enabled: 90% or less. Nota: Se as configurações de log estiverem configuradas para Substituir eventos conforme necessário ou Substituir eventos com mais de x dias, esse evento não será gerado.Caminho da chave: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Legado)\MSS: (Nível de Aviso) Limite percentual para o log de eventos de segurança no qual o sistema gerará um aviso Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.4.12 CIS WS2019 18.4.12 |
<= 90 (Registo) |
Informativo |
| O Windows Server deve ser configurado para impedir que redirecionamentos ICMP (Internet Control Message Protocol) substituam rotas geradas pelo OSPF (Open Shortest Path First). (AZ-WIN-73503) |
Descrição: Os redirecionamentos ICMP (Internet Control Message Protocol) fazem com que a pilha IPv4 canalize rotas de host. Essas rotas substituem as rotas geradas pelo OSPF (Open Shortest Path First). O estado recomendado para essa configuração é: Disabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\MSS (Legado)\MSS: (EnableICMPRedirect) Permitir que redirecionamentos ICMP substituam rotas geradas pelo OSPF Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.4.4 CIS WS2019 18.4.4 |
= 0 (Registo) |
Informativo |
Modelos Administrativos - Rede
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Habilitar logons de convidado inseguros (AZ-WIN-00171) |
Descrição: esta definição de política determina se o cliente SMB permitirá inícios de sessão de convidados inseguros a um servidor SMB. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth SO: WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos etwork\Lanman Workstation\Ativar logons de convidado inseguros Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo 'LanmanWorkstation.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Release 1511 (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1 |
= 0 (Registo) |
Crítico |
| Caminhos UNC protegidos - NETLOGON (AZ_WIN_202250) |
Descrição: esta definição de política configura o acesso seguro a caminhos UNC Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\NETLOGON SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Rede\Provedor de Rede\Caminhos UNC Protegidos Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Registo) |
Aviso |
| Caminhos UNC endurecidos - SYSVOL (AZ_WIN_202251) |
Descrição: esta definição de política configura o acesso seguro a caminhos UNC Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\SYSVOL SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Rede\Provedor de Rede\Caminhos UNC Protegidos Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Registo) |
Aviso |
| Minimizar o número de conexões simultâneas com a Internet ou um domínio do Windows (CCE-38338-0) |
Descrição: esta definição de política impede que os computadores se liguem simultaneamente a uma rede baseada no domínio e a uma rede não baseada no domínio. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: 3 = Prevent Wi-Fi when on Ethernet:Configuração do Computador\Políticas\Modelos Administrativos etwork\Gerenciador de Conexões do Windows\Minimizar o número de conexões simultâneas com a Internet ou um Domínio do Windows Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo 'WCM.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2). Ele foi atualizado com uma nova subconfiguração Minimizar Opções de Política começando com os Modelos Administrativos do Windows 10 Release 1903. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.5.21.1 |
Não existe ou = 1 (Registo) |
Aviso |
| Proibir a instalação e configuração da Ponte de Rede na sua rede de domínio DNS (CCE-38002-2) |
Descrição: Você pode usar este procedimento para controlar a capacidade do usuário de instalar e configurar uma ponte de rede. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Rede\Conexões de Rede\Proibir a instalação e configuração da Ponte de Rede na rede de domínio DNS Nota: Este caminho de Política de Grupo é fornecido pelo modelo NetworkConnections.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2 |
= 0 (Registo) |
Aviso |
| Proibir o uso do Compartilhamento de Conexão com a Internet em sua rede de domínio DNS (AZ-WIN-00172) |
Descrição: Embora essa configuração "legada" tradicionalmente se aplicasse ao uso do Compartilhamento de Conexão com a Internet (ICS) no Windows 2000, Windows XP & Server 2003, essa configuração agora se aplica recentemente ao recurso Mobile Hotspot no Windows 10 & Server 2016. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos etwork etwork Connections\Proibir o uso do Compartilhamento de Conexão com a Internet em sua rede de domínio DNS Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'NetworkConnections.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.5.11.3 |
= 0 (Registo) |
Aviso |
| Desativar a resolução de nomes de multicast (AZ-WIN-00145) |
Descrição: LLMNR é um protocolo secundário de resolução de nomes. Com o LLMNR, as consultas são enviadas usando multicast em um link de rede local em uma única sub-rede de um computador cliente para outro computador cliente na mesma sub-rede que também tenha o LLMNR habilitado. O LLMNR não requer um servidor DNS ou configuração de cliente DNS e fornece resolução de nomes em cenários nos quais a resolução de nomes DNS convencional não é possível. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast SO: WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos etwork\Cliente DNS\Desativar resolução de nomes de multicast Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'DnsClient.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.5.4.2 |
= 0 (Registo) |
Aviso |
Modelos Administrativos - Guia de Segurança
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Habilitar a Proteção de Substituição de Tratamento de Exceção Estruturada (SEHOP) (AZ-WIN-202210) |
Descrição: O Windows inclui suporte para SEHOP (Structured Exception Handling Overwrite Protection). Recomendamos ativar esse recurso para melhorar o perfil de segurança do computador. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Guia de Segurança do MS\Habilitar Proteção de Substituição de Tratamento de Exceção Estruturada (SEHOP) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.3.4 CIS WS2019 18.3.4 |
= 0 (Registo) |
Crítico |
| Configuração do NetBT NodeType (AZ-WIN-202211) |
Descrição: Esta configuração determina qual método NetBIOS sobre TCP/IP (NetBT) usa para registrar e resolver nomes. Os métodos disponíveis são: - O método B-node (broadcast) usa apenas transmissões. - O método P-node (ponto-a-ponto) usa apenas consultas de nome para um servidor de nomes (WINS). - O método M-node (misto) transmite primeiro, depois consulta um servidor de nomes (WINS) se a transmissão falhar. - O método H-node (híbrido) consulta um servidor de nomes (WINS) primeiro, depois transmite se a consulta falhar. O estado recomendado para essa configuração é: Enabled: P-node (recommended) (ponto-a-ponto). Nota: A resolução através de LMHOSTS ou DNS segue estes métodos. Se o valor do NodeType Registro estiver presente, ele substituirá qualquer DhcpNodeType valor do Registro. Se nem NodeType DhcpNodeType estiver presente, o computador usa o nó B (transmissão) se não houver servidores WINS configurados para a rede, ou o nó H (híbrido) se houver pelo menos um servidor WINS configurado.Caminho da chave: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Guia de Segurança do MS\Configuração do NetBT NodeType Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.3.6 CIS WS2019 18.3.6 |
= 2 (Registo) |
Aviso |
Modelos Administrativos - Sistema
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Impedir que o utilizador mostre os detalhes da conta ao iniciar sessão (AZ-WIN-00138) |
Descrição: esta política impede que o utilizador mostre os detalhes da conta (endereço de e-mail ou nome de utilizador) no ecrã de início de sessão. Se você habilitar essa configuração de política, o usuário não poderá optar por mostrar os detalhes da conta na tela de entrada. Se você desabilitar ou não definir essa configuração de política, o usuário poderá optar por mostrar os detalhes da conta na tela de entrada. Caminho da chave: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Impedir que o usuário mostre detalhes da conta ao entrar Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'Logon.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Release 1607 & Server 2016 (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.28.1 |
= 1 (Registo) |
Aviso |
| Política de inicialização do driver de inicialização (CCE-37912-3) |
Descrição: esta definição de política permite-lhe especificar que controladores de arranque são inicializados com base numa classificação determinada por um controlador de arranque Antimalware de Início Antecipado. O driver de inicialização do Antimalware de inicialização antecipada pode retornar as seguintes classificações para cada driver de inicialização inicial: - Bom: O driver foi assinado e não foi adulterado. - Ruim: O driver foi identificado como malware. É recomendável que você não permita que drivers incorretos conhecidos sejam inicializados. - Ruim, mas necessário para a inicialização: O driver foi identificado como malware, mas o computador não pode inicializar com êxito sem carregar este driver. - Desconhecido: Este driver não foi atestado pelo seu aplicativo de deteção de malware e não foi classificado pelo driver de inicialização do Early Launch Antimalware. Se você habilitar essa configuração de política, poderá escolher quais drivers de inicialização inicializar na próxima vez que o computador for iniciado. Se você desabilitar ou não definir essa configuração de política, os drivers de inicialização determinados como Bom, Desconhecido ou Ruim, mas Críticos de Inicialização, serão inicializados e a inicialização dos drivers determinados como Ruins será ignorada. Se o seu aplicativo de deteção de malware não incluir um driver de inicialização do Antimalware de Início Antecipado ou se o driver de inicialização do Antimalware de Início Antecipado tiver sido desativado, essa configuração não terá efeito e todos os drivers de inicialização serão inicializados. Caminho da chave: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: Good, unknown and bad but critical:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Antimalware de Início Antecipado\Política de Inicialização do Driver de Inicialização Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo 'EarlyLaunchAM.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.14.1 |
Não existe ou = 3 (Registo) |
Aviso |
| Configurar Oferta de Assistência Remota (CCE-36388-7) |
Descrição: esta definição de política permite-lhe ativar ou desativar a Oferta de Assistência Remota (Não Solicitada) neste computador. O suporte técnico e o pessoal de suporte não poderão oferecer assistência proativamente, embora ainda possam responder a solicitações de assistência ao usuário. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Assistência Remota\Configurar Oferta de Assistência Remota Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo RemoteAssistance.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes).Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1 |
Não existe ou = 0 (Registo) |
Aviso |
| Configurar a Assistência Remota Solicitada (CCE-37281-3) |
Descrição: esta definição de política permite-lhe ativar ou desativar a Assistência Remota Solicitada (Pedir) neste computador. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Assistência Remota\Configurar Assistência Remota Solicitada Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo RemoteAssistance.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes).Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2 |
= 0 (Registo) |
Crítico |
| Não exibir a interface do usuário de seleção de rede (CCE-38353-9) |
Descrição: esta definição de política permite-lhe controlar se qualquer pessoa pode interagir com a IU das redes disponíveis no ecrã de início de sessão. Se ativar esta definição de política, o estado de conectividade de rede do PC não pode ser alterado sem iniciar sessão no Windows. Se desativar ou não definir esta definição de política, qualquer utilizador pode desligar o PC da rede ou pode ligar o PC a outras redes disponíveis sem iniciar sessão no Windows. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Não exibir a interface do usuário de seleção de rede Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'Logon.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.28.2 |
= 1 (Registo) |
Aviso |
| Não enumerar usuários conectados em computadores que ingressaram no domínio (AZ-WIN-202216) |
Descrição: esta definição de política impede que os utilizadores ligados sejam enumerados em computadores associados a um domínio. O estado recomendado para essa configuração é: Enabled.Caminho da chave: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Diretiva de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Não enumerar usuários conectados em computadores ingressados no domínio Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3 |
= 1 (Registo) |
Aviso |
| Habilitar a autenticação de cliente do Mapeador de Pontos de Extremidade RPC (CCE-37346-4) |
Descrição: esta definição de política controla se os clientes RPC se autenticam com o Serviço de Mapeador de Pontos de Extremidade quando a chamada que estão a efetuar contém informações de autenticação. O Serviço Mapeador de Pontos de Extremidade em computadores que executam o Windows NT4 (todos os service packs) não pode processar informações de autenticação fornecidas dessa maneira. Se você desabilitar essa configuração de política, os clientes RPC não serão autenticados no Serviço de Mapeador de Pontos de Extremidade, mas poderão se comunicar com o Serviço de Mapeador de Pontos de Extremidade no Windows NT4 Server. Se você habilitar essa configuração de política, os clientes RPC serão autenticados no Serviço de Mapeador de Pontos de Extremidade para chamadas que contenham informações de autenticação. Os clientes que fazem essas chamadas não poderão se comunicar com o Serviço Mapeador de Pontos de Extremidade do Windows NT4 Server. Se você não definir essa configuração de política, ela permanecerá desabilitada. Os clientes RPC não serão autenticados no Serviço de Mapeador de Pontos de Extremidade, mas poderão se comunicar com o Serviço de Mapeador de Pontos de Extremidade do Windows NT4 Server. Nota: Esta política não será aplicada até que o sistema seja reiniciado. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Chamada de Procedimento Remoto\Habilitar Autenticação de Cliente do Mapeador de Pontos de Extremidade RPC Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo 'RPC.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.37.1 |
= 1 (Registo) |
Crítico |
| Habilitar o cliente NTP do Windows (CCE-37843-0) |
Descrição: esta definição de política especifica se o Cliente NTP do Windows está ativado. Habilitar o cliente NTP do Windows permite que seu computador sincronize o relógio do computador com outros servidores NTP. Poderá querer desativar este serviço se decidir utilizar um fornecedor de tempo de terceiros. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Membro do grupo de trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Serviço de Tempo do Windows\Provedores de Tempo\Habilitar Cliente NTP do Windows Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'W32Time.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.53.1.1 |
= 1 (Registo) |
Crítico |
| Criptografia Oracle Remediation para o protocolo CredSSP (AZ-WIN-201910) |
Descrição: Algumas versões do protocolo CredSSP que é usado por alguns aplicativos (como a Conexão de Área de Trabalho Remota) são vulneráveis a um ataque oráculo de criptografia contra o cliente. Esta política controla a compatibilidade com clientes e servidores vulneráveis e permite definir o nível de proteção desejado para a vulnerabilidade oráculo de criptografia. O estado recomendado para essa configuração é: Enabled: Force Updated Clients.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle SO: WS2016, WS2019 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Delegação de Credenciais\Criptografia Remediação Oracle Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1 |
= 0 (Registo) |
Crítico |
| Verifique se 'Configurar o processamento da política do Registro: Não aplicar durante o processamento periódico em segundo plano' está definido como 'Habilitado: FALSO' (CCE-36169-1) |
Descrição: A opção "Não aplicar durante o processamento periódico em segundo plano" impede que o sistema atualize as políticas afetadas em segundo plano enquanto o computador estiver em uso. Quando as atualizações em segundo plano estiverem desativadas, as alterações de diretiva não terão efeito até o próximo logon do usuário ou a reinicialização do sistema. O estado recomendado para essa configuração é: Enabled: FALSE (desmarcado).Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enablede, em seguida, defina a Process even if the Group Policy objects have not changed opção como TRUE (marcada):Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Política de Grupo\Configurar o processamento da política de registo Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo GroupPolicy.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes).Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2 |
= 0 (Registo) |
Crítico |
| Verifique se 'Configurar o processamento da política do Registro: Processar mesmo que os objetos da Diretiva de Grupo não tenham sido alterados' esteja definido como 'Habilitado: VERDADEIRO' (CCE-36169-1A) |
Descrição: A opção "Processar mesmo que os objetos de Diretiva de Grupo não tenham sido alterados" atualiza e reaplica as políticas mesmo que as políticas não tenham sido alteradas. O estado recomendado para essa configuração é: Enabled: TRUE (verificado).Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enablede, em seguida, defina a opção 'Processar mesmo que os objetos da Diretiva de Grupo não tenham sido alterados' como 'TRUE' (marcada):Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Política de Grupo\Configurar o processamento da política de registo Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'GroupPolicy.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.21.3 |
= 0 (Registo) |
Crítico |
| Certifique-se de que 'Continuar experiências neste dispositivo' está definido como 'Desativado' (AZ-WIN-00170) |
Descrição: esta definição de política determina se o dispositivo Windows tem permissão para participar em experiências entre dispositivos (continuar experiências). O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Política de Grupo\Continuar experiências neste dispositivo Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'GroupPolicy.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Release 1607 & Server 2016 (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.21.4 |
Não existe ou = 0 (Registo) |
Aviso |
| Enumerar usuários locais em computadores que ingressaram no domínio (AZ_WIN_202204) |
Descrição: esta definição de política permite que os utilizadores locais sejam enumerados em computadores associados a um domínio. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Membro do domínio Caminho da Diretiva de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Enumerar usuários locais em computadores ingressados no domínio Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4 |
Não existe ou = 0 (Registo) |
Aviso |
| Incluir a linha de comandos nos eventos de criação de processo (CCE-36925-6) |
Descrição: esta definição de política determina que informações são registadas em eventos de auditoria de segurança quando um novo processo é criado. Esta definição só se aplica quando a política de criação de processo de auditoria está ativada. Se ativar esta definição de política que as informações de linha de comandos para cada processo serão registadas em texto simples no registo de eventos de segurança como parte do evento de criação de processo de auditoria 4688, "um novo processo tiver sido criado," no estações de trabalho e servidores em que esta definição de política é aplicada. Se desativar ou não configurar esta definição de política, informações de linha de comandos do processo não serão incluídas nos eventos de auditoria da criação de processos. Padrão: Não configurado Observação: quando essa configuração de política estiver habilitada, qualquer usuário com acesso para ler os eventos de segurança poderá ler os argumentos da linha de comando para qualquer processo criado com êxito. Argumentos de linha de comandos podem conter informações confidenciais ou privadas, tais como palavras-passe ou dados de utilizador. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Criação do Processo de Auditoria\Incluir linha de comando em eventos de criação do processo Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'AuditSettings.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.3.1 |
= 1 (Registo) |
Crítico |
| Impedir a recuperação de metadados do dispositivo da Internet (AZ-WIN-202251) |
Descrição: esta definição de política permite-lhe impedir que o Windows recupere metadados de dispositivos da Internet. O estado recomendado para essa configuração é: Enabled. Nota: Isso não impedirá a instalação de drivers de hardware básicos, mas impede que o software utilitário 3rd-party associado seja instalado automaticamente no contexto da SYSTEM conta.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Instalação do Dispositivo\Impedir a recuperação de metadados do dispositivo da Internet Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2 |
= 1 (Registo) |
Informativo |
| O host remoto permite a delegação de credenciais não exportáveis (AZ-WIN-20199) |
Descrição: O host remoto permite a delegação de credenciais não exportáveis. Ao usar a delegação de credenciais, os dispositivos fornecem uma versão exportável das credenciais para o host remoto. Isso expõe os usuários ao risco de roubo de credenciais de invasores no host remoto. O Modo de Administração Restrito e os recursos do Windows Defender Remote Credential Guard são duas opções para ajudar a proteger contra esse risco. O estado recomendado para essa configuração é: Enabled. Nota: Informações mais detalhadas sobre o Windows Defender Remote Credential Guard e como ele se compara ao Modo de Administração Restrito podem ser encontradas neste link: Proteger credenciais da Área de Trabalho Remota com o Windows Defender Remote Credential Guard (Windows 10) | Documentos MicrosoftCaminho da chave: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds SO: WS2016, WS2019 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Delegação de Credenciais\Host remoto permite a delegação de credenciais não exportáveis Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2 |
= 1 (Registo) |
Crítico |
| Desativar as notificações da aplicação no ecrã de bloqueio (CCE-35893-7) |
Descrição: esta definição de política permite-lhe impedir que as notificações da aplicação apareçam no ecrã de bloqueio. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Desativar notificações de aplicativos na tela de bloqueio Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo 'Logon.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.28.5 |
= 1 (Registo) |
Aviso |
| Desativar a atualização em segundo plano da Diretiva de Grupo (CCE-14437-8) |
Descrição: esta definição de política impede que a Política de Grupo seja atualizada enquanto o computador está a ser utilizado. Esta definição de política aplica-se à Política de Grupo para computadores, utilizadores e Controladores de Domínio. O estado recomendado para essa configuração é: Disabled.Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Política de Grupo\Desativar a atualização em segundo plano da Política de Grupo Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5 |
= 0 (Registo) |
Aviso |
| Desativar o download de drivers de impressão por HTTP (CCE-36625-2) |
Descrição: esta definição de política controla se o computador pode transferir pacotes de controladores de impressão através de HTTP. Para configurar a impressão HTTP, os drivers de impressora que não estão disponíveis na instalação padrão do sistema operacional podem precisar ser baixados por HTTP. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Gerenciamento de Comunicação da Internet\Configurações de Comunicação da Internet\Desativar o download de drivers de impressão por HTTP Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'ICM.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.22.1.1 |
= 1 (Registo) |
Aviso |
| Desative o Assistente para Conexão com a Internet se a conexão de URL estiver se referindo a Microsoft.com (CCE-37163-3) |
Descrição: esta definição de política especifica se o Assistente para Ligação à Internet pode ligar-se à Microsoft para transferir uma lista de Fornecedores de Serviços de Internet (ISPs). O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Gerenciamento de Comunicação com a Internet\Configurações de Comunicação com a Internet\Desative o Assistente para Conexão com a Internet se a conexão de URL estiver se referindo a Microsoft.com Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'ICM.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.22.1.4 |
= 1 (Registo) |
Aviso |
| Ativar o início de sessão com PIN de conveniência (CCE-37528-7) |
Descrição: esta definição de política permite-lhe controlar se um utilizador de domínio pode iniciar sessão utilizando um PIN de conveniência. No Windows 10, o PIN de conveniência foi substituído pelo Passport, que tem propriedades de segurança mais fortes. Para configurar o Passport para usuários de domínio, use as políticas em Configuração do computador\Modelos Administrativos\Componentes do Windows\Microsoft Passport for Work. Nota: A senha de domínio do usuário será armazenada em cache no cofre do sistema ao usar esse recurso. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Logon\Ativar o início de sessão PIN de conveniência Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo CredentialProviders.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes).Nota 2: Nos Modelos Administrativos do Microsoft Windows mais antigos, esta definição foi inicialmente denominada Ativar início de sessão com PIN, mas foi renomeada a partir dos Modelos Administrativos do Windows 10 Release 1511.Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7 |
Não existe ou = 0 (Registo) |
Aviso |
Modelos Administrativos - Componente Windows
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Desativar o conteúdo do estado da conta de consumidor na nuvem (AZ-WIN-202217) |
Descrição: esta definição de política determina se o conteúdo do estado da conta de consumidor na nuvem é permitido em todas as experiências do Windows. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Conteúdo da Nuvem\Desativar o conteúdo do estado da conta de consumidor na nuvem Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1 |
= 1 (Registo) |
Aviso |
Modelos Administrativos - Componentes do Windows
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Não permitir o redirecionamento da unidade (AZ-WIN-73569) |
Descrição: Esta definição de política impede que os utilizadores partilhem as unidades locais nos seus computadores cliente com os Servidores de Ambiente de Trabalho Remoto a que acedem. As unidades mapeadas aparecem na árvore de pastas da sessão no Windows Explorer no seguinte formato: \\TSClient\<driveletter>$ Se as unidades locais forem compartilhadas, elas ficarão vulneráveis a intrusos que desejam explorar os dados armazenados nelas. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Redirecionamento de Dispositivo e Recursos\Não permitir redirecionamento de unidade Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2 |
= 1 (Registo) |
Aviso |
| Ativar a transcrição do PowerShell (AZ-WIN-202208) |
Descrição: esta configuração de política permite capturar a entrada e a saída de comandos do Windows PowerShell em transcrições baseadas em texto. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows PowerShell\Ativar Transcrição do PowerShell Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2 |
= 0 (Registo) |
Aviso |
Modelos Administrativos - Segurança do Windows
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Impedir que os usuários modifiquem as configurações (AZ-WIN-202209) |
Descrição: esta definição de política impede que os utilizadores façam alterações à área Definições de proteção contra exploração nas definições de Segurança do Windows. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Segurança do Windows\Proteção de aplicativos e navegadores\Impedir que os usuários modifiquem as configurações Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1 |
= 1 (Registo) |
Aviso |
Modelo administrativo - Windows Defender
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Configurar regras de Redução de Superfície de Ataque (AZ_WIN_202205) |
Descrição: esta definição de política controla o estado das regras de Redução da Superfície de Ataque (ASR). O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction\Configure Attack Surface Reduction rules Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1 |
= 1 (Registo) |
Aviso |
| Impedir que utilizadores e aplicações acedam a Web sites perigosos (AZ_WIN_202207) |
Descrição: Esta definição de política controla a proteção de rede do Microsoft Defender Exploit Guard. O estado recomendado para essa configuração é: Enabled: Block.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Network Protection\Impedir que utilizadores e aplicações acedam a Web sites perigosos Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1 |
= 1 (Registo) |
Aviso |
Auditar gestão de contas de computador
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar gestão de contas de computador (CCE-38004-8) |
Descrição: esta subcategoria relata cada evento de gerenciamento de conta de computador, como quando uma conta de computador é criada, alterada, excluída, renomeada, desabilitada ou habilitada. Os eventos para esta subcategoria incluem: - 4741: Foi criada uma conta de computador. - 4742: Uma conta de computador foi alterada. - 4743: Uma conta de computador foi excluída. O estado recomendado para essa configuração é incluir: Success.Caminho da chave: {0CCE9236-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Gerenciamento de Contas\Gerenciamento de Contas de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.2.2 CIS WS2019 17.2.2 |
= Sucesso (Auditoria) |
Crítico |
Núcleo seguro
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Ativar a proteção DMA de inicialização (AZ-WIN-202250) |
Descrição: Os servidores com capacidade de núcleo seguro suportam o firmware do sistema que fornece proteção contra ataques maliciosos e não intencionais de Acesso Direto à Memória (DMA) para todos os dispositivos compatíveis com DMA durante o processo de inicialização. Caminho da chave: BootDMAProtection OSEx: WSASHCI22H2 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: NA Mapeamentos de padrão de conformidade: |
= 1 (OsConfig) |
Crítico |
| Habilitar a integridade do código imposto pelo hipervisor (AZ-WIN-202246) |
Descrição: HVCI e VBS melhoram o modelo de ameaça do Windows e fornecem proteções mais fortes contra malware que tenta explorar o kernel do Windows. O HVCI é um componente crítico que protege e fortalece o ambiente virtual isolado criado pelo VBS, executando a integridade do código do modo kernel dentro dele e restringindo as alocações de memória do kernel que poderiam ser usadas para comprometer o sistema. Caminho da chave: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: NA Mapeamentos de padrão de conformidade: |
= 0 (OsConfig) |
Crítico |
| Ativar inicialização segura (AZ-WIN-202248) |
Descrição: A inicialização segura é um padrão de segurança desenvolvido por membros da indústria de PCs para ajudar a garantir que um dispositivo inicialize usando apenas software confiável pelo fabricante original do equipamento (OEM). Caminho da chave: SecureBootState OSEx: WSASHCI22H2 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: NA Mapeamentos de padrão de conformidade: |
= 1 (OsConfig) |
Crítico |
| Ativar a proteção do sistema (AZ-WIN-202247) |
Descrição: Usando o suporte do processador para a tecnologia Dynamic Root of Trust of Measurement (DRTM), o System Guard colocou o firmware em uma sandbox baseada em hardware ajudando a limitar o impacto de vulnerabilidades em milhões de linhas de código de firmware altamente privilegiado. Caminho da chave: SystemGuardStatus OSEx: WSASHCI22H2 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: NA Mapeamentos de padrão de conformidade: |
= 0 (OsConfig) |
Crítico |
| Habilite a segurança baseada em virtualização (AZ-WIN-202245) |
Descrição: A segurança baseada em virtualização, ou VBS, usa recursos de virtualização de hardware para criar e isolar uma região segura de memória do sistema operacional normal. Isso ajuda a garantir que os servidores permaneçam dedicados à execução de cargas de trabalho críticas e ajuda a proteger aplicativos e dados relacionados contra ataques e exfiltração. O VBS está habilitado e bloqueado por padrão no Azure Stack HCI. Caminho da chave: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: NA Mapeamentos de padrão de conformidade: |
= 0 (OsConfig) |
Crítico |
| Definir versão do TPM (AZ-WIN-202249) |
Descrição: A tecnologia TPM (Trusted Platform Module) foi concebida para fornecer funções relacionadas com segurança baseadas em hardware. O TPM2.0 é necessário para os recursos Secured-core. Caminho da chave: TPMVersion OSEx: WSASHCI22H2 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: NA Mapeamentos de padrão de conformidade: |
Contém 2.0 (OsConfig) |
Crítico |
Opções de Segurança - Contas
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Contas: bloquear contas Microsoft (AZ-WIN-202201) |
Descrição: esta definição de política impede que os utilizadores adicionem novas contas Microsoft neste computador. O estado recomendado para essa configuração é: Users can't add or log on with Microsoft accounts.Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Contas: Bloquear contas da Microsoft Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2 |
= 3 (Registo) |
Aviso |
| Contas: estado de conta de Convidado (CCE-37432-2) |
Descrição: esta definição de política determina se a conta de convidado está ativada ou desativada. A conta de convidado permite que usuários de rede não autenticados obtenham acesso ao sistema. O estado recomendado para essa configuração é: Disabled. Nota: Esta definição não terá impacto quando aplicada à unidade organizacional do controlador de domínio através da política de grupo, uma vez que os controladores de domínio não têm uma base de dados de conta local. Ele pode ser configurado no nível do domínio por meio da política de grupo, semelhante ao bloqueio de conta e às configurações de diretiva de senha.Caminho da chave: [Acesso ao sistema]EnableGuestAccount SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Contas: Status da conta de convidado Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3 |
= 0 (Política) |
Crítico |
| Contas: limitar a utilização de conta local de palavras-passe em branco apenas para o início da sessão da consola (CCE-37615-2) |
Descrição: esta definição de política determina se as contas locais não protegidas por palavra-passe podem ser utilizadas para iniciar sessão a partir de localizações diferentes da consola do computador físico. Se ativar esta definição de política, as contas locais com palavras-passe em branco não poderão iniciar sessão na rede a partir de computadores cliente remotos. Essas contas só poderão fazer logon no teclado do computador. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Contas: Limite o uso de senhas em branco da conta local apenas para o logon do console Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4 |
Não existe ou = 1 (Registo) |
Crítico |
| Contas: mudar o nome da conta de convidado (AZ-WIN-202255) |
Descrição: A conta de convidado local integrada é outro nome bem conhecido dos atacantes. Recomenda-se renomear esta conta para algo que não indique o seu propósito. Mesmo se você desativar essa conta, o que é recomendado, certifique-se de renomeá-la para maior segurança. Nos Controladores de Domínio, como eles não têm suas próprias contas locais, essa regra se refere à conta interna de convidado que foi estabelecida quando o domínio foi criado pela primeira vez. Caminho da chave: [Acesso ao sistema]NewGuestName SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Contas: Renomear conta de convidado Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6 |
!= Convidado (Política) |
Aviso |
| Acesso à rede: Permitir tradução anônima de SID/Nome (CCE-10024-8) |
Descrição: esta definição de política determina se um utilizador anónimo pode solicitar atributos de identificador de segurança (SID) para outro utilizador ou utilizar um SID para obter o respetivo nome de utilizador correspondente. O estado recomendado para essa configuração é: Disabled.Caminho da chave: [Acesso ao sistema]LSAAnonymousNameLookup SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Acesso à rede: Permitir conversão anônima de SID/Nome Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1 |
= 0 (Política) |
Aviso |
Opções de Segurança - Auditoria
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditorias: forçar definições de subcategoria de política de auditoria (Windows Vista ou posterior) para substituir as definições de categoria de política de auditoria (CCE-37850-5) |
Descrição: esta definição de política permite aos administradores ativar as capacidades de auditoria mais precisas presentes no Windows Vista. As configurações de Diretiva de Auditoria disponíveis no Ative Directory do Windows Server 2003 ainda não contêm configurações para gerenciar as novas subcategorias de auditoria. Para aplicar corretamente as políticas de auditoria prescritas nesta linha de base, a configuração Auditoria: Forçar configurações de subcategoria de diretiva de auditoria (Windows Vista ou posterior) para substituir as configurações de categoria de diretiva de auditoria precisa ser configurada como Habilitado. Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Auditoria: Forçar as configurações de subcategoria de diretiva de auditoria (Windows Vista ou posterior) a substituir as configurações de categoria de diretiva de auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.2.1 |
Não existe ou = 1 (Registo) |
Crítico |
| Auditoria: encerrar o sistema imediatamente se não conseguir registar as auditorias de segurança (CCE-35907-5) |
Descrição: esta definição de política determina se o sistema é desligado se não conseguir registar eventos de Segurança. É um requisito para a certificação Trusted Computer System Evaluation Criteria (TCSEC)-C2 e Common Criteria para evitar que eventos auditáveis ocorram se o sistema de auditoria não conseguir registrá-los. A Microsoft optou por atender a esse requisito interrompendo o sistema e exibindo uma mensagem de parada se o sistema de auditoria tiver uma falha. Quando esta definição de política estiver ativada, o sistema será encerrado se não for possível registar uma auditoria de segurança por qualquer motivo. Se a configuração Auditoria: Desligar o sistema imediatamente se não for possível registrar auditorias de segurança estiver ativada, poderão ocorrer falhas não planejadas do sistema. A carga administrativa pode ser significativa, especialmente se você também configurar o método de retenção para o log de segurança para não substituir eventos (limpar log manualmente). Essa configuração faz com que uma ameaça de repúdio (um operador de backup pode negar que fez backup ou restaurou dados) se torne uma vulnerabilidade de negação de serviço (DoS), porque um servidor pode ser forçado a desligar se estiver sobrecarregado com eventos de logon e outros eventos de segurança gravados no log de segurança. Além disso, como o desligamento não é normal, é possível que ocorram danos irreparáveis ao sistema operacional, aplicativos ou dados. Embora o sistema de arquivos NTFS garanta sua integridade quando ocorre um desligamento irregular do computador, ele não pode garantir que todos os arquivos de dados de cada aplicativo ainda estarão em um formato utilizável quando o computador for reiniciado. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Auditoria: Desligue o sistema imediatamente se não for possível registrar auditorias de segurança Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2 |
Não existe ou = 0 (Registo) |
Crítico |
Opções de Segurança - Dispositivos
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Dispositivos: permitidos para formatar e ejetar o suporte de dados amovível (CCE-37701-0) |
Descrição: esta definição de política determina quem tem permissão para formatar e ejetar suportes de dados amovíveis. Você pode usar essa configuração de política para impedir que usuários não autorizados removam dados em um computador para acessá-los em outro computador no qual tenham privilégios de administrador local. Caminho da chave: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Dispositivos: Permite formatar e ejetar mídia removível Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.4.1 |
Não existe ou = 0 (Registo) |
Aviso |
| Dispositivos: impedir os utilizadores de instalar controladores de impressora (CCE-37942-0) |
Descrição: Para que um computador imprima em uma impressora compartilhada, o driver dessa impressora compartilhada deve ser instalado no computador local. Esta definição de segurança determina quem tem permissão para instalar um controlador de impressora como parte da ligação a uma impressora partilhada. O estado recomendado para essa configuração é: Enabled. Nota: Esta definição não afeta a capacidade de adicionar uma impressora local. Essa configuração não afeta os administradores.Caminho da chave: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Dispositivos: Impedir que os usuários instalem drivers de impressora Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2 |
Não existe ou = 1 (Registo) |
Aviso |
| Limita a instalação do driver de impressão aos administradores (AZ_WIN_202202) |
Descrição: esta definição de política controla se os utilizadores que não são Administradores podem instalar controladores de impressão no sistema. O estado recomendado para essa configuração é: Enabled. Nota: Em 10 de agosto de 2021, a Microsoft anunciou uma Alteração de Comportamento Padrão de Ponto e Impressão que modifica a instalação padrão do driver de Ponto e Impressão e o comportamento de atualização para exigir privilégios de Administrador. Isso está documentado em KB5005652 Gerenciar novo comportamento de instalação do driver padrão de Ponto e Impressão (CVE-2021-34481).Caminho da chave: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Guia de Segurança da MS\Limita a instalação do driver de impressão aos Administradores Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.3.5 CIS WS2019 18.3.5 |
= 1 (Registo) |
Aviso |
Opções de Segurança - Membro do Domínio
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Verifique se 'Membro do domínio: criptografar digitalmente ou assinar dados de canal seguro (sempre)' está definido como 'Habilitado' (CCE-36142-8) |
Descrição: esta definição de política determina se todo o tráfego de canal seguro iniciado pelo membro do domínio tem de ser assinado ou encriptado. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Membro do domínio: criptografar ou assinar digitalmente dados de canal seguro (sempre) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1 |
Não existe ou = 1 (Registo) |
Crítico |
| Verifique se 'Membro do domínio: criptografar digitalmente os dados do canal seguro (quando possível)' está definido como 'Habilitado' (CCE-37130-2) |
Descrição: esta definição de política determina se um membro do domínio deve tentar negociar a encriptação para todo o tráfego de canal seguro que inicia. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Membro do domínio: criptografe digitalmente os dados do canal seguro (quando possível) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2 |
Não existe ou = 1 (Registo) |
Crítico |
| Verifique se 'Membro do domínio: assinar digitalmente dados de canal seguros (quando possível)' está definido como 'Ativado' (CCE-37222-7) |
Descrição: Esta definição de política determina se um membro do domínio deve tentar negociar se todo o tráfego de canal seguro que inicia tem de ser assinado digitalmente. As assinaturas digitais protegem o tráfego de ser modificado por qualquer pessoa que capture os dados à medida que eles atravessam a rede. O estado recomendado para essa configuração é: 'Habilitado'. Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Membro do domínio: assine digitalmente dados de canal seguro (quando possível) Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3 |
Não existe ou = 1 (Registo) |
Crítico |
| Verifique se 'Membro do domínio: desativar alterações de senha da conta da máquina' está definido como 'Desativado' (CCE-37508-9) |
Descrição: Esta definição de política determina se um membro do domínio pode alterar periodicamente a palavra-passe da respetiva conta de computador. Os computadores que não podem alterar automaticamente as palavras-passe das respetivas contas são potencialmente vulneráveis, porque um intruso poderá conseguir determinar a palavra-passe da conta de domínio do sistema. O estado recomendado para essa configuração é: 'Desabilitado'. Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Membro do Domínio: Desativar alterações de senha da conta da máquina Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4 |
Não existe ou = 0 (Registo) |
Crítico |
| Verifique se 'Membro do domínio: idade máxima da senha da conta da máquina' está definido como '30 ou menos dias, mas não 0' (CCE-37431-4) |
Descrição: esta definição de política determina a idade máxima permitida para uma palavra-passe de conta de computador. Por padrão, os membros do domínio alteram automaticamente suas senhas de domínio a cada 30 dias. Se você aumentar esse intervalo significativamente para que os computadores não alterem mais suas senhas, um invasor terá mais tempo para realizar um ataque de força bruta contra uma das contas de computador. O estado recomendado para essa configuração é: 30 or fewer days, but not 0. Nota: Um valor de não está em conformidade com o benchmark, uma vez que desativa a idade máxima da 0 palavra-passe.Caminho da chave: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como 30 or fewer days, but not 0:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Membro do Domínio: Idade máxima da senha da conta da máquina Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5 |
Em 1-30 (Registo) |
Crítico |
| Verifique se 'Membro do domínio: exigir chave de sessão forte (Windows 2000 ou posterior)' está definido como 'Habilitado' (CCE-37614-5) |
Descrição: Quando esta definição de política está ativada, só é possível estabelecer um canal seguro com Controladores de Domínio capazes de encriptar dados de canais seguros com uma chave de sessão forte (128 bits). Para habilitar essa configuração de política, todos os controladores de domínio no domínio devem ser capazes de criptografar dados de canal seguro com uma chave forte, o que significa que todos os controladores de domínio devem estar executando o Microsoft Windows 2000 ou mais recente. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Membro do domínio: Exigir chave de sessão forte (Windows 2000 ou posterior) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6 |
Não existe ou = 1 (Registo) |
Crítico |
Opções de Segurança - Logon Interativo
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| O cache de credenciais de logon deve ser limitado (AZ-WIN-73651) |
Descrição: esta definição de política determina se um utilizador pode iniciar sessão num domínio do Windows utilizando informações de conta em cache. As informações de logon para contas de domínio podem ser armazenadas em cache localmente para permitir que os usuários façam logon mesmo que um Controlador de Domínio não possa ser contatado. Esta definição de política determina o número de utilizadores exclusivos para os quais as informações de início de sessão são armazenadas em cache localmente. Se esse valor for definido como 0, o recurso de cache de logon será desabilitado. Um invasor capaz de acessar o sistema de arquivos do servidor pode localizar essas informações armazenadas em cache e usar um ataque de força bruta para determinar senhas de usuário. O estado recomendado para essa configuração é: 4 or fewer logon(s).Caminho da chave: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Logon interativo: Número de logons anteriores no cache (caso o controlador de domínio não esteja disponível) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6 |
Em 1-4 (Registo) |
Informativo |
| Início de sessão interativo: não exibir o apelido do utilizador (CCE-36056-0) |
Descrição: esta definição de política determina se o nome da conta do último utilizador a iniciar sessão nos computadores cliente da sua organização será apresentado no respetivo ecrã de início de sessão do Windows de cada computador. Habilite esta configuração de política para impedir que invasores coletem nomes de contas visualmente das telas de computadores desktop ou laptops em sua organização. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Logon interativo: não exibe o último login Observação: em versões mais antigas do Microsoft Windows, essa configuração era chamada de Logon interativo: não exibir o último nome de usuário, mas foi renomeada a partir do Windows Server 2019. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2 |
= 1 (Registo) |
Crítico |
| Início de sessão interativo: não requerer CTRL + ALT + DEL (CCE-37637-6) |
Descrição: esta definição de política determina se os utilizadores têm de premir CTRL+ALT+DEL antes de iniciarem sessão. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Logon interativo: Não requer CTRL+ALT+DEL Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1 |
Não existe ou = 0 (Registo) |
Crítico |
| Início de sessão interativo: limite de inatividade da máquina (AZ-WIN-73645) |
Descrição: O Windows percebe a inatividade de uma sessão de logon e, se a quantidade de tempo inativo exceder o limite de inatividade, a proteção de tela será executada, bloqueando a sessão. O estado recomendado para essa configuração é: 900 or fewer second(s), but not 0. Nota: Um valor de não está em conformidade com o benchmark, pois desativa o limite de inatividade da 0 máquina.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Logon interativo: Limite de inatividade da máquina Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3 |
Em 1-900 (Registo) |
Importante |
| Início de sessão interativo: mensagem de texto para os utilizadores a tentar iniciar a sessão (AZ-WIN-202253) |
Descrição: esta definição de política especifica uma mensagem de texto que é apresentada aos utilizadores quando estes iniciam sessão. Configure essa configuração de maneira consistente com os requisitos operacionais e de segurança da sua organização. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Logon interativo: Texto da mensagem para usuários que tentam fazer logon Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4 |
!= (Registo) |
Aviso |
| Início de sessão interativo: título de mensagem para os utilizadores a tentar iniciar a sessão (AZ-WIN-202254) |
Descrição: esta definição de política especifica o texto apresentado na barra de título da janela que os utilizadores veem quando iniciam sessão no sistema. Configure essa configuração de maneira consistente com os requisitos operacionais e de segurança da sua organização. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Logon interativo: Título da mensagem para usuários que tentam fazer logon Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5 |
!= (Registo) |
Aviso |
| Início de sessão interativo: perguntar ao utilizador alterar a palavra-passe antes de expirar (CCE-10930-6) |
Descrição: esta definição de política determina com que antecedência os utilizadores são avisados de que a respetiva palavra-passe irá expirar. É recomendável que você defina essa configuração de política para pelo menos 5 dias, mas não mais de 14 dias, para avisar suficientemente os usuários quando suas senhas expirarão. O estado recomendado para essa configuração é: between 5 and 14 days.Caminho da chave: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Logon interativo: Solicitar que o usuário altere a senha antes da expiração Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7 |
Em 5-14 (Registo) |
Informativo |
Opções de Segurança - Microsoft Network Client
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Cliente de rede Microsoft: assinar digitalmente as comunicações (sempre) (CCE-36325-9) |
Descrição: Esta definição de política determina se a assinatura de pacotes é exigida pelo componente de cliente SMB. Nota: Quando os computadores baseados no Windows Vista têm esta definição de política ativada e se ligam a partilhas de ficheiros ou de impressão em servidores remotos, é importante que a definição esteja sincronizada com a respetiva definição complementar, Servidor de rede Microsoft: Assinar comunicações digitalmente (sempre), nesses servidores. Para obter mais informações sobre essas configurações, consulte a seção "Cliente e servidor de rede Microsoft: assinar digitalmente comunicações (quatro configurações relacionadas)" no Capítulo 5 do guia Ameaças e contramedidas. O estado recomendado para essa configuração é: 'Habilitado'. Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Cliente de rede Microsoft: Assinar comunicações digitalmente (sempre) Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1 |
= 1 (Registo) |
Crítico |
| Cliente de rede Microsoft: assinar digitalmente as comunicações (se o servidor concordar) (CCE-36269-9) |
Descrição: esta definição de política determina se o cliente SMB tentará negociar a assinatura de pacotes SMB. Nota: Ativar esta definição de política em clientes SMB na sua rede torna-os totalmente eficazes para a assinatura de pacotes com todos os clientes e servidores no seu ambiente. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Cliente de rede Microsoft: Assinar comunicações digitalmente (se o servidor concordar) Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2 |
Não existe ou = 1 (Registo) |
Crítico |
| Cliente de rede Microsoft: enviar palavra-passe não encriptada para servidores SMB de terceiros (CCE-37863-8) |
Descrição: Esta definição de política determina se o redirecionador SMB enviará palavras-passe de texto simples durante a autenticação para servidores SMB de terceiros que não suportam encriptação de palavra-passe. É recomendável desabilitar essa configuração de política, a menos que haja um caso comercial forte para habilitá-la. Se esta definição de política estiver ativada, serão permitidas palavras-passe não encriptadas em toda a rede. O estado recomendado para essa configuração é: 'Desabilitado'. Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Cliente de rede Microsoft: Envie senha não criptografada para servidores SMB de terceiros Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3 |
Não existe ou = 0 (Registo) |
Crítico |
| Servidor de rede da Microsoft: Quantidade de tempo de inatividade obrigatório antes de suspender a sessão (CCE-38046-9) |
Descrição: esta definição de política permite-lhe especificar a quantidade de tempo inativo contínuo que tem de passar numa sessão SMB antes de a sessão ser suspensa devido a inatividade. Os administradores podem utilizar esta definição de política para controlar quando um computador suspende uma sessão SMB inativa. Se a atividade do cliente for retomada, a sessão será restabelecida automaticamente. Um valor de 0 parece permitir que as sessões persistam indefinidamente. O valor máximo é 99999, ou seja, mais de 69 dias; Na verdade, esse valor desativa a configuração. O estado recomendado para essa configuração é: 15 or fewer minute(s), but not 0.Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como 15 or fewer minute(s):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Servidor de rede Microsoft: quantidade de tempo ocioso necessário antes de suspender a sessão Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.9.1 |
Em 1-15 (Registo) |
Crítico |
| Servidor de rede da Microsoft: Assinar digitalmente as comunicações (sempre) (CCE-37864-6) |
Descrição: esta definição de política determina se a assinatura de pacotes é exigida pelo componente de servidor SMB. Habilite essa configuração de política em um ambiente misto para impedir que clientes downstream usem a estação de trabalho como um servidor de rede. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Servidor de rede Microsoft: Assinar comunicações digitalmente (sempre) Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2 |
= 1 (Registo) |
Crítico |
| Servidor de rede da Microsoft: Assinar digitalmente comunicações (se o cliente concordar) (CCE-35988-5) |
Descrição: esta definição de política determina se o servidor SMB irá negociar a assinatura de pacotes SMB com clientes que a solicitem. Se nenhuma solicitação de assinatura vier do cliente, uma conexão será permitida sem uma assinatura se a configuração Servidor de rede Microsoft: Assinar comunicações digitalmente (sempre) não estiver habilitada. Nota: Habilite essa configuração de política em clientes SMB em sua rede para torná-los totalmente eficazes para assinatura de pacotes com todos os clientes e servidores em seu ambiente. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Servidor de rede Microsoft: Assinar comunicações digitalmente (se o cliente concordar) Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3 |
= 1 (Registo) |
Crítico |
| Servidor de rede da Microsoft: Desligar clientes quando as horas de início de sessão expirarem (CCE-37972-7) |
Descrição: esta definição de segurança determina se os utilizadores que estão ligados ao computador local devem ser desligados fora das horas de início de sessão válidas da respetiva conta de utilizador. Essa configuração afeta o componente SMB (Server Message Block). Se você habilitar essa configuração de política, também deverá habilitar Segurança de rede: Forçar logoff quando as horas de logon expirarem (Regra 2.3.11.6). Se sua organização configurar horas de logon para usuários, essa configuração de política será necessária para garantir que eles sejam eficazes. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Servidor de rede Microsoft: Desconecte os clientes quando as horas de logon expirarem Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4 |
Não existe ou = 1 (Registo) |
Crítico |
| Servidor de rede Microsoft: nível de validação do nome de servidor SPN de destino (CCE-10617-9) |
Descrição: esta definição de política controla o nível de validação que um computador com pastas ou impressoras partilhadas (o servidor) executa no SPN (nome da entidade de serviço) fornecido pelo computador cliente quando estabelece uma sessão utilizando o protocolo SMB (bloco de mensagens do servidor). O protocolo SMB (bloco de mensagens do servidor) fornece a base para o compartilhamento de arquivos e impressão e outras operações de rede, como a administração remota do Windows. O protocolo SMB suporta a validação do SPN (nome principal de serviço) do servidor SMB dentro do blob de autenticação fornecido por um cliente SMB para evitar uma classe de ataques contra servidores SMB conhecida como ataques de retransmissão SMB. Essa configuração afetará o SMB1 e o SMB2. O estado recomendado para essa configuração é: Accept if provided by client. Definir essa configuração para Required from client também estar em conformidade com o benchmark. Nota: Desde o lançamento do patch de segurança do MS KB3161561 , essa configuração pode causar problemas significativos (como problemas de replicação, problemas de edição de diretiva de grupo e falhas de tela azul) em controladores de domínio quando usada simultaneamente com a proteção de caminho UNC (ou seja, Regra 18.5.14.1). Portanto, o CIS recomenda não implantar essa configuração em controladores de domínio.Caminho da chave: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Membro do domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Servidor de rede Microsoft: Nível de validação do nome de destino do SPN do Servidor Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5 |
= 1 (Registo) |
Aviso |
Opções de Segurança - Microsoft Network Server
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Desativar servidor SMB v1 (AZ-WIN-00175) |
Descrição: A desativação dessa configuração desabilita o processamento do lado do servidor do protocolo SMBv1. (Recomendado.) A habilitação dessa configuração permite o processamento do protocolo SMBv1 no servidor. (Padrão.) As alterações nessa configuração exigem uma reinicialização para entrar em vigor. Para mais informações, consulte https://support.microsoft.com/kb/2696547 Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Não Aplicável Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.3.3 |
Não existe ou = 0 (Registo) |
Crítico |
Opções de Segurança - Acesso à Rede
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Contas: mudar o nome da conta de administrador (CCE-10976-9) |
Descrição: A conta de administrador local incorporada é um nome de conta bem conhecido que os atacantes terão como alvo. Recomenda-se escolher outro nome para esta conta e evitar nomes que denotem contas administrativas ou de acesso elevado. Certifique-se também de alterar a descrição padrão para o administrador local (por meio do console de Gerenciamento do Computador). Nos Controladores de Domínio, uma vez que não têm as suas próprias contas locais, esta regra refere-se à conta de Administrador incorporada que foi estabelecida quando o domínio foi criado pela primeira vez. Caminho da chave: [Acesso ao sistema]NewAdministratorName SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Contas: Renomear conta de administrador Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5 |
!= Administrador (Política) |
Aviso |
| Acesso de rede: não permitir a enumeração anónima de contas de SAM (CCE-36316-8) |
Descrição: esta definição de política controla a capacidade de utilizadores anónimos enumerarem as contas no Gestor de Contas de Segurança (SAM). Se você habilitar essa configuração de política, os usuários com conexões anônimas não poderão enumerar nomes de usuário de conta de domínio nos sistemas em seu ambiente. Esta definição de política também permite restrições adicionais a ligações anónimas. O estado recomendado para essa configuração é: Enabled. Nota: Esta política não tem efeito sobre os controladores de domínio.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança etwork access: Não permitir enumeração anônima de contas SAM Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.10.2 |
Não existe ou = 1 (Registo) |
Crítico |
| Acesso de rede: não permitir a enumeração anónima de contas e partilhas de SAM (CCE-36077-6) |
Descrição: esta definição de política controla a capacidade de utilizadores anónimos enumerarem contas SAM, bem como partilhas. Se você habilitar essa configuração de política, os usuários anônimos não poderão enumerar nomes de usuário de conta de domínio e nomes de compartilhamento de rede nos sistemas em seu ambiente. O estado recomendado para essa configuração é: Enabled. Nota: Esta política não tem efeito sobre os controladores de domínio.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança etwork access: Não permita a enumeração anônima de contas e compartilhamentos SAM Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.10.3 |
= 1 (Registo) |
Crítico |
| Acesso de rede: permitir que as permissões para Todos se apliquem aos utilizadores anónimos (CCE-36148-5) |
Descrição: esta definição de política determina que permissões adicionais são atribuídas para ligações anónimas ao computador. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Acesso à rede: Permitir que as permissões de Todos se apliquem a usuários anônimos Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5 |
Não existe ou = 0 (Registo) |
Crítico |
| Acesso de rede: caminhos de registo remotamente acessíveis (CCE-37194-8) |
Descrição: esta configuração de política determina quais caminhos do Registro serão acessíveis depois de fazer referência à chave WinReg para determinar as permissões de acesso aos caminhos. Nota: Esta definição não existe no Windows XP. Havia uma configuração com esse nome no Windows XP, mas ela é chamada de "Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente" no Windows Server 2003, Windows Vista e Windows Server 2008. Nota: Ao definir essa configuração, você especifica uma lista de um ou mais objetos. O delimitador usado ao entrar na lista é um feed de linha ou retorno de carro, ou seja, digite o primeiro objeto na lista, pressione o botão Enter, digite o próximo objeto, pressione Enter novamente, etc. O valor da configuração é armazenado como uma lista delimitada por vírgulas em modelos de segurança de diretiva de grupo. Ele também é renderizado como uma lista delimitada por vírgulas no painel de exibição do Editor de Diretiva de Grupo e no console Conjunto de Políticas Resultante. Ele é registrado no registro como uma lista delimitada de alimentação de linha em um valor REG_MULTI_SZ. Caminho da chave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como: Sistema\CurrentControlSet\Control\ProductOptions Aplicativos System\CurrentControlSet\Control\Server Software\Microsoft\Windows NT\CurrentVersion Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Acesso à rede: Caminhos do Registro acessíveis remotamente Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.10.8 |
Não existe ou = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (Registo) |
Crítico |
| Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente (CCE-36347-3) |
Descrição: esta definição de política determina que caminhos e subcaminhos do registo estarão acessíveis quando uma aplicação ou processo fizer referência à chave WinReg para determinar permissões de acesso. Observação: no Windows XP, essa configuração é chamada de "Acesso à rede: caminhos do Registro acessíveis remotamente", a configuração com esse mesmo nome no Windows Vista, Windows Server 2008 e Windows Server 2003 não existe no Windows XP. Nota: Ao definir essa configuração, você especifica uma lista de um ou mais objetos. O delimitador usado ao entrar na lista é um feed de linha ou retorno de carro, ou seja, digite o primeiro objeto na lista, pressione o botão Enter, digite o próximo objeto, pressione Enter novamente, etc. O valor da configuração é armazenado como uma lista delimitada por vírgulas em modelos de segurança de diretiva de grupo. Ele também é renderizado como uma lista delimitada por vírgulas no painel de exibição do Editor de Diretiva de Grupo e no console Conjunto de Políticas Resultante. Ele é registrado no registro como uma lista delimitada de alimentação de linha em um valor REG_MULTI_SZ. Caminho da chave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como: Sistema\CurrentControlSet\Control\Print\Printers Sistema\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows Sistema\CurrentControlSet\Control\ContentIndex Sistema\CurrentControlSet\Control\Terminal Server Sistema\CurrentControlSet\Control\Terminal Server\UserConfig Sistema\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib Sistema\CurrentControlSet\Services\SysmonLog Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança etwork access: Caminhos e subcaminhos do Registro acessíveis remotamente Quando um servidor mantém a Função de Serviços de Certificados do Ative Directory com o Serviço de Função de Autoridade de Certificação, a lista acima também deve incluir: 'System\CurrentControlSet\Services\CertSvc'. Quando um servidor tem o recurso de servidor WINS instalado, a lista acima também deve incluir: 'Sistema\CurrentControlSet\Services\WINS' Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.10.9 |
Não existe ou = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Servidor\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (Registo) |
Crítico |
| Acesso à rede: restrinja o acesso anônimo a pipes nomeados e compartilhamentos (CCE-36021-4) |
Descrição: Quando ativada Network access: Named pipes that can be accessed anonymously , esta definição de política restringe o acesso anónimo apenas às partilhas e pipes nomeados nas definições e Network access: Shares that can be accessed anonymously . Esta definição de política controla o acesso de sessão nula a partilhas nos seus computadores adicionando RestrictNullSessAccess com o valor 1 na chave de HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters registo. Esse valor do Registro ativa ou desativa compartilhamentos de sessão nulos para controlar se o serviço do servidor restringe o acesso de clientes não autenticados a recursos nomeados. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Acesso à rede: Restrinja o acesso anônimo a pipes nomeados e compartilhamentos Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10 |
Não existe ou = 1 (Registo) |
Crítico |
| Acesso à rede: clientes restritos com permissão para fazer chamadas remotas ao SAM (AZ-WIN-00142) |
Descrição: esta definição de política permite-lhe restringir ligações RPC remotas ao SAM. Se não for selecionado, o descritor de segurança padrão será usado. Esta política é suportada pelo menos no Windows Server 2016. Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM SO: WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators: Remote Access: Allow:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança etwork access: Restringir clientes autorizados a fazer chamadas remotas para SAM Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.10.11 |
Não existe ou = O:BAG:BAD:(A;; CR;;; BA) (Registo) |
Crítico |
| Acesso de rede: as partilhas que podem ser acedidas anonimamente (CCE-38095-6) |
Descrição: esta definição de política determina que partilhas de rede podem ser acedidas por utilizadores anónimos. A configuração padrão para essa configuração de política tem pouco efeito porque todos os usuários precisam ser autenticados antes de poderem acessar recursos compartilhados no servidor. Nota: Pode ser muito perigoso adicionar outras partilhas a esta definição de Política de Grupo. Qualquer usuário da rede pode acessar quaisquer compartilhamentos listados, o que pode expor ou corromper dados confidenciais. Nota: Ao definir essa configuração, você especifica uma lista de um ou mais objetos. O delimitador usado ao entrar na lista é um feed de linha ou retorno de carro, ou seja, digite o primeiro objeto na lista, pressione o botão Enter, digite o próximo objeto, pressione Enter novamente, etc. O valor da configuração é armazenado como uma lista delimitada por vírgulas em modelos de segurança de diretiva de grupo. Ele também é renderizado como uma lista delimitada por vírgulas no painel de exibição do Editor de Diretiva de Grupo e no console Conjunto de Políticas Resultante. Ele é registrado no registro como uma lista delimitada de alimentação de linha em um valor REG_MULTI_SZ. Caminho da chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como <blank> (ou seja, Nenhum):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança etwork access: Compartilhamentos que podem ser acessados anonimamente Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.10.12 |
Não existe ou = (Registo) |
Crítico |
| Acesso de rede: modelo de partilha e segurança para contas locais (CCE-37623-6) |
Descrição: esta definição de política determina a forma como os inícios de sessão de rede que utilizam contas locais são autenticados. A opção Classic permite um controlo preciso sobre o acesso a recursos, incluindo a capacidade de atribuir diferentes tipos de acesso a diferentes utilizadores para o mesmo recurso. A opção Somente convidado permite que você trate todos os usuários igualmente. Nesse contexto, todos os usuários se autenticam como Convidado apenas para receber o mesmo nível de acesso a um determinado recurso. O estado recomendado para essa configuração é: Classic - local users authenticate as themselves. Nota: Essa configuração não afeta logons interativos que são executados remotamente usando serviços como Telnet ou Serviços de Área de Trabalho Remota (anteriormente chamados de Serviços de Terminal).Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Classic - local users authenticate as themselves:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Acesso à rede: Modelo de compartilhamento e segurança para contas locais Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13 |
Não existe ou = 0 (Registo) |
Crítico |
Opções de Segurança - Segurança de Rede
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Segurança de rede: permitir ao Sistema Local utilizar a identidade do computador para NTLM (CCE-38341-4) |
Descrição: Quando habilitada, essa configuração de política faz com que os serviços do Sistema Local que usam Negociar usem a identidade do computador quando a autenticação NTLM é selecionada pela negociação. Esta política é suportada pelo menos no Windows 7 ou no Windows Server 2008 R2. Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança etwork security: Permitir que o sistema local use a identidade do computador para NTLM Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.11.1 |
= 1 (Registo) |
Crítico |
| Segurança de rede: permitir o fallback de sessão NULO para LocalSystem (CCE-37035-3) |
Descrição: esta configuração de política determina se o NTLM pode retornar a uma sessão NULL quando usado com LocalSystem. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: Permitir fallback de sessão NULL LocalSystem Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2 |
Não existe ou = 0 (Registo) |
Crítico |
| Rede de segurança: permitir os pedidos de autenticação PKU2U para este computador utilizar identidades online (CCE-38047-7) |
Descrição: esta definição determina se as identidades online podem autenticar-se neste computador. O protocolo PKU2U (Public Key Cryptography Based User-to-User) introduzido no Windows 7 e no Windows Server 2008 R2 é implementado como um SSP (provedor de suporte de segurança). O SSP permite a autenticação ponto a ponto, particularmente por meio do recurso de compartilhamento de arquivos e mídia do Windows 7 chamado Grupo Doméstico, que permite o compartilhamento entre computadores que não são membros de um domínio. Com o PKU2U, uma nova extensão foi introduzida no pacote de autenticação Negotiate, Spnego.dll. Em versões anteriores do Windows, o Negotiate decidia se usava Kerberos ou NTLM para autenticação. A extensão SSP for Negotiate, que é tratada como um protocolo de autenticação pelo Windows, suporta SSPs da Microsoft, Negoexts.dllincluindo PKU2U. Quando os computadores são configurados para aceitar solicitações de autenticação usando IDs online, Negoexts.dll chama o SSP PKU2U no computador usado para fazer logon. O SSP PKU2U obtém um certificado local e troca a política entre os computadores pares. Quando validado no computador par, o certificado dentro dos metadados é enviado ao correspondente de logon para validação e associa o certificado do usuário a um token de segurança e o processo de logon é concluído. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de Rede: Permitir que solicitações de autenticação PKU2U para este computador usem identidades online Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3 |
Não existe ou = 0 (Registo) |
Aviso |
| Segurança de rede: configurar tipos de criptografia permitidos para Kerberos (CCE-37755-6) |
Descrição: esta definição de política permite-lhe definir os tipos de encriptação que o Kerberos tem permissão para utilizar. Esta política é suportada pelo menos no Windows 7 ou no Windows Server 2008 R2. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Segurança de rede: Configurar tipos de criptografia permitidos para Kerberos Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.11.4 |
Não existe ou = 2147483640 (Registo) |
Crítico |
| Segurança de rede: não armazenar o valor hash do LAN Manager na próxima alteração de palavra-passe (CCE-36326-7) |
Descrição: esta definição de política determina se o valor do hash do LAN Manager (LM) para a nova palavra-passe é armazenado quando a palavra-passe é alterada. O hash do LM é relativamente fraco e suscetível a ataques em comparação com o criptograficamente mais forte hash do Microsoft Windows NT. Dado que os hashes do LM são armazenados no computador local na base de dados de segurança, as palavras-passe podem ser facilmente comprometidas caso a base de dados seja atacada. Nota: Os sistemas operativos mais antigos e algumas aplicações de terceiros podem falhar quando esta definição de política está ativada. Além disso, observe que a senha precisará ser alterada em todas as contas depois que você habilitar essa configuração para obter o benefício adequado. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: Não armazene o valor de hash do LAN Manager na próxima alteração de senha Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5 |
Não existe ou = 1 (Registo) |
Crítico |
| Segurança de rede: nível de autenticação do LAN Manager (CCE-36173-3) |
Descrição: LAN Manager (LM) é uma família de software cliente/servidor da Microsoft que permite aos usuários vincular computadores pessoais em uma única rede. Os recursos de rede incluem compartilhamento transparente de arquivos e impressão, recursos de segurança do usuário e ferramentas de administração de rede. Em domínios do Ative Directory, o protocolo Kerberos é o protocolo de autenticação padrão. No entanto, se o protocolo Kerberos não for negociado por algum motivo, o Ative Directory usará LM, NTLM ou NTLMv2. A autenticação do LAN Manager inclui as variantes LM, NTLM e NTLM versão 2 (NTLMv2) e é o protocolo usado para autenticar todos os clientes Windows quando eles executam as seguintes operações: - Junte-se a um domínio - Autenticar entre florestas do Ative Directory - Autenticar em domínios de nível inferior - Autenticar em computadores que não executam o Windows 2000, Windows Server 2003 ou Windows XP) - Autenticar em computadores que não estão no domínio Os valores possíveis para a segurança de rede: As configurações de nível de autenticação do LAN Manager são: - Enviar respostas LM & NTLM - Enviar LM & NTLM — use a segurança da sessão NTLMv2 se negociada - Enviar apenas respostas NTLM - Enviar apenas respostas NTLMv2 - Enviar respostas NTLMv2 apenas\recusar LM - Enviar respostas NTLMv2 apenas\recusar LM & NTLM - Não definido A configuração de nível de autenticação Segurança de rede: LAN Manager determina qual protocolo de autenticação de desafio/resposta é usado para logons de rede. Essa opção afeta o nível de protocolo de autenticação que os clientes usam, o nível de segurança da sessão que os computadores negociam e o nível de autenticação que os servidores aceitam da seguinte maneira: - Enviar respostas LM & NTLM. Os clientes usam autenticação LM e NTLM e nunca usam segurança de sessão NTLMv2. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Enviar LM & NTLM — use a segurança da sessão NTLMv2 se negociada. Os clientes usam autenticação LM e NTLM e usam a segurança de sessão NTLMv2 se o servidor oferecer suporte a ela. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Enviar apenas resposta NTLM. Os clientes usam apenas a autenticação NTLM e usam a segurança de sessão NTLMv2 se o servidor oferecer suporte a ela. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Enviar apenas resposta NTLMv2. Os clientes usam apenas a autenticação NTLMv2 e usam a segurança de sessão NTLMv2 se o servidor oferecer suporte a ela. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Enviar apenas resposta NTLMv2\recusar LM. Os clientes usam apenas a autenticação NTLMv2 e usam a segurança de sessão NTLMv2 se o servidor oferecer suporte a ela. Os controladores de domínio recusam LM (aceitam apenas autenticação NTLM e NTLMv2). - Enviar apenas resposta NTLMv2\recusar LM & NTLM. Os clientes usam apenas a autenticação NTLMv2 e usam a segurança de sessão NTLMv2 se o servidor oferecer suporte a ela. Os controladores de domínio recusam LM e NTLM (aceitam apenas autenticação NTLMv2). Essas configurações correspondem aos níveis discutidos em outros documentos da Microsoft da seguinte maneira: - Nível 0 — Enviar resposta LM e NTLM; nunca use a segurança de sessão NTLMv2. Os clientes usam autenticação LM e NTLM e nunca usam segurança de sessão NTLMv2. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Nível 1 — Use a segurança da sessão NTLMv2 se negociada. Os clientes usam autenticação LM e NTLM e usam a segurança de sessão NTLMv2 se o servidor oferecer suporte a ela. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Nível 2 — Enviar apenas resposta NTLM. Os clientes usam apenas a autenticação NTLM e usam a segurança da sessão NTLMv2 se o servidor oferecer suporte a ela. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Nível 3 — Envie apenas a resposta NTLMv2. Os clientes usam a autenticação NTLMv2 e usam a segurança da sessão NTLMv2 se o servidor oferecer suporte a ela. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. - Nível 4 — Os controladores de domínio recusam respostas LM. Os clientes usam a autenticação NTLM e usam a segurança de sessão NTLMv2 se o servidor oferecer suporte a ela. Os controladores de domínio recusam a autenticação LM, ou seja, aceitam NTLM e NTLMv2. - Nível 5 — Os controladores de domínio recusam respostas LM e NTLM (aceitam apenas NTLMv2). Os clientes usam autenticação NTLMv2, uso e segurança de sessão NTLMv2 se o servidor oferecer suporte a isso. Os controladores de domínio recusam a autenticação NTLM e LM (aceitam apenas NTLMv2). Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para: 'Enviar somente resposta NTLMv2. Recusar LM & NTLM': Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança etwork security: nível de autenticação do LAN Manager Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.11.7 |
= 5 (Registo) |
Crítico |
| Segurança de rede: requisitos de assinatura de cliente LDAP (CCE-36858-9) |
Descrição: esta configuração de política determina o nível de assinatura de dados que é solicitado em nome de clientes que emitem solicitações LDAP BIND. Nota: Esta definição de política não tem qualquer impacto na ligação simples LDAP (ldap_simple_bind) ou na ligação simples LDAP através de SSL (ldap_simple_bind_s). Nenhum cliente LDAP da Microsoft incluído no Windows XP Professional usa ldap_simple_bind ou ldap_simple_bind_s para se comunicar com um controlador de domínio. O estado recomendado para essa configuração é: Negotiate signing. Definir essa configuração para Require signing também estar em conformidade com o benchmark.Caminho da chave: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Negotiate signing (configurando para Require signing também estar em conformidade com o benchmark):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: requisitos de assinatura do cliente LDAP Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8 |
Não existe ou = 1 (Registo) |
Crítico |
| Segurança de rede: segurança de sessão mínima para os clientes baseados em NTLM SSP (incluindo RPC seguro) (CCE-37553-5) |
Descrição: esta configuração de política determina quais comportamentos são permitidos pelos clientes para aplicativos que usam o SSP (Provedor de Suporte de Segurança) NTLM. A interface SSP (SSPI) é usada por aplicativos que precisam de serviços de autenticação. A configuração não modifica como a sequência de autenticação funciona, mas exige determinados comportamentos em aplicativos que usam o SSPI. O estado recomendado para essa configuração é: Require NTLMv2 session security, Require 128-bit encryption. Nota: Estes valores dependem do valor da definição de segurança Segurança de rede: Nível de autenticação LAN Manager.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Require NTLMv2 session security, Require 128-bit encryption: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Segurança de rede: Segurança mínima de sessão para clientes baseados em SSP NTLM (incluindo RPC seguro)Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.11.9 |
= 537395200 (Registo) |
Crítico |
| Segurança de rede: segurança de sessão mínima para os servidores baseados em NTLM SSP (incluindo RPC seguro) (CCE-37835-6) |
Descrição: esta configuração de política determina quais comportamentos são permitidos pelos servidores para aplicativos que usam o SSP (Provedor de Suporte de Segurança) NTLM. A interface SSP (SSPI) é usada por aplicativos que precisam de serviços de autenticação. A configuração não modifica como a sequência de autenticação funciona, mas exige determinados comportamentos em aplicativos que usam o SSPI. O estado recomendado para essa configuração é: Require NTLMv2 session security, Require 128-bit encryption. Nota: Estes valores dependem do valor da definição de segurança Segurança de rede: Nível de autenticação LAN Manager.Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configure o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Segurança de rede: Segurança mínima da sessão para servidores baseados em SSP NTLM (incluindo RPC seguro) para Exigir segurança de sessão NTLMv2 e Exigir criptografia de 128 bits (todas as opções selecionadas). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.11.10 |
= 537395200 (Registo) |
Crítico |
Opções de Segurança - Desligamento
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Encerramento: permitir que o sistema seja encerrado sem ter de iniciar a sessão (CCE-36788-8) |
Descrição: esta definição de política determina se um computador pode ser encerrado quando um utilizador não tem sessão iniciada. Se esta definição de política estiver ativada, o comando shutdown estará disponível no ecrã de início de sessão do Windows. Recomenda-se desativar esta definição de política para restringir a capacidade de desligar o computador a utilizadores com credenciais no sistema. O estado recomendado para essa configuração é: Disabled. Nota: No Server 2008 R2 e versões mais antigas, esta definição não teve impacto nas sessões de Ambiente de Trabalho Remoto (RDP) / Serviços de Terminal - afetou apenas a consola local. No entanto, a Microsoft alterou o comportamento no Windows Server 2012 (não R2) e superior, onde, se definido como Habilitado, as sessões RDP também podem desligar ou reiniciar o servidor.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Desligamento: Permitir que o sistema seja desligado sem ter que fazer logon Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1 |
Não existe ou = 0 (Registo) |
Aviso |
| Encerramento: limpar a página de memória virtual (AZ-WIN-00181) |
Descrição: esta definição de política determina se o ficheiro de paginação da memória virtual é limpo quando o sistema é encerrado. Quando esta definição de política está ativada, o ficheiro de paginação do sistema é limpo sempre que o sistema é desligado corretamente. Se você habilitar essa configuração de segurança, o arquivo de hibernação (Hiberfil.sys) será zerado quando a hibernação estiver desabilitada em um sistema de computador portátil. Levará mais tempo para desligar e reiniciar o computador, e será especialmente percetível em computadores com grandes arquivos de paginação. Caminho da chave: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configure o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Desligamento: Limpe o arquivo de paginação da memória virtual para Disabled.Mapeamentos de padrão de conformidade: |
Não existe ou = 0 (Registo) |
Crítico |
Opções de Segurança - Criptografia do sistema
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Os usuários devem ser solicitados a inserir uma senha para acessar chaves privadas armazenadas no computador. (AZ-WIN-73699) |
Descrição: Se a chave privada for descoberta, um invasor poderá usá-la para autenticar como um usuário autorizado e obter acesso à infraestrutura de rede. A pedra angular da PKI é a chave privada usada para criptografar ou assinar digitalmente informações. Se a chave privada for roubada, isso levará ao comprometimento da autenticação e do não repúdio obtidos através da PKI, porque o invasor pode usar a chave privada para assinar digitalmente documentos e fingir ser o usuário autorizado. Tanto os titulares de um certificado digital como a autoridade emissora devem proteger os computadores, dispositivos de armazenamento ou o que quer que utilizem para guardar as chaves privadas. Caminho da chave: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Criptografia do sistema: Força a proteção forte de chave para chaves de usuário armazenadas no computador Mapeamentos de padrão de conformidade: |
= 2 (Registo) |
Importante |
| O Windows Server deve ser configurado para usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura. (AZ-WIN-73701) |
Descrição: essa configuração garante que o sistema use algoritmos compatíveis com FIPS para criptografia, hash e assinatura. Os algoritmos compatíveis com FIPS atendem aos padrões específicos estabelecidos pelo governo dos EUA e devem ser os algoritmos usados para todas as funções de criptografia do sistema operacional. Caminho da chave: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled SO: WS2016, WS2019, WS2022 Tipo de servidor: Membro do domínio Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Criptografia do sistema: use algoritmos compatíveis com FIPS para criptografia, hash e assinatura Mapeamentos de padrão de conformidade: |
= 1 (Registo) |
Importante |
Opções de Segurança - Objetos do sistema
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Objetos do sistema: exigir diferenciação de maiúsculas e minúsculas para subsistemas não-Windows (CCE-37885-1) |
Descrição: esta definição de política determina se a indiferenciação a maiúsculas e minúsculas é imposta a todos os subsistemas. O subsistema Microsoft Win32 não diferencia maiúsculas de minúsculas. No entanto, o kernel suporta sensibilidade a maiúsculas e minúsculas para outros subsistemas, como a Interface de Sistema Operacional Portátil para UNIX (POSIX). Como o Windows não diferencia maiúsculas de minúsculas (mas o subsistema POSIX dará suporte a maiúsculas e minúsculas), a falha na imposição dessa configuração de política possibilita que um usuário do subsistema POSIX crie um arquivo com o mesmo nome de outro arquivo usando maiúsculas e minúsculas mistas para rotulá-lo. Tal situação pode bloquear o acesso a esses arquivos por outro usuário que usa ferramentas Win32 típicas, porque apenas um dos arquivos estará disponível. O estado recomendado para essa configuração é: Enabled.Caminho da chave: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Objetos do sistema: exigem insensibilidade a maiúsculas e minúsculas para subsistemas que não sejam do Windows Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1 |
Não existe ou = 1 (Registo) |
Aviso |
| Objetos de sistema: aumentar as permissões predefinidas de objetos de sistema internos (por exemplo, Ligações Simbólicas) (CCE-37644-2) |
Descrição: esta configuração de política determina a força da lista de controle de acesso discricionário (DACL) padrão para objetos. O Ative Directory mantém uma lista global de recursos compartilhados do sistema, como nomes de dispositivos DOS, mutexes e semáforos. Desta forma, os objetos podem ser localizados e compartilhados entre os processos. Cada tipo de objeto é criado com uma DACL padrão que especifica quem pode acessar os objetos e quais permissões são concedidas. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configure o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Objetos do sistema: Fortaleça as permissões padrão de objetos internos do sistema (por exemplo, Links Simbólicos) para EnabledMapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.3.15.2 |
= 1 (Registo) |
Crítico |
Opções de Segurança - Configurações do Sistema
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Definições do sistema: utilizar regras de certificado nos executáveis do Windows para políticas de restrição de software (AZ-WIN-00155) |
Descrição: esta definição de política determina se os certificados digitais são processados quando as políticas de restrição de software estão ativadas e um utilizador ou processo tenta executar software com uma extensão de nome de ficheiro .exe. Ele habilita ou desabilita regras de certificado (um tipo de regra de políticas de restrição de software). Com as políticas de restrição de software, você pode criar uma regra de certificado que permitirá ou não a execução do software assinado pelo Authenticode ®, com base no certificado digital associado ao software. Para que as regras de certificado entrem em vigor nas diretivas de restrição de software, você deve habilitar essa configuração de política. Caminho da chave: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Configurações do Sistema: Usar Regras de Certificado em Executáveis do Windows para Diretivas de Restrição de Software Mapeamentos de padrão de conformidade: |
= 1 (Registo) |
Aviso |
Opções de Segurança - Controlo de Conta de Utilizador
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Controlo de Conta de Utilizador: modo de aprovação de administrador para a conta de administrador incorporada (CCE-36494-3) |
Descrição: esta definição de política controla o comportamento do Modo de Aprovação de Administrador para a conta de Administrador incorporada. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta de Administrador Interno Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1 |
= 1 (Registo) |
Crítico |
| Controlo de Conta de Utilizador: permitir que aplicações UIAccess peçam a elevação sem utilizar o ambiente de trabalho seguro (CCE-36863-9) |
Descrição: esta definição de política controla se os programas de Acessibilidade da Interface do Utilizador (UIAccess ou UIA) podem desativar automaticamente o ambiente de trabalho seguro para pedidos de elevação utilizados por um utilizador padrão. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Controle de Conta de Usuário: Permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho segura Mapeamentos de padrão de conformidade: |
= 0 (Registo) |
Crítico |
| Controlo de Conta de Utilizador: comportamento do pedido de elevação para administradores no Modo de Aprovação de Administrador (CCE-37029-6) |
Descrição: esta definição de política controla o comportamento do pedido de elevação para administradores. O estado recomendado para essa configuração é: Prompt for consent on the secure desktop.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Prompt for consent on the secure desktop:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de Conta de Usuário: Comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2 |
= 2 (Registo) |
Crítico |
| Controlo de Conta de Utilizador: comportamento do pedido de elevação para os utilizadores padrão (CCE-36864-7) |
Descrição: esta definição de política controla o comportamento do pedido de elevação para utilizadores padrão. O estado recomendado para essa configuração é: Automatically deny elevation requests.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Automatically deny elevation requests:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de Conta de Usuário: Comportamento do prompt de elevação para usuários padrão Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3 |
= 0 (Registo) |
Crítico |
| Controlo de Conta de Utilizador: detetar instalações da aplicação e pedido de elevação (CCE-36533-8) |
Descrição: esta definição de política controla o comportamento da deteção de instalação de aplicações para o computador. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de Conta de Usuário: detete instalações de aplicativos e solicite elevação Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4 |
= 1 (Registo) |
Crítico |
| Controlo de Conta de Utilizador: apenas elevar aplicações UIAccess que estão instaladas nas localizações seguras (CCE-37057-7) |
Descrição: esta definição de política controla se as aplicações que solicitam a execução com um nível de integridade UIAccess (Acessibilidade da Interface do Utilizador) têm de residir numa localização segura no sistema de ficheiros. Os locais seguros estão limitados ao seguinte: - …\Program Files\, incluindo subpastas - …\Windows\system32\ - …\Program Files (x86)\, incluindo subpastas para versões de 64 bits do Windows Nota: O Windows impõe uma verificação de assinatura PKI (infraestrutura de chave pública) em qualquer aplicativo interativo que solicite a execução com um nível de integridade UIAccess, independentemente do estado dessa configuração de segurança. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de Conta de Usuário: eleve apenas os aplicativos UIAccess instalados em locais seguros Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5 |
= 1 (Registo) |
Crítico |
| Controlo de Conta de Utilizador: executar todos os administradores no Modo de Aprovação de Administrador (CCE-36869-6) |
Descrição: esta definição de política controla o comportamento de todas as definições de política de Controlo de Conta de Utilizador (UAC) para o computador. Se alterar esta definição de política, tem de reiniciar o computador. O estado recomendado para essa configuração é: Enabled. Nota: Se esta definição de política estiver desativada, o Centro de Segurança notifica-o de que a segurança geral do sistema operativo foi reduzida.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de Conta de Usuário: execute todos os administradores no Modo de Aprovação de Administrador Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6 |
= 1 (Registo) |
Crítico |
| Controlo de Conta de Utilizador: alternar para o ambiente de trabalho seguro quando pedir elevação (CCE-36866-2) |
Descrição: esta definição de política controla se o pedido de elevação é apresentado no ambiente de trabalho do utilizador interativo ou no ambiente de trabalho seguro. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de Conta de Usuário: alterne para a área de trabalho segura ao solicitar elevação Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7 |
= 1 (Registo) |
Crítico |
| Controlo de Conta de Utilizador: virtualizar ficheiros e registo de falhas de escrita para as localizações por utilizador (CCE-37064-3) |
Descrição: esta definição de política controla se as falhas de escrita da aplicação são redirecionadas para localizações definidas do registo e do sistema de ficheiros. Esta definição de política atenua as aplicações executadas como administrador e escrevem dados de aplicações em tempo de execução em: - %ProgramFiles%, - %Windir%, - , ou %Windir%\system32- HKEY_LOCAL_MACHINE\Software. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Controle de Conta de Usuário: virtualize falhas de gravação de arquivos e registros em locais por usuário Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8 |
= 1 (Registo) |
Crítico |
Configurações de Segurança - Políticas de Conta
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Limite de bloqueio de conta (AZ-WIN-73311) |
Descrição: esta definição de política determina o número de tentativas de início de sessão falhadas antes de a conta ser bloqueada. Definir esta política como 0 não está em conformidade com o benchmark, pois isso desativa o limite de bloqueio de conta. O estado recomendado para essa configuração é: 5 or fewer invalid logon attempt(s), but not 0. Nota: As definições de Política de Palavra-passe (secção 1.1) e de Política de Bloqueio de Conta (secção 1.2) têm de ser aplicadas através do GPO de Política de Domínio Predefinido para estarem globalmente em vigor nas contas de utilizador de domínio como comportamento predefinido. Se essas configurações forem definidas em outro GPO, elas afetarão apenas as contas de usuário locais nos computadores que recebem o GPO. No entanto, exceções personalizadas à política de senha padrão e regras de política de bloqueio de conta para usuários e/ou grupos de domínio específicos podem ser definidas usando PSOs (Objetos de Configurações de Senha), que são completamente separados da Diretiva de Grupo e configurados mais facilmente usando o Centro Administrativo do Ative Directory.Caminho da chave: [Acesso ao sistema]LockoutBadCount SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Limite de bloqueio de Conta Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 1.2.2 CIS WS2019 1.2.2 |
Em 1-3 (Política) |
Importante |
| Impor histórico de senhas (CCE-37166-6) |
Descrição: Esta definição de política determina o número de palavras-passe únicas renovadas que têm de ser associadas a uma conta de utilizador antes de poder reutilizar uma palavra-passe antiga. O valor para esta definição de política tem de estar entre 0 e 24 palavras-passe. O valor padrão para o Windows Vista é 0 senhas, mas a configuração padrão em um domínio é 24 senhas. Para manter a eficácia desta definição de política, utilize a definição Idade mínima da palavra-passe para impedir que os utilizadores alterem repetidamente a palavra-passe. O estado recomendado para esta definição é: '24 ou mais palavra(s)-passe(s)'. Caminho da chave: [Acesso ao sistema]PasswordHistorySize SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como 24 or more password(s):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Impor histórico de senhas Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 1.1.1 |
>= 24 (Política) |
Crítico |
| Idade máxima da palavra-passe (CCE-37167-4) |
Descrição: esta definição de política define durante quanto tempo um utilizador pode utilizar a respetiva palavra-passe antes de esta expirar. Os valores para esta definição de política variam entre 0 e 999 dias. Se você definir o valor como 0, a senha nunca expirará. Como os invasores podem quebrar senhas, quanto mais frequentemente você alterar a senha, menos oportunidades um invasor terá de usar uma senha quebrada. No entanto, quanto menor esse valor for definido, maior será o potencial para um aumento nas chamadas para o suporte técnico devido aos usuários terem que alterar sua senha ou esquecerem qual senha é atual. O estado recomendado para essa configuração é 60 or fewer days, but not 0.Caminho da chave: [Acesso ao sistema]MaximumPasswordAge SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como 365 or fewer days, but not 0:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Idade máxima da senha Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 1.1.2 |
Em 1-70 (Política) |
Crítico |
| Idade mínima da palavra-passe (CCE-37073-4) |
Descrição: esta definição de política determina o número de dias durante os quais tem de utilizar uma palavra-passe antes de a poder alterar. O intervalo de valores para esta definição de política situa-se entre 1 e 999 dias. (Você também pode definir o valor como 0 para permitir alterações imediatas de senha.) O valor padrão para essa configuração é 0 dias. O estado recomendado para essa configuração é: 1 or more day(s).Caminho da chave: [Acesso ao sistema]MinimumPasswordAge SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como 1 or more day(s):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Idade mínima da senha Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 1.1.3 |
>= 1 (Política) |
Crítico |
| Comprimento mínimo da palavra-passe (CCE-36534-6) |
Descrição: esta definição de política determina o menor número de carateres que constituem uma palavra-passe para uma conta de utilizador. Existem muitas teorias diferentes sobre como determinar o melhor comprimento de senha para uma organização, mas talvez "frase secreta" seja um termo melhor do que "senha". No Microsoft Windows 2000 ou posterior, as frases secretas podem ser bastante longas e podem incluir espaços. Portanto, uma frase como "Eu quero beber um milkshake de US $ 5" é uma senha válida; É uma senha consideravelmente mais forte do que uma sequência de 8 ou 10 caracteres de números e letras aleatórios, e ainda assim é mais fácil de lembrar. Os usuários devem ser educados sobre a seleção e manutenção adequadas de senhas, especialmente no que diz respeito ao comprimento da senha. Em ambientes corporativos, o valor ideal para a configuração Comprimento mínimo da senha é de 14 caracteres, no entanto, você deve ajustar esse valor para atender aos requisitos de negócios da sua organização. O estado recomendado para essa configuração é: 14 or more character(s).Caminho da chave: [Acesso ao sistema]MinimumPasswordLength SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como 14 or more character(s):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Comprimento mínimo da senha Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 1.1.4 |
>= 14 (Política) |
Crítico |
| A senha deve atender aos requisitos de complexidade (CCE-37063-5) |
Descrição: esta definição de política verifica todas as novas palavras-passe para garantir que cumprem os requisitos básicos para palavras-passe fortes. Quando essa política está habilitada, as senhas devem atender aos seguintes requisitos mínimos: - Não contém o nome da conta do usuário ou partes do nome completo do usuário que excedam dois caracteres consecutivos - Ter pelo menos seis caracteres - Conter caracteres de três das quatro categorias seguintes: - Caracteres maiúsculos em inglês (A a Z) - Caracteres minúsculos em inglês (a a z) - Base 10 dígitos (0 a 9) - Caracteres não alfabéticos (por exemplo, !, $, #, %) - Uma categoria abrangente de qualquer caractere Unicode que não se enquadre nas quatro categorias anteriores. Esta quinta categoria pode ser específica a nível regional. Cada caractere adicional em uma senha aumenta sua complexidade exponencialmente. Por exemplo, uma senha alfabética minúscula de sete caracteres teria 267 (aproximadamente 8 x 109 ou 8 bilhões) combinações possíveis. Com 1.000.000 de tentativas por segundo (uma capacidade de muitos utilitários de quebra de senha), levaria apenas 133 minutos para quebrar. Uma senha alfabética de sete caracteres com sensibilidade a maiúsculas e minúsculas tem 527 combinações. Uma senha alfanumérica de sete caracteres que diferencia maiúsculas de minúsculas sem pontuação tem 627 combinações. Uma senha de oito caracteres tem 268 (ou 2 x 1011) combinações possíveis. Embora isso possa parecer um grande número, com 1.000.000 de tentativas por segundo levaria apenas 59 horas para tentar todas as senhas possíveis. Lembre-se, esses tempos aumentarão significativamente para senhas que usam caracteres ALT e outros caracteres especiais do teclado, como "!" ou "@". O uso adequado das configurações de senha pode ajudar a dificultar a montagem de um ataque de força bruta. O estado recomendado para essa configuração é: Enabled.Caminho da chave: [Acesso ao sistema]PasswordComplexity SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Senha deve atender aos requisitos de complexidade Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5 |
= 1 (Política) |
Crítico |
| Redefinir contador de bloqueio de conta após (AZ-WIN-73309) |
Descrição: esta definição de política determina o período de tempo antes de o limite de bloqueio de conta ser reposto como zero. O valor padrão para essa configuração de política é Não definido. Se o limite de bloqueio de conta estiver definido, esse tempo de redefinição deverá ser menor ou igual ao valor da configuração de duração do bloqueio de conta. Se você deixar essa configuração de política em seu valor padrão ou configurar o valor para um intervalo muito longo, seu ambiente poderá ficar vulnerável a um ataque DoS. Um invasor pode executar maliciosamente várias tentativas de logon com falha em todos os usuários da organização, o que bloqueará suas contas. Se nenhuma política fosse determinada para redefinir o bloqueio de conta, seria uma tarefa manual para os administradores. Por outro lado, se um valor de tempo razoável for configurado para essa configuração de política, os usuários serão bloqueados por um período definido até que todas as contas sejam desbloqueadas automaticamente. O estado recomendado para essa configuração é: 15 or more minute(s). Nota: As definições de Política de Palavra-passe (secção 1.1) e de Política de Bloqueio de Conta (secção 1.2) têm de ser aplicadas através do GPO de Política de Domínio Predefinido para estarem globalmente em vigor nas contas de utilizador de domínio como comportamento predefinido. Se essas configurações forem definidas em outro GPO, elas afetarão apenas as contas de usuário locais nos computadores que recebem o GPO. No entanto, exceções personalizadas à política de senha padrão e regras de política de bloqueio de conta para usuários e/ou grupos de domínio específicos podem ser definidas usando PSOs (Objetos de Configurações de Senha), que são completamente separados da Diretiva de Grupo e configurados mais facilmente usando o Centro Administrativo do Ative Directory.Caminho da chave: [Acesso ao sistema]ResetLockoutCount SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Redefinir contador de bloqueio de conta após Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 1.2.3 CIS WS2019 1.2.3 |
>= 15 (Política) |
Importante |
| Armazene senhas usando criptografia reversível (CCE-36286-3) |
Descrição: esta definição de política determina se o sistema operativo armazena palavras-passe de uma forma que utilize encriptação reversível, que fornece suporte para protocolos de aplicação que requerem conhecimento da palavra-passe do utilizador para fins de autenticação. As palavras-passe armazenadas com encriptação reversível são essencialmente as mesmas que as versões em texto simples das palavras-passe. O estado recomendado para essa configuração é: Disabled.Caminho da chave: [Acesso ao sistema]ClearTextPassword SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha\Armazenar senhas usando criptografia reversível Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7 |
= 0 (Política) |
Crítico |
Configurações de Segurança - Firewall do Windows
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Firewall do Windows: Domínio: Permitir resposta unicast (AZ-WIN-00088) |
Descrição: Esta opção é útil se você precisar controlar se este computador recebe respostas unicast para suas mensagens de difusão ou multicast de saída. Recomendamos essa configuração como 'Sim' para perfis Privado e de Domínio, isso definirá o valor do Registro como 0. Caminho da chave: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configure o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil de Domínio\Configurações (selecione Personalizar)\Resposta Unicast, Permitir resposta unicast Mapeamentos de padrão de conformidade: |
= 0 (Registo) |
Aviso |
| Firewall do Windows: Domínio: Estado do firewall (CCE-36062-8) |
Descrição: Selecione Ativado (recomendado) para que o Firewall do Windows com Segurança Avançada use as configurações desse perfil para filtrar o tráfego de rede. Se você selecionar Desativado, o Firewall do Windows com Segurança Avançada não usará nenhuma das regras de firewall ou regras de segurança de conexão para esse perfil. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como On (recommended):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil do Domínio\Estado do Firewall Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.1.1 |
= 1 (Registo) |
Crítico |
| Firewall do Windows: Domínio: Conexões de entrada (AZ-WIN-202252) |
Descrição: essa configuração determina o comportamento de conexões de entrada que não correspondem a uma regra de firewall de entrada. O estado recomendado para essa configuração é: Block (default).Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Conexões de entrada Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.1.2 CIS WS2019 9.1.2 |
= 1 (Registo) |
Crítico |
| Firewall do Windows: Domínio: Log: Registrar pacotes descartados (AZ-WIN-202226) |
Descrição: Use esta opção para registrar quando o Firewall do Windows com Segurança Avançada descartar um pacote de entrada por qualquer motivo. O log registra por que e quando o pacote foi descartado. Procure entradas com a palavra DROP na coluna de ação do log. O estado recomendado para essa configuração é: Yes.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil do Domínio\Personalização de Log\Log de pacotes descartados Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.1.7 CIS WS2019 9.1.7 |
= 1 (Registo) |
Informativo |
| Firewall do Windows: Domínio: Log: Registrar conexões bem-sucedidas (AZ-WIN-202227) |
Descrição: Use esta opção para registrar em log quando o Firewall do Windows com Segurança Avançada permitir uma conexão de entrada. O log registra por que e quando a conexão foi formada. Procure entradas com a palavra ALLOW na coluna de ação do log. O estado recomendado para essa configuração é: Yes.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil do Domínio\Registro em log Personalizar\Registrar conexões bem-sucedidas Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.1.8 CIS WS2019 9.1.8 |
= 1 (Registo) |
Aviso |
| Firewall do Windows: Domínio: Log: Nome (AZ-WIN-202224) |
Descrição: use esta opção para especificar o caminho e o nome do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: %SystemRoot%\System32\logfiles\firewall\domainfw.log.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil do Domínio\Personalização de Logging\Nome Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.1.5 CIS WS2019 9.1.5 |
= %SystemRoot%\System32\logfiles\firewall\domainfw.log (Registo) |
Informativo |
| Firewall do Windows: Domínio: Log: Limite de tamanho (KB) (AZ-WIN-202225) |
Descrição: use esta opção para especificar o limite de tamanho do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: 16,384 KB or greater.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil do Domínio\Personalização de Logging\Limite de tamanho (KB) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.1.6 CIS WS2019 9.1.6 |
>= 16384 (Registo) |
Aviso |
| Firewall do Windows: Domínio: Conexões de saída (CCE-36146-9) |
Descrição: essa configuração determina o comportamento de conexões de saída que não correspondem a uma regra de firewall de saída. No Windows Vista, o comportamento padrão é permitir conexões, a menos que haja regras de firewall que bloqueiem a conexão. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Allow (default):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil de Domínio\Conexões de saída Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.1.3 |
= 0 (Registo) |
Crítico |
| Firewall do Windows: Domínio: Configurações: Aplicar regras de segurança de conexão local (CCE-38040-2) |
Descrição: Essa configuração controla se os administradores locais têm permissão para criar regras de conexão local que se aplicam junto com as regras de firewall configuradas pela Diretiva de Grupo. O estado recomendado para essa configuração é 'Sim', isso definirá o valor do Registro como 1. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configure o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil de Domínio\Configurações (selecione Personalizar)\Mesclagem de regras, Aplicar regras de segurança de conexão local Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.3.6 |
= 1 (Registo) |
Crítico |
| Firewall do Windows: Domínio: Configurações: Aplicar regras de firewall local (CCE-37860-4) |
Descrição: Esta definição controla se os administradores locais têm permissão para criar regras de firewall locais que se aplicam em conjunto com as regras de firewall configuradas pela Política de Grupo. O estado recomendado para essa configuração é Sim, isso definirá o valor do Registro como 1. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil de Domínio\Configurações (selecione Personalizar)\Mesclagem de regras, Aplicar regras de firewall local Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.3.5 |
Não existe ou = 1 (Registo) |
Crítico |
| Firewall do Windows: Domínio: Configurações: Exibir uma notificação (CCE-38041-0) |
Descrição: Ao selecionar essa opção, nenhuma notificação é exibida para o usuário quando um programa é bloqueado de receber conexões de entrada. Em um ambiente de servidor, os pop-ups não são úteis, pois os usuários não estão conectados, os pop-ups não são necessários e podem adicionar confusão para o administrador. Configure essa configuração de política como 'Não', isso definirá o valor do Registro como 1. O Firewall do Windows não exibirá uma notificação quando um programa for impedido de receber conexões de entrada. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil do Domínio\Configurações Personalizar\Exibir uma notificação Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.1.4 |
= 1 (Registo) |
Aviso |
| Firewall do Windows: Privado: Permitir resposta unicast (AZ-WIN-00089) |
Descrição: Esta opção é útil se você precisar controlar se este computador recebe respostas unicast para suas mensagens de difusão ou multicast de saída. Recomendamos essa configuração como 'Sim' para perfis Privado e de Domínio, isso definirá o valor do Registro como 0. Caminho da chave: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil Privado\Configurações (selecione Personalizar)\Resposta Unicast, Permitir resposta unicast Mapeamentos de padrão de conformidade: |
= 0 (Registo) |
Aviso |
| Firewall do Windows: Privado: Estado do firewall (CCE-38239-0) |
Descrição: Selecione Ativado (recomendado) para que o Firewall do Windows com Segurança Avançada use as configurações desse perfil para filtrar o tráfego de rede. Se você selecionar Desativado, o Firewall do Windows com Segurança Avançada não usará nenhuma das regras de firewall ou regras de segurança de conexão para esse perfil. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como On (recommended):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Estado do Firewall Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.2.1 |
= 1 (Registo) |
Crítico |
| Firewall do Windows: Privado: Conexões de entrada (AZ-WIN-202228) |
Descrição: essa configuração determina o comportamento de conexões de entrada que não correspondem a uma regra de firewall de entrada. O estado recomendado para essa configuração é: Block (default).Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Conexões de entrada Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.2.2 CIS WS2019 9.2.2 |
= 1 (Registo) |
Crítico |
| Firewall do Windows: Privado: Log: Registrar pacotes descartados (AZ-WIN-202231) |
Descrição: Use esta opção para registrar quando o Firewall do Windows com Segurança Avançada descartar um pacote de entrada por qualquer motivo. O log registra por que e quando o pacote foi descartado. Procure entradas com a palavra DROP na coluna de ação do log. O estado recomendado para essa configuração é: Yes.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Personalização de Logs\Log de pacotes descartados Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.2.7 CIS WS2019 9.2.7 |
= 1 (Registo) |
Informativo |
| Firewall do Windows: Privado: Log: Registrar conexões bem-sucedidas (AZ-WIN-202232) |
Descrição: Use esta opção para registrar em log quando o Firewall do Windows com Segurança Avançada permitir uma conexão de entrada. O log registra por que e quando a conexão foi formada. Procure entradas com a palavra ALLOW na coluna de ação do log. O estado recomendado para essa configuração é: Yes.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Personalização de Log\Log de conexões bem-sucedidas Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.2.8 CIS WS2019 9.2.8 |
= 1 (Registo) |
Aviso |
| Firewall do Windows: Privado: Logging: Nome (AZ-WIN-202229) |
Descrição: use esta opção para especificar o caminho e o nome do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: %SystemRoot%\System32\logfiles\firewall\privatefw.log.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Personalização de Logging\Nome Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.2.5 CIS WS2019 9.2.5 |
= %SystemRoot%\System32\logfiles\firewall\privatefw.log (Registo) |
Informativo |
| Firewall do Windows: Privado: Registo: Limite de tamanho (KB) (AZ-WIN-202230) |
Descrição: use esta opção para especificar o limite de tamanho do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: 16,384 KB or greater.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Personalização de Logging\Limite de tamanho (KB) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.2.6 CIS WS2019 9.2.6 |
>= 16384 (Registo) |
Aviso |
| Firewall do Windows: Privado: Conexões de saída (CCE-38332-3) |
Descrição: essa configuração determina o comportamento de conexões de saída que não correspondem a uma regra de firewall de saída. O comportamento padrão é permitir conexões, a menos que haja regras de firewall que bloqueiem a conexão. Importante Se você definir Conexões de saída para Bloquear e, em seguida, implantar a diretiva de firewall usando um GPO, os computadores que recebem as configurações de GPO não poderão receber atualizações subsequentes da Diretiva de Grupo, a menos que você crie e implante uma regra de saída que permita que a Diretiva de Grupo funcione. As regras predefinidas para a Rede Principal incluem regras de saída que permitem que a Diretiva de Grupo funcione. Certifique-se de que essas regras de saída estejam ativas e teste completamente os perfis de firewall antes de implantá-las. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Allow (default):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Conexões de saída Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.2.3 |
= 0 (Registo) |
Crítico |
| Firewall do Windows: Privado: Configurações: Aplicar regras de segurança de conexão local (CCE-36063-6) |
Descrição: Essa configuração controla se os administradores locais têm permissão para criar regras de conexão local que se aplicam junto com as regras de firewall configuradas pela Diretiva de Grupo. O estado recomendado para essa configuração é 'Sim', isso definirá o valor do Registro como 1. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil Privado\Configurações (selecione Personalizar)\Mesclagem de regras, Aplicar regras de segurança de conexão local Mapeamentos de padrão de conformidade: |
= 1 (Registo) |
Crítico |
| Firewall do Windows: Privado: Configurações: Aplicar regras de firewall local (CCE-37438-9) |
Descrição: Esta definição controla se os administradores locais têm permissão para criar regras de firewall locais que se aplicam em conjunto com as regras de firewall configuradas pela Política de Grupo. O estado recomendado para essa configuração é Sim, isso definirá o valor do Registro como 1. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configure o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil Privado\Configurações (selecione Personalizar)\Mesclagem de regras, Aplicar regras de firewall local Mapeamentos de padrão de conformidade: |
Não existe ou = 1 (Registo) |
Crítico |
| Firewall do Windows: Privado: Configurações: Exibir uma notificação (CCE-37621-0) |
Descrição: Ao selecionar essa opção, nenhuma notificação é exibida para o usuário quando um programa é bloqueado de receber conexões de entrada. Em um ambiente de servidor, os pop-ups não são úteis, pois os usuários não estão conectados, os pop-ups não são necessários e podem adicionar confusão para o administrador. Configure essa configuração de política como 'Não', isso definirá o valor do Registro como 1. O Firewall do Windows não exibirá uma notificação quando um programa for impedido de receber conexões de entrada. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Privado\Configurações Personalizar\Exibir uma notificação Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.2.4 |
= 1 (Registo) |
Aviso |
| Firewall do Windows: Público: Permitir resposta unicast (AZ-WIN-00090) |
Descrição: Esta opção é útil se você precisar controlar se este computador recebe respostas unicast para suas mensagens de difusão ou multicast de saída. Isso pode ser feito alterando o estado dessa configuração para 'Não', isso definirá o valor do Registro como 1. Caminho da chave: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configure o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows (este link estará no painel direito)\Guia Perfil Público\Configurações (selecione Personalizar)\Resposta Unicast, Permitir resposta unicast Mapeamentos de padrão de conformidade: |
= 1 (Registo) |
Aviso |
| Firewall do Windows: Público: Estado do firewall (CCE-37862-0) |
Descrição: Selecione Ativado (recomendado) para que o Firewall do Windows com Segurança Avançada use as configurações desse perfil para filtrar o tráfego de rede. Se você selecionar Desativado, o Firewall do Windows com Segurança Avançada não usará nenhuma das regras de firewall ou regras de segurança de conexão para esse perfil. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como On (recommended):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Estado do Firewall Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.3.1 |
= 1 (Registo) |
Crítico |
| Firewall do Windows: Público: Conexões de entrada (AZ-WIN-202234) |
Descrição: essa configuração determina o comportamento de conexões de entrada que não correspondem a uma regra de firewall de entrada. O estado recomendado para essa configuração é: Block (default).Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Conexões de entrada Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.3.2 CIS WS2019 9.3.2 |
= 1 (Registo) |
Crítico |
| Firewall do Windows: Público: Log: Registrar pacotes descartados (AZ-WIN-202237) |
Descrição: Use esta opção para registrar quando o Firewall do Windows com Segurança Avançada descartar um pacote de entrada por qualquer motivo. O log registra por que e quando o pacote foi descartado. Procure entradas com a palavra DROP na coluna de ação do log. O estado recomendado para essa configuração é: Yes.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Log\Log de pacotes descartados Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.3.9 CIS WS2019 9.3.9 |
= 1 (Registo) |
Informativo |
| Firewall do Windows: Público: Log: Registrar conexões bem-sucedidas (AZ-WIN-202233) |
Descrição: Use esta opção para registrar em log quando o Firewall do Windows com Segurança Avançada permitir uma conexão de entrada. O log registra por que e quando a conexão foi formada. Procure entradas com a palavra ALLOW na coluna de ação do log. O estado recomendado para essa configuração é: Yes.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Registro em Log Personalizar\Registrar conexões bem-sucedidas Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.3.10 CIS WS2019 9.3.10 |
= 1 (Registo) |
Aviso |
| Firewall do Windows: Público: Logging: Nome (AZ-WIN-202235) |
Descrição: use esta opção para especificar o caminho e o nome do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: %SystemRoot%\System32\logfiles\firewall\publicfw.log.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Logging\Nome Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.3.7 CIS WS2019 9.3.7 |
= %SystemRoot%\System32\logfiles\firewall\publicfw.log (Registo) |
Informativo |
| Firewall do Windows: Público: Log: Limite de tamanho (KB) (AZ-WIN-202236) |
Descrição: use esta opção para especificar o limite de tamanho do arquivo no qual o Firewall do Windows gravará suas informações de log. O estado recomendado para essa configuração é: 16,384 KB or greater.Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Personalização de Logging\Limite de tamanho (KB) Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 9.3.8 CIS WS2019 9.3.8 |
>= 16384 (Registo) |
Informativo |
| Firewall do Windows: Público: Conexões de saída (CCE-37434-8) |
Descrição: essa configuração determina o comportamento de conexões de saída que não correspondem a uma regra de firewall de saída. O comportamento padrão é permitir conexões, a menos que haja regras de firewall que bloqueiem a conexão. Importante Se você definir Conexões de saída para Bloquear e, em seguida, implantar a diretiva de firewall usando um GPO, os computadores que recebem as configurações de GPO não poderão receber atualizações subsequentes da Diretiva de Grupo, a menos que você crie e implante uma regra de saída que permita que a Diretiva de Grupo funcione. As regras predefinidas para a Rede Principal incluem regras de saída que permitem que a Diretiva de Grupo funcione. Certifique-se de que essas regras de saída estejam ativas e teste completamente os perfis de firewall antes de implantá-las. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Allow (default):Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Conexões de saída Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.3.3 |
= 0 (Registo) |
Crítico |
| Firewall do Windows: Público: Configurações: Aplicar regras de segurança de conexão local (CCE-36268-1) |
Descrição: Essa configuração controla se os administradores locais têm permissão para criar regras de conexão local que se aplicam junto com as regras de firewall configuradas pela Diretiva de Grupo. O estado recomendado para essa configuração é 'Sim', isso definirá o valor do Registro como 1. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Configurações Personalizar\Aplicar regras de segurança de conexão local Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.3.6 |
= 1 (Registo) |
Crítico |
| Firewall do Windows: Público: Configurações: Aplicar regras de firewall local (CCE-37861-2) |
Descrição: Esta definição controla se os administradores locais têm permissão para criar regras de firewall locais que se aplicam em conjunto com as regras de firewall configuradas pela Política de Grupo. O estado recomendado para essa configuração é Sim, isso definirá o valor do Registro como 1. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Configurações Personalizar\Aplicar regras de firewall local Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.3.5 |
Não existe ou = 1 (Registo) |
Crítico |
| Firewall do Windows: Público: Configurações: Exibir uma notificação (CCE-38043-6) |
Descrição: Ao selecionar essa opção, nenhuma notificação é exibida para o usuário quando um programa é bloqueado de receber conexões de entrada. Em um ambiente de servidor, os pop-ups não são úteis, pois os usuários não estão conectados, os pop-ups não são necessários e podem adicionar confusão para o administrador. Configure essa configuração de política como 'Não', isso definirá o valor do Registro como 1. O Firewall do Windows não exibirá uma notificação quando um programa for impedido de receber conexões de entrada. Caminho da chave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\Configurações Personalizar\Exibir uma notificação Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 9.3.4 |
= 1 (Registo) |
Aviso |
Políticas de Auditoria do Sistema - Logon de Conta
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar validação de credenciais (CCE-37741-6) |
Descrição: Esta subcategoria relata os resultados dos testes de validação em credenciais enviadas para uma solicitação de logon de conta de usuário. Esses eventos ocorrem no computador que é autorizado para as credenciais. Para contas de domínio, o controlador de domínio é autoritativo, enquanto para contas locais, o computador local é autoritativo. Em ambientes de domínio, a maioria dos eventos de Logon de Conta ocorre no log de Segurança dos controladores de domínio que são autoritativos para as contas de domínio. No entanto, esses eventos podem ocorrer em outros computadores da organização quando contas locais são usadas para fazer logon. Os eventos para esta subcategoria incluem: - 4774: Uma conta foi mapeada para logon. - 4775: Não foi possível mapear uma conta para logon. - 4776: O controlador de domínio tentou validar as credenciais de uma conta. - 4777: O controlador de domínio não conseguiu validar as credenciais de uma conta. O estado recomendado para essa configuração é: 'Sucesso e Fracasso'. Caminho da chave: {0CCE923F-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Success and Failure:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Logon da Conta\Validação de Credenciais de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
| Auditar serviço de autenticação do Kerberos (AZ-WIN-00004) |
Descrição: esta subcategoria relata os resultados de eventos gerados após uma solicitação TGT de autenticação Kerberos. Kerberos é um serviço de autenticação distribuída que permite que um cliente em execução em nome de um usuário prove sua identidade para um servidor sem enviar dados pela rede. Isso ajuda a impedir que um invasor ou servidor se faça passar por um usuário. - 4768: Foi solicitado um tíquete de autenticação Kerberos (TGT). - 4771: Falha na pré-autenticação Kerberos. - 4772: Falha na solicitação de tíquete de autenticação Kerberos. O estado recomendado para essa configuração é: Success and Failure.Caminho da chave: {0CCE9242-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon da Conta\Serviço de Autenticação Kerberos de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.1.2 CIS WS2019 17.1.2 |
>= Sucesso e Fracasso (Auditoria) |
Crítico |
Políticas de Auditoria do Sistema - Gestão de Contas
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar gestão de grupo de distribuição (CCE-36265-7) |
Descrição: esta subcategoria relata cada evento de gerenciamento de grupo de distribuição, como quando um grupo de distribuição é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de distribuição. Se você habilitar essa configuração de política de Auditoria, os administradores poderão rastrear eventos para detetar a criação maliciosa, acidental e autorizada de contas de grupo. Os eventos para esta subcategoria incluem: - 4744: Foi criado um grupo local com segurança desativada. - 4745: Um grupo local com segurança desativada foi alterado. - 4746: Um membro foi adicionado a um grupo local com segurança desativada. - 4747: Um membro foi removido de um grupo local com segurança desativada. - 4748: Um grupo local com segurança desativada foi excluído. - 4749: Foi criado um grupo global com segurança desativada. - 4750: Um grupo global com segurança desativada foi alterado. - 4751: Um membro foi adicionado a um grupo global com segurança desativada. - 4752: Um membro foi removido de um grupo global com segurança desativada. - 4753: Um grupo global com segurança desativada foi excluído. - 4759: Foi criado um grupo universal com segurança desativada. - 4760: Um grupo universal com segurança desativada foi alterado. - 4761: Um membro foi adicionado a um grupo universal com segurança desativada. - 4762: Um membro foi removido de um grupo universal com segurança desativada. - 4763: Um grupo universal com segurança desativada foi excluído. O estado recomendado para essa configuração é incluir: Success.Caminho da chave: {0CCE9238-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Gerenciamento de Contas\Gerenciamento de Grupo de Distribuição de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.2.3 CIS WS2019 17.2.3 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar outros eventos de gestão de conta (CCE-37855-4) |
Descrição: esta subcategoria relata outros eventos de gerenciamento de conta. Os eventos para esta subcategoria incluem: — 4782: O hash de senha que uma conta foi acessada. — 4793: A API de verificação de política de senha foi chamada. Consulte o artigo da Base de Dados de Conhecimento Microsoft "Descrição de eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE923A-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de domínio Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Success:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Gerenciamento de Contas\Auditoria Outros Eventos de Gerenciamento de Contas Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.2.4 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar gestão de grupos de segurança (CCE-38034-5) |
Descrição: esta subcategoria relata cada evento de gerenciamento de grupo de segurança, como quando um grupo de segurança é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de segurança. Se você habilitar essa configuração de política de Auditoria, os administradores poderão rastrear eventos para detetar a criação mal-intencionada, acidental e autorizada de contas de grupo de segurança. Os eventos para esta subcategoria incluem: - 4727: Foi criado um grupo global habilitado para segurança. - 4728: Um membro foi adicionado a um grupo global habilitado para segurança. - 4729: Um membro foi removido de um grupo global habilitado para segurança. - 4730: Um grupo global habilitado para segurança foi excluído. - 4731: Foi criado um grupo local habilitado para segurança. - 4732: Um membro foi adicionado a um grupo local habilitado para segurança. - 4733: Um membro foi removido de um grupo local habilitado para segurança. - 4734: Um grupo local habilitado para segurança foi excluído. - 4735: Um grupo local habilitado para segurança foi alterado. - 4737: Um grupo global habilitado para segurança foi alterado. - 4754: Foi criado um grupo universal habilitado para segurança. - 4755: Um grupo universal habilitado para segurança foi alterado. - 4756: Um membro foi adicionado a um grupo universal habilitado para segurança. - 4757: Um membro foi removido de um grupo universal habilitado para segurança. - 4758: Um grupo universal habilitado para segurança foi excluído. - 4764: O tipo de grupo foi alterado. O estado recomendado para essa configuração é: Success and Failure.Caminho da chave: {0CCE9237-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Success:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Gerenciamento de Contas\Gerenciamento de Grupo de Segurança de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.2.5 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar gestão de conta de utilizadores (CCE-37856-2) |
Descrição: esta subcategoria relata cada evento de gerenciamento de conta de usuário, como quando uma conta de usuário é criada, alterada ou excluída, uma conta de usuário é renomeada, desabilitada ou habilitada, ou uma senha é definida ou alterada. Se você habilitar essa configuração de política de Auditoria, os administradores poderão rastrear eventos para detetar a criação maliciosa, acidental e autorizada de contas de usuário. Os eventos para esta subcategoria incluem: - 4720: Foi criada uma conta de utilizador. - 4722: Uma conta de usuário foi ativada. - 4723: Foi feita uma tentativa de alterar a senha de uma conta. - 4724: Foi feita uma tentativa de redefinir a senha de uma conta. - 4725: Uma conta de usuário foi desativada. - 4726: Uma conta de usuário foi excluída. - 4738: Uma conta de usuário foi alterada. - 4740: Uma conta de usuário foi bloqueada. - 4765: O histórico do SID foi adicionado a uma conta. - 4766: Falha na tentativa de adicionar o histórico do SID a uma conta. - 4767: Uma conta de usuário foi desbloqueada. - 4780: A ACL foi definida em contas que são membros de grupos de administradores. - 4781: O nome de uma conta foi alterado: - 4794: Foi feita uma tentativa de definir o Modo de Restauração dos Serviços de Diretório. - 5376: Foi feito backup das credenciais do Gerenciador de Credenciais. - 5377: As credenciais do Credential Manager foram restauradas a partir de um backup. O estado recomendado para essa configuração é: Success and Failure.Caminho da chave: {0CCE9235-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Success and Failure:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Gerenciamento de Conta\Gerenciamento de Conta de Usuário de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
Políticas de auditoria do sistema - Acompanhamento detalhado
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar a atividade do PNP (AZ-WIN-00182) |
Descrição: esta definição de política permite-lhe auditar quando o plug and play deteta um dispositivo externo. O estado recomendado para essa configuração é: Success. Nota: É necessário um SO Windows 10, Server 2016 ou superior para aceder e definir este valor na Política de Grupo.Caminho da chave: {0CCE9248-69AE-11D9-BED3-505054503030} SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Auditoria: Forçar as configurações de subcategoria de diretiva de auditoria (Windows Vista ou posterior) a substituir as configurações de categoria de diretiva de auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.3.1 CIS WS2022 17.3.1 |
>= Sucesso (Auditoria) |
Crítico |
| Criação de processo de auditoria (CCE-36059-4) |
Descrição: Esta subcategoria relata a criação de um processo e o nome do programa ou usuário que o criou. Os eventos para esta subcategoria incluem: - 4688: Foi criado um novo processo. - 4696: Um token primário foi atribuído ao processo. Consulte o artigo da Base de Dados de Conhecimento Microsoft 947226 para obter as informações mais recentes sobre essa configuração. O estado recomendado para essa configuração é: Success.Caminho da chave: {0CCE922B-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Success:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Acompanhamento Detalhado\Criação do Processo de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2 |
>= Sucesso (Auditoria) |
Crítico |
Políticas de Auditoria do Sistema - DS Access
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar acesso a serviços de diretório (CCE-37433-0) |
Descrição: esta subcategoria relata quando um objeto AD DS é acessado. Somente objetos com SACLs fazem com que eventos de auditoria sejam gerados e somente quando eles são acessados de uma maneira que corresponda à sua SACL. Esses eventos são semelhantes aos eventos de acesso ao serviço de diretório em versões anteriores do Windows Server. Esta subcategoria aplica-se apenas a Controladores de Domínio. Os eventos para esta subcategoria incluem: - 4662 : Foi realizada uma operação num objeto. O estado recomendado para essa configuração é incluir: Failure.Caminho da chave: {0CCE923B-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso DS\Acesso ao Serviço de Diretório de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.4.1 CIS WS2019 17.4.1 |
>= Fracasso (Auditoria) |
Crítico |
| Auditar alterações de serviços de diretório (CCE-37616-0) |
Descrição: esta subcategoria relata alterações em objetos nos Serviços de Domínio Ative Directory (AD DS). Os tipos de alterações relatadas são operações de criação, modificação, movimentação e exclusão executadas em um objeto. DS Change auditing, quando apropriado, indica os valores antigos e novos das propriedades alteradas dos objetos que foram alterados. Somente objetos com SACLs fazem com que eventos de auditoria sejam gerados e somente quando eles são acessados de uma maneira que corresponda à sua SACL. Alguns objetos e propriedades não fazem com que eventos de auditoria sejam gerados devido a configurações na classe de objeto no esquema. Esta subcategoria aplica-se apenas a Controladores de Domínio. Os eventos para esta subcategoria incluem: - 5136 : Um objeto de serviço de diretório foi modificado. - 5137 : Um objeto de serviço de diretório foi criado. - 5138 : Um objeto de serviço de diretório não foi excluído. - 5139 : Um objeto de serviço de diretório foi movido. O estado recomendado para essa configuração é incluir: Success.Caminho da chave: {0CCE923C-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso DS\Alterações do Serviço de Diretório de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.4.2 CIS WS2019 17.4.2 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar replicação de serviços de diretório (AZ-WIN-00093) |
Descrição: esta subcategoria informa quando a replicação entre dois controladores de domínio começa e termina. Os eventos para esta subcategoria incluem: - 4932: A sincronização de uma réplica de um contexto de nomenclatura do Ative Directory foi iniciada. – 4933: A sincronização de uma réplica de um contexto de nomenclatura do Ative Directory terminou. Consulte o artigo da Base de Dados de Conhecimento Microsoft "Descrição de eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: http:--support.microsoft.com-default.aspx-kb-947226 Caminho da chave: {0CCE923D-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso DS\Replicação do Serviço de Diretório de Auditoria Mapeamentos de padrão de conformidade: |
>= Sem auditoria (Auditoria) |
Crítico |
Políticas de auditoria do sistema - Logon-Logoff
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar bloqueio de conta (CCE-37133-6) |
Descrição: esta subcategoria relata quando a conta de um usuário é bloqueada como resultado de muitas tentativas de logon com falha. Os eventos para esta subcategoria incluem: — 4625: Falha ao iniciar sessão numa conta. Consulte o artigo da Base de Dados de Conhecimento Microsoft 'Descrição de eventos de segurança no Windows Vista e no Windows Server 2008' para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE9217-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Failure:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Bloqueio de Conta de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.5.1 |
>= Fracasso (Auditoria) |
Crítico |
| Membros do Grupo de Auditoria (AZ-WIN-00026) |
Descrição: A associação ao grupo de auditoria permite auditar associações de grupo quando elas são enumeradas no computador cliente. Esta política permite auditar as informações de associação ao grupo no token de logon do usuário. Os eventos nesta subcategoria são gerados no computador no qual uma sessão de logon é criada. Para um logon interativo, o evento de auditoria de segurança é gerado no computador no qual o usuário fez logon. Para um logon de rede, como acessar uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso. Você também deve habilitar a subcategoria Logon de Auditoria. Vários eventos serão gerados se as informações de associação do grupo não puderem caber em um único evento de auditoria de segurança. Os eventos auditados incluem o seguinte: - 4627(S): Informações de associação ao grupo. Caminho da chave: {0CCE9249-69AE-11D9-BED3-505054503030} SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Success:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Associação ao Grupo de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.5.2 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar fim de sessão (CCE-38237-4) |
Descrição: Esta subcategoria informa quando um usuário faz logoff do sistema. Esses eventos ocorrem no computador acessado. Para logons interativos, a geração desses eventos ocorre no computador no qual está conectado. Se ocorrer um logon de rede para acessar um compartilhamento, esses eventos serão gerados no computador que hospeda o recurso acessado. Se você definir essa configuração como Sem auditoria, será difícil ou impossível determinar qual usuário acessou ou tentou acessar os computadores da organização. Os eventos para esta subcategoria incluem: - 4634: Uma conta foi desconectada. - 4647: Logoff iniciado pelo usuário. O estado recomendado para essa configuração é: 'Sucesso'. Caminho da chave: {0CCE9216-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Success:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Logoff de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar início de sessão (CCE-38036-0) |
Descrição: Esta subcategoria informa quando um utilizador tenta iniciar sessão no sistema. Esses eventos ocorrem no computador acessado. Para logons interativos, a geração desses eventos ocorre no computador no qual está conectado. Se ocorrer um logon de rede para acessar um compartilhamento, esses eventos serão gerados no computador que hospeda o recurso acessado. Se você definir essa configuração como Sem auditoria, será difícil ou impossível determinar qual usuário acessou ou tentou acessar os computadores da organização. Os eventos para esta subcategoria incluem: - 4624: Uma conta foi conectada com êxito. - 4625: Uma conta falhou ao fazer logon. - 4648: Foi tentado um logon usando credenciais explícitas. - 4675: Os SIDs foram filtrados. O estado recomendado para essa configuração é: 'Sucesso e Fracasso'. Caminho da chave: {0CCE9215-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Success and Failure:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Logon de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
| Auditar outros eventos de logon/logoff (CCE-36322-6) |
Descrição: Esta subcategoria relata outros eventos relacionados a logon/logoff, como desconexões e reconexões de sessão dos Serviços de Terminal, usando RunAs para executar processos em uma conta diferente e bloqueando e desbloqueando uma estação de trabalho. Os eventos para esta subcategoria incluem: — 4649: Foi detetado um ataque de repetição. — 4778: Uma sessão foi reconectada a uma estação de janela. — 4779: Uma sessão foi desconectada de uma estação de janela. — 4800: A estação de trabalho estava bloqueada. — 4801: A estação de trabalho foi desbloqueada. — 4802: O protetor de tela foi invocado. — 4803: O protetor de tela foi dispensado. — 5378: A delegação de credenciais solicitada foi rejeitada pela política. — 5632: Foi feito um pedido de autenticação numa rede sem fios. — 5633: Foi feito um pedido de autenticação numa rede com fios. Consulte o artigo da Base de Dados de Conhecimento Microsoft "Descrição de eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE921C-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Success and Failure:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Auditar Outros Eventos de Logon/Logoff Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.5.5 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
| Auditar início de sessão especial (CCE-36266-5) |
Descrição: esta subcategoria informa quando um logon especial é usado. Um logon especial é um logon que tem privilégios equivalentes ao administrador e pode ser usado para elevar um processo a um nível mais alto. Os eventos para esta subcategoria incluem: - 4964 : Grupos especiais foram atribuídos a um novo logon. O estado recomendado para essa configuração é: Success.Caminho da chave: {0CCE921B-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Success:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Logon Especial de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6 |
>= Sucesso (Auditoria) |
Crítico |
Políticas de auditoria do sistema - Acesso a objetos
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar partilha de ficheiros detalhada (AZ-WIN-00100) |
Descrição: Esta subcategoria permite auditar tentativas de acesso a ficheiros e pastas numa pasta partilhada. Os eventos para esta subcategoria incluem: - 5145: objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado. O estado recomendado para essa configuração deve incluir: FailureCaminho da chave: {0CCE9244-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso a Objetos\Compartilhamento de Arquivos Detalhado de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.6.1 CIS WS2019 17.6.1 |
>= Fracasso (Auditoria) |
Crítico |
| Auditar partilha de ficheiros (AZ-WIN-00102) |
Descrição: esta definição de política permite-lhe auditar tentativas de acesso a uma pasta partilhada. O estado recomendado para essa configuração é: Success and Failure. Nota: Não existem listas de controlo de acesso do sistema (SACLs) para pastas partilhadas. Se essa configuração de política estiver habilitada, o acesso a todas as pastas compartilhadas no sistema será auditado.Caminho da chave: {0CCE9224-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso a Objetos\Compartilhamento de Arquivos de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.6.2 CIS WS2019 17.6.2 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
| Auditar outros eventos de acesso de objetos (AZ-WIN-00113) |
Descrição: esta subcategoria relata outros eventos relacionados ao acesso a objetos, como trabalhos do Agendador de Tarefas e objetos COM+. Os eventos para esta subcategoria incluem: — 4671: Uma aplicação tentou aceder a um ordinal bloqueado através do TBS. — 4691: Foi solicitado o acesso indireto a um objeto. — 4698: Foi criada uma tarefa agendada. — 4699: Uma tarefa agendada foi excluída. — 4700: Uma tarefa agendada foi ativada. — 4701: Uma tarefa agendada foi desativada. — 4702: Uma tarefa agendada foi atualizada. — 5888: Um objeto no catálogo COM+ foi modificado. — 5889: Um objeto foi excluído do catálogo COM+. — 5890: Um objeto foi adicionado ao catálogo COM+. Consulte o artigo da Base de Dados de Conhecimento Microsoft "Descrição de eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE9227-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Success and Failure:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Acesso a Objetos\Auditoria de Outros Eventos de Acesso a Objetos Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.6.3 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
| Auditar armazenamento removível (CCE-37617-8) |
Descrição: esta definição de política permite auditar as tentativas do utilizador de aceder a objetos do sistema de ficheiros num dispositivo de armazenamento amovível. Um evento de auditoria de segurança é gerado apenas para todos os objetos para todos os tipos de acesso solicitados. Se você definir essa configuração de política, um evento de auditoria será gerado sempre que uma conta acessar um objeto do sistema de arquivos em um armazenamento removível. As auditorias bem-sucedidas registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas. Se você não definir essa configuração de política, nenhum evento de auditoria será gerado quando uma conta acessar um objeto do sistema de arquivos em um armazenamento removível. O estado recomendado para essa configuração é: Success and Failure. Nota: É necessário um SO Windows 8, Server 2012 (não R2) ou superior para aceder e definir este valor na Política de Grupo.Caminho da chave: {0CCE9245-69AE-11D9-BED3-505054503030} SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Success and Failure:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Acesso a Objetos\Armazenamento Removível de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
Políticas de auditoria do sistema - Mudança de política
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar alteração de política de autenticação (CCE-38327-3) |
Descrição: esta subcategoria relata alterações na política de autenticação. Os eventos para esta subcategoria incluem: — 4706: Uma nova relação de confiança foi criada para um domínio. — 4707: Uma relação de confiança para um domínio foi removida. — 4713: A política Kerberos foi alterada. — 4716: As informações de domínio confiável foram modificadas. — 4717: O acesso de segurança do sistema foi concedido a uma conta. — 4718: O acesso de segurança do sistema foi removido de uma conta. — 4739: A política de domínio foi alterada. — 4864: Foi detetada uma colisão de namespace. — 4865: Foi adicionada uma entrada de informação florestal fidedigna. — 4866: Uma entrada de informações florestais confiáveis foi removida. — 4867: Uma entrada de informações florestais confiáveis foi modificada. Consulte o artigo da Base de Dados de Conhecimento Microsoft "Descrição de eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE9230-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Success:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração da Política\Alteração da Política de Autenticação de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.7.2 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar alteração de política de autorização (CCE-36320-0) |
Descrição: esta subcategoria relata alterações na política de autorização. Os eventos para esta subcategoria incluem: - 4704: Foi atribuído um direito de utilizador. - 4705: Um direito de usuário foi removido. - 4706: Uma nova relação de confiança foi criada para um domínio. - 4707: Uma relação de confiança para um domínio foi removida. - 4714: A política de recuperação de dados criptografados foi alterada. O estado recomendado para essa configuração é incluir: Success.Caminho da chave: {0CCE9231-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração da Política de Política\Alteração da Política de Autorização de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.7.3 CIS WS2019 17.7.3 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar alteração de política de nível de regra MPSSVC (AZ-WIN-00111) |
Descrição: esta subcategoria relata alterações nas regras de diretiva usadas pelo Microsoft Protection Service (MPSSVC.exe). Este serviço é usado pelo Firewall do Windows e pelo Microsoft OneCare. Os eventos para esta subcategoria incluem: — 4944: A seguinte política estava ativa quando a Firewall do Windows foi iniciada. — 4945: Uma regra foi listada quando o Firewall do Windows foi iniciado. — 4946: Foi feita uma alteração à lista de exceções da Firewall do Windows. Foi acrescentada uma regra. — 4947: Foi feita uma alteração à lista de exceções da Firewall do Windows. Uma regra foi modificada. — 4948: Foi feita uma alteração à lista de exceções da Firewall do Windows. Uma regra foi excluída. — 4949: as configurações do Firewall do Windows foram restauradas para os valores padrão. — 4950: Uma configuração do Firewall do Windows foi alterada. — 4951: Uma regra foi ignorada porque seu número de versão principal não foi reconhecido pelo Firewall do Windows. — 4952: Partes de uma regra foram ignoradas porque seu número de versão secundária não foi reconhecido pelo Firewall do Windows. As outras partes da regra serão aplicadas. — 4953: Uma regra foi ignorada pelo Firewall do Windows porque não pôde analisá-la. — 4954: As configurações da Diretiva de Grupo do Firewall do Windows foram alteradas. As novas configurações foram aplicadas. — 4956: O Firewall do Windows alterou o perfil ativo. — 4957: O Firewall do Windows não aplicou a seguinte regra: — 4958: O Firewall do Windows não aplicou a seguinte regra porque a regra se referia a itens não configurados neste computador: Consulte o artigo da Base de Dados de Conhecimento Microsoft "Descrição de eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE9232-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Success and Failure:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração da Política\Auditoria Alteração da Política de Nível de Regra do MPSSVC Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.7.4 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
| Auditar outros eventos de alteração de política (AZ-WIN-00114) |
Descrição: esta subcategoria contém eventos sobre alterações de diretiva do Agente de Recuperação de Dados do EFS, alterações no filtro da Plataforma de Filtragem do Windows, status nas atualizações de configurações de diretiva de segurança para configurações de Diretiva de Grupo locais, alterações na Política de Acesso Central e eventos detalhados de solução de problemas para operações CNG (Cryptographic Next Generation). - 5063: Foi tentada uma operação de provedor criptográfico. - 5064: Foi tentada uma operação de contexto criptográfico. - 5065: Foi tentada uma modificação de contexto criptográfico. - 5066: Foi tentada uma operação de função criptográfica. - 5067: Foi tentada uma modificação da função criptográfica. - 5068: Foi tentada uma operação de provedor de função criptográfica. - 5069: Foi tentada uma operação de propriedade de função criptográfica. - 5070: Foi tentada uma modificação da propriedade da função criptográfica. - 6145: Ocorreu um ou mais erros durante o processamento da política de segurança nos objetos de política de grupo. O estado recomendado para essa configuração é incluir: Failure.Caminho da chave: {0CCE9234-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração de Política\Auditoria Outros Eventos de Alteração de Política Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.7.5 CIS WS2019 17.7.5 |
>= Fracasso (Auditoria) |
Crítico |
| Alteração da política de auditoria (CCE-38028-7) |
Descrição: esta subcategoria relata alterações na política de auditoria, incluindo alterações na SACL. Os eventos para esta subcategoria incluem: — 4715: A política de auditoria (SACL) em um objeto foi alterada. — 4719: A política de auditoria do sistema foi alterada. — 4902: Foi criada a tabela de políticas de auditoria por utilizador. — 4904: Foi feita uma tentativa de registrar uma fonte de evento de segurança. — 4905: Foi feita uma tentativa de cancelar o registro de uma fonte de evento de segurança. — 4906: O valor CrashOnAuditFail foi alterado. — 4907: As configurações de auditoria no objeto foram alteradas. — 4908: Tabela de logon de grupos especiais modificada. — 4912: A política de auditoria por usuário foi alterada. Consulte o artigo da Base de Dados de Conhecimento Microsoft "Descrição de eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE922F-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Alteração da Política\Alteração da Política de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.7.1 |
>= Sucesso (Auditoria) |
Crítico |
Políticas de auditoria do sistema - uso de privilégios
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar utilização de privilégio confidenciais (CCE-36267-3) |
Descrição: esta subcategoria relata quando uma conta de usuário ou serviço usa um privilégio confidencial. Um privilégio sensível inclui os seguintes direitos de usuário: Agir como parte do sistema operacional, Arquivos e diretórios de backup, Criar um objeto de token, Depurar programas, Permitir que contas de computador e usuário sejam confiáveis para delegação, Gerar auditorias de segurança, Representar um cliente após autenticação, Carregar e descarregar drivers de dispositivo, Gerenciar auditoria e log de segurança, Modificar valores de ambiente de firmware, Substitua um token no nível do processo, restaure arquivos e diretórios e assuma a propriedade de arquivos ou outros objetos. A auditoria desta subcategoria criará um grande volume de eventos. Os eventos para esta subcategoria incluem: — 4672: privilégios especiais atribuídos ao novo logon. — 4673: Foi chamado um serviço privilegiado. — 4674: Foi tentada uma operação sobre um objeto privilegiado. Consulte o artigo da Base de Dados de Conhecimento Microsoft 'Descrição de eventos de segurança no Windows Vista e no Windows Server 2008' para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE9228-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Success and Failure:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria\Uso de Privilégios\Uso de Privilégios Sensíveis à Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.8.1 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
Políticas de Auditoria do Sistema - Sistema
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Auditar controlador IPSec (CCE-37853-9) |
Descrição: Esta subcategoria relata as atividades do driver IPsec (Internet Protocol security). Os eventos para esta subcategoria incluem: - 4960: IPsec descartou um pacote de entrada que falhou em uma verificação de integridade. Se esse problema persistir, isso pode indicar um problema de rede ou que os pacotes estão sendo modificados em trânsito para este computador. Verifique se os pacotes enviados do computador remoto são os mesmos recebidos por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações IPsec. - 4961: IPsec descartou um pacote de entrada que falhou em uma verificação de repetição. Se esse problema persistir, isso pode indicar um ataque de repetição contra este computador. - 4962: IPsec descartou um pacote de entrada que falhou em uma verificação de repetição. O pacote de entrada tinha um número de sequência muito baixo para garantir que não fosse uma repetição. - 4963: O IPsec soltou um pacote de texto não criptografado de entrada que deveria ter sido protegido. Isso geralmente ocorre devido ao computador remoto alterar sua diretiva IPsec sem informar este computador. Isso também pode ser uma tentativa de ataque de falsificação. - 4965: IPsec recebeu um pacote de um computador remoto com um índice de parâmetros de segurança (SPI) incorreto. Isso geralmente é causado pelo mau funcionamento do hardware que está corrompendo pacotes. Se esses erros persistirem, verifique se os pacotes enviados do computador remoto são os mesmos recebidos por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações IPsec. Nesse caso, se a conectividade não for impedida, esses eventos podem ser ignorados. - 5478: Os serviços IPsec foram iniciados com êxito. - 5479: Os serviços IPsec foram encerrados com êxito. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança. - 5480: Os serviços IPsec não conseguiram obter a lista completa de interfaces de rede no computador. Isso representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in Monitor de Segurança IP para diagnosticar o problema. - 5483: Os Serviços IPsec falharam ao inicializar o servidor RPC. Não foi possível iniciar os Serviços IPsec. - 5484: Os serviços IPsec sofreram uma falha crítica e foram encerrados. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança. - 5485: Os Serviços IPsec não conseguiram processar alguns filtros IPsec num evento plug-and-play para interfaces de rede. Isso representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in Monitor de Segurança IP para diagnosticar o problema. O estado recomendado para essa configuração é: Success and Failure.Caminho da chave: {0CCE9213-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Driver IPsec de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.9.1 CIS WS2019 17.9.1 |
>= Sucesso e Fracasso (Auditoria) |
Crítico |
| Auditar outros eventos do sistema (CCE-38030-3) |
Descrição: Esta subcategoria relata outros eventos do sistema. Os eventos para esta subcategoria incluem: - 5024 : O Serviço de Firewall do Windows foi iniciado com êxito. - 5025 : O Serviço de Firewall do Windows foi interrompido. - 5027 : O Serviço de Firewall do Windows não conseguiu recuperar a política de segurança do armazenamento local. O serviço continuará a aplicar a política atual. - 5028 : O Serviço de Firewall do Windows não pôde analisar a nova diretiva de segurança. O serviço continuará com a política atualmente aplicada. - 5029: O Serviço de Firewall do Windows falhou ao inicializar o driver. O serviço continuará a aplicar a política atual. - 5030: Falha ao iniciar o Serviço de Firewall do Windows. - 5032: O Firewall do Windows não pôde notificar o usuário de que bloqueou um aplicativo de aceitar conexões de entrada na rede. - 5033 : O driver do Firewall do Windows foi iniciado com êxito. - 5034 : O driver do Firewall do Windows foi interrompido. - 5035 : Falha ao iniciar o driver do Firewall do Windows. - 5037 : O driver do Firewall do Windows detetou erro crítico de tempo de execução. Rescisão. - 5058: Operação de arquivo de chave. - 5059: Operação de migração de chaves. O estado recomendado para essa configuração é: Success and Failure.Caminho da chave: {0CCE9214-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Auditoria Outros Eventos do Sistema Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 17.9.2 CIS WS2019 17.9.2 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
| Auditar de alteração de estado de segurança (CCE-38114-5) |
Descrição: Esta subcategoria relata alterações no estado de segurança do sistema, como quando o subsistema de segurança é iniciado e parado. Os eventos para esta subcategoria incluem: — 4608: O Windows está a arrancar. — 4609: O Windows está a encerrar. — 4616: A hora do sistema foi alterada. — 4621: O administrador recuperou o sistema de CrashOnAuditFail. Os usuários que não são administradores agora terão permissão para fazer logon. Algumas atividades auditáveis podem não ter sido registradas. Consulte o artigo da Base de Dados de Conhecimento Microsoft 'Descrição de eventos de segurança no Windows Vista e no Windows Server 2008' para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE9210-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Success:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Alteração do Estado de Segurança de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.9.3 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar extensão de sistema de segurança (CCE-36144-4) |
Descrição: Esta subcategoria relata o carregamento de código de extensão, como pacotes de autenticação, pelo subsistema de segurança. Os eventos para esta subcategoria incluem: — 4610: Um pacote de autenticação foi carregado pela Autoridade de Segurança Local. — 4611: Um processo de logon confiável foi registrado na Autoridade de Segurança Local. — 4614: Um pacote de notificação foi carregado pelo Gerente de Conta de Segurança. — 4622: A autoridade de segurança local carregou um pacote de segurança. — 4697: Foi instalado um serviço no sistema. Consulte o artigo da Base de Dados de Conhecimento Microsoft "Descrição de eventos de segurança no Windows Vista e no Windows Server 2008" para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE9211-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Success:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Extensão do Sistema de Segurança de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.9.4 |
>= Sucesso (Auditoria) |
Crítico |
| Auditar integridade do sistema (CCE-37132-8) |
Descrição: Esta subcategoria informa sobre violações da integridade do subsistema de segurança. Os eventos para esta subcategoria incluem: — 4612: Os recursos internos alocados para a fila de mensagens de auditoria foram esgotados, levando à perda de algumas auditorias. — 4615: Uso inválido da porta LPC. — 4618: Ocorreu um padrão de eventos de segurança monitorados. — 4816 : RPC detetou uma violação de integridade ao descriptografar uma mensagem recebida. — 5038: A integridade do código determinou que o hash da imagem de um arquivo não é válido. O ficheiro pode estar corrompido devido a modificações não autorizadas ou o hash inválido pode indicar um potencial erro do dispositivo de disco. — 5056: Foi realizado um autoteste criptográfico. — 5057: Uma operação primitiva criptográfica falhou. — 5060: Falha na operação de verificação. — 5061: Operação criptográfica. — 5062: Foi realizado um autoteste criptográfico em modo kernel. Consulte o artigo da Base de Dados de Conhecimento Microsoft 'Descrição de eventos de segurança no Windows Vista e no Windows Server 2008' para obter as informações mais recentes sobre essa configuração: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Caminho da chave: {0CCE9212-69AE-11D9-BED3-505054503030} SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como 'Êxito e Falha:' Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Sistema\Integridade do Sistema de Auditoria Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 17.9.5 |
= Sucesso e Fracasso (Auditoria) |
Crítico |
Atribuição de direitos de utilizador
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Aceder ao Gestor de Credenciais como um chamador fidedigno (CCE-37056-9) |
Descrição: esta configuração de segurança é usada pelo Gerenciador de Credenciais durante o Backup e Restauração. Nenhuma conta deve ter esse direito de usuário, pois ele é atribuído apenas ao Winlogon. As credenciais salvas dos usuários podem ser comprometidas se esse direito de usuário for atribuído a outras entidades. O estado recomendado para essa configuração é: No One.Caminho da chave: [Direitos de privilégio]SeTrustedCredManAccessPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No One:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Gerenciador de Credenciais de Acesso como um chamador confiável Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1 |
= Ninguém (Política) |
Aviso |
| Aceder a este computador a partir da rede (CCE-35818-4) |
Descrição: Esta definição de política permite que outros utilizadores na rede se liguem ao computador e é exigida por vários protocolos de rede que incluem protocolos baseados no Server Message Block (SMB), NetBIOS, Common Internet File System (CIFS) e Component Object Model Plus (COM+). - Nível 1 - Controlador de Domínio. O estado recomendado para essa configuração é: 'Administradores, Usuários Autenticados, CONTROLADORES DE DOMÍNIO CORPORATIVO'. - Nível 1 - Servidor Membro. O estado recomendado para essa configuração é: 'Administradores, usuários autenticados'. Caminho da chave: [Direitos de privilégio]SeNetworkLogonRight SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, configure o seguinte caminho da interface do usuário: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Atribuição de Direitos de Usuário\Acesse este computador a partir da rede Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3 |
<= Administradores, Usuários Autenticados (Política) |
Crítico |
| Agir como parte do sistema operativo (CCE-36876-1) |
Descrição: esta definição de política permite que um processo assuma a identidade de qualquer utilizador e, assim, obtenha acesso aos recursos que o utilizador está autorizado a aceder. O estado recomendado para essa configuração é: No One.Caminho da chave: [Direitos de privilégio]SeTcbPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No One:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Atribuição de Direitos de Usuário\Agir como parte do sistema operacional Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4 |
= Ninguém (Política) |
Crítico |
| Permitir início de sessão local (CCE-37659-0) |
Descrição: esta definição de política determina quais os utilizadores que podem iniciar sessão interativamente em computadores no seu ambiente. Os logons iniciados pressionando a sequência de teclas CTRL + ALT + DEL no teclado do computador cliente exigem esse direito de usuário. Os utilizadores que tentam iniciar sessão através dos Serviços de Terminal ou do IIS também necessitam deste direito de utilizador. A conta de convidado recebe esse direito de usuário por padrão. Embora essa conta esteja desabilitada por padrão, a Microsoft recomenda que você habilite essa configuração por meio da Diretiva de Grupo. No entanto, esse direito de usuário geralmente deve ser restrito aos grupos Administradores e Usuários. Atribua esse direito de usuário ao grupo Operadores de Backup se sua organização exigir que eles tenham esse recurso. Ao configurar um direito de usuário no SCM, insira uma lista delimitada por vírgulas de contas. As contas podem ser locais ou localizadas no Ative Directory, podem ser grupos, usuários ou computadores. Caminho da chave: [Direitos de privilégio]SeInteractiveLogonRight SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, configure o seguinte caminho da interface do usuário: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Permitir logon localmente Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.2.7 |
= Administradores (Política) |
Crítico |
| Permitir início de sessão através dos Serviços de Ambiente de Trabalho Remoto (CCE-37072-6) |
Descrição: Esta definição de política determina que utilizadores ou grupos têm o direito de iniciar sessão como cliente dos Serviços de Terminal. Os utilizadores do ambiente de trabalho remoto necessitam deste direito de utilizador. Se sua organização usa a Assistência Remota como parte de sua estratégia de suporte técnico, crie um grupo e atribua-lhe esse direito de usuário por meio da Diretiva de Grupo. Se o suporte técnico da sua organização não utilizar a Assistência Remota, atribua este direito de utilizador apenas ao grupo Administradores ou utilize a funcionalidade de grupos restritos para garantir que nenhuma conta de utilizador faz parte do grupo Utilizadores do Ambiente de Trabalho Remoto. Restrinja este direito de utilizador ao grupo Administradores e, possivelmente, ao grupo Utilizadores do Ambiente de Trabalho Remoto, para impedir que utilizadores indesejados obtenham acesso a computadores na sua rede através da funcionalidade Assistência Remota. - Nível 1 - Controlador de Domínio. O estado recomendado para essa configuração é: 'Administradores'. - Nível 1 - Servidor Membro. O estado recomendado para esta definição é: 'Administradores, Utilizadores do Ambiente de Trabalho Remoto'. Nota: Um Servidor Membro que detenha a Função de Serviços de Ambiente de Trabalho Remoto com o Serviço de Função de Mediador de Ligações de Ambiente de Trabalho Remoto necessitará de uma exceção especial a esta recomendação, para permitir que o grupo 'Utilizadores Autenticados' receba este direito de utilizador. Nota 2: As listas acima devem ser tratadas como listas de permissão, o que implica que os princípios acima referidos não precisam de estar presentes para que a avaliação desta recomendação seja aprovada. Caminho da chave: [Direitos de privilégio]SeRemoteInteractiveLogonRight SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, configure o seguinte caminho da interface do usuário: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Atribuição de Direitos de Usuário\Permitir logon através dos Serviços de Área de Trabalho Remota Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9 |
<= Administradores, Usuários da Área de Trabalho Remota (Política) |
Crítico |
| Fazer cópias de segurança de ficheiros e diretórios (CCE-35912-5) |
Descrição: esta definição de política permite aos utilizadores contornar as permissões de ficheiros e diretórios para efetuar cópias de segurança do sistema. Esse direito de usuário é habilitado somente quando um aplicativo (como NTBACKUP) tenta acessar um arquivo ou diretório por meio da interface de programação de aplicativo (API) de backup do sistema de arquivos NTFS. Caso contrário, as permissões de arquivo e diretório atribuídas serão aplicadas. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeBackupPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators.Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Fazer backup de arquivos e diretórios Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10 |
<= Administradores, Operadores de Backup, Operadores de Servidor (Política) |
Crítico |
| Ignorar a verificação de atravessamento (AZ-WIN-00184) |
Descrição: esta definição de política permite que os utilizadores que não têm a permissão de acesso à Pasta Transversal passem por pastas quando navegam por um caminho de objeto no sistema de ficheiros NTFS ou no registo. Esse direito de usuário não permite que os usuários listem o conteúdo de uma pasta. Ao configurar um direito de usuário no SCM, insira uma lista delimitada por vírgulas de contas. As contas podem ser locais ou localizadas no Ative Directory, podem ser grupos, usuários ou computadores. Caminho da chave: [Direitos de privilégio]SeChangeNotifyPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configure o valor da política para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Ignorar verificação transversal para incluir apenas as seguintes contas ou grupos: Administrators, Authenticated Users, Backup Operators, Local Service, Network ServiceMapeamentos de padrão de conformidade: |
<= Administradores, Usuários Autenticados, Operadores de Backup, Serviço Local, Serviço de Rede (Política) |
Crítico |
| Alterar a hora do sistema (CCE-37452-0) |
Descrição: esta definição de política determina quais os utilizadores e grupos que podem alterar a hora e a data no relógio interno dos computadores do seu ambiente. Os usuários aos quais é atribuído esse direito de usuário podem afetar a aparência dos logs de eventos. Quando a configuração de hora de um computador é alterada, os eventos registrados refletem a nova hora, não a hora real em que os eventos ocorreram. Ao configurar um direito de usuário no SCM, insira uma lista delimitada por vírgulas de contas. As contas podem ser locais ou localizadas no Ative Directory, podem ser grupos, usuários ou computadores. Nota: Discrepâncias entre o tempo no computador local e nos controladores de domínio em seu ambiente podem causar problemas para o protocolo de autenticação Kerberos, o que pode impossibilitar que os usuários façam logon no domínio ou obtenham autorização para acessar recursos de domínio depois de fazer logon. Além disso, ocorrerão problemas quando a Diretiva de Grupo for aplicada a computadores cliente se a hora do sistema não estiver sincronizada com os controladores de domínio. O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE.Caminho da chave: [Direitos de privilégio]SeSystemtimePrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators, LOCAL SERVICE:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Alterar a hora do sistema Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.2.11 CIS WS2022 2.2.11 |
<= Administradores, Operadores de Servidores, SERVIÇO LOCAL (Política) |
Crítico |
| Alterar o fuso horário (CCE-37700-2) |
Descrição: essa configuração determina quais usuários podem alterar o fuso horário do computador. Esta capacidade não representa grandes perigos para o computador e pode ser útil para os trabalhadores móveis. O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE.Caminho da chave: [Direitos de privilégio]SeTimeZonePrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators, LOCAL SERVICE:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Alterar o fuso horário Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.2.12 CIS WS2022 2.2.12 |
<= Administradores, SERVIÇO LOCAL (Política) |
Crítico |
| Criar uma página (CCE-35821-8) |
Descrição: esta definição de política permite aos utilizadores alterar o tamanho do ficheiro de paginação. Ao tornar o arquivo de paginação extremamente grande ou extremamente pequeno, um invasor pode facilmente afetar o desempenho de um computador comprometido. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeCreatePagefilePrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Criar um arquivo de paginação Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13 |
= Administradores (Política) |
Crítico |
| Criar um objeto de token (CCE-36861-3) |
Descrição: esta definição de política permite que um processo crie um token de acesso, que pode fornecer direitos elevados para aceder a dados confidenciais. O estado recomendado para essa configuração é: No One.Caminho da chave: [Direitos de privilégio]SeCreateTokenPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No One:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Criar um objeto de token Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14 |
= Ninguém (Política) |
Aviso |
| Criar objetos globais (CCE-37453-8) |
Descrição: esta definição de política determina se os utilizadores podem criar objetos globais que estão disponíveis para todas as sessões. Os usuários ainda podem criar objetos específicos para sua própria sessão se não tiverem esse direito de usuário. Os usuários que podem criar objetos globais podem afetar processos executados em sessões de outros usuários. Esse recurso pode levar a uma variedade de problemas, como falha de aplicativo ou corrupção de dados. O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Nota: Um servidor membro com o Microsoft SQL Server e seu componente opcional "Integration Services" instalado exigirá uma exceção especial a esta recomendação para que entradas adicionais geradas por SQL recebam esse direito de usuário.Caminho da chave: [Direitos de privilégio]SeCreateGlobalPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Criar objetos globais Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93059 STIG WS2016 V-73749 CEI WS2019 2.2.15 CIS WS2022 2.2.15 |
<= Administradores, SERVIÇO, SERVIÇO LOCAL, SERVIÇO DE REDE (Política) |
Aviso |
| Criar objetos partilhados permanentes (CCE-36532-0) |
Descrição: Este direito de usuário é útil para componentes de modo kernel que estendem o namespace do objeto. No entanto, os componentes que são executados no modo kernel têm esse direito de usuário inerentemente. Portanto, normalmente não é necessário atribuir especificamente esse direito de usuário. O estado recomendado para essa configuração é: No One.Caminho da chave: [Direitos de privilégio]SeCreatePermanentPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No One:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Criar objetos compartilhados permanentes Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16 |
= Ninguém (Política) |
Aviso |
| Criar ligações simbólicas (CCE-35823-4) |
Descrição: Esta definição de política determina quais os utilizadores que podem criar ligações simbólicas. No Windows Vista, objetos de sistema de arquivos NTFS existentes, como arquivos e pastas, podem ser acessados fazendo referência a um novo tipo de objeto de sistema de arquivos chamado link simbólico. Um link simbólico é um ponteiro (muito parecido com um atalho ou .lnk arquivo) para outro objeto do sistema de arquivos, que pode ser um arquivo, pasta, atalho ou outro link simbólico. A diferença entre um atalho e um link simbólico é que um atalho só funciona de dentro do shell do Windows. Para outros programas e aplicativos, os atalhos são apenas mais um arquivo, enquanto com links simbólicos, o conceito de atalho é implementado como um recurso do sistema de arquivos NTFS. Os links simbólicos podem potencialmente expor vulnerabilidades de segurança em aplicativos que não foram projetados para usá-los. Por esse motivo, o privilégio para criar links simbólicos só deve ser atribuído a usuários confiáveis. Por padrão, apenas os administradores podem criar links simbólicos. - Nível 1 - Controlador de Domínio. O estado recomendado para essa configuração é: 'Administradores'. - Nível 1 - Servidor Membro. O estado recomendado para essa configuração é: 'Administradores' e (quando a Função Hyper-V está instalada) 'NT VIRTUAL MACHINE\Virtual Machines'. Caminho da chave: [Direitos de privilégio]SeCreateSymbolicLinkPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para implementar o estado de configuração recomendado, configure o seguinte caminho da interface do usuário: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Criar links simbólicos Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18 |
<= Administradores, NT VIRTUAL MACHINE\Virtual Machines (Política) |
Crítico |
| Depurar programas (AZ-WIN-73755) |
Descrição: Esta configuração de política determina quais contas de usuário terão o direito de anexar um depurador a qualquer processo ou ao kernel, que fornece acesso completo a componentes confidenciais e críticos do sistema operacional. Os desenvolvedores que estão depurando seus próprios aplicativos não precisam receber esse direito de usuário; no entanto, os desenvolvedores que estão depurando novos componentes do sistema precisarão dele. O estado recomendado para essa configuração é: Administrators. Nota: Este direito de utilizador é considerado um "privilégio sensível" para efeitos de auditoria.Caminho da chave: [Direitos de privilégio]SeDebugPrivilege SO: WS2016, WS2019 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Programas de depuração Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.2.19 CIS WS2019 2.2.19 |
= Administradores (Política) |
Crítico |
| Recusar acesso a este computador à rede (CCE-37954-5) |
Descrição: Esta definição de política proíbe os utilizadores de se ligarem a um computador através da rede, o que permitiria aos utilizadores aceder e potencialmente modificar dados remotamente. Em ambientes de alta segurança, não deve haver necessidade de usuários remotos acessarem dados em um computador. Em vez disso, o compartilhamento de arquivos deve ser realizado por meio do uso de servidores de rede. - Nível 1 - Controlador de Domínio. O estado recomendado para esta configuração é incluir: "Convidados, Conta local". - Nível 1 - Servidor Membro. O estado recomendado para essa configuração é incluir: "Convidados, Conta local e membro do grupo Administradores". Cuidado: Configurar um servidor autônomo (não associado ao domínio) conforme descrito acima pode resultar na incapacidade de administrar remotamente o servidor. Nota: Configurar um servidor membro ou um servidor autônomo conforme descrito acima pode afetar negativamente os aplicativos que criam uma conta de serviço local e a colocam no grupo Administradores - nesse caso, você deve converter o aplicativo para usar uma conta de serviço hospedada no domínio ou remover a conta local e o membro do grupo Administradores dessa Atribuição de Direitos de Usuário. O uso de uma conta de serviço hospedada no domínio é altamente preferível a abrir uma exceção a essa regra, sempre que possível. Caminho da chave: [Direitos de privilégio]SeDenyNetworkLogonRight SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, configure o seguinte caminho da interface do usuário: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Negar acesso a este computador a partir da rede Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21 |
>= Hóspedes (Política) |
Crítico |
| Negar o início de sessão no como uma tarefa de lote (CCE-36923-1) |
Descrição: esta definição de política determina quais as contas que não poderão iniciar sessão no computador como um trabalho em lotes. Um trabalho em lote não é um arquivo em lote (.bat), mas sim um recurso de fila de lotes. As contas que usam o Agendador de Tarefas para agendar trabalhos precisam desse direito de usuário. O direito Negar logon como um usuário de trabalho em lote substitui o direito Fazer logon como um usuário de trabalho em lote, que pode ser usado para permitir que as contas programem trabalhos que consomem recursos excessivos do sistema. Tal ocorrência pode causar uma condição de DoS. A não atribuição desse direito de usuário às contas recomendadas pode ser um risco de segurança. O estado recomendado para essa configuração é incluir: Guests.Caminho da chave: [Direitos de privilégio]SeDenyBatchLogonRight SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Guests:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Negar logon como um trabalho em lote Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22 |
>= Hóspedes (Política) |
Crítico |
| Negar o início de sessão como um serviço (CCE-36877-9) |
Descrição: esta configuração de segurança determina quais contas de serviço são impedidas de registrar um processo como um serviço. Esta definição de política substitui a definição de política Iniciar sessão como serviço se uma conta estiver sujeita a ambas as políticas. O estado recomendado para essa configuração é incluir: Guests. Nota: Esta definição de segurança não se aplica às contas Sistema, Serviço Local ou Serviço de Rede.Caminho da chave: [Direitos de privilégio]SeDenyServiceLogonRight SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Guests:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Negar logon como um serviço Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23 |
>= Hóspedes (Política) |
Crítico |
| Negar o início de sessão local (CCE-37146-8) |
Descrição: esta definição de segurança determina quais os utilizadores que estão impedidos de iniciar sessão no computador. Esta definição de política substitui a definição de política Permitir início de sessão localmente se uma conta estiver sujeita a ambas as políticas. Importante: Se aplicar esta política de segurança ao grupo Todos, ninguém poderá iniciar sessão localmente. O estado recomendado para essa configuração é incluir: Guests.Caminho da chave: [Direitos de privilégio]SeDenyInteractiveLogonRight SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário para incluir Guests:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Negar logon localmente Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24 |
>= Hóspedes (Política) |
Crítico |
| Negar o início de sessão através dos Serviços de Ambiente de Trabalho Remoto (CCE-36867-0) |
Descrição: esta definição de política determina se os utilizadores podem iniciar sessão como clientes dos Serviços de Terminal. Depois que o servidor membro da linha de base é associado a um ambiente de domínio, não há necessidade de usar contas locais para acessar o servidor da rede. As contas de domínio podem acessar o servidor para administração e processamento do usuário final. O estado recomendado para essa configuração é incluir: Guests, Local account. Cuidado: Configurar um servidor autônomo (não associado ao domínio) conforme descrito acima pode resultar na incapacidade de administrar remotamente o servidor.Caminho da chave: [Direitos de privilégio]SeDenyRemoteInteractiveLogonRight SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Membro do grupo de trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, configure o seguinte caminho da interface do usuário: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Negar logon por meio dos Serviços de Área de Trabalho Remota Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.2.26 |
>= Hóspedes (Política) |
Crítico |
| Ative as contas de computador e de utilizador para serem considerados fidedignos para delegação (CCE-36860-5) |
Descrição: Esta definição de política permite aos utilizadores alterar a definição Fidedigno para Delegação num objeto de computador no Ative Directory. O abuso desse privilégio pode permitir que usuários não autorizados se passem por outros usuários na rede. - Nível 1 - Controlador de Domínio. O estado recomendado para essa configuração é: 'Administradores' - Nível 1 - Servidor Membro. O estado recomendado para esta configuração é: 'Ninguém'. Caminho da chave: [Direitos de privilégio]SeEnableDelegationPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, configure o seguinte caminho da interface do usuário: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Permitir que contas de computador e usuário sejam confiáveis para delegação Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28 |
= Ninguém (Política) |
Crítico |
| Forçar o encerramento a partir de um sistema remoto (CCE-37877-8) |
Descrição: esta definição de política permite aos utilizadores encerrar computadores baseados no Windows Vista a partir de localizações remotas na rede. Qualquer pessoa a quem tenha sido atribuído este direito de utilizador pode causar uma condição de negação de serviço (DoS), o que tornaria o computador indisponível para pedidos de utilizador de serviço. Portanto, recomenda-se que apenas administradores altamente confiáveis recebam esse direito de usuário. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeRemoteShutdownPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Atribuição de Direitos de Usuário\Forçar o desligamento de um sistema remoto Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29 |
= Administradores (Política) |
Crítico |
| Gerar auditorias de segurança (CCE-37639-2) |
Descrição: esta definição de política determina quais os utilizadores ou processos que podem gerar registos de auditoria no registo de segurança. O estado recomendado para essa configuração é: LOCAL SERVICE, NETWORK SERVICE. Nota: Um Servidor Membro que detém a Função de Servidor Web (IIS) com o Serviço de Função de Servidor Web exigirá uma exceção especial a esta recomendação, para permitir que o(s) pool(s) de aplicativos do IIS recebam esse direito de usuário. Nota #2: Um Servidor Membro que detém a Função de Serviços de Federação do Ative Directory necessitará de uma exceção especial a esta recomendação, para permitir que os NT SERVICE\ADFSSrv e NT SERVICE\DRS serviços, bem como a conta de serviço dos Serviços de Federação do Ative Directory associada, recebam este direito de utilizador.Caminho da chave: [Privilege Rights]SeAuditPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como LOCAL SERVICE, NETWORK SERVICE:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Atribuição de Direitos de Usuário\Gerar auditorias de segurança Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30 |
<= Serviço Local, Serviço de Rede, IIS APPPOOL\DefaultAppPool (Política) |
Crítico |
| Aumentar um conjunto de trabalho do processo (AZ-WIN-00185) |
Descrição: esse privilégio determina quais contas de usuário podem aumentar ou diminuir o tamanho do conjunto de trabalho de um processo. O conjunto de trabalho de um processo é o conjunto de páginas de memória atualmente visíveis para o processo na memória RAM física. Essas páginas são residentes e estão disponíveis para um aplicativo usar sem acionar uma falha de página. Os tamanhos mínimo e máximo do conjunto de trabalho afetam o comportamento de paginação da memória virtual de um processo. Ao configurar um direito de usuário no SCM, insira uma lista delimitada por vírgulas de contas. As contas podem ser locais ou localizadas no Ative Directory, podem ser grupos, usuários ou computadores. Caminho da chave: [Direitos de privilégio]SeIncreaseWorkingSetPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Atribuição de Direitos do Usuário\Aumentar um conjunto de trabalho de processo Mapeamentos de padrão de conformidade: |
<= Administradores, Serviço Local (Política) |
Aviso |
| Aumentar a prioridade do agendamento (CCE-38326-5) |
Descrição: esta definição de política determina se os utilizadores podem aumentar a classe de prioridade base de um processo. (Não é uma operação privilegiada aumentar a prioridade relativa dentro de uma classe de prioridade.) Esse direito de usuário não é exigido pelas ferramentas administrativas fornecidas com o sistema operacional, mas pode ser exigido pelas ferramentas de desenvolvimento de software. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeIncreaseBasePriorityPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators, Window Manager\Window Manager Group:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Aumentar a prioridade de agendamento Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33 |
= Administradores (Política) |
Aviso |
| Carregar e descarregar controladores de dispositivo (CCE-36318-4) |
Descrição: esta definição de política permite aos utilizadores carregar dinamicamente um novo controlador de dispositivo num sistema. Um invasor pode usar esse recurso para instalar código mal-intencionado que parece ser um driver de dispositivo. Esse direito de usuário é necessário para que os usuários adicionem impressoras locais ou drivers de impressora no Windows Vista. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeLoadDriverPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Carregar e descarregar drivers de dispositivo Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34 |
<= Administradores, Operadores de Impressão (Política) |
Aviso |
| Bloquear páginas na memória (CCE-36495-0) |
Descrição: esta definição de política permite que um processo mantenha os dados na memória física, o que impede o sistema de paginar os dados para a memória virtual no disco. Se este direito de utilizador for atribuído, poderá ocorrer uma degradação significativa do desempenho do sistema. O estado recomendado para essa configuração é: No One.Caminho da chave: [Privilege Rights]SeLockMemoryPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No One:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Atribuição de Direitos de Usuário\Bloquear páginas na memória Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35 |
= Ninguém (Política) |
Aviso |
| Gerir o registo de auditoria e segurança (CCE-35906-7) |
Descrição: Esta definição de política determina quais os utilizadores que podem alterar as opções de auditoria para ficheiros e diretórios e limpar o registo de segurança. Para ambientes que executam o Microsoft Exchange Server, o grupo 'Exchange Servers' deve possuir esse privilégio em controladores de domínio para funcionar corretamente. Dado isso, os DCs que concedem esse privilégio ao grupo 'Exchange Servers' estão em conformidade com esse benchmark. Se o ambiente não usar o Microsoft Exchange Server, esse privilégio deve ser limitado apenas a 'Administradores' em DCs. - Nível 1 - Controlador de Domínio. O estado recomendado para essa configuração é: 'Administradores e (quando o Exchange está sendo executado no ambiente) 'Exchange Servers'. - Nível 1 - Servidor Membro. O estado recomendado para essa configuração é: 'Administradores' Caminho da chave: [Direitos de privilégio]SeSecurityPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, configure o seguinte caminho da interface do usuário: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Gerenciar auditoria e log de segurança Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38 |
= Administradores (Política) |
Crítico |
| Modificar uma etiqueta de objeto (CCE-36054-5) |
Descrição: esse privilégio determina quais contas de usuário podem modificar o rótulo de integridade de objetos, como arquivos, chaves do Registro ou processos de propriedade de outros usuários. Os processos executados sob uma conta de usuário podem modificar o rótulo de um objeto de propriedade desse usuário para um nível inferior sem esse privilégio. O estado recomendado para essa configuração é: No One.Caminho da chave: [Direitos de privilégio]SeRelabelPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como No One:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Modificar um rótulo de objeto Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.2.39 CIS WS2022 2.2.39 |
= Ninguém (Política) |
Aviso |
| Modificar os valores do ambiente de firmware (CCE-38113-7) |
Descrição: esta definição de política permite aos utilizadores configurar as variáveis de ambiente de todo o sistema que afetam a configuração de hardware. Essas informações geralmente são armazenadas na Última Configuração Válida. Modificação desses valores e poderia levar a uma falha de hardware que resultaria em uma condição de negação de serviço. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeSystemEnvironmentPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Modificar valores de ambiente de firmware Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40 |
= Administradores (Política) |
Aviso |
| Executar tarefas de manutenção do volume (CCE-36143-6) |
Descrição: esta definição de política permite aos utilizadores gerir a configuração de volume ou disco do sistema, o que pode permitir que um utilizador elimine um volume e cause perda de dados, bem como uma condição de negação de serviço. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeManageVolumePrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Executar tarefas de manutenção de volume Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41 |
= Administradores (Política) |
Aviso |
| Processo único de perfil (CCE-37131-0) |
Descrição: esta definição de política determina quais os utilizadores que podem utilizar ferramentas para monitorizar o desempenho de processos que não são do sistema. Normalmente, não é necessário configurar esse direito de usuário para usar o snap-in de desempenho do Console de Gerenciamento Microsoft (MMC). No entanto, você precisará desse direito de usuário se o Monitor do Sistema estiver configurado para coletar dados usando o WMI (Instrumentação de Gerenciamento do Windows). Restringir o direito do usuário de processo único de perfil impede que intrusos obtenham informações adicionais que poderiam ser usadas para montar um ataque ao sistema. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeProfileSingleProcessPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Processo único de Perfil Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42 |
= Administradores (Política) |
Aviso |
| Desempenho do sistema do perfil (CCE-36052-9) |
Descrição: esta definição de política permite que os utilizadores utilizem ferramentas para visualizar o desempenho de diferentes processos do sistema, que podem ser utilizadas abusivamente para permitir que os atacantes determinem os processos ativos de um sistema e forneçam informações sobre a potencial superfície de ataque do computador. O estado recomendado para essa configuração é: Administrators, NT SERVICE\WdiServiceHost.Caminho da chave: [Direitos de privilégio]SeSystemProfilePrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators, NT SERVICE\WdiServiceHost:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Desempenho do sistema de perfil Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.2.43 CIS WS2022 2.2.43 |
<= Administradores, NT SERVICE\WdiServiceHost (Política) |
Aviso |
| Substituir um token no nível de processo (CCE-37430-6) |
Descrição: esta definição de política permite que um processo ou serviço inicie outro serviço ou processo com um token de acesso de segurança diferente, que pode ser utilizado para modificar o token de acesso de segurança desse subprocesso e resultar no escalonamento de privilégios. O estado recomendado para essa configuração é: LOCAL SERVICE, NETWORK SERVICE. Nota: Um Servidor Membro que detém a Função de Servidor Web (IIS) com o Serviço de Função de Servidor Web exigirá uma exceção especial a esta recomendação, para permitir que o(s) pool(s) de aplicativos do IIS recebam esse direito de usuário. Nota #2: Um Servidor Membro com o Microsoft SQL Server instalado exigirá uma exceção especial a esta recomendação para que entradas adicionais geradas por SQL recebam esse direito de usuário.Caminho da chave: [Direitos de privilégio]SeAssignPrimaryTokenPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como LOCAL SERVICE, NETWORK SERVICE:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Substituir um token de nível de processo Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.2.44 CIS WS2022 2.2.44 |
<= SERVIÇO LOCAL, SERVIÇO DE REDE (Política) |
Aviso |
| Restaurar ficheiros e diretórios (CCE-37613-7) |
Descrição: esta configuração de política determina quais usuários podem ignorar permissões de arquivo, diretório, registro e outros objetos persistentes ao restaurar arquivos e diretórios de backup em computadores que executam o Windows Vista em seu ambiente. Esse direito de usuário também determina quais usuários podem definir entidades de segurança válidas como proprietários de objetos; é semelhante ao direito de usuário de arquivos de backup e diretórios. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeRestorePrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Restaurar arquivos e diretórios Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.2.45 |
<= Administradores, Operadores de Backup (Política) |
Aviso |
| Encerrar o sistema (CCE-38328-1) |
Descrição: esta definição de política determina que utilizadores com sessão iniciada localmente nos computadores do seu ambiente podem encerrar o sistema operativo com o comando Desligar. O uso indevido deste direito de usuário pode resultar em uma condição de negação de serviço. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeShutdownPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Desligue o sistema Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 2.2.46 CIS WS2022 2.2.46 |
<= Administradores, Operadores de Backup (Política) |
Aviso |
| Obter a propriedade de ficheiros ou de outros objetos (CCE-38325-7) |
Descrição: esta definição de política permite que os utilizadores se apropriem de ficheiros, pastas, chaves de registo, processos ou threads. Esse direito de usuário ignora todas as permissões que estão em vigor para proteger objetos para dar propriedade ao usuário especificado. O estado recomendado para essa configuração é: Administrators.Caminho da chave: [Direitos de privilégio]SeTakeOwnershipPrivilege SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Administrators:Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Assumir a propriedade de arquivos ou outros objetos Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48 |
= Administradores (Política) |
Crítico |
| O direito de usuário Representar um cliente após autenticação só deve ser atribuído a Administradores, Serviço, Serviço Local e Serviço de Rede. (AZ-WIN-73785) |
Descrição: a configuração de política permite que programas executados em nome de um usuário representem esse usuário (ou outra conta especificada) para que possam agir em nome do usuário. Se esse direito de usuário for necessário para esse tipo de representação, um usuário não autorizado não poderá convencer um cliente a se conectar, por exemplo, por chamada de procedimento remoto (RPC) ou pipes nomeados a um serviço que ele criou para representar esse cliente, o que pode elevar as permissões do usuário não autorizado para níveis administrativos ou do sistema. Os serviços iniciados pelo Gerenciador de Controle de Serviço têm o grupo de Serviços interno adicionado por padrão aos seus tokens de acesso. Os servidores COM iniciados pela infraestrutura COM e configurados para serem executados em uma conta específica também têm o grupo Serviço adicionado aos seus tokens de acesso. Como resultado, esses processos recebem esse direito de usuário quando são iniciados. Além disso, um usuário pode representar um token de acesso se qualquer uma das seguintes condições existir: - O token de acesso que está sendo representado é para esse usuário. - O usuário, nesta sessão de logon, fez logon na rede com credenciais explícitas para criar o token de acesso. - O nível solicitado é menor do que Personificar, como Anônimo ou Identificar. Um invasor com o direito de usuário Representar um cliente após autenticação pode criar um serviço, enganar um cliente para fazê-lo se conectar ao serviço e, em seguida, representar esse cliente para elevar o nível de acesso do invasor ao do cliente. O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Nota: Este direito de utilizador é considerado um "privilégio sensível" para efeitos de auditoria. Nota #2: Um Servidor Membro com o Microsoft SQL Server e seu componente opcional "Integration Services" instalado exigirá uma exceção especial a esta recomendação para que entradas adicionais geradas por SQL recebam esse direito de usuário.Caminho da chave: [Direitos de privilégio]SeImpersonatePrivilege SO: WS2016, WS2019 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Atribuição de Direitos de Usuário\Representar um cliente após a autenticação Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.2.31 CIS WS2019 2.2.31 |
<= Administradores,Serviço,Serviço Local,Serviço de Rede (Política) |
Importante |
Componentes do Windows
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Permitir autenticação básica (CCE-36254-1) |
Descrição: esta definição de política permite-lhe gerir se o serviço de Gestão Remota do Windows (WinRM) aceita a autenticação Básica de um cliente remoto. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Gerenciamento Remoto do Windows (WinRM)\Serviço WinRM\Permitir autenticação básica Nota: Este caminho de Política de Grupo é fornecido pelo modelo WindowsRemoteManagement.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1 |
Não existe ou = 0 (Registo) |
Crítico |
| Permitir dados de diagnóstico (AZ-WIN-00169) |
Descrição: esta definição de política determina a quantidade de dados de diagnóstico e utilização comunicados à Microsoft. Um valor de 0 enviará dados mínimos para a Microsoft. Esses dados incluem a Ferramenta de Remoção de Software Mal-Intencionado (MSRT) e dados do Windows Defender, se habilitados, e configurações do cliente de telemetria. A definição de um valor 0 aplica-se apenas a dispositivos empresariais, EDU, IoT e de servidor. Definir um valor de 0 para outros dispositivos equivale a escolher um valor de 1. Um valor de 1 envia apenas uma quantidade básica de dados de diagnóstico e uso. Observe que a configuração de valores de 0 ou 1 degradará certas experiências no dispositivo. Um valor de 2 envia dados de diagnóstico e uso aprimorados. Um valor de 3 envia os mesmos dados que um valor de 2, além de dados de diagnóstico adicionais, incluindo os arquivos e o conteúdo que podem ter causado o problema. As definições de telemetria do Windows 10 aplicam-se ao sistema operativo Windows e a algumas aplicações originais. Esta definição não se aplica a aplicações de terceiros executadas no Windows 10. O estado recomendado para essa configuração é: Enabled: 0 - Security [Enterprise Only]. Nota: Se a definição "Permitir Telemetria" estiver configurada como "0 - Segurança [Apenas Empresa]", as opções no Windows Update para adiar atualizações e atualizações não terão efeito.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: Diagnostic data off (not recommended) ou Enabled: Send required diagnostic data:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Compilações de Coleta e Visualização de Dados\Permitir Dados de Diagnóstico Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'DataCollection.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 11 Release 21H2 (ou mais recentes). Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, esta definição foi inicialmente denominada Permitir Telemetria, mas foi renomeada para Permitir Dados de Diagnóstico a partir dos Modelos Administrativos do Windows 11 Release 21H2. Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1 |
>= 1 (Registo) |
Aviso |
| Permitir a indexação de ficheiros encriptados (CCE-38277-0) |
Descrição: esta definição de política controla se é permitido indexar itens encriptados. Quando essa configuração é alterada, o índice é reconstruído completamente. A criptografia de volume total (como a Criptografia de Unidade de Disco BitLocker ou uma solução que não seja da Microsoft) deve ser usada para o local do índice para manter a segurança dos arquivos criptografados. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Pesquisa\Permitir indexação de ficheiros encriptados Nota: Este caminho de Política de Grupo é fornecido pelo modelo Search.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3 |
Não existe ou = 0 (Registo) |
Aviso |
| Permitir que as contas da Microsoft sejam opcionais (CCE-38354-7) |
Descrição: esta definição de política permite-lhe controlar se as contas Microsoft são opcionais para aplicações da Loja Windows que requerem uma conta para iniciar sessão. Esta política afeta apenas as aplicações da Loja Windows que a suportam. Se você habilitar essa configuração de política, os aplicativos da Windows Store que normalmente exigem uma conta da Microsoft para entrar permitirão que os usuários entrem com uma conta corporativa. Se desativar ou não definir esta definição de política, os utilizadores terão de iniciar sessão com uma conta Microsoft. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional SO: WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Tempo de execução do aplicativo\Permitir que as contas da Microsoft sejam opcionais Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'AppXRuntime.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.6.1 |
= 1 (Registo) |
Aviso |
| Permitir tráfego não encriptado (CCE-38223-4) |
Descrição: esta definição de política permite-lhe gerir se o serviço de Gestão Remota do Windows (WinRM) envia e recebe mensagens não encriptadas através da rede. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Gerenciamento Remoto do Windows (WinRM)\Serviço WinRM\Permitir tráfego não criptografado Nota: Este caminho de Política de Grupo é fornecido pelo modelo WindowsRemoteManagement.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CEI WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3 |
Não existe ou = 0 (Registo) |
Crítico |
| Permitir o controle do usuário sobre as instalações (CCE-36400-0) |
Descrição: Permite que os usuários alterem as opções de instalação que normalmente estão disponíveis apenas para administradores de sistema. Os recursos de segurança do Windows Installer impedem que os usuários alterem as opções de instalação normalmente reservadas aos administradores do sistema, como especificar o diretório no qual os arquivos são instalados. Se o Windows Installer detetar que um pacote de instalação permitiu que o usuário alterasse uma opção protegida, ele interromperá a instalação e exibirá uma mensagem. Esses recursos de segurança operam somente quando o programa de instalação está sendo executado em um contexto de segurança privilegiado no qual ele tem acesso a diretórios negados ao usuário. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Installer\Permitir o controle do usuário sobre as instalações Nota: Este caminho de Política de Grupo é fornecido pelo modelo MSI.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Observação #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração era chamada de Habilitar controle de usuário sobre instalações, mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2).Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1 |
Não existe ou = 0 (Registo) |
Crítico |
| Instale sempre com privilégios elevados (CCE-37490-0) |
Descrição: Esta definição controla se o Windows Installer deve ou não utilizar permissões de sistema quando instala qualquer programa no sistema. Nota: Esta definição aparece nas pastas Configuração do Computador e Configuração do Utilizador. Para tornar essa configuração efetiva, você deve habilitá-la em ambas as pastas. Cuidado: Se habilitado, os usuários qualificados podem aproveitar as permissões que essa configuração concede para alterar seus privilégios e obter acesso permanente a arquivos e pastas restritos. Observe que não é garantido que a versão de Configuração do Usuário dessa configuração seja segura. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Usuário\Políticas\Modelos Administrativos\Componentes do Windows\Windows Installer\Sempre instalar com privilégios elevados Nota: Este caminho de Política de Grupo é fornecido pelo modelo MSI.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2 |
Não existe ou = 0 (Registo) |
Aviso |
| Sempre solicitar senha após a conexão (CCE-37929-7) |
Descrição: esta definição de política especifica se os Serviços de Terminal solicitam sempre uma palavra-passe ao computador cliente aquando da ligação. Pode utilizar esta definição de política para impor um pedido de palavra-passe aos utilizadores que iniciam sessão nos Serviços de Terminal, mesmo que já tenham fornecido a palavra-passe no cliente de Ligação ao Ambiente de Trabalho Remoto. Por padrão, os Serviços de Terminal permitem que os usuários façam logon automaticamente se inserirem uma senha no cliente de Conexão de Área de Trabalho Remota. Observação Se você não definir essa configuração de política, o administrador do computador local poderá usar a ferramenta Configuração dos Serviços de Terminal para permitir ou impedir que senhas sejam enviadas automaticamente. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Segurança\Sempre solicitar senha após a conexão Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Observação #2: Nos Modelos Administrativos do Microsoft Windows Vista, essa configuração foi denominada Sempre solicitar senha ao cliente na conexão, mas foi renomeada a partir dos Modelos Administrativos do Windows Server 2008 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.65.3.9.1 |
= 1 (Registo) |
Crítico |
| Aplicativo: Controle o comportamento do log de eventos quando o arquivo de log atingir seu tamanho máximo (CCE-37775-4) |
Descrição: esta definição de política controla o comportamento do Registo de Eventos quando o ficheiro de registo atinge o seu tamanho máximo. Se você habilitar essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos não serão gravados no log e serão perdidos. Se você desabilitar ou não definir essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos substituirão eventos antigos. Observação: eventos antigos podem ou não ser retidos de acordo com a configuração de política "Backup automático quando cheio". Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Aplicativo\Controle do comportamento do Log de Eventos quando o arquivo de log atinge seu tamanho máximo Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente chamada de Reter eventos antigos, mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.27.1.1 |
Não existe ou = 0 (Registo) |
Crítico |
| Aplicativo: especifique o tamanho máximo do arquivo de log (KB) (CCE-37948-7) |
Descrição: esta definição de política especifica o tamanho máximo do ficheiro de registo em kilobytes. Se você habilitar essa configuração de política, poderá configurar o tamanho máximo do arquivo de log para estar entre 1 megabyte (1024 kilobytes) e 2 terabytes (2147483647 kilobytes) em incrementos de kilobytes. Se você desabilitar ou não definir essa configuração de política, o tamanho máximo do arquivo de log será definido como o valor configurado localmente. Esse valor pode ser alterado pelo administrador local usando a caixa de diálogo Propriedades de log e o padrão é de 20 megabytes. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: 32,768 or greater:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Aplicativo\Especifique o tamanho máximo do arquivo de log (KB) Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente chamada de Tamanho Máximo de Log (KB), mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.27.1.2 |
>= 32768 (Registo) |
Crítico |
| Bloquear toda a autenticação de utilizador da conta Microsoft do consumidor (AZ-WIN-20198) |
Descrição: esta definição determina se as aplicações e os serviços no dispositivo podem utilizar a nova autenticação de conta Microsoft de consumidor através do Windows OnlineID e WebAccountManager das APIs. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth SO: WS2016, WS2019 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Contas da Microsoft\Bloquear toda a autenticação de usuário da conta Microsoft do consumidor Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1 |
= 1 (Registo) |
Crítico |
| Configurar a substituição da configuração local para relatórios para o Microsoft MAPS (AZ-WIN-00173) |
Descrição: esta definição de política define uma substituição local para a configuração aderir ao Microsoft MAPS. Essa configuração só pode ser definida pela Diretiva de Grupo. Se você habilitar essa configuração, a configuração de preferência local terá prioridade sobre a Diretiva de Grupo. Se você desabilitar ou não definir essa configuração, a Diretiva de Grupo terá prioridade sobre a configuração de preferência local. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Defender Antivirus\MAPS\Configurar substituição de configuração local para relatórios ao Microsoft MAPS Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo WindowsDefender.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recentes).Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1 |
Não existe ou = 0 (Registo) |
Aviso |
| Configurar o Windows SmartScreen (CCE-35859-8) |
Descrição: esta definição de política permite-lhe gerir o comportamento do Windows SmartScreen. O Windows SmartScreen ajuda a manter os PCs mais seguros, avisando os utilizadores antes de executarem programas não reconhecidos transferidos da Internet. Algumas informações são enviadas à Microsoft sobre arquivos e programas executados em PCs com esse recurso habilitado. Se você habilitar essa configuração de política, o comportamento do Windows SmartScreen poderá ser controlado definindo uma das seguintes opções: * Avise o usuário antes de executar o software desconhecido baixado * Desligue o SmartScreen Se você desabilitar ou não definir essa configuração de política, o comportamento do Windows SmartScreen será gerenciado por administradores no computador usando as Configurações do Windows SmartScreen em Segurança e Manutenção. Opções: * Dê ao usuário um aviso antes de executar o software desconhecido baixado * Desligue o SmartScreen Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: Avisar e evitar desvio: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Defender SmartScreen\Explorer\Configurar o Windows Defender SmartScreen Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo WindowsExplorer.admx/adml incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, esta definição foi inicialmente denominada Configurar o Windows SmartScreen, mas foi renomeada a partir dos Modelos Administrativos do Windows 10 Release 1703.Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.85.1.1 |
= 1 (Registo) |
Aviso |
| Detetar alterações a partir da porta RDP padrão (AZ-WIN-00156) |
Descrição: esta definição determina se a porta de rede que escuta as Ligações ao Ambiente de Trabalho Remoto foi alterada em relação à norma 3389 Caminho da chave: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Não Aplicável Mapeamentos de padrão de conformidade: |
= 3389 (Registo) |
Crítico |
| Desativar o Serviço Windows Search (AZ-WIN-00176) |
Descrição: Esta definição de registo desativa o Serviço Windows Search Caminho da chave: System\CurrentControlSet\Services\Wsearch\Start SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Não Aplicável Mapeamentos de padrão de conformidade: |
Não existe ou = 4 (Registo) |
Crítico |
| Não permitir a reprodução automática para dispositivos sem volume (CCE-37636-8) |
Descrição: esta definição de política não permite a Reprodução Automática para dispositivos MTP, como câmaras ou telefones. Se você habilitar essa configuração de política, a Reprodução Automática não será permitida para dispositivos MTP, como câmeras ou telefones. Se você desabilitar ou não definir essa configuração de política, a Reprodução Automática será habilitada para dispositivos que não sejam de volume. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Políticas de Reprodução Automática\Não permitir Reprodução Automática para dispositivos sem volume Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo 'AutoPlay.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.8.1 |
= 1 (Registo) |
Crítico |
| Não permitir autenticação Digest (CCE-38318-2) |
Descrição: esta definição de política permite-lhe gerir se o cliente de Gestão Remota do Windows (WinRM) não utilizará a autenticação Digest. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Gerenciamento Remoto do Windows (WinRM)\Cliente WinRM\Não permitir autenticação Digest Nota: Este caminho de Política de Grupo é fornecido pelo modelo WindowsRemoteManagement.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3 |
= 0 (Registo) |
Crítico |
| Não permitir que o WinRM armazene credenciais RunAs (CCE-36000-8) |
Descrição: esta definição de política permite-lhe gerir se o serviço de Gestão Remota do Windows (WinRM) não permitirá que as credenciais RunAs sejam armazenadas para quaisquer plug-ins. Se você habilitar essa configuração de política, o serviço WinRM não permitirá que os valores de configuração RunAsUser ou RunAsPassword sejam definidos para nenhum plug-ins. Se um plug-in já tiver definido os valores de configuração RunAsUser e RunAsPassword, o valor de configuração RunAsPassword será apagado do armazenamento de credenciais neste computador. Se você desabilitar ou não definir essa configuração de política, o serviço WinRM permitirá que os valores de configuração RunAsUser e RunAsPassword sejam definidos para plug-ins e o valor RunAsPassword será armazenado com segurança. Se você habilitar e desabilitar essa configuração de política, todos os valores que foram configurados anteriormente para RunAsPassword precisarão ser redefinidos. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Gerenciamento Remoto do Windows (WinRM)\Serviço WinRM\Não permitir que o WinRM armazene credenciais RunAs Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo 'WindowsRemoteManagement.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.102.2.4 |
= 1 (Registo) |
Crítico |
| Não permitir que as palavras-passe sejam guardadas (CCE-36223-6) |
Descrição: esta definição de política ajuda a impedir que os clientes dos Serviços de Terminal guardem palavras-passe num computador. Observação Se essa configuração de política tiver sido configurada anteriormente como Desabilitada ou Não configurada, todas as senhas salvas anteriormente serão excluídas na primeira vez que um cliente dos Serviços de Terminal se desconectar de qualquer servidor. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Cliente de Conexão de Área de Trabalho Remota\Não permitir que senhas sejam salvas Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.65.2.2 |
= 1 (Registo) |
Crítico |
| Não exclua pastas temporárias ao sair (CCE-37946-1) |
Descrição: esta definição de política especifica se os Serviços de Ambiente de Trabalho Remoto retêm as pastas temporárias por sessão de um utilizador no início de sessão. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Pastas Temporárias\Não excluir pastas temporárias ao sair Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi nomeada Não excluir pasta temporária ao sair, mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.65.3.11.1 |
Não existe ou = 1 (Registo) |
Aviso |
| Não exibir o botão de revelação de senha (CCE-37534-5) |
Descrição: esta definição de política permite-lhe configurar a apresentação do botão de revelação de palavra-passe nas experiências de utilizador de introdução de palavra-passe. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Interface do Usuário de Credenciais\Não exibir o botão de revelação de senha Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'CredUI.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.16.1 |
= 1 (Registo) |
Aviso |
| Não mostrar notificações de feedback (AZ-WIN-00140) |
Descrição: esta definição de política permite que uma organização impeça que os seus dispositivos apresentem perguntas de comentários da Microsoft. Se você habilitar essa configuração de política, os usuários não verão mais notificações de comentários por meio do aplicativo Comentários do Windows. Se você desabilitar ou não definir essa configuração de política, os usuários poderão ver notificações por meio do aplicativo Comentários do Windows solicitando comentários aos usuários. Observação: se você desabilitar ou não definir essa configuração de política, os usuários poderão controlar a frequência com que recebem perguntas de feedback. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Compilações de Coleta e Visualização de Dados\Não mostrar notificações de feedback Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'FeedbackNotifications.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Release 1511 (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.17.4 |
= 1 (Registo) |
Crítico |
| Não use pastas temporárias por sessão (CCE-38180-6) |
Descrição: Por predefinição, os Serviços de Ambiente de Trabalho Remoto criam uma pasta temporária separada no servidor de Anfitrião de Sessões de RD para cada sessão ativa que um utilizador mantém no servidor de Anfitrião de Sessões de RD. A pasta temporária é criada no servidor de Anfitrião de Sessões de RD numa pasta Temp na pasta de perfil do utilizador e é nomeada com o "sessionid". Esta pasta temporária é usada para armazenar arquivos temporários individuais. Para recuperar espaço em disco, a pasta temporária é excluída quando o usuário faz logoff de uma sessão. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Pastas Temporárias\Não use pastas temporárias por sessão Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.65.3.11.2 |
Não existe ou = 1 (Registo) |
Crítico |
| Enumerar contas de administrador na elevação (CCE-36512-2) |
Descrição: esta definição de política controla se as contas de administrador são apresentadas quando um utilizador tenta elevar uma aplicação em execução. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Interface do Usuário de Credenciais\Enumerar contas de administrador na elevação Nota: Este caminho de Política de Grupo é fornecido pelo modelo CredUI.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2 |
Não existe ou = 0 (Registo) |
Aviso |
| Impedir o download de gabinetes (CCE-37126-0) |
Descrição: esta definição de política impede que o utilizador transfira invólucros (anexos de ficheiros) de um feed para o computador do utilizador. O estado recomendado para essa configuração é: Enabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\RSS Feeds\Impedir o download de gabinetes Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'InetRes.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Nos Modelos Administrativos do Microsoft Windows mais antigos, esta definição chamava-se Desativar a transferência de invólucros, mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.66.1 |
= 1 (Registo) |
Aviso |
| Exigir comunicação RPC segura (CCE-37567-5) |
Descrição: Especifica se um servidor Host de Sessão de Área de Trabalho Remota requer comunicação RPC segura com todos os clientes ou permite comunicação não segura. Você pode usar essa configuração para fortalecer a segurança da comunicação RPC com clientes, permitindo apenas solicitações autenticadas e criptografadas. Se o status estiver definido como Habilitado, os Serviços de Área de Trabalho Remota aceitarão solicitações de clientes RPC que ofereçam suporte a solicitações seguras e não permitirão comunicação não segura com clientes não confiáveis. Se o status estiver definido como Desativado, os Serviços de Área de Trabalho Remota sempre solicitarão segurança para todo o tráfego RPC. No entanto, a comunicação não segura é permitida para clientes RPC que não respondem à solicitação. Se o status estiver definido como Não configurado, a comunicação não segura será permitida. Nota: A interface RPC é usada para administrar e configurar os Serviços de Área de Trabalho Remota. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Segurança\Exigir comunicação RPC segura Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.65.3.9.2 |
= 1 (Registo) |
Crítico |
| Exigir autenticação do usuário para conexões remotas usando a Autenticação no Nível de Rede (AZ-WIN-00149) |
Descrição: Exigir autenticação do usuário para conexões remotas usando a Autenticação no Nível de Rede Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Segurança\Exigir autenticação do usuário para conexões remotas usando a Autenticação no Nível de Rede Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Observação #2: Nos Modelos Administrativos do Microsoft Windows Vista, essa configuração foi inicialmente chamada de Exigir autenticação do usuário usando RDP 6.0 para conexões remotas, mas foi renomeada a partir dos Modelos Administrativos do Windows Server 2008 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.65.3.9.4 |
Não existe ou = 1 (Registo) |
Crítico |
| Verificar unidades removíveis (AZ-WIN-00177) |
Descrição: esta definição de política permite-lhe gerir se deve ou não procurar software malicioso e software indesejado no conteúdo de unidades amovíveis, tais como unidades flash USB, ao executar uma análise completa. Se você habilitar essa configuração, as unidades removíveis serão verificadas durante qualquer tipo de verificação. Se você desabilitar ou não definir essa configuração, as unidades removíveis não serão verificadas durante uma verificação completa. As unidades removíveis ainda podem ser verificadas durante a verificação rápida e a verificação personalizada. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Defender Antivirus\Scan\Scan unidades removíveis Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo WindowsDefender.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recentes).Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1 |
= 0 (Registo) |
Crítico |
| Segurança: Controle o comportamento do Log de Eventos quando o arquivo de log atingir seu tamanho máximo (CCE-37145-0) |
Descrição: esta definição de política controla o comportamento do Registo de Eventos quando o ficheiro de registo atinge o seu tamanho máximo. Se você habilitar essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos não serão gravados no log e serão perdidos. Se você desabilitar ou não definir essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos substituirão eventos antigos. Observação: eventos antigos podem ou não ser retidos de acordo com a configuração de política "Backup automático quando cheio". Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Segurança\Controle do comportamento do Log de Eventos quando o arquivo de log atinge seu tamanho máximo Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente chamada de Reter eventos antigos, mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.27.2.1 |
Não existe ou = 0 (Registo) |
Crítico |
| Segurança: especifique o tamanho máximo do arquivo de log (KB) (CCE-37695-4) |
Descrição: esta definição de política especifica o tamanho máximo do ficheiro de registo em kilobytes. Se você habilitar essa configuração de política, poderá configurar o tamanho máximo do arquivo de log para estar entre 1 megabyte (1024 kilobytes) e 2 terabytes (2.147.483.647 kilobytes) em incrementos de kilobytes. Se você desabilitar ou não definir essa configuração de política, o tamanho máximo do arquivo de log será definido como o valor configurado localmente. Esse valor pode ser alterado pelo administrador local usando a caixa de diálogo Propriedades de log e o padrão é de 20 megabytes. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: 196,608 or greater:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Segurança\Especifique o tamanho máximo do arquivo de log (KB) Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente chamada de Tamanho Máximo de Log (KB), mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.27.2.2 |
>= 196608 (Registo) |
Crítico |
| Envie amostras de arquivos quando uma análise adicional for necessária (AZ-WIN-00126) |
Descrição: esta definição de política define o comportamento do envio de amostras quando a aceitação da telemetria MAPS é definida. As opções possíveis são: (0x0) Sempre avisar (0x1) Enviar amostras seguras automaticamente (0x2) Nunca enviar (0x3) Enviar todas as amostras automaticamente Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\MAPS\Enviar amostras de ficheiros quando é necessária uma análise mais aprofundada Mapeamentos de padrão de conformidade: |
= 1 (Registo) |
Aviso |
| Definir o nível de criptografia da conexão do cliente (CCE-36627-8) |
Descrição: esta definição de política especifica se o computador que está prestes a alojar a ligação remota irá impor um nível de encriptação para todos os dados enviados entre ele e o computador cliente para a sessão remota. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: High Level:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Segurança\Definir nível de criptografia de conexão do cliente Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'TerminalServer.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.65.3.9.5 |
Não existe ou = 3 (Registo) |
Crítico |
| Definir o comportamento padrão para AutoRun (CCE-38217-6) |
Descrição: esta definição de política define o comportamento predefinido para comandos de execução automática. Os comandos de execução automática são geralmente armazenados em ficheiros autorun.inf. Eles geralmente iniciam o programa de instalação ou outras rotinas. Antes do Windows Vista, quando a mídia contendo um comando autorun é inserida, o sistema executa automaticamente o programa sem a intervenção do usuário. Isso cria uma grande preocupação de segurança, pois o código pode ser executado sem o conhecimento do usuário. O comportamento padrão a partir do Windows Vista é perguntar ao usuário se o comando de execução automática deve ser executado. O comando autorun é representado como um manipulador na caixa de diálogo Reprodução automática. Se você habilitar essa configuração de política, um administrador poderá alterar o comportamento padrão do Windows Vista ou posterior para execução automática para: a) desabilitar completamente os comandos de execução automática ou b) reverter para o comportamento anterior ao Windows Vista de executar automaticamente o comando de execução automática. Se você desabilitar ou não definir essa configuração de política, o Windows Vista ou posterior perguntará ao usuário se o comando de execução automática deve ser executado. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: Do not execute any autorun commands:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Políticas de Reprodução Automática\Defina o comportamento padrão para o AutoRun Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Diretiva de Grupo 'AutoPlay.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 8.0 & Server 2012 (não R2) (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.8.2 |
= 1 (Registo) |
Crítico |
| Configuração: Controle o comportamento do log de eventos quando o arquivo de log atingir seu tamanho máximo (CCE-38276-2) |
Descrição: esta definição de política controla o comportamento do Registo de Eventos quando o ficheiro de registo atinge o seu tamanho máximo. Se você habilitar essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos não serão gravados no log e serão perdidos. Se você desabilitar ou não definir essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos substituirão eventos antigos. Observação: eventos antigos podem ou não ser retidos de acordo com a configuração de política "Backup automático quando cheio". Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Instalação\Controle do comportamento do Log de Eventos quando o arquivo de log atinge seu tamanho máximo Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente chamada de Reter eventos antigos, mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.27.3.1 |
Não existe ou = 0 (Registo) |
Crítico |
| Configuração: especifique o tamanho máximo do arquivo de log (KB) (CCE-37526-1) |
Descrição: esta definição de política especifica o tamanho máximo do ficheiro de registo em kilobytes. Se você habilitar essa configuração de política, poderá configurar o tamanho máximo do arquivo de log para estar entre 1 megabyte (1024 kilobytes) e 2 terabytes (2.147.483.647 kilobytes) em incrementos de kilobytes. Se você desabilitar ou não definir essa configuração de política, o tamanho máximo do arquivo de log será definido como o valor configurado localmente. Esse valor pode ser alterado pelo administrador local usando a caixa de diálogo Propriedades de log e o padrão é de 20 megabytes. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: 32,768 or greater:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Instalação\Especifique o tamanho máximo do arquivo de log (KB) Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente chamada de Tamanho Máximo de Log (KB), mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.27.3.2 |
>= 32768 (Registo) |
Crítico |
| Iniciar sessão pelo último utilizador interativo automaticamente após um reinício iniciado pelo sistema (CCE-36977-7) |
Descrição: esta definição de política controla se um dispositivo iniciará sessão automaticamente no último utilizador interativo após o Windows Update reiniciar o sistema. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn SO: WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Opções de Logon do Windows\Último usuário interativo de entrada automaticamente após uma reinicialização iniciada pelo sistema Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo WinLogon.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recentes).Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1 |
= 1 (Registo) |
Crítico |
| Especificar o intervalo para verificar se há atualizações de definição (AZ-WIN-00152) |
Descrição: esta definição de política permite-lhe especificar um intervalo para verificar se existem atualizações de definições. O valor de tempo é representado como o número de horas entre as verificações de atualização. Os valores válidos variam de 1 (a cada hora) a 24 (uma vez por dia). Se você habilitar essa configuração, a verificação de atualizações de definição ocorrerá no intervalo especificado. Se você desabilitar ou não definir essa configuração, a verificação de atualizações de definição ocorrerá no intervalo padrão. Caminho da chave: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval SO: WS2008, WS2008R2, WS2012, WS2012R2 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivirus\Security Intelligence Updates\Especifique o intervalo para verificar se há atualizações de inteligência de segurança Mapeamentos de padrão de conformidade: |
8= (Registo) |
Crítico |
| Sistema: Controle o comportamento do log de eventos quando o arquivo de log atingir seu tamanho máximo (CCE-36160-0) |
Descrição: esta definição de política controla o comportamento do Registo de Eventos quando o ficheiro de registo atinge o seu tamanho máximo. Se você habilitar essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos não serão gravados no log e serão perdidos. Se você desabilitar ou não definir essa configuração de política e um arquivo de log atingir seu tamanho máximo, novos eventos substituirão eventos antigos. Observação: eventos antigos podem ou não ser retidos de acordo com a configuração de política "Backup automático quando cheio". Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Sistema\Controle Comportamento do Log de Eventos quando o arquivo de log atinge seu tamanho máximo Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente chamada de Reter eventos antigos, mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.27.4.1 |
Não existe ou = 0 (Registo) |
Crítico |
| Sistema: Especifique o tamanho máximo do arquivo de log (KB) (CCE-36092-5) |
Descrição: esta definição de política especifica o tamanho máximo do ficheiro de registo em kilobytes. Se você habilitar essa configuração de política, poderá configurar o tamanho máximo do arquivo de log para estar entre 1 megabyte (1024 kilobytes) e 2 terabytes (2.147.483.647 kilobytes) em incrementos de kilobytes. Se você desabilitar ou não definir essa configuração de política, o tamanho máximo do arquivo de log será definido como o valor configurado localmente. Esse valor pode ser alterado pelo administrador local usando a caixa de diálogo Propriedades de log e o padrão é de 20 megabytes. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: 32,768 or greater:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviço de Log de Eventos\Sistema\Especifique o tamanho máximo do arquivo de log (KB) Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'EventLog.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Nota #2: Em Modelos Administrativos do Microsoft Windows mais antigos, essa configuração foi inicialmente chamada de Tamanho Máximo de Log (KB), mas foi renomeada a partir dos Modelos Administrativos do Windows 8.0 & Server 2012 (não R2). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.27.4.2 |
>= 32768 (Registo) |
Crítico |
| O Inventário do Programa de Compatibilidade de Aplicativos deve ser impedido de coletar dados e enviar as informações para a Microsoft. (AZ-WIN-73543) |
Descrição: Alguns recursos podem se comunicar com o fornecedor, enviando informações do sistema ou baixando dados ou componentes para o recurso. Desativar esse recurso impedirá que informações potencialmente confidenciais sejam enviadas para fora da empresa e impedirá atualizações descontroladas para o sistema. Essa configuração impedirá que o Inventário de Programas colete dados sobre um sistema e envie as informações para a Microsoft. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory SO: WS2016, WS2019, WS2022 Tipo de servidor: Membro do domínio Caminho da Política de Grupo: Configuração do Computador\Modelos Administrativos\Componentes do Windows\Compatibilidade de Aplicativos\Desativar Coletor de Inventário Mapeamentos de padrão de conformidade: |
= 1 (Registo) |
Informativo |
| Desativar a Reprodução Automática (CCE-36875-3) |
Descrição: A reprodução automática começa a ser lida a partir de uma unidade assim que insere multimédia na unidade, o que faz com que o ficheiro de configuração de programas ou suportes de áudio seja iniciado imediatamente. Um invasor pode usar esse recurso para iniciar um programa para danificar o computador ou os dados no computador. Pode ativar a definição Desativar Reprodução Automática para desativar a funcionalidade de Reprodução Automática. A reprodução automática é desativada por padrão em alguns tipos de unidades removíveis, como disquetes e unidades de rede, mas não em unidades de CD-ROM. Observação Não é possível usar essa configuração de política para habilitar a Reprodução Automática em unidades de computador nas quais ela está desabilitada por padrão, como disquete e unidades de rede. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled: All drives:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Políticas de Reprodução Automática\Desativar Reprodução Automática Nota: Este caminho de Política de Grupo é fornecido pelo modelo de Política de Grupo 'AutoPlay.admx/adml' incluído em todas as versões dos Modelos Administrativos do Microsoft Windows. Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.8.3 |
= 255 (Registo) |
Crítico |
| Desativar a Prevenção de Execução de Dados para o Explorer (CCE-37809-1) |
Descrição: A desativação da prevenção de execução de dados pode permitir que determinados aplicativos de plug-in herdados funcionem sem encerrar o Explorer. O estado recomendado para essa configuração é: Disabled. Nota: Alguns aplicativos de plug-in herdados e outros softwares podem não funcionar com a Prevenção de Execução de Dados e exigirão que uma exceção seja definida para esse plug-in/software específico.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Explorador de Ficheiros\Desativar a Prevenção de Execução de Dados para o Explorador Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo Explorer.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 7 & Server 2008 R2 (ou mais recentes).Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2 |
Não existe ou = 0 (Registo) |
Crítico |
| Desativar a terminação de pilha em caso de corrupção (CCE-36660-9) |
Descrição: Sem terminação de pilha em caso de corrupção, os aplicativos de plug-in herdados podem continuar a funcionar quando uma sessão do Explorador de Arquivos estiver corrompida. Garantir que a terminação de heap em corrupção esteja ativa evitará isso. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Explorador de Ficheiros\Desativar terminação de pilha em caso de corrupção Nota: Este caminho de Política de Grupo é fornecido pelo modelo Explorer.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3 |
Não existe ou = 0 (Registo) |
Crítico |
| Desativar as experiências de consumo da Microsoft (AZ-WIN-00144) |
Descrição: esta definição de política desativa experiências que ajudam os consumidores a tirar o máximo partido dos seus dispositivos e conta Microsoft. Se você habilitar essa configuração de política, os usuários não verão mais recomendações personalizadas da Microsoft e notificações sobre suas contas da Microsoft. Se você desabilitar ou não definir essa configuração de política, os usuários poderão ver sugestões da Microsoft e notificações sobre suas contas da Microsoft. Observação: essa configuração só se aplica a SKUs Enterprise e Education. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Conteúdo na Nuvem\Desativar as experiências do consumidor da Microsoft Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo de Política de Grupo 'CloudContent.admx/adml' incluído nos Modelos Administrativos do Microsoft Windows 10 Release 1511 (ou mais recentes). Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.14.2 |
Não existe ou = 1 (Registo) |
Aviso |
| Desativar o modo protegido do protocolo shell (CCE-36809-2) |
Descrição: esta definição de política permite configurar a quantidade de funcionalidade que o protocolo shell pode ter. Ao usar todas as funcionalidades deste protocolo, os aplicativos podem abrir pastas e iniciar arquivos. O modo protegido reduz a funcionalidade deste protocolo, permitindo que as aplicações abram apenas um conjunto limitado de pastas. Os aplicativos não são capazes de abrir arquivos com este protocolo quando ele está no modo protegido. Recomenda-se deixar este protocolo no modo protegido para aumentar a segurança do Windows. O estado recomendado para essa configuração é: Disabled.Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior SO: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Disabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Explorador de Ficheiros\Desativar o modo protegido do protocolo shell Nota: Este caminho de Política de Grupo é fornecido pelo modelo WindowsExplorer.admx/adml de Política de Grupo incluído em todas as versões dos Modelos Administrativos do Microsoft Windows.Mapeamentos de padrão de conformidade: NomeID da plataforma STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4 |
Não existe ou = 0 (Registo) |
Aviso |
| Ativar o monitoramento de comportamento (AZ-WIN-00178) |
Descrição: esta definição de política permite-lhe configurar a monitorização de comportamentos. Se você habilitar ou não configurar essa configuração, o monitoramento de comportamento será habilitado. Se você desabilitar essa configuração, o monitoramento de comportamento será desativado. Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Diretiva de Grupo: Para estabelecer a configuração recomendada via GP, defina o seguinte caminho da interface do usuário como Enabled:Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Defender Antivirus\Proteção em Tempo Real\Ativar monitoramento de comportamento Nota: Este caminho de Política de Grupo pode não existir por predefinição. Ele é fornecido pelo modelo WindowsDefender.admx/adml de Diretiva de Grupo incluído nos Modelos Administrativos do Microsoft Windows 8.1 & Server 2012 R2 (ou mais recentes).Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3 |
Não existe ou = 0 (Registo) |
Aviso |
| Ativar o Log de Blocos de Scripts do PowerShell (AZ-WIN-73591) |
Descrição: esta definição de política permite o registo de todas as entradas de script do PowerShell no canal do Applications and Services Logs\Microsoft\Windows\PowerShell\Operational Registo de Eventos. O estado recomendado para essa configuração é: Enabled. Nota: Se o registo de Eventos Start/Stop de Invocação de Bloco de Script estiver ativado (caixa de opção marcada), o PowerShell registará eventos adicionais quando a invocação de um comando, bloco de script, função ou script iniciar ou parar. Habilitar essa opção gera um grande volume de logs de eventos. O CIS optou intencionalmente por não fazer uma recomendação para esta opção, uma vez que gera um grande volume de eventos. Se uma organização optar por habilitar a configuração opcional (marcada), isso também estará em conformidade com o benchmark.Caminho da chave: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging SO: WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio, Membro do Grupo de Trabalho Caminho da Política de Grupo: Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows PowerShell\Ativar Log de Bloqueio de Script do PowerShell Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1 |
= 1 (Registo) |
Importante |
Configurações do Windows - Configurações de Segurança
| Nome (ID) |
Detalhes | Valor esperado (Tipo) |
Gravidade |
|---|---|---|---|
| Ajustar as quotas de memória para um processo (CCE-10849-8) |
Descrição: esta definição de política permite que um utilizador ajuste a quantidade máxima de memória disponível para um processo. A capacidade de ajustar as cotas de memória é útil para o ajuste do sistema, mas pode ser abusiva. Nas mãos erradas, ele poderia ser usado para lançar um ataque de negação de serviço (DoS). O estado recomendado para essa configuração é: Administrators, LOCAL SERVICE, NETWORK SERVICE. Nota: Um Servidor Membro que detém a Função de Servidor Web (IIS) com o Serviço de Função de Servidor Web exigirá uma exceção especial a esta recomendação, para permitir que o(s) pool(s) de aplicativos do IIS recebam esse direito de usuário. Nota #2: Um Servidor Membro com o Microsoft SQL Server instalado exigirá uma exceção especial a esta recomendação para que entradas adicionais geradas por SQL recebam esse direito de usuário.Caminho da chave: [Direitos de privilégio]SeIncreaseQuotaPrivilege SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de Servidor: Controlador de Domínio, Membro do Domínio Caminho da Política de Grupo: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Ajustar cotas de memória para um processo Mapeamentos de padrão de conformidade: NomeID da plataforma CIS WS2022 2.2.6 CIS WS2019 2.2.6 |
<= Administradores, Serviço Local, Serviço de Rede (Política) |
Aviso |
Nota
A disponibilidade de definições específicas de configuração de convidado da Política do Azure pode variar no Azure Government e em outras nuvens nacionais.
Próximos passos
Artigos adicionais sobre a Política do Azure e a configuração de convidado:
- Configuração de convidado da Política do Azure.
- Visão geral da conformidade regulamentar.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis.