Поделиться через


Базовые показатели безопасности Windows

В этой статье описаны параметры конфигурации для гостевых систем Windows, применимые в следующих реализациях:

  • Предварительная версия: компьютеры Windows должны соответствовать требованиям к базовой конфигурации безопасности вычислений Azure согласно определению конфигурации гостевой системы в Политике Azure
  • Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены в Центре безопасности Azure.

Дополнительные сведения см. в статье о конфигурации компьютера Автоуправляемого управления Azure.

Внимание

Политика Azure гостевая конфигурация применяется только к SKU Windows Server и SKU Azure Stack. Он не применяется к вычислительным ресурсам конечных пользователей, таким как номера SKU Windows 10 и Windows 11.

Политики учетных записей — политика паролей

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Длительность блокировки учетных записей
(AZ-WIN-73312)
Описание. Этот параметр политики определяет период времени, который должен пройти до разблокировки заблокированной учетной записи, и пользователь может попытаться войти снова. Этот параметр делает это, указав количество минут, в течение которых заблокированная учетная запись останется недоступной. Если для этого параметра политики настроено значение 0, заблокированные учетные записи останутся заблокированными, пока администратор не разблокирует их вручную. Хотя это может показаться хорошей идеей настроить значение этого параметра политики на большое значение, такая конфигурация, скорее всего, увеличит количество вызовов, которые служба технической поддержки получает для разблокировки учетных записей, заблокированных ошибкой. Пользователи должны знать о времени, когда блокировка остается на месте, так что они понимают, что им нужно обратиться в службу технической поддержки, если у них крайне срочно необходимо восстановить доступ к своему компьютеру. Рекомендуемое состояние для этого параметра — 15 or more minute(s). Примечание. Параметры политики паролей (раздел 1.1) и параметры политики блокировки учетных записей (раздел 1.2) должны применяться с помощью групповой политики домена по умолчанию, чтобы глобально влиять на учетные записи пользователей домена в качестве их поведения по умолчанию. Если эти параметры настроены в другом объекте групповой политики, они будут влиять только на учетные записи локальных пользователей на компьютерах, получающих объект групповой политики. Однако пользовательские исключения для политики паролей по умолчанию и правил политики блокировки учетных записей для определенных пользователей домена и (или) групп можно определить с помощью объектов параметров пароля (PSOS), которые полностью отделены от групповой политики и наиболее легко настроены с помощью Центра администрирования Active Directory.
Путь к ключу: [System Access]LockoutDuration
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Политики учетной записи\Политика блокировки учетной записи\Длительность блокировки учетной записи
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 1.2.1
        CIS WS2019 1.2.1
>= 15
(Policy) (Политика)
Предупреждение

Административный шаблон — Windows Defender

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Настройка обнаружения для потенциально нежелательных приложений
(AZ-WIN-202219)
Описание. Этот параметр политики управляет обнаружением и действием для потенциально нежелательных приложений (PUA), которые являются нежелательными пакетами приложений или их пакетными приложениями, которые могут доставлять рекламные программы или вредоносные программы. Рекомендуемое состояние для этого параметра — Enabled: Block. Дополнительные сведения см. в этой ссылке: блокировка потенциально нежелательных приложений с помощью антивирусная программа в Microsoft Defender | Документация Майкрософт
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Настройка обнаружения потенциально нежелательных приложений
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.47.15
        CIS WS2019 18.9.47.15
= 1
(Registry) (Реестр)
Критически важно
Сканирование всех скачанных файлов и вложений
(AZ-WIN-202221)
Описание. Этот параметр политики настраивает сканирование всех скачанных файлов и вложений. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Защита в реальном времени\Сканирование всех скачанных файлов и вложений
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.47.9.1
        CIS WS2019 18.9.47.9.1
= 0
(Registry) (Реестр)
Предупреждение
Отключение антивирусной программы Microsoft Defender
(AZ-WIN-202220)
Описание. Этот параметр политики отключает антивирусная программа в Microsoft Defender. Если параметр настроен на отключение, антивирусная программа в Microsoft Defender запускается и компьютеры проверяются на наличие вредоносных программ и другого потенциально нежелательного программного обеспечения. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Отключить антивирус Microsoft Defender
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.47.16
        CIS WS2019 18.9.47.16
= 0
(Registry) (Реестр)
Критически важно
Отключение защиты в режиме реального времени
(AZ-WIN-202222)
Описание. Этот параметр политики настраивает запросы защиты в режиме реального времени для обнаружения известных вредоносных программ. антивирусная программа в Microsoft Defender оповещает вас, когда вредоносные программы или потенциально нежелательные программы пытаются установить себя или запустить на компьютере. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Защита в реальном времени\Отключение защиты в режиме реального времени
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.47.9.2
        CIS WS2019 18.9.47.9.2
= 0
(Registry) (Реестр)
Предупреждение
Включение проверки электронной почты
(AZ-WIN-202218)
Описание. Этот параметр политики позволяет настроить сканирование электронной почты. При включении сканирования электронной почты подсистема анализирует почтовые ящики и почтовые файлы в соответствии с их определенным форматом, чтобы проанализировать тела почты и вложения. В настоящее время поддерживаются несколько форматов электронной почты, например pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Scan\Включить проверку электронной почты
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.47.12.2
        CIS WS2019 18.9.47.12.2
= 0
(Registry) (Реестр)
Предупреждение
Включение проверки скриптов
(AZ-WIN-202223)
Описание. Этот параметр политики позволяет включить или отключить сканирование скриптов. Сканирование скриптов перехватывает скрипты, а затем проверяет их перед выполнением в системе. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Защита в реальном времени\Включение сканирования скриптов
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.47.9.4
        CIS WS2019 18.9.47.9.4
= 0
(Registry) (Реестр)
Предупреждение

Административные шаблоны — Панель управления

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Разрешить персонализацию ввода
(AZ-WIN-00168)
Описание: эта политика включает компонент автоматического обучения для персонализации ввода, который включает речь, рукописный ввод и ввод текста. Автоматическое обучение включает сбор шаблонов речи и письма, а также анализ журнала ввода текста, контактов и последних сведений по календарю. Оно необходим для использования Кортаны. Некоторые из этих собранных сведений могут храниться в OneDrive пользователя, в частности данные ввода рукописного и печатного текста. Некоторые из этих сведений будут отправлены в корпорацию Майкрософт для персонализации речи. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса: Конфигурация компьютера\Политики\Административные шаблоны\панель управления\Региональные и языковые параметры\Разрешить пользователям включить службы распознавания речи в Сети. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики Globalization.admx/adml, который входит в состав административных шаблонов Microsoft Windows 10 RTM (выпуск 1507) (или более поздней версии). Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван "Разрешить персонализацию ввода", но он был переименован в разрешение пользователям включить службы распознавания речи в Интернете, начиная с административных шаблонов Windows 10 R1809 и Server 2019.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.1.2.2
= 0
(Registry) (Реестр)
Предупреждение

Административные шаблоны — руководство по безопасности Майкрософт

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Отключение клиента SMB версии 1 (удаление зависимости от LanmanWorkstation)
(AZ-WIN-00122)
Описание: SMBv1 — это устаревший протокол, использующий алгоритм MD5 в рамках SMB. MD5, как известно, уязвим для ряда атак, таких как столкновение и предварительное создание атак, а также не соответствует ТРЕБОВАНИЯМ FIPS.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService
ОС: WS2008, WS2008R2, WS2012
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Административные шаблоны\Руководство по безопасности MS\Настройка драйвера клиента SMBv1
Сопоставления стандартов соответствия:
Не существует или = Bowser\0MRxSmb20\0NSI\0\0
(Registry) (Реестр)
Критически важно
Проверка подлинности WDigest
(AZ-WIN-73497)
Описание. Если включена проверка подлинности WDigest, Lsass.exe сохраняет копию обычного пароля пользователя в памяти, где она может быть подвержена риску кражи. Если этот параметр не настроен, проверка подлинности WDigest отключена в Windows 8.1 и в Windows Server 2012 R2; Он включен по умолчанию в более ранних версиях Windows и Windows Server. Дополнительные сведения о краже локальных учетных записей и учетных данных см. в документах "Устранение атак с использованием хэша (PtH) и других методов кражи учетных данных". Дополнительные сведения см. в UseLogonCredentialстатье базы знаний Майкрософт 2871997: Обновление рекомендаций по безопасности Майкрософт для улучшения защиты учетных данных и управления ими 13 мая 2014 г. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential
ОС: WS2016, WS2019
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\Руководство по безопасности MS\WDigest Authentication (отключение может потребоваться KB2871997)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.3.7
        CIS WS2019 18.3.7
= 0
(Registry) (Реестр)
Внимание

Административные шаблоны — MSS

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
MSS: (DisableIPSourceRouting IPv6) уровень защиты маршрутизации источника IP-адресов (защищает от спуфинга пакетов)
(AZ-WIN-202213)
Описание. Маршрутизация источника IP-адресов — это механизм, позволяющий отправителю определить IP-маршрут, который должен соответствовать диаграмме данных через сеть. Рекомендуемое состояние для этого параметра — Enabled: Highest protection, source routing is completely disabled.
Путь к ключу: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\MSS (устаревшая версия)\MSS: (DisableIPSourceRouting IPv6) уровень защиты маршрутизации источника IP-адресов (защищает от спуфинги пакетов)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.4.2
        CIS WS2019 18.4.2
= 2
(Registry) (Реестр)
Информационный
MSS: (DisableIPSourceRouting) — уровень защиты маршрутизации источника IP-адресов (защищает от спуфинга пакетов)
(AZ-WIN-202244)
Описание. Маршрутизация источника IP-адресов — это механизм, позволяющий отправителю определить IP-маршрут, который должен принимать диаграмма данных через сеть. Рекомендуется настроить этот параметр как Not Defined for enterprise environments and to High Protection for high security среды, чтобы полностью отключить маршрутизацию источников. Рекомендуемое состояние для этого параметра — Enabled: Highest protection, source routing is completely disabled.
Путь к ключу: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\MSS (устаревшая версия)\MSS: (DisableIPSourceRouting) уровень защиты маршрутизации источника IP-адресов (защищает от спуфинги пакетов)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.4.3
        CIS WS2019 18.4.3
= 2
(Registry) (Реестр)
Информационный
MSS: (NoNameReleaseOnDemand) — разрешить компьютеру игнорировать запросы на выпуск имен NetBIOS, за исключением серверов WINS
(AZ-WIN-202214)
Описание. NetBIOS по протоколу TCP/IP — это сетевой протокол, который, помимо прочего, позволяет легко разрешать имена NetBIOS, зарегистрированные в системах Под управлением Windows, к IP-адресам, настроенным в этих системах. Этот параметр определяет, освобождает ли компьютер имя NetBIOS при получении запроса на выпуск имени. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\MSS (устаревшая версия)\MSS: (NoNameReleaseOnDemand) Позволяет компьютеру игнорировать запросы на выпуски имен NetBIOS, кроме серверов WINS.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.4.6
        CIS WS2019 18.4.6
= 1
(Registry) (Реестр)
Информационный
MSS: (SafeDllSearchMode) — включение безопасного режима поиска библиотеки DLL (рекомендуется)
(AZ-WIN-202215)
Описание. Порядок поиска библиотек DLL можно настроить для поиска библиотек DLL, запрашиваемых при выполнении процессов одним из двух способов: — папки поиска, указанные в системном пути, а затем искать текущую рабочую папку. — Сначала выполните поиск текущей рабочей папки, а затем выполните поиск папок, указанных в системном пути. Если этот параметр включен, для параметра реестра задано значение 1. Если задано значение 1, система сначала выполняет поиск папок, указанных в системном пути, а затем выполняет поиск текущей рабочей папки. Если для параметра реестра отключено значение 0, система сначала выполняет поиск текущей рабочей папки, а затем выполняет поиск папок, указанных в системном пути. Приложения сначала будут вынуждены искать библиотеки DLL в системном пути. Для приложений, требующих уникальных версий этих БИБЛИОТЕК DLL, включенных в приложение, эта запись может вызвать проблемы с производительностью или стабильностью. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Дополнительные сведения о том, как работает безопасный режим поиска БИБЛИОТЕК DLL, доступен по этой ссылке: Порядок поиска библиотек динамической компоновки — приложения Windows | Документация Майкрософт
Путь к ключу: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\MSS (устаревшая версия)\MSS: (SafeDllSearchMode) Включить режим поиска безопасной библиотеки DLL (рекомендуется)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.4.8
        CIS WS2019 18.4.8
= 1
(Registry) (Реестр)
Предупреждение
MSS: (WarningLevel) — пороговое значение процента для журнала событий безопасности, при котором система создаст предупреждение
(AZ-WIN-202212)
Описание. Этот параметр может создать аудит безопасности в журнале событий безопасности, когда журнал достигает порогового значения, определенного пользователем. Рекомендуемое состояние для этого параметра — Enabled: 90% or less. Примечание. Если параметры журнала настроены для перезаписи событий по мере необходимости или перезаписи событий старше x дней, это событие не будет создано.
Путь к ключу: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\MSS (устаревшая версия)\MSS: (WarningLevel) — пороговое значение процента для журнала событий безопасности, при котором система создаст предупреждение
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.4.12
        CIS WS2019 18.4.12
<= 90
(Registry) (Реестр)
Информационный
Windows Server необходимо настроить, перенаправлениям протокола ICMP было запрещено переопределить маршруты, созданные компонентом OSPF (Open Shortest Path First).
(AZ-WIN-73503)
Описание: перенаправления протокола ICMP для управления интернетом вызывают стек IPv4 в маршруты узлов. Эти маршруты переопределяют созданные маршруты open Shortest Path First (OSPF). Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\MSS (устаревшая версия)\MSS: (EnableICMPRedirect) Разрешить перенаправления ICMP для переопределения созданных маршрутов OSPF
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.4.4
        CIS WS2019 18.4.4
= 0
(Registry) (Реестр)
Информационный

Административные шаблоны — Сеть

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Блокировать небезопасные гостевые входы
(AZ-WIN-00171)
Описание: этот параметр политики определяет, будет ли клиент SMB разрешать незащищенные гостевые входы на сервер SMB. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth
ОС: WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны
etwork\Lanman Workstation\Enable insecure guest logons
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики LanmanWorkstation.admx/adml, включенным в состав административных шаблонов Microsoft Windows 10 1511 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93239
        STIG WS2016 V-73507
        CIS WS2019 18.5.8.1
        CIS WS2022 18.5.8.1
= 0
(Registry) (Реестр)
Критически важно
Защищенные UNC-пути — NETLOGON
(AZ_WIN_202250)
Описание. Этот параметр политики настраивает безопасный доступ к путям UNC
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\NETLOGON
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Административные шаблоны\Network\Network Provider\Hardened UNC Paths
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Registry) (Реестр)
Предупреждение
Защищенные UNC-пути — SYSVOL
(AZ_WIN_202251)
Описание. Этот параметр политики настраивает безопасный доступ к путям UNC
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\SYSVOL
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Административные шаблоны\Network\Network Provider\Hardened UNC Paths
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Registry) (Реестр)
Предупреждение
Уменьшить количество одновременных подключений к Интернету или домену Windows
(CCE-38338-0)
Описание: данная политика запрещает компьютерам одновременный доступ как к сети на основе домена, так и к сети, не являющейся доменной. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 3 = Prevent Wi-Fi when on Ethernetпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны
etwork\Windows диспетчер подключений\Свести к минимуму количество одновременных подключений к Интернету или домену Windows
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики WCM.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2). Он был обновлен с новым подстрокой "Параметры политики минимизации", начиная с административных шаблонов Windows 10 выпуска 1903.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.5.21.1
Не существует или = 1
(Registry) (Реестр)
Предупреждение
Запретить установку и настройку сетевого моста в сети вашего домена DNS
(CCE-38002-2)
Описание: эту процедуру можно использовать для управления возможностью пользователя устанавливать и настраивать сетевой мост. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Сеть\Сетевые подключения\Запрет установки и настройки сетевого моста в сети домена DNS
Примечание. Этот путь групповой политики предоставляется шаблоном NetworkConnections.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.5.11.2
        CIS WS2022 18.5.11.2
= 0
(Registry) (Реестр)
Предупреждение
Запретите использование общего доступа к подключению к Интернету в сети DNS-домена
(AZ-WIN-00172)
Описание: хотя этот старый параметр традиционно применяется для использованию общего доступа к Интернет-подключению (ICS) в Windows 2000, Windows XP и Server 2003, с недавних пор он также применяется к функции мобильного хот-спота в Windows 10 и Server 2016. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны
etwork
etwork Connections\Запретить использование общего доступа к Интернету в сети домена DNS
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики NetworkConnections.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.5.11.3
= 0
(Registry) (Реестр)
Предупреждение
Отключить многоадресное разрешение имен
(AZ-WIN-00145)
Описание: LLMNR — это дополнительный протокол разрешения имен. Запросы в LLMNR отправляются с использованием многоадресной рассылки по локальной сети в одной подсети. Они направляются с клиентского компьютера на другой клиентский компьютер в той же подсети, в которой также включен LLMNR. Для использования LLMNR не требуется настройка DNS-сервера или DNS-клиента. LLMNR также обеспечивает разрешение имен в сценариях, в которых обычное разрешение DNS-имен невозможно. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast
ОС: WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны
etwork\DNS Client\Отключить разрешение имен многоадресной рассылки
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики DnsClient.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.5.4.2
= 0
(Registry) (Реестр)
Предупреждение

Административные шаблоны — руководство по безопасности

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Включение защиты от перезаписи структурированной обработки исключений (SEHOP)
(AZ-WIN-202210)
Описание: Windows включает поддержку структурированной обработки исключений Overwrite Protection (SEHOP). Мы рекомендуем включить эту функцию для улучшения профиля безопасности компьютера. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\Руководство по безопасности MS\Включение структурированной обработки исключений Overwrite Protection (SEHOP)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.3.4
        CIS WS2019 18.3.4
= 0
(Registry) (Реестр)
Критически важно
Конфигурация NodeType NetBT
(AZ-WIN-202211)
Описание. Этот параметр определяет, какой метод NetBIOS по протоколу TCP/IP (NetBT) использует для регистрации и разрешения имен. Доступные методы: — метод B-node (широковещательный) использует только широковещательные передачи. — Метод P-node (point-to-point) использует только запросы имен к серверу имен (WINS). — Сначала метод M-node (mixed) передает передачу, а затем запрашивает сервер имен (WINS), если трансляция завершилась ошибкой. — Метод H-node (гибридный) сначала запрашивает сервер имен (WINS), а затем передает передачу, если запрос завершился сбоем. Рекомендуемое состояние для этого параметра: Enabled: P-node (recommended) (точка — точка). Примечание. Разрешение через LMHOSTS или DNS следует этим методам. NodeType Если значение реестра присутствует, оно переопределяет любое DhcpNodeType значение реестра. Если ни нет NodeType DhcpNodeType , компьютер использует B-узел (широковещательный), если для сети не настроены серверы WINS или узел H (гибридный), если настроен хотя бы один сервер WINS.
Путь к ключу: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\Руководство по безопасности MS\Конфигурация NodeType NetBT
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.3.6
        CIS WS2019 18.3.6
= 2
(Registry) (Реестр)
Предупреждение

Административные шаблоны — Система

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Запретить пользователю отображать сведения о учетной записи при входе
(AZ-WIN-00138)
Описание: эта политика запрещает пользователю отображать сведения об учетной записи (адрес электронной почты или имя пользователя) на экране входа. Если включить этот параметр политики, пользователь не сможет выбрать отображение сведений об учетной записи на экране входа. Если этот параметр отключен или не настроен, пользователь сможет выбрать отображение сведений об учетной записи на экране входа.
Путь к ключу: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Logon\Блокировать пользователя, отображающего сведения об учетной записи при входе
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "Logon.admx/adml", который входит в состав Microsoft Windows 10 выпуска 1607 и Server 2016 Административные шаблоны (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.28.1
= 1
(Registry) (Реестр)
Предупреждение
Политика инициализации драйвера при загрузке ОС
(CCE-37912-3)
Описание: этот параметр политики позволяет указать, какие драйверы инициализируются при загрузке ОС согласно классификации, определенной драйвером раннего запуска антивредоносной программы. Драйвер раннего запуска антивредоносной программы может возвращать следующие классификации для каждого драйвера загрузки: — Хорошо: драйвер подписан и не был изменен. — Неудовлетворительно: драйвер был определен в качестве вредоносной программы. Рекомендуется запретить инициализацию известных плохих драйверов. — Неудовлетворительно, но требуется для загрузки: драйвер был определен как вредоносная программа, но запуск компьютера без загрузки этого драйвера невозможен. — Неизвестно: драйвер не был проверен приложением для обнаружения вредоносных программ и не был классифицирован драйвером раннего запуска антивредоносной программы. Если этот параметр политики включен, вы можете выбрать драйверы раннего запуска, которые инициализируются при следующем запуске компьютера. Если этот параметр отключен или не настроен, драйверы категорий "Хорошо", "Неизвестно" и "Неудовлетворительно, но требуется для загрузки", инициализируются, а драйверы категории "Неудовлетворительно" не будут инициализированы. Если приложение обнаружения вредоносных программ не включает драйвер начальной загрузки антивредоносного ПО раннего запуска или если драйвер начальной загрузки антивредоносной программы раннего запуска не включен, этот параметр не действует, и все драйверы запуска загрузки инициализированы.
Путь к ключу: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: Good, unknown and bad but criticalпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "EarlyLaunchAM.admx/adml", который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.14.1
Не существует или = 3
(Registry) (Реестр)
Предупреждение
Настройка предложения Удаленного помощника
(CCE-36388-7)
Описание: этот параметр политики позволяет включать или отключать предложения удаленной помощи на этом компьютере. Служба технической поддержки и специалисты по поддержке не смогут заранее предлагать помощь, хотя они по-прежнему могут отвечать на запросы поддержки пользователей. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Remote Assistance\Configure Offer Remote Assistance
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном RemoteAssistance.admx/adml групповой политики, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.36.1
        CIS WS2022 18.8.36.1
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Настройка запрошенного удаленного помощника
(CCE-37281-3)
Описание: этот параметр политики позволяет включать или отключать запрошенную пользователем удаленную помощь на этом компьютере. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Система\Удаленная помощь\Настройка запрошенной удаленной помощи
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном RemoteAssistance.admx/adml групповой политики, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.36.2
        CIS WS2022 18.8.36.2
= 0
(Registry) (Реестр)
Критически важно
Не отображать пользовательский интерфейс выбора сети
(CCE-38353-9)
Описание: этот параметр политики позволяет указать, может ли любой пользователь взаимодействовать с пользовательским интерфейсом доступных сетей на экране входа в систему. Если этот параметр политики включен, состояние сетевого подключения компьютера не может быть изменено без входа в Windows. Если этот параметр отключен или не настроен, любой пользователь может отключить компьютер от сети или подключить компьютер к другим доступным сетям без входа в Windows.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Logon\Не отображать пользовательский интерфейс выбора сети
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "Logon.admx/adml", который входит в состав административных шаблонов Microsoft Windows 8.1 и Server 2012 R2 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.28.2
= 1
(Registry) (Реестр)
Предупреждение
Не перечислять подключенных пользователей на компьютерах, подключенных к домену
(AZ-WIN-202216)
Описание. Этот параметр политики предотвращает перечисление подключенных пользователей на компьютерах, присоединенных к домену. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\System\Logon\Не перечислять подключенных пользователей на компьютерах, присоединенных к домену
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.8.28.3
        CIS WS2019 18.8.28.3
= 1
(Registry) (Реестр)
Предупреждение
Включение проверки подлинности клиента сопоставителя конечных точек RPC
(CCE-37346-4)
Описание: этот параметр политики управляет проверкой подлинности клиентов RPC с помощью службы сопоставителя конечных точек, когда их вызов содержит сведения о проверке подлинности. Служба сопоставителя конечных точек на компьютерах под управлением Windows NT4 (все пакеты обновления) не может обрабатывать данные проверки подлинности, указанные таким способом. Если отключить этот параметр политики, клиенты RPC не будут проходить проверку подлинности в службе сопоставителя конечных точек, но смогут взаимодействовать со службой сопоставителя конечных точек на сервере Windows NT4. Если этот параметр политики включен, клиенты RPC будут проходить проверку подлинности в службе сопоставителя конечных точек во время вызовов, содержащих сведения о проверке подлинности. Клиенты, выполняющие такие вызовы, не смогут взаимодействовать со службой сопоставителя конечных точек сервера Windows NT4. Если этот параметр политики не настроен, он остается отключенным. Клиенты RPC не будут проходить проверку подлинности в службе сопоставителя конечных точек, но смогут взаимодействовать со службой сопоставителя конечных точек на сервере Windows NT4. Важно: этот параметр политики будет применен только после перезагрузки системы.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики RPC.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.37.1
= 1
(Registry) (Реестр)
Критически важно
Включить NTP-клиент Windows
(CCE-37843-0)
Описание: этот параметр политики указывает, включен ли NTP-клиент Windows. Включение NTP-клиента Windows позволяет компьютеру синхронизировать свои часы компьютера с другими NTP-серверами. Если вы решили использовать сторонний поставщик времени, вам может потребоваться отключить эту службу. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Windows Time Service\Time Providers\Enable Windows NTP Client
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики W32Time.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.53.1.1
= 1
(Registry) (Реестр)
Критически важно
Исправление шифрования Oracle для протокола CredSSP
(AZ-WIN-201910)
Описание. Некоторые версии протокола CredSSP, используемого некоторыми приложениями (например, подключение к удаленному рабочему столу), уязвимы для атаки oracle шифрования против клиента. Эта политика управляет совместимостью с уязвимыми клиентами и серверами и позволяет задать уровень защиты, необходимый для уязвимости oracle шифрования. Рекомендуемое состояние для этого параметра — Enabled: Force Updated Clients.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle
ОС: WS2016, WS2019
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\System\Credentials Делегирование\Шифрование Oracle Исправление Oracle
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.8.4.1
        CIS WS2019 18.8.4.1
= 0
(Registry) (Реестр)
Критически важно
Убедиться, что для параметра "Настройка обработки политики реестра: не применять во время периодической фоновой обработки" задано значение "Включено: FALSE"
(CCE-36169-1)
Описание: параметр "Не применять во время периодической фоновой обработки" запрещает системе обновлять затронутые политики в фоновом режиме во время использования компьютера. Если фоновые обновления отключены, изменения политики не вступают в силу до следующего входа пользователя или перезагрузки системы. Рекомендуемое состояние для этого параметра — Enabled: FALSE (отключен).
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса, а затем установите Process even if the Group Policy objects have not changed для параметра (установлен флажок TRUE ):
Конфигурация компьютера\Политики\Административные шаблоны\System\Групповая политика\Настройка обработки политик реестра
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном GroupPolicy.admx/adml групповой политики, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.21.2
        CIS WS2022 18.8.21.2
= 0
(Registry) (Реестр)
Критически важно
Убедиться, что для параметра "Настройка обработки политики реестра: обрабатывать, даже если объекты групповой политики не изменились" имеет значение "Включено: TRUE"
(CCE-36169-1a)
Описание: параметр "Обрабатывать, даже если объекты групповой политики не изменились" обновляет и применяет политики повторно, даже если политики не изменились. Рекомендуемое состояние для этого параметра — Enabled: TRUE (включен).
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса, а затем задайте для параметра Process даже если объекты групповой политики не изменились" значение TRUE (установлен):
Конфигурация компьютера\Политики\Административные шаблоны\System\Групповая политика\Настройка обработки политик реестра
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики GroupPolicy.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.21.3
= 0
(Registry) (Реестр)
Критически важно
Убедитесь, что для параметра "Продолжить работу на этом устройстве" задано значение "Отключено"
(AZ-WIN-00170)
Описание: этот параметр политики определяет, может ли устройство Windows взаимодействовать с другими устройствами (продолжение работы). Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Group Policy\Continue на этом устройстве
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики GroupPolicy.admx/adml, который входит в состав Microsoft Windows 10 выпуск 1607 и Административные шаблоны Server 2016 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.21.4
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Перечислить локальных пользователей на компьютерах, подключенных к домену
(AZ_WIN_202204)
Описание. Этот параметр политики позволяет перечислять локальных пользователей на компьютерах, присоединенных к домену. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\System\Logon\Перечислить локальных пользователей на компьютерах, присоединенных к домену
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.8.28.4
        CIS WS2019 18.8.28.4
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Включите командную строку в события создания процесса
(CCE-36925-6)
Описание: этот параметр политики определяет, какие сведения регистрируются в событиях аудита безопасности при создании нового процесса. Этот параметр применяется только при включенной политике создания процессов аудита. Если включить этот параметр политики, сведения командной строки для каждого процесса будут регистрироваться в виде обычного текста в журнале событий безопасности в рамках события создания процесса аудита 4688 ("новый процесс создан") на всех рабочих станциях и серверах, где которых применяется этот параметр политики. Если этот параметр отключен или не настроен, сведения командной строки для процесса не будут включаться в события создания процесса аудита. По умолчанию: данный параметр не настроен. Важно: если этот параметр политики включен, любой пользователь с доступом на чтение событий безопасности сможет считывать аргументы командной строки для всех успешно созданных процессов. Аргументы командной строки могут содержать конфиденциальную или закрытую информацию, например пароли или данные пользователя.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled
ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Audit Process Creation\Include командной строки в событиях создания процесса
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики AuditSettings.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.1 и Server 2012 R2 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.3.1
= 1
(Registry) (Реестр)
Критически важно
Запретить получение метаданных устройств из Интернета
(AZ-WIN-202251)
Описание. Этот параметр политики позволяет запретить Windows получать метаданные устройства из Интернета. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Это не позволит предотвратить установку основных аппаратных драйверов, но предотвращает автоматическое установку связанного программного обеспечения 3-стороннего программного обеспечения в контексте SYSTEM учетной записи.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь к групповой политике: конфигурация компьютера\Политики\Административные шаблоны\System\Device Installation\Запрет получения метаданных устройства из Интернета
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.8.7.2
        CIS WS2019 18.8.7.2
= 1
(Registry) (Реестр)
Информационный
Удаленный узел разрешает делегирование неэкспортируемых учетных данных
(AZ-WIN-20199)
Описание. Удаленный узел позволяет делегирование не экспортируемых учетных данных. При использовании делегирования учетных данных устройства предоставляют экспортируемую версию учетных данных на удаленный узел. Это предоставляет пользователям риск кражи учетных данных злоумышленниками на удаленном узле. Режим ограниченного администратора и функции Remote Credential Guard в Защитнике Windows — это два варианта, которые помогут защититься от этого риска. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Более подробные сведения о удаленном защитнике Windows Credential Guard и его сравнении с режимом ограниченного администратора можно найти по этой ссылке: защита учетных данных удаленного рабочего стола в Защитнике Windows с помощью Удаленной учетной записи Защитника Windows (Windows 10) | Документация Майкрософт
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds
ОС: WS2016, WS2019
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\System\Credentials Делегирование\Удаленный узел позволяет делегирование не экспортируемых учетных данных
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.8.4.2
        CIS WS2019 18.8.4.2
= 1
(Registry) (Реестр)
Критически важно
Отключение уведомлений приложений на экране блокировки
(CCE-35893-7)
Описание: этот параметр политики позволяет запретить отображение уведомлений приложений на экране блокировки. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Logon\Отключить уведомления о приложении на экране блокировки
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "Вход.admx/adml", который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.28.5
= 1
(Registry) (Реестр)
Предупреждение
Отключение фонового обновления групповой политики
(CCE-14437-8)
Описание. Этот параметр политики запрещает обновление групповой политики во время использования компьютера. Этот параметр политики применяется к групповой политике для компьютеров, пользователей и контроллеров домена. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\System\Group Policy\Отключить фоновое обновление групповой политики
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.8.21.5
        CIS WS2019 18.8.21.5
= 0
(Registry) (Реестр)
Предупреждение
Отключите загрузку драйверов печати по протоколу HTTP
(CCE-36625-2)
Описание: этот параметр политики определяет, может ли компьютер загружать пакеты драйверов печати по протоколу HTTP. Для настройки печати по протоколу HTTP драйверы печати, недоступные в стандартной установке операционной системы, могут загружаться по протоколу HTTP. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Internet Communication Management\Internet Communication Settings\Off скачивание драйверов печати по протоколу HTTP
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "ICM.admx/adml", включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.22.1.1
= 1
(Registry) (Реестр)
Предупреждение
Отключить мастер подключения к Интернету, если URL-адрес ссылается на сайт Microsoft.com.
(CCE-37163-3)
Описание: этот параметр политики указывает, может ли мастер подключения к Интернету подключиться к серверам Майкрософт для скачивания списка поставщиков услуг Интернета (ISP). Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Internet Communication Management\Internet Communication settings\Off Internet Connection Wizard if URL-подключение ссылается на Microsoft.com
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "ICM.admx/adml", включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.22.1.4
= 1
(Registry) (Реестр)
Предупреждение
Включение удобного входа в ПИН-код
(CCE-37528-7)
Описание: этот параметр политики позволяет указать, может ли пользователь домена выполнять вход с помощью удобного ПИН-кода. В Windows 10 удобный ПИН-код был заменен на службу Passport, имеющую большую надежность. Чтобы настроить Passport для пользователей домена, используйте политики в разделе Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Microsoft Passport for Work. Важно: при использовании этой функции пароль домена пользователя будет кэшироваться в системном хранилище. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\System\Logon\Включить удобный вход ПИН-кода
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном CredentialProviders.admx/adml групповой политики, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).Примечание 2. В более старых административных шаблонах Microsoft Windows этот параметр изначально был назван "Включить вход ПИН-кода", но он был переименован начиная с Windows 10 выпуска 1511 Административные шаблоны.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.8.28.7
        CIS WS2022 18.8.28.7
Не существует или = 0
(Registry) (Реестр)
Предупреждение

Административные шаблоны — компонент Windows

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Отключение содержимого состояния в учетной записи потребителя облака
(AZ-WIN-202217)
Описание. Этот параметр политики определяет, разрешено ли содержимое состояния учетной записи потребителя облака во всех интерфейсах Windows. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Облачное содержимое\Отключение содержимого облачной учетной записи потребителя
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.14.1
        CIS WS2019 18.9.14.1
= 1
(Registry) (Реестр)
Предупреждение

Административные шаблоны — компоненты Windows

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Запретить перенаправление диска
(AZ-WIN-73569)
Описание. Этот параметр политики запрещает пользователям предоставлять доступ к локальным дискам на клиентских компьютерах серверам удаленных рабочих столов, к которым они обращаются. Сопоставленные диски отображаются в дереве папок сеанса в проводнике Windows в следующем формате: \\TSClient\<driveletter>$ если локальные диски являются общими, они остаются уязвимыми для злоумышленников, которые хотят использовать данные, хранящиеся на них. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеанса удаленного рабочего стола\Перенаправление ресурсов\Не разрешать перенаправление дисков
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.65.3.3.3
        CIS WS2019 18.9.65.3.3.2
= 1
(Registry) (Реестр)
Предупреждение
Включение транскрибирования PowerShell
(AZ-WIN-202208)
Описание. Этот параметр политики позволяет записывать входные и выходные данные команд Windows PowerShell в текстовые расшифровки. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Windows PowerShell\Включение транскрибирования PowerShell
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.100.2
        CIS WS2019 18.9.100.2
= 0
(Registry) (Реестр)
Предупреждение

Административные шаблоны — Безопасность Windows

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Не разрешать пользователям изменять настройки
(AZ-WIN-202209)
Описание. Этот параметр политики запрещает пользователям вносить изменения в область параметров защиты эксплойтов в параметрах Безопасность Windows. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Безопасность Windows\Защита приложений и браузеров\Запретить пользователям изменять параметры
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.105.2.1
        CIS WS2019 18.9.105.2.1
= 1
(Registry) (Реестр)
Предупреждение

Административный шаблон — Защитник Windows

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Настройка уменьшения уязвимой зоны
(AZ_WIN_202205)
Описание. Этот параметр политики управляет состоянием правил уменьшения поверхности атак (ASR). Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Exploit Guard в Microsoft Defender\Сокращение поверхности атаки\Настройка правил уменьшения поверхности атаки
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.47.5.1.1
        CIS WS2019 18.9.47.5.1.1
= 1
(Registry) (Реестр)
Предупреждение
Не разрешать пользователям и приложениям доступ к опасным веб-сайтам
(AZ_WIN_202207)
Описание. Этот параметр политики управляет Exploit Guard в Microsoft Defender защите сети. Рекомендуемое состояние для этого параметра — Enabled: Block.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Exploit Guard в Microsoft Defender\Защита сети\Запретить пользователям и приложениям доступ к опасным веб-сайтам
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.47.5.3.1
        CIS WS2019 18.9.47.5.3.1
= 1
(Registry) (Реестр)
Предупреждение

Аудит управления учетными записями компьютеров

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит управления учетными записями компьютеров
(CCE-38004-8)
Описание. Этот подкатегорий сообщает о каждом событии управления учетными записями компьютера, например при создании, изменении, удалении, переименовании, отключении или включении учетной записи компьютера. События для этой подкатегории: — 4741: была создана учетная запись компьютера. - 4742: учетная запись компьютера была изменена. — 4743: удалена учетная запись компьютера. Рекомендуемое состояние для этого параметра — Success.
Путь к ключу: {0CCE9236-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Computer Account Management
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.2.2
        CIS WS2019 17.2.2
= Успешно
(Audit) (Аудит)
Критически важно

Защищенное ядро

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Включение защиты DMA при запуске
(AZ-WIN-202250)
Описание. Защищенные серверы поддерживают системное встроенное ПО, которое обеспечивает защиту от вредоносных и непреднамеренных атак прямого доступа к памяти (DMA) для всех устройств с поддержкой DMA во время загрузки.
Путь к ключу: BootDMAProtection
OSEx: WSASHCI22H2
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: NA
Сопоставления стандартов соответствия:
= 1
(OsConfig)
Критически важно
Включение принудительной целостности кода низкоуровневой оболочки
(AZ-WIN-202246)
Описание. HVCI и VBS улучшают модель угроз Windows и обеспечивают более надежную защиту от вредоносных программ, пытающихся использовать ядро Windows. HVCI — это критически важный компонент, который защищает и защищает изолированную виртуальную среду, созданную VBS, запустив целостность кода в режиме ядра и ограничив выделение памяти ядра, которое можно использовать для компрометации системы.
Путь к ключу: HypervisorEnforcedCodeIntegrityStatus
OSEx: WSASHCI22H2
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: NA
Сопоставления стандартов соответствия:
= 0
(OsConfig)
Критически важно
Включение безопасной загрузки
(AZ-WIN-202248)
Описание. Безопасная загрузка — это стандарт безопасности, разработанный членами отрасли компьютеров, чтобы убедиться, что загрузка устройства с использованием только программного обеспечения, доверенного изготовителем исходного оборудования (OEM).
Путь к ключу: SecureBootState
OSEx: WSASHCI22H2
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: NA
Сопоставления стандартов соответствия:
= 1
(OsConfig)
Критически важно
Включение System Guard
(AZ-WIN-202247)
Описание. Использование поддержки процессора для технологии динамического корневого обеспечения доверия (DRTM) System Guard помещает встроенное ПО в аппаратное песочницу, помогая ограничить влияние уязвимостей в миллионах строк кода встроенного ПО с высоким уровнем привилегий.
Путь к ключу: SystemGuardStatus
OSEx: WSASHCI22H2
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: NA
Сопоставления стандартов соответствия:
= 0
(OsConfig)
Критически важно
Включение безопасности на основе виртуализации
(AZ-WIN-202245)
Описание. Безопасность на основе виртуализации или VBS используют функции виртуализации оборудования для создания и изоляции безопасной области памяти от обычной операционной системы. Это помогает обеспечить, чтобы серверы оставались посвященными выполнению критически важных рабочих нагрузок и помогают защитить связанные приложения и данные от атак и кражи. VBS включен и заблокирован по умолчанию в Azure Stack HCI.
Путь к ключу: VirtualizationBasedSecurityStatus
OSEx: WSASHCI22H2
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: NA
Сопоставления стандартов соответствия:
= 0
(OsConfig)
Критически важно
Настройка версии TPM
(AZ-WIN-202249)
Описание: технология доверенного платформенного модуля (TPM) предназначена для обеспечения аппаратных функций, связанных с безопасностью. TPM2.0 требуется для функций Secured-core.
Путь к ключу: TPMVersion
OSEx: WSASHCI22H2
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: NA
Сопоставления стандартов соответствия:
Содержит 2.0
(OsConfig)
Критически важно

Параметры безопасности — Учетные записи

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Учетные записи: блокирование учетных записей Майкрософт
(AZ-WIN-202201)
Описание. Этот параметр политики запрещает пользователям добавлять новые учетные записи Майкрософт на этом компьютере. Рекомендуемое состояние для этого параметра — Users can't add or log on with Microsoft accounts.
Путь к ключу: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Учетные записи: блокировка учетных записей Майкрософт
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.1.2
        CIS WS2019 2.3.1.2
= 3
(Registry) (Реестр)
Предупреждение
Учетные записи: состояние учетной записи «Гость»
(CCE-37432-2)
Описание: этот параметр политики определяет, включена или отключена ли учетная запись гостя. Учетная запись гостя позволяет пользователям сети получить доступ к системе без входа с проверкой подлинности. Рекомендуемое состояние для этого параметра — Disabled. Важно: этот параметр не имеет значения при применении к подразделению контроллера домена с помощью групповой политики, так как у контроллеров домена нет локальной базы данных учетных записей. Его можно настроить на уровне домена с помощью групповой политики, аналогично параметрам блокировки учетной записи и политики паролей.
Путь к ключу: [System Access]EnableGuestAccount
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Учетные записи: состояние гостевой учетной записи
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93497
        STIG WS2016 V-73809
        CIS WS2019 2.3.1.3
        CIS WS2022 2.3.1.3
= 0
(Policy) (Политика)
Критически важно
Учетные записи: разрешить использование пустых паролей только при консольном входе
(CCE-37615-2)
Описание: этот параметр безопасности определяет, могут ли локальные учетные записи, не защищенные паролем, использоваться для входа в систему из расположений, отличных от физической консоли компьютера. Если этот параметр политики включен, то локальные учетные записи с пустыми паролями не смогут входить в сеть с удаленных клиентских компьютеров. Такие учетные записи смогут войти только с клавиатуры компьютера. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Учетные записи: ограничение использования пустых паролей только для входа в консоль

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93279
        STIG WS2016 V-73621
        CIS WS2019 2.3.1.4
        CIS WS2022 2.3.1.4
Не существует или = 1
(Registry) (Реестр)
Критически важно
Учетные записи: переименование учетной записи гостя
(AZ-WIN-202255)
Описание. Встроенная локальная гостевая учетная запись — это другое известное имя злоумышленникам. Рекомендуется переименовать эту учетную запись в то, что не указывает его назначение. Даже если вы отключите эту учетную запись, которая рекомендуется, убедитесь, что вы переименовываете ее для добавленной безопасности. В контроллерах домена, так как у них нет собственных локальных учетных записей, это правило относится к встроенной гостевой учетной записи, которая была создана при первом создании домена.
Путь к ключу: [системный доступ]NewGuestName
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Учетные записи: переименование гостевой учетной записи
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.1.6
        CIS WS2019 2.3.1.6
!= гость
(Policy) (Политика)
Предупреждение
Сетевой доступ: разрешить трансляцию анонимного SID в имя
(CCE-10024-8)
Описание. Этот параметр политики определяет, может ли анонимный пользователь запрашивать атрибуты идентификатора безопасности (SID) для другого пользователя или использовать идентификатор безопасности для получения соответствующего имени пользователя. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: [System Access]LSAAnonymousNameLookup
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь к групповой политике: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой доступ: разрешить анонимный идентификатор безопасности и преобразование имен
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.10.1
        CIS WS2019 2.3.10.1
= 0
(Policy) (Политика)
Предупреждение

Параметры безопасности — Аудит

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)
(CCE-37850-5)
Описание: этот параметр политики позволяет администраторам включить более точные возможности аудита, имеющиеся в Windows Vista. Параметры политики аудита, доступные в Windows Server 2003 Active Directory, еще не содержат средств управления новыми подкатегориями аудита. Чтобы правильно применить политики аудита, заданные в этом базовом плане, параметры подкатегории "Аудит: принудительная политики аудита" (ОС Windows Vista или более поздней версии) должны быть выставлены в значение "Включено", чтобы переопределить настройки категории политики аудита.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Аудит: принудительное изменение параметров подкатегории политики аудита (Windows Vista или более поздней версии) для переопределения параметров категории политики аудита
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.2.1
Не существует или = 1
(Registry) (Реестр)
Критически важно
Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности.
(CCE-35907-5)
Описание: этот параметр политики определяет, завершается ли работа системы, если не удается зарегистрировать события безопасности. Это требование для критериев оценки системы доверенных компьютеров (ТКСЕК) версии C2 и общих критериев, необходимое для предотвращения аудита событий, если система аудита не может их зарегистрировать. Корпорация Майкрософт решила удовлетворить это требование, останавливая работу системы и отображая сообщение об остановке при сбое в системе аудита. Если этот параметр политики включен, система будет выключена, если аудит по каким-либо причинам недоступен для записи аудита безопасности. При включенном параметре "Аудит: немедленное завершение работы системы при невозможности вести журнал аудита безопасности" могут возникать незапланированные сбои системы. Административные нагрузки могут быть значительными, особенно если для журнала безопасности метод сохранения имеет значение "Не перезаписывать события (очищать журнал вручную)". Такая конфигурация приводит к тому, что угроза отрицания (оператор резервного копирования может запретить резервное копирование или восстановление данных) становится причиной отказа в обслуживании (DoS), поскольку сервер может принудительно завершить работу, если он перегружен событиями входа в систему и другими событиями безопасности, записываемыми в журнал безопасности. Кроме того, поскольку завершение работы в этом случае производится некорректно, возможно неустранимое повреждение операционной системы, приложений или данных. Несмотря на то, что файловая система NTFS гарантирует свою целостность при некорректном отключении компьютера, она не гарантирует, что каждый файл данных для каждого приложения будет по-прежнему в рабочем состоянии после перезагрузки компьютера. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Аудит: немедленное завершение работы системы, если не удается выполнить аудит безопасности

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.2.2
        CIS WS2022 2.3.2.2
Не существует или = 0
(Registry) (Реестр)
Критически важно

Параметры безопасности — Устройства

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Устройства: разрешить форматирование и извлечение съемных носителей
(CCE-37701-0)
Описание: этот параметр политики определяет, кому разрешено форматировать и извлекать съемные носители. Этот параметр политики можно использовать, чтобы запретить неавторизованным пользователям удалять данные на одном компьютере с целью доступа к ним на другом компьютере, на котором у них есть права локального администратора.
Путь к ключу: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Устройства: разрешено отформатировать и извлечь съемный носитель
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.4.1
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Устройства: запретить пользователям установку драйверов принтера.
(CCE-37942-0)
Описание: для печати с компьютера на общем принтере необходимо, чтобы драйвер для этого общего принтера был установлен на локальном компьютере. Этот параметр безопасности определяет, кому разрешено устанавливать драйвер печати в процессе подключения к общему принтеру. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Этот параметр не влияет на возможность добавления локального принтера. Эта настройка не затрагивает Администраторов.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Устройства: запретить пользователям устанавливать драйверы принтера

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.4.2
        CIS WS2022 2.3.4.2
Не существует или = 1
(Registry) (Реестр)
Предупреждение
Разрешает установку драйвера печати только администраторам
(AZ_WIN_202202)
Описание. Этот параметр политики определяет, могут ли пользователи, которые не являются администраторами устанавливать драйверы печати в системе. Рекомендуемое состояние для этого параметра — Enabled. Примечание. 10 августа 2021 г. корпорация Майкрософт объявила об изменении поведения по умолчанию "Точка и печать", которое изменяет поведение установки драйвера точки и печати по умолчанию, чтобы требовать прав администратора. Это описано в разделе KB5005652 Управление новыми версиями драйвера point and Print по умолчанию (CVE-2021-34481).
Путь к ключу: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\Руководство по безопасности MS\Ограничение установки драйвера печати администраторам
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.3.5
        CIS WS2019 18.3.5
= 1
(Registry) (Реестр)
Предупреждение

Параметры безопасности — член домена

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Убедиться, что для параметра "Член домена: цифровое шифрование или подпись данных безопасного канала (всегда)" установлено значение "Включено"
(CCE-36142-8)
Описание. Этот параметр политики определяет, должен ли быть подписан или зашифрован весь трафик безопасного канала, инициированный членом домена. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\член домена: цифровое шифрование или подпись данных безопасного канала (всегда)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.6.1
        CIS WS2019 2.3.6.1
Не существует или = 1
(Registry) (Реестр)
Критически важно
Убедиться, что для параметра "Член домена: шифрование данных безопасного канала (если возможно)" установлено значение "Включено"
(CCE-37130-2)
Описание. Этот параметр политики определяет, должен ли член домена пытаться согласовать шифрование для всего трафика безопасного канала, который он инициирует. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\член домена: цифровое шифрование данных безопасного канала (когда это возможно)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.6.2
        CIS WS2019 2.3.6.2
Не существует или = 1
(Registry) (Реестр)
Критически важно
Убедиться, что для параметра "Член домена: подпись данных безопасного канала (если возможно)" установлено значение "Включено"
(CCE-37222-7)
Описание:

Этот параметр политики определяет, должен ли член домена пытаться согласовать, должен ли весь инициированный им трафик безопасного канала иметь цифровую подпись. Цифровые подписи защищают трафик от изменения любым пользователем, который записывает данные по мере прохождения сети. Рекомендуемое состояние для этого параметра — "Enabled" ("Включено").


Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Digitally sign secure channel data (по возможности)

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93551
        STIG WS2016 V-73637
        CIS WS2019 2.3.6.3
        CIS WS2022 2.3.6.3
Не существует или = 1
(Registry) (Реестр)
Критически важно
Убедиться, что для параметра "Член домена: отключение изменений пароля учетной записи компьютера" установлено значение "Отключено"
(CCE-37508-9)
Описание:

Этот параметр политики определяет, может ли член домена периодически изменять пароль учетной записи компьютера. Компьютеры, которые не могут автоматически изменять пароли учетных записей, потенциально уязвимы, так как злоумышленник может определить пароль для учетной записи домена системы. Рекомендуемое состояние для этого параметра — "Disabled" ("Отключено").


Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\член домена: отключение изменений пароля учетной записи компьютера

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93273
        STIG WS2016 V-73631
        CIS WS2019 2.3.6.4
        CIS WS2022 2.3.6.4
Не существует или = 0
(Registry) (Реестр)
Критически важно
Убедиться, что "Член домена: Максимальный срок действия пароля учетной записи компьютера" имеет значение "30 или меньше дней, но не 0"
(CCE-37431-4)
Описание: этот параметр политики определяет максимальный срок действия для пароля учетной записи компьютера. По умолчанию члены домена автоматически изменяют свои пароли домена каждые 30 дней. Если увеличить этот интервал значительно, чтобы компьютеры больше не изменяли свои пароли, у злоумышленника будет больше времени, чтобы провести атаку методом подбора на одну из учетных записей компьютеров. Рекомендуемое состояние для этого параметра — 30 or fewer days, but not 0. Примечание: значение 0 не соответствует тесту производительности, так как оно отключает максимальный срок действия пароля.
Путь к ключу: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 30 or fewer days, but not 0пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\член домена: максимальный возраст пароля учетной записи компьютера

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93285
        STIG WS2016 V-73641
        CIS WS2019 2.3.6.5
        CIS WS2022 2.3.6.5
1–30
(Registry) (Реестр)
Критически важно
Убедиться, что для параметра "Член домена: требовать надежный ключ сеанса (Windows 2000 или выше)" установлено значение "Включено"
(CCE-37614-5)
Описание. Если этот параметр политики включен, безопасный канал можно установить только с контроллерами домена, которые могут шифровать данные безопасного канала с помощью строгого (128-разрядного) ключа сеанса. Чтобы включить этот параметр политики, все контроллеры домена в домене должны иметь возможность шифровать данные безопасного канала с помощью строгого ключа, что означает, что все контроллеры домена должны работать под управлением Microsoft Windows 2000 или более поздней версии. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\член домена: требовать надежный (Windows 2000 или более поздней версии) сеансовый ключ
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.6.6
        CIS WS2019 2.3.6.6
Не существует или = 1
(Registry) (Реестр)
Критически важно

Параметры безопасности — Интерактивный вход

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Кэширование учетных данных входа должно быть ограничено
(AZ-WIN-73651)
Описание. Этот параметр политики определяет, может ли пользователь войти в домен Windows с помощью сведений об кэшированных учетных записях. Сведения о входе для учетных записей домена можно кэшировать локально, чтобы пользователи могли войти в систему, даже если контроллер домена не удается связаться. Этот параметр политики определяет количество уникальных пользователей, для которых данные входа кэшируются локально. Если для этого значения задано значение 0, функция кэша входа отключена. Злоумышленник, который может получить доступ к файловой системе сервера, может найти эту кэшированную информацию и использовать атаку методом подбора для определения паролей пользователей. Рекомендуемое состояние для этого параметра — 4 or fewer logon(s).
Путь к ключу: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Интерактивный вход: количество предыдущих входов в кэш (если контроллер домена недоступен)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.7.6
        CIS WS2019 2.3.7.6
1–4
(Registry) (Реестр)
Информационный
Интерактивный вход в систему: не отображать последнее имя пользователя.
(CCE-36056-0)
Описание: этот параметр политики определяет, будет ли имя учетной записи последнего пользователя для входа на клиентские компьютеры в вашей организации отображаться на соответствующем экране входа в Windows каждого компьютера. Включите этот параметр политики, чтобы предотвратить возможность злоумышленникам собирать имена учетных записей визуально с экрана настольных компьютеров или ноутбуков вашей организации. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Интерактивный вход: не отображайте последний вход
Примечание. В более ранних версиях Microsoft Windows этот параметр был назван интерактивным входом: не отображайте фамилию пользователя, но она была переименована начиная с Windows Server 2019.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.7.2
        CIS WS2022 2.3.7.2
= 1
(Registry) (Реестр)
Критически важно
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL
(CCE-37637-6)
Описание: этот параметр политики определяет, должны ли пользователи нажать клавиши CTRL + ALT + DEL перед входом в систему. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Интерактивный вход: не требуется CTRL+ALT+DEL

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.7.1
        CIS WS2022 2.3.7.1
Не существует или = 0
(Registry) (Реестр)
Критически важно
Интерактивный вход в систему: предел простоя компьютера
(AZ-WIN-73645)
Описание: Windows замечает отсутствие активности сеанса входа в систему и если количество неактивного времени превышает ограничение бездействия, то средство сохранения экрана будет запускаться, блокировка сеанса. Рекомендуемое состояние для этого параметра — 900 or fewer second(s), but not 0. Примечание. Значение 0 не соответствует тесту, так как оно отключает ограничение бездействия компьютера.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Интерактивный вход: ограничение бездействия компьютера
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.7.3
        CIS WS2019 2.3.7.3
1–900
(Registry) (Реестр)
Внимание
Интерактивный вход в систему: текст сообщения для пользователей при входе в систему
(AZ-WIN-202253)
Описание. Этот параметр политики задает текстовое сообщение, отображаемое пользователям при входе. Настройте этот параметр таким образом, чтобы он соответствовал требованиям к безопасности и эксплуатации вашей организации.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Интерактивный вход: текст сообщения для пользователей, пытающихся войти в систему
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.7.4
        CIS WS2019 2.3.7.4
!=
(Registry) (Реестр)
Предупреждение
Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему
(AZ-WIN-202254)
Описание. Этот параметр политики задает текст, отображаемый в заголовке окна, который пользователи видят при входе в систему. Настройте этот параметр таким образом, чтобы он соответствовал требованиям к безопасности и эксплуатации вашей организации.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Интерактивный вход: название сообщения для пользователей, пытающихся войти в систему
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.7.5
        CIS WS2019 2.3.7.5
!=
(Registry) (Реестр)
Предупреждение
Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее.
(CCE-10930-6)
Описание. Этот параметр политики определяет, насколько далеко заранее пользователи предупреждают о истечении срока действия пароля. Рекомендуется настроить этот параметр политики по крайней мере на 5 дней, но не более 14 дней, чтобы достаточно предупредить пользователей о истечении срока действия паролей. Рекомендуемое состояние для этого параметра — between 5 and 14 days.
Путь к ключу: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Интерактивный вход: запрос пользователя на изменение пароля до истечения срока действия
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.7.7
        CIS WS2019 2.3.7.7
5–14
(Registry) (Реестр)
Информационный

Параметры безопасности — Клиент для сетей Майкрософт

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Клиент сети Microsoft: использовать цифровую подпись (всегда)
(CCE-36325-9)
Описание:

Этот параметр политики определяет, требуется ли подписывание пакетов SMB-компоненту клиента. Примечание. Если на компьютерах с ОС Windows Vista этот параметр политики включен и подключается к общим папкам файлов или печати на удаленных серверах, важно, чтобы параметр был синхронизирован с сопутствующим параметром Сервер для сетей Майкрософт: использовать цифровую подпись (всегда) на этих серверах. Дополнительные сведения об этих параметрах см. в разделе "Клиент и сервер сети Microsoft: Цифровая подпись (четыре связанных параметра)" Главы 5 в статье "Руководство по угрозам и контрмерам". Рекомендуемое состояние для этого параметра — "Enabled" ("Включено").


Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally signs communications (always)

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93555
        STIG WS2016 V-73653
        CIS WS2019 2.3.8.1
        CIS WS2022 2.3.8.1
= 1
(Registry) (Реестр)
Критически важно
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
(CCE-36269-9)
Описание: этот параметр безопасности определяет, пытается ли SMB-клиент согласовывать подписывание SMB-пакетов. Важно: включение этого параметра политики на клиентах SMB в сети делает их полностью эффективными для подписи пакетов со всеми клиентами и серверами в вашей среде. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally signs communications (если сервер согласен)

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93557
        STIG WS2016 V-73655
        CIS WS2019 2.3.8.2
        CIS WS2022 2.3.8.2
Не существует или = 1
(Registry) (Реестр)
Критически важно
Клиент сети Microsoft: отправлять незашифрованный пароль сторонним SMB-серверам
(CCE-37863-8)
Описание:

Этот параметр политики определяет, будет ли перенаправитель SMB отсылать пароли в формате обычного текста во время аутентификации на сторонние SMB-серверы, которые не поддерживают шифрование паролей. Рекомендуется отключить этот параметр политики, если для его включения нет веских экономических оснований. Если этот параметр политики включен, незашифрованные пароли будут разрешены по сети. Рекомендуемое состояние для этого параметра — "Disabled" ("Отключено").


Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Клиент сети Майкрософт: отправка незашифрованного пароля на сторонние серверы SMB

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93469
        STIG WS2016 V-73657
        CIS WS2019 2.3.8.3
        CIS WS2022 2.3.8.3
Не существует или = 0
(Registry) (Реестр)
Критически важно
Сервер сети Microsoft: время бездействия до приостановки сеанса
(CCE-38046-9)
Описание: этот параметр политики позволяет указать объем непрерывного времени простоя, который должен пройти в течение сеанса SMB, прежде чем сеанс будет приостановлен из-за отсутствия активности. Администраторы могут использовать этот параметр политики, чтобы контролировать, когда компьютер приостанавливает неактивный сеанс SMB. Если клиентская активность возобновляется, сеанс автоматически запускается вновь. Значение 0 позволяет сохранять сеансы в течение неограниченного времени. Максимальное значение — 99999, что превышает 69 дней; по сути, это значение отключает параметр. Рекомендуемое состояние для этого параметра — 15 or fewer minute(s), but not 0.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 15 or fewer minute(s)пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой сервер Майкрософт: время простоя, необходимое перед приостановкой сеанса
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.9.1
В разделе 1-15
(Registry) (Реестр)
Критически важно
Сервер сети Microsoft: использовать цифровую подпись (всегда)
(CCE-37864-6)
Описание: этот параметр политики определяет, требуется ли подписывание пакетов SMB-компоненту сервера. Включите этот параметр политики в смешанной среде, чтобы не допустить использования подчиненными клиентами рабочей станции в качестве сетевого сервера. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally signs communications (always)

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93559
        STIG WS2016 V-73661
        CIS WS2019 2.3.9.2
        CIS WS2022 2.3.9.2
= 1
(Registry) (Реестр)
Критически важно
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)
(CCE-35988-5)
Описание: этот параметр политики определяет, будет ли сервер SMB согласовывать подписывание пакетов SMB с клиентами, которые его запрашивают. Если от клиента не поступает запросов, подключение будет разрешено без подписи, если параметр Microsoft Network Server: Цифровая подпись (всегда) не включен. Важно: включение этого параметра политики на клиентах SMB в сети делает их полностью эффективными для подписи пакетов со всеми клиентами и серверами в вашей среде. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой сервер Майкрософт: цифровой знак связи (если клиент согласен)

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93561
        STIG WS2016 V-73663
        CIS WS2019 2.3.9.3
        CIS WS2022 2.3.9.3
= 1
(Registry) (Реестр)
Критически важно
Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа
(CCE-37972-7)
Описание: этот параметр безопасности определяет, следует ли отключать пользователей, подключенных к локальному компьютеру, за пределами допустимых часов входа в учетную запись пользователя. Этот параметр влияет на компонент SMB. При включении данного параметра политики следует также включить настройку Сетевая безопасность: принудительный выход из системы при истечении времени ожидания входа (правило 2.3.11.6). Если ваша организация настроила время входа пользователей в систему, этот параметр политики необходим, чтобы обеспечить их эффективную работу. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой сервер Майкрософт: отключение клиентов при истечении срока действия часов входа

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.9.4
        CIS WS2022 2.3.9.4
Не существует или = 1
(Registry) (Реестр)
Критически важно
Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта
(CCE-10617-9)
Описание. Этот параметр политики управляет уровнем проверки компьютера с общими папками или принтерами (сервером), выполняющим имя субъекта-службы (SPN), предоставляемое клиентским компьютером при создании сеанса с помощью протокола SMB. Протокол блока сообщений сервера (SMB) предоставляет основу для обмена файлами и печати и других сетевых операций, таких как удаленное администрирование Windows. Протокол SMB поддерживает проверку имени субъекта-службы SMB в большом двоичном объекте проверки подлинности, предоставленном клиентом SMB, чтобы предотвратить атаки на серверы SMB, называемые атаками ретранслятора SMB. Этот параметр влияет на SMB1 и SMB2. Рекомендуемое состояние для этого параметра — Accept if provided by client. Настройка этого параметра Required from client также соответствует тесту. Примечание. С момента выпуска исправления безопасности MS KB3161561 этот параметр может вызвать значительные проблемы (например, проблемы с репликацией, проблемы с изменением групповой политики и синие экраны) на контроллерах домена при одновременном использовании с обеспечением защиты пути UNC (т. е. правило 18.5.14.1). Поэтому CIS рекомендует развернуть этот параметр на контроллерах домена.
Путь к ключу: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой сервер Microsoft: уровень проверки целевого имени субъекта-службы сервера
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.9.5
        CIS WS2019 2.3.9.5
= 1
(Registry) (Реестр)
Предупреждение

Параметры безопасности — Сервер для сетей Майкрософт

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Отключите сервер SMB версии 1
(AZ-WIN-00175)
Описание: отключение этого параметра отключает обработку протокола SMBv1 на стороне сервера. Рекомендовано: включение этого параметра включает обработку протокола SMBv1 на стороне сервера. По умолчанию: чтобы изменения этого параметра вступили в силу, потребуется перезагрузка. Дополнительные сведения см. в разделе https://support.microsoft.com/kb/2696547.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: неприменимо
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.3.3
Не существует или = 0
(Registry) (Реестр)
Критически важно

Параметры безопасности — Доступ к сети

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Учетные записи: переименование учетной записи администратора
(CCE-10976-9)
Описание. Встроенная учетная запись локального администратора — это известное имя учетной записи, на которую будут нацелены злоумышленники. Рекомендуется выбрать другое имя для этой учетной записи и избежать имен, обозначающих учетные записи административного или повышенного доступа. Не забудьте также изменить описание по умолчанию для локального администратора (с помощью консоли управления компьютером). В контроллерах домена, так как у них нет собственных локальных учетных записей, это правило относится к встроенной учетной записи администратора, которая была создана при первом создании домена.
Путь к ключу: [System Access]NewAdministratorName
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Учетные записи: переименование учетной записи администратора
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.3.1.5
        CIS WS2019 2.3.1.5
!= Администратор
(Policy) (Политика)
Предупреждение
Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями
(CCE-36316-8)
Описание: этот параметр политики управляет возможностью анонимных пользователей перечислять учетные записи в диспетчере учетных записей безопасности (SAM). Если этот параметр политики включен, пользователи с анонимными подключениями не смогут перечислять имена пользователей учетной записи домена в системах в вашей среде. Этот параметр политики также позволяет задать дополнительные ограничения для анонимных подключений. Рекомендуемое состояние для этого параметра — Enabled. Важно: эта политика не влияет на контроллеры домена.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Доступ etwork: не разрешать анонимное перечисление учетных записей SAM
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.10.2
Не существует или = 1
(Registry) (Реестр)
Критически важно
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями
(CCE-36077-6)
Описание: этот параметр политики управляет возможностью анонимных пользователей перечислять учетные записи SAM и общие папки. Если этот параметр политики включен, пользователи с анонимными подключениями не смогут перечислять имена пользователей учетной записи домена и имена общих папок в системах в вашей среде. Рекомендуемое состояние для этого параметра — Enabled. Важно: эта политика не влияет на контроллеры домена.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Доступ etwork: не разрешать анонимное перечисление учетных записей SAM и общих папок
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.10.3
= 1
(Registry) (Реестр)
Критически важно
Сетевой доступ: разрешать применение разрешений «Для всех» к анонимным пользователям
(CCE-36148-5)
Описание: этот параметр политики определяет, какие дополнительные разрешения назначаются для анонимных подключений к компьютеру. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой доступ: разрешить всем разрешения применяться к анонимным пользователям

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93293
        STIG WS2016 V-73673
        CIS WS2019 2.3.10.5
        CIS WS2022 2.3.10.5
Не существует или = 0
(Registry) (Реестр)
Критически важно
Сетевой доступ: удаленно доступные пути реестра
(CCE-37194-8)
Описание: этот параметр политики определяет, какие пути реестра будут доступны после ссылки на раздел WinReg для определения разрешений на доступ к путям. Важно: этот параметр не существует в Windows XP. В Windows XP имеется параметр с таким именем, но он называется "Сетевой доступ: пути реестра, доступные в удаленном режиме" в Windows Server 2003, Windows Vista и Windows Server 2008. Важно: при настройке этого параметра указывается список из одного или нескольких объектов. Разделителем, используемым при вводе списка, является перевод строки или возврат каретки. Таким образом необходимо ввести первый объект в списке, нажать кнопку Enter, ввести следующий объект, затем клавишу Enter еще раз и т. д. Значение параметра сохраняется в виде списка с разделителями-запятыми в шаблонах безопасности групповой политики. Оно также отображается в виде списка с разделителями-запятыми в области отображения редактора групповой политики и в результирующем наборе консоли политики. Он записывается в реестр как список с разделителями строкового канала в значение REG_MULTI_SZ.
Путь к ключу: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой доступ: удаленный доступ к реестру
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.10.8
Не существует или = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0
(Registry) (Реестр)
Критически важно
Сетевой доступ: пути к удаленному доступу к реестру и вложенные пути
(CCE-36347-3)
Описание: этот параметр политики определяет, какие пути реестра и подпапки будут доступны, когда приложение или процесс ссылается на ключ WinReg для определения разрешений на доступ. Примечание. В Windows XP этот параметр называется "Сетевой доступ: пути реестра, доступные в удаленном режиме", параметр с рассматриваем именем из Windows Vista, Windows Server 2008 и Windows Server 2003 не существует в Windows XP. Важно: при настройке этого параметра указывается список из одного или нескольких объектов. Разделителем, используемым при вводе списка, является перевод строки или возврат каретки. Таким образом необходимо ввести первый объект в списке, нажать кнопку Enter, ввести следующий объект, затем клавишу Enter еще раз и т. д. Значение параметра сохраняется в виде списка с разделителями-запятыми в шаблонах безопасности групповой политики. Оно также отображается в виде списка с разделителями-запятыми в области отображения редактора групповой политики и в результирующем наборе консоли политики. Он записывается в реестр как список с разделителями строкового канала в значение REG_MULTI_SZ.
Путь к ключу: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog

Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
etwork access: удаленные пути к реестру и вложенные пути

Если сервер содержит роль служб сертификатов Active Directory со службой ролей центра сертификации, приведенный выше список также должен включать: System\CurrentControlSet\Services\CertSvc.

Если сервер установлен компонент сервера WINS , приведенный выше список также должен включать:
'System\CurrentControlSet\Services\WINS'
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.10.9
Не существует или = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0
(Registry) (Реестр)
Критически важно
Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам
(CCE-36021-4)
Описание: если этот параметр политики включен, анонимный доступ к общим ресурсам и каналам с именами в параметрах Network access: Named pipes that can be accessed anonymously и Network access: Shares that can be accessed anonymously не будет ограничен. Этот параметр политики управляет доступом пустых сеансов к общим папкам на компьютерах, добавляя RestrictNullSessAccess со значением 1 в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters реестра. Это значение реестра включает или отключает доступ к общим папкам сессии null. Это необходимо чтобы определить, будет ли служба сервера ограничивать доступ клиентов, не прошедших проверку подлинности, к именованным ресурсам. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой доступ: ограничение анонимного доступа к именованным каналам и общим папкам

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93539
        STIG WS2016 V-73675
        CIS WS2019 2.3.10.10
        CIS WS2022 2.3.10.10
Не существует или = 1
(Registry) (Реестр)
Критически важно
Доступ к сети: ограничение на совершение удаленных вызовов SAM для клиентов
(AZ-WIN-00142)
Описание: этот параметр политики позволяет ограничить удаленные RPC подключения к SAM. Если не выбрано, будет использоваться дескриптор безопасности по умолчанию. Эта политика поддерживается как минимум на Windows Server 2016.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM
ОС: WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators: Remote Access: Allowпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
etwork access: ограничить клиенты, которым разрешено выполнять удаленные вызовы к SAM
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.10.11
Не существует или = O:BAG:BAD:(A;;RC;;;BA)
(Registry) (Реестр)
Критически важно
Сетевой доступ: разрешать анонимный доступ к общим ресурсам
(CCE-38095-6)
Описание: этот параметр политики определяет, какие сетевые папки могут быть доступны анонимным пользователям. Конфигурация по умолчанию для этого параметра политики не оказывает практически никакого эффекта, так как все пользователи должны пройти проверку подлинности, прежде чем смогут получить доступ к общим ресурсам на сервере. Важно: добавление других общих папок к этому параметру групповой политики может быть очень опасным. Любой сетевой пользователь может получить доступ к любым перечисленным общим папкам, что может раскрыть или повредить конфиденциальные данные. Важно: при настройке этого параметра указывается список из одного или нескольких объектов. Разделителем, используемым при вводе списка, является перевод строки или возврат каретки. Таким образом необходимо ввести первый объект в списке, нажать кнопку Enter, ввести следующий объект, затем клавишу Enter еще раз и т. д. Значение параметра сохраняется в виде списка с разделителями-запятыми в шаблонах безопасности групповой политики. Оно также отображается в виде списка с разделителями-запятыми в области отображения редактора групповой политики и в результирующем наборе консоли политики. Он записывается в реестр как список с разделителями строкового канала в значение REG_MULTI_SZ.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь <blank> пользовательского интерфейса (т. е. нет):
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
etwork access: общие папки, к которым можно получить анонимный доступ
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.10.12
Не существует или =
(Registry) (Реестр)
Критически важно
Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей
(CCE-37623-6)
Описание: этот параметр политики определяет способ проверки подлинности при входе в сеть, использующую локальные учетные записи. Вариант "Классический" обеспечивает точный контроль доступа к ресурсам, включая возможность назначать различные типы доступа разным пользователям для одного и того же ресурса. Вариант "Гостевой" позволяет обрабатывать всех пользователей одинаково. В этом контексте все пользователи проходят проверку подлинности как гость только для получения одного и того же уровня доступа к определенному ресурсу. Рекомендуемое состояние для этого параметра — Classic - local users authenticate as themselves. Важно: этот параметр не влияет на интерактивный вход в систему, который выполняется удаленно с помощью таких служб, как Telnet или службы удаленных рабочих столов (ранее именуемых службами терминалов).
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Classic - local users authenticate as themselvesпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой доступ: общий доступ и модель безопасности для локальных учетных записей

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.10.13
        CIS WS2022 2.3.10.13
Не существует или = 0
(Registry) (Реестр)
Критически важно

Параметры безопасности — Сетевая безопасность

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM
(CCE-38341-4)
Описание: если этот параметр политики включен, локальные системные службы, обычно использующие Negotiate, будут использовать удостоверение компьютера при выборе режима проверки подлинности NTLM. Эта политика поддерживается как минимум на Windows Server 7 или Windows Server 2008 R2.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId
ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Безопасность etwork: разрешить локальной системе использовать удостоверение компьютера для NTLM
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.11.1
= 1
(Registry) (Реестр)
Критически важно
Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы
(CCE-37035-3)
Описание: этот параметр политики определяет, разрешено ли NTLM возвращаться к сеансу null при использовании с LocalSystem. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Allow LocalSystem NULL sessionbackback

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93297
        STIG WS2016 V-73681
        CIS WS2019 2.3.11.2
        CIS WS2022 2.3.11.2
Не существует или = 0
(Registry) (Реестр)
Критически важно
Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру.
(CCE-38047-7)
Описание: этот параметр определяет, могут ли сетевые удостоверения проходить проверку подлинности на этом компьютере. Протокол PKU2U на основе шифрования открытого ключа, представленный в Windows 7 и Windows Server 2008 R2, реализован как поставщик поддержки безопасности (SSP). SSP обеспечивает одноранговую проверку подлинности, в частности, с помощью функции общего доступа к файлам и мультимедиа Windows 7, называемой домашней группой, которая разрешает совместное использование компьютеров, не входящих в домен. При использовании PKU2U в пакет проверки подлинности Negotiate было добавлено новое расширение Spnego.dll. В предыдущих версиях Windows для проверки подлинности Negotiate принимало решение о том, следует ли использовать Kerberos или NTLM. Расширение поставщика общих служб (SSP) для Negotiate, Negoexts.dll, которое рассматривается как протокол проверки подлинности Windows, поддерживает Microsoft SSP, включая PKU2U. Если компьютеры настроены для приема запросов проверки подлинности с помощью сетевых идентификаторов, Negoexts.dll вызывает поставщик общих служб PKU2U на компьютере, который используется для входа в систему. Поставщик общих служб PKU2U получает локальный сертификат и обменивается с ним политикой между одноранговыми компьютерами. При проверке на одноранговом компьютере сертификат в метаданных отправляется на одноранговый узел входа для проверки и связывает сертификат пользователя с маркером безопасности, а процесс входа в систему завершается. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевая безопасность: разрешить запросы проверки подлинности PKU2U на этот компьютер использовать сетевые удостоверения

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93299
        STIG WS2016 V-73683
        CIS WS2019 2.3.11.3
        CIS WS2022 2.3.11.3
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Сетевая безопасность: необходима настройка типов шифрования, разрешенных Kerberos
(CCE-37755-6)
Описание: этот параметр политики позволяет задать типы шифрования, которые разрешено будет использовать Kerberos. Эта политика поддерживается как минимум на Windows Server 7 или Windows Server 2008 R2.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевая безопасность: настройка типов шифрования, разрешенных для Kerberos
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.11.4
Не существует или = 2147483640
(Registry) (Реестр)
Критически важно
Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля
(CCE-36326-7)
Описание: этот параметр политики определяет, будет ли сохраняться значение хэша LAN Manager (LM) для нового пароля после смены пароля. Хэш LM сравнительно слаб и подвержен атакам в отличие от криптографически надежного хэша Microsoft Windows NT. Так как хэши LM хранятся на локальном компьютере в базе данных безопасности, пароли могут быть легко скомпрометированы при атаке базы данных. Важно: более старые операционные системы и некоторые сторонние приложения могут завершаться ошибкой, если этот параметр политики включен. Кроме того, обратите внимание, что после включения этого параметра пароль необходимо изменить во всех учетных записях, чтобы получить необходимый эффект. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевая безопасность: не хранить хэш-значение LAN Manager при следующем изменении пароля

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93467
        STIG WS2016 V-73687
        CIS WS2019 2.3.11.5
        CIS WS2022 2.3.11.5
Не существует или = 1
(Registry) (Реестр)
Критически важно
Сетевая безопасность: уровень проверки подлинности LAN Manager
(CCE-36173-3)
Описание: диспетчер LAN (LM) — это семейство раннего программного обеспечения клиента или сервера корпорации Майкрософт, которое позволяет пользователям связывать персональные компьютеры в одной сети. Его сетевые возможности включают в себя прозрачный общий доступ к файлам и принтерам, пользовательские функции безопасности и средства администрирования сети. В доменах Active Directory протокол Kerberos является протоколом проверки подлинности по умолчанию. Однако если протокол Kerberos не согласован по какой-либо причине, Active Directory будет использовать LM, NTLM или NTLMv2. Проверка подлинности LAN Manager включает LM, Варианты NTLM и NTLM версии 2 (NTLMv2) и протокол, используемый для проверки подлинности всех клиентов Windows при выполнении следующих операций: — присоединение домена — проверка подлинности между лесами Active Directory — проверка подлинности в доменах нижнего уровня — проверка подлинности на компьютерах, не работающих под управлением Windows 2000, Windows Server 2003 или Windows XP) — проверка подлинности на компьютерах, которые не находятся в домене. Возможные значения сетевой безопасности: Параметры уровня проверки подлинности LAN Manager: — Отправка ответов LM и NTLM . Отправка LM и NTLM — использование безопасности сеанса NTLMv2 при согласовании — отправка ответов NTLM только — отправка ответов NTLMv2 только — отправка N Ответы только в формате TLMv2\ отказ от LM. Отправка ответов NTLMv2 only\refuse LM и NTLM — не определена сетевая безопасность: параметр уровня проверки подлинности LAN Manager определяет, какой протокол проверки подлинности вызова и ответа используется для входа в сеть. Этот выбор влияет на уровень протокола проверки подлинности, который используется клиентами, уровень безопасности сеанса, согласованный с компьютерами, и уровень проверки подлинности, принимаемый серверами следующим образом: — Отправлять ответы LM и NTLM. Клиенты используют проверку подлинности LM и NTLM и никогда не используют сеансовую безопасность NTLM версии 2. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Отправка LM и NTLM — используйте безопасность сеанса NTLMv2 при согласовании. Клиенты используют проверку подлинности LM и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Отправлять только ответы NTLM. Клиенты используют только проверку подлинности NTLM и сеансовую безопасность NTLMv2 если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Отправлять только ответы NTLMv2. Клиенты используют только проверку подлинности NTLMv2, а также используют сеансовую безопасность NTLM v2 если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять только ответы NTLMv2 и отказывать LM. Клиенты используют только проверку подлинности NTLMv2, а также используют сеансовую безопасность NTLM v2 если сервер ее поддерживает. Контроллеры домена отказывают LM (принимают только проверку подлинности NTLM и NTLMv2). Отправлять только ответы NTLMv2 и отказывать LM и NTLM. Клиенты используют только проверку подлинности NTLMv2, а также используют сеансовую безопасность NTLM v2 если сервер ее поддерживает. Контроллеры домена отказываются от LM и NTLM (принимают только проверку подлинности NTLMv2). Эти параметры соответствуют уровням, описанным в других документах Майкрософт следующим образом: — Level 0 — отправка ответов LM и NTLM; никогда не использовать сеансовую безопасность NTLMv2. Клиенты используют проверку подлинности LM и NTLM и никогда не используют сеансовую безопасность NTLM версии 2. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Level 1 — использовать сеансовую безопасность NTLMv2 только при согласовании. Клиенты используют проверку подлинности LM и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Level 2 — отправлять только ответы NTLM. Клиенты используют только проверку подлинности NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Level 3 — отправлять только ответы NTLMv2. Клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLM v2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Level 4 — отклонять ответы LM на контроллерах домена. Клиенты используют только проверку подлинности NTLM, а также сеансовую безопасность NTLM v2, если сервер ее поддерживает. Контроллеры домена отказывают проверку подлинности LM, то есть принимают NTLM и NTLMv2. — Level 5 — контроллеры домена отказывают LM и NTLM (принимается только NTLMv2). Клиенты используют только проверку подлинности NTLMv2, а также используют сеансовую безопасность NTLM v2 если сервер ее поддерживает. Контроллеры домена отказывают проверку подлинности NTLM и LM (принимаются только NTLMv2).
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: "Отправить только ответ NTLMv2. Отказ от LM и NTLM':
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Безопасность etwork: уровень проверки подлинности LAN Manager
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.11.7
= 5
(Registry) (Реестр)
Критически важно
Сетевая безопасность: требование цифровой подписи для LDAP-клиента
(CCE-36858-9)
Описание: этот параметр политики определяет уровень подписи данных, запрашиваемый от имени клиентов, которые выдают запросы на привязку LDAP. Важно: этот параметр политики не влияет на простую привязку LDAP (ldap_simple_bind) или простую привязку LDAP через SSL (ldap_simple_bind_s). Ни один из клиентов Microsoft LDAP, которые входят в состав Windows XP Professional, не использует ldap_simple_bind или ldap_simple_bind_s для взаимодействия с контроллером домена. Рекомендуемое состояние для этого параметра — Negotiate signing. Настройка этого параметра в значение Require signing также соответствует тесту производительности.
Путь к ключу: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Negotiate signing пользовательского интерфейса (настройка Require signing также соответствует эталону):
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевая безопасность: требования к подписи клиента LDAP

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93303
        STIG WS2016 V-73693
        CIS WS2019 2.3.11.8
        CIS WS2022 2.3.11.8
Не существует или = 1
(Registry) (Реестр)
Критически важно
Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLMSSP (включая безопасный RPC)
(CCE-37553-5)
Описание: указывает, какие действия разрешены клиентами для приложений, использующих поставщик поддержки безопасности (SSP) NTLM. Интерфейс поставщика поддержки безопасности (SSPI) используется приложениями, которым требуются службы проверки подлинности. Этот параметр не изменяет способ работы последовательности аутентификации, а требует определенного поведения в приложениях, использующих SSPI. Рекомендуемое состояние для этого параметра — Require NTLMv2 session security, Require 128-bit encryption. Важно: эти значения зависят от значения параметра безопасности "Безопасность сети: уровень проверки подлинности LAN Manager".
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Require NTLMv2 session security, Require 128-bit encryptionпользовательского интерфейса: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевая безопасность: минимальная безопасность сеанса для клиентов NTLM SSP (включая безопасные клиенты RPC)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.11.9
= 537395200
(Registry) (Реестр)
Критически важно
Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLMSSP (включая безопасный RPC)
(CCE-37835-6)
Описание: эта настройка политики указывает, какие действия разрешены серверам для приложений, использующих поставщик поддержки безопасности (SSP) NTLM. Интерфейс поставщика поддержки безопасности (SSPI) используется приложениями, которым требуются службы проверки подлинности. Этот параметр не изменяет способ работы последовательности аутентификации, а требует определенного поведения в приложениях, использующих SSPI. Рекомендуемое состояние для этого параметра — Require NTLMv2 session security, Require 128-bit encryption. Важно: эти значения зависят от значения параметра безопасности "Безопасность сети: уровень проверки подлинности LAN Manager".
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Настройка значения политики для серверов конфигурации компьютера\Параметры windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевая безопасность: минимальная безопасность сеансов для серверов на основе NTLM SSP (включая безопасный RPC) для требования безопасности сеанса NTLMv2 и требуется 128-разрядное шифрование (все выбранные параметры).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.11.10
= 537395200
(Registry) (Реестр)
Критически важно

Параметры безопасности — Завершение работы

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Завершение работы: разрешить завершение работы системы без выполнения входа в систему
(CCE-36788-8)
Описание: этот параметр политики определяет, можно ли завершить работу компьютера, если пользователь не вошел в систему. Если этот параметр политики включен, команда "Завершение работы" доступна на экране входа в систему Windows. Рекомендуется отключить этот параметр политики, чтобы ограничить возможность выключения компьютера для пользователей с учетными данными в системе. Рекомендуемое состояние для этого параметра — Disabled. Важно: в Server 2008 R2 и более ранних версиях этот параметр не влиял на сеансы удаленного рабочего стола (RDP) и службы терминалов, он затрагивал только локальную консоль. Однако корпорация Майкрософт изменила его поведение в Windows Server 2012 (не R2) и более поздних версиях, где если задано значение Enabled ("Включено"), сеансам RDP также разрешено завершать работу или перезапускать сервер.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Завершение работы: разрешить завершение работы системы без необходимости входа в систему

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.13.1
        CIS WS2022 2.3.13.1
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Завершение работы: очистка файла подкачки виртуальной памяти
(AZ-WIN-00181)
Описание: этот параметр политики определяет, следует ли очищать файл подкачки виртуальной памяти при завершении работы системы. Если этот параметр политики включен, системный файл подкачки будет очищаться каждый раз, когда система завершит работу правильно. Если включить этот параметр безопасности, то при отключении режима гибернации на портативном компьютере файл гибернации (Hiberfil.sys) будет обнулен. Завершение работы и перезагрузка компьютера будет занимать больше времени, и это будет особенно заметно на компьютерах с большими файлами подкачки.
Путь к ключу: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики: настройка значения политики для конфигурации компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Завершение работы: очистка файла страниц виртуальной памяти в Disabled.
Сопоставления стандартов соответствия:
Не существует или = 0
(Registry) (Реестр)
Критически важно

Параметры безопасности — системная криптография

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Пользователям необходимо ввести пароль для доступа к закрытым ключам, хранящимся на компьютере.
(AZ-WIN-73699)
Описание. Если обнаружен закрытый ключ, злоумышленник может использовать ключ для проверки подлинности в качестве авторизованного пользователя и получить доступ к сетевой инфраструктуре. Краеугольным камнем PKI является закрытый ключ, используемый для шифрования или цифровой подписи информации. Если закрытый ключ украден, это приведет к компрометации проверки подлинности и отказу, полученной через PKI, так как злоумышленник может использовать закрытый ключ для цифрового подписывания документов и притворяться авторизованным пользователем. Владельцы цифрового сертификата и центра выдачи должны защищать компьютеры, устройства хранения или все, что они используют для хранения закрытых ключей.
Путь к ключу: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь к групповой политике: конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Системная криптография: принудительное защита надежных ключей для ключей пользователей, хранящихся на компьютере
Сопоставления стандартов соответствия:
= 2
(Registry) (Реестр)
Внимание
Windows Server необходимо настроить для использования совместимых с FIPS алгоритмов для шифрования, хэширования и подписывания.
(AZ-WIN-73701)
Описание. Этот параметр гарантирует, что система использует алгоритмы, совместимые с FIPS для шифрования, хэширования и подписывания. Алгоритмы, совместимые с FIPS, соответствуют определенным стандартам, установленным правительством США, и должны быть алгоритмами, используемыми для всех функций шифрования ОС.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
ОС: WS2016, WS2019, WS2022
Тип сервера: член домена
Путь групповой политики: конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Системная криптография: использование алгоритмов, совместимых с FIPS для шифрования, хэширования и подписи
Сопоставления стандартов соответствия:
= 1
(Registry) (Реестр)
Внимание

Параметры безопасности — Системные объекты

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Системные объекты: учитывать регистр для подсистем, отличных от Windows
(CCE-37885-1)
Описание: этот параметр политики определяет, применяется ли нечувствительность к регистру для всех подсистем. Подсистема Microsoft Win32 не учитывает регистр. Однако ядро поддерживает чувствительность к регистру для других подсистем, таких как портативный интерфейс операционной системы для UNIX (POSIX). Так как в Windows регистр не учитывается (но подсистема POSIX будет поддерживать чувствительность к регистру), несоблюдение этого параметра политики позволяет пользователю подсистемы POSIX создавать файл с тем же именем, что и другой файл, используя смешанный регистр для пометки. Такая ситуация может заблокировать доступ к этим файлам другим пользователем, использующим стандартные средства Win32, поскольку только один из файлов будет доступен. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Системные объекты: требовать нечувствительность регистра для подсистем, отличных от Windows

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.15.1
        CIS WS2022 2.3.15.1
Не существует или = 1
(Registry) (Реестр)
Предупреждение
Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок).
(CCE-37644-2)
Описание: этот параметр политики определяет стойкость списка управления доступом на уровне пользователей (DACL) по умолчанию для объектов. Active Directory поддерживает глобальный список общих системных ресурсов, таких как имена устройств DOS, мьютексы и семафоры. Таким образом, объекты можно размещать и совместно использовать в процессах. Каждый тип объекта создается с помощью списка DACL по умолчанию, который указывает, кто имеет доступ к объектам и какие разрешения предоставляются. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Настройка значения политики для конфигурации компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Системные объекты: укрепление разрешений по умолчанию внутренних системных объектов (например, символических ссылок) на Enabled
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.3.15.2
= 1
(Registry) (Реестр)
Критически важно

Параметры безопасности — Параметры системы

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ.
(AZ-WIN-00155)
Описание: этот параметр политики определяет, будут ли обработаны цифровые сертификаты, если включены политики ограниченного использования программ и пользователь или процесс пытается запустить программное обеспечение с расширением имени файла .exe. Он включает или отключает правила сертификатов (тип правила для политик ограниченного использования программ). С помощью политик ограниченного использования программ можно создать правило сертификата, которое разрешает или запрещает выполнение программного обеспечения, подписанного с помощью Authenticode®, на основе цифрового сертификата, связанного с программным обеспечением. Чтобы правила сертификатов вступили в силу в политиках ограниченного использования программ, необходимо включить этот параметр политики.
Путь к ключу: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Системные параметры: использование правил сертификатов в исполняемых файлах Windows для политик ограничений программного обеспечения
Сопоставления стандартов соответствия:
= 1
(Registry) (Реестр)
Предупреждение

Параметры безопасности — Контроль учетных записей пользователей

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора
(CCE-36494-3)
Описание: этот параметр политики управляет поведением режима одобрения администратором встроенной учетной записи администратора. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Управление учетными записями пользователей: режим утверждения администратора для встроенной учетной записи администратора

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93431
        STIG WS2016 V-73707
        CIS WS2019 2.3.17.1
        CIS WS2022 2.3.17.1
= 1
(Registry) (Реестр)
Критически важно
Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол
(CCE-36863-9)
Описание: этот параметр политики определяет, могут ли UIAccess-приложения (UIA-программы) автоматически отключать безопасный рабочий стол для запросов на повышение прав, используемых обычным пользователем. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола
Сопоставления стандартов соответствия:
= 0
(Registry) (Реестр)
Критически важно
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором
(CCE-37029-6)
Описание: этот параметр политики управляет поведением запроса на повышение прав службы контроля учетных записей для администраторов. Рекомендуемое состояние для этого параметра — Prompt for consent on the secure desktop.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Prompt for consent on the secure desktopпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: поведение запроса на повышение прав администраторов в режиме утверждения администратора

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93523
        STIG WS2016 V-73711
        CIS WS2019 2.3.17.2
        CIS WS2022 2.3.17.2
= 2
(Registry) (Реестр)
Критически важно
Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей
(CCE-36864-7)
Описание: этот параметр политики управляет поведением запроса на повышение прав службы контроля учетных записей для пользователей. Рекомендуемое состояние для этого параметра — Automatically deny elevation requests.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: Automatically deny elevation requests:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: поведение запроса на повышение прав для стандартных пользователей

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93433
        STIG WS2016 V-73713
        CIS WS2019 2.3.17.3
        CIS WS2022 2.3.17.3
= 0
(Registry) (Реестр)
Критически важно
Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав
(CCE-36533-8)
Описание: этот параметр политики управляет поведением обнаружения установки приложения для компьютера. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Управление учетными записями пользователей: обнаружение установок приложений и запрос на повышение прав

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93525
        STIG WS2016 V-73715
        CIS WS2019 2.3.17.4
        CIS WS2022 2.3.17.4
= 1
(Registry) (Реестр)
Критически важно
Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах
(CCE-37057-7)
Описание: этот параметр политики определяет, должны ли приложения, запрашивающие выполнение с уровнем целостности на уровне пользователя (UIAccess), находиться в безопасном месте в файловой системе. Безопасными расположениями являются следующие: — …\Program Files\, включая вложенные папки — …\Windows\system32\ - …\Program Files (x86)\, в том числе вложенные папки для 64-разрядных версий Windows Важно: Windows применяет проверку подписи инфраструктуры открытых ключей (PKI) для любого интерактивного приложения, которое запрашивает запуск с уровнем целостности UIAccess независимо от состояния этого параметра безопасности. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Управление учетными записями пользователей: только повышение уровня приложений UIAccess, установленных в безопасных расположениях

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93527
        STIG WS2016 V-73717
        CIS WS2019 2.3.17.5
        CIS WS2022 2.3.17.5
= 1
(Registry) (Реестр)
Критически важно
Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором
(CCE-36869-6)
Описание: этот параметр политики управляет поведением всех параметров политики контроля учетных записей (UAC) для компьютера. Если вы измените значение этого параметра политики, будет необходимо перезагрузить компьютер. Рекомендуемое состояние для этого параметра — Enabled. Важно: если этот параметр политики будет отключен, центр безопасности выдаст уведомление о том, что общий уровень безопасности операционной системы понизился.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Управление учетными записями пользователей: запуск всех администраторов в режиме утверждения администратора

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93435
        STIG WS2016 V-73719
        CIS WS2019 2.3.17.6
        CIS WS2022 2.3.17.6
= 1
(Registry) (Реестр)
Критически важно
Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав
(CCE-36866-2)
Описание: этот параметр политики определяет, будет ли запрос на повышение прав отображаться на рабочем столе интерактивного пользователя или же на безопасном рабочем столе. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: переключение на безопасный рабочий стол при появлении запроса на повышение прав

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93521
        STIG WS2016 V-73709
        CIS WS2019 2.3.17.7
        CIS WS2022 2.3.17.7
= 1
(Registry) (Реестр)
Критически важно
Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя
(CCE-37064-3)
Описание: этот параметр политики определяет перенаправление завершившихся сбоем операций записи, выполняемых приложениями, в определенные расположения в реестре и файловой системе. Этот параметр политики позволяет уменьшить опасность для приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%, %Windir%\system32 или HKEY_LOCAL_MACHINE\Software. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\Local Policies\Security Options\User Account Control: Virtualize file and registry writes to-user locations

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93529
        STIG WS2016 V-73721
        CIS WS2019 2.3.17.8
        CIS WS2022 2.3.17.8
= 1
(Registry) (Реестр)
Критически важно

Параметры безопасности — Политики учетных записей

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Порог блокировки учетной записи
(AZ-WIN-73311)
Описание. Этот параметр политики определяет количество неудачных попыток входа перед блокировкой учетной записи. Установка этой политики 0 не соответствует тесту, так как это делается, отключает порог блокировки учетной записи. Рекомендуемое состояние для этого параметра — 5 or fewer invalid logon attempt(s), but not 0. Примечание. Параметры политики паролей (раздел 1.1) и параметры политики блокировки учетных записей (раздел 1.2) должны применяться с помощью групповой политики домена по умолчанию, чтобы глобально влиять на учетные записи пользователей домена в качестве их поведения по умолчанию. Если эти параметры настроены в другом объекте групповой политики, они будут влиять только на учетные записи локальных пользователей на компьютерах, получающих объект групповой политики. Однако пользовательские исключения для политики паролей по умолчанию и правил политики блокировки учетных записей для определенных пользователей домена и (или) групп можно определить с помощью объектов параметров пароля (PSOS), которые полностью отделены от групповой политики и наиболее легко настроены с помощью Центра администрирования Active Directory.
Путь к ключу: [System Access]LockoutBadCount
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Политики учетной записи\Порог блокировки учетной записи\Порог блокировки учетной записи
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 1.2.2
        CIS WS2019 1.2.2
1–3
(Policy) (Политика)
Внимание
Вести журнал паролей
(CCE-37166-6)
Описание:

Этот параметр политики определяет число продленных уникальных паролей, которые должны быть связаны с учетной записью пользователя, прежде чем можно будет повторно использовать старый пароль. Значение этого параметра политики должно составлять от 0 до 24 паролей. Значением по умолчанию для Windows Vista является 0 паролей, но в домене по умолчанию используется 24 пароля. Чтобы сохранить эффективность этого параметра политики, используйте параметр "Минимальный срок действия пароля", чтобы пользователи не могли повторно менять свой пароль. Рекомендуемое состояние для этого параметра: "24 или более паролей".


Путь к ключу: [System Access]PasswordHistorySize
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 24 or more password(s)пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Политики учетной записи\Политика паролей\Принудительное использование журнала паролей
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 1.1.1
>= 24
(Policy) (Политика)
Критически важно
Максимальный срок действия пароля
(CCE-37167-4)
Описание: этот параметр политики определяет время, в течение которого пользователь может использовать свой пароль до истечения срока его действия. Значения для этого параметра политики находятся в диапазоне от 0 до 999 дней. Если задать значение 0, срок действия пароля не истечет. Так как злоумышленники могут взломать пароли, частая смена пароля позволяет не давать злоумышленнику шансов использовать взломанный пароль. Тем не менее, чем меньше это значение, тем выше вероятность увеличения числа обращений в службу поддержки в связи с тем, что пользователям приходится изменять свои пароли, или в случаях, когда они забывают, какой пароль является текущим. Рекомендуемое состояние для этого параметра — 60 or fewer days, but not 0.
Путь к ключу: [System Access]MaximumPasswordAge
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 365 or fewer days, but not 0пользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Maximum password age
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 1.1.2
В диапазоне 1-70
(Policy) (Политика)
Критически важно
Минимальный срок действия пароля
(CCE-37073-4)
Описание: этот параметр политики определяет число дней, в течение которых необходимо использовать пароль, прежде чем его можно будет изменить. Диапазон значений для этого параметра политики составляет от 1 до 999 дней. (Также можно задать значение 0, чтобы разрешить немедленные изменения паролей.) Значение по умолчанию для этого параметра — 0 дней. Рекомендуемое состояние для этого параметра — 1 or more day(s).
Путь к ключу: [System Access]MaximumPasswordAge
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 1 or more day(s)пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Политики учетной записи\Политика паролей\Минимальный возраст пароля
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 1.1.3
>= 1
(Policy) (Политика)
Критически важно
Минимальная длина пароля
(CCE-36534-6)
Описание: данный параметр политики определяет минимальное количество знаков, которое должен содержать пароль для учетной записи пользователя. Существует множество различных теории о том, как определить наиболее подходящую длину пароля для Организации, но, возможно, "парольная фраза" является лучшим вариантом, чем просто "пароль". В Microsoft Windows 2000 или более поздней версии парольные фразы могут быть достаточно длинными и могут содержать пробелы. Таким образом, такая фраза, как "I want to drink a $5 milkshake" (Я хочу молочный коктейль за пять долларов) — это допустимая парольная фраза. Это значительно более надежный пароль, чем 8-или 10-символьная последовательность случайных чисел и букв, но при этом ее проще запомнить. Пользователей необходимо научить правильному выбору и обслуживанию паролей, особенно в отношении длины пароля. В корпоративных средах идеальным значением параметра минимальной длины пароля является 14 символов, однако следует изменить это значение в соответствии с бизнес-требованиями вашей организации. Рекомендуемое состояние для этого параметра — 14 or more character(s).
Путь к ключу: [System Access]MinimumPasswordLength
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 14 or more character(s)пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Политики учетной записи\Политика паролей\Минимальная длина пароля
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 1.1.4
>= 14
(Policy) (Политика)
Критически важно
Пароль должен соответствовать требованиям к сложности
(CCE-37063-5)
Описание: этот параметр политики проверяет все новые пароли, чтобы убедиться, что они соответствуют основным требованиям для надежных паролей. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям: — Не включать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа — Содержать не менее шести символов в длину — Содержать символы трех из следующих четырех категорий: — Символы английского алфавита в верхнем регистре (от A до Z) — Символы английского алфавита в нижнем регистре (от a до z) — Десятичные цифры (от 0 до 9) — Неалфавитные символы (например, !, $, #,%) — Любой символ общей категории Юникода, который не входит в предыдущие четыре категории. Эта пятая категория может быть выбрана в соответствии с регионом. Каждый дополнительный символ в пароле повышает его сложность экспоненциально. Например, буквенный пароль из семи символов в нижнем регистре будет иметь 267 (приблизительно 8 x 109 или 8 000 000 000) возможных комбинаций. При 1 000 000 попытках в секунду (возможности многих программ взлома пароля) взлом может занять только 133 минут. Буквенный пароль из семи символов с учетом регистра имеет уже 527 комбинаций. Буквенно-цифровой пароль с учетом регистра из семи символов без пунктуации имеет 627 комбинаций. Пароль из восьми символов имеет 268 (или 2 x 1011) возможных комбинаций. Хотя это может показаться большим числом, при 1 000 000 попыток в секунду для проверки всех возможных паролей потребуется всего 59 часов. Помните, что эта длительность будет значительно увеличивают паролями, в которых используются альтернативные символы и другие специальные символы клавиатуры, например "!" или "@". Правильное использование параметров пароля может привести к затруднению атаки методом подбора. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: [System Access]PasswordComplexity
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей\Пароль должен соответствовать требованиям сложности

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93459
        STIG WS2016 V-733233
        CIS WS2019 1.1.5
        CIS WS2022 1.1.5
= 1
(Policy) (Политика)
Критически важно
Время до сброса счетчика блокировки
(AZ-WIN-73309)
Описание. Этот параметр политики определяет продолжительность времени до сброса порогового значения блокировки учетной записи до нуля. Значение по умолчанию для этого параметра политики не определено. Если порог блокировки учетной записи определен, это время сброса должно быть меньше или равно значению параметра длительности блокировки учетной записи. Если этот параметр политики не задан по умолчанию или настроить значение в интервале, который слишком длинный, ваша среда может быть уязвима для атаки DoS. Злоумышленник может злонамеренно выполнить несколько неудачных попыток входа на всех пользователей в организации, что приведет к блокировке учетных записей. Если политика не была определена для сброса блокировки учетной записи, это будет ручная задача для администраторов. И наоборот, если для этого параметра политики настроено разумное значение времени, пользователи будут заблокированы в течение заданного периода до автоматической разблокировки всех учетных записей. Рекомендуемое состояние для этого параметра — 15 or more minute(s). Примечание. Параметры политики паролей (раздел 1.1) и параметры политики блокировки учетных записей (раздел 1.2) должны применяться с помощью групповой политики домена по умолчанию, чтобы глобально влиять на учетные записи пользователей домена в качестве их поведения по умолчанию. Если эти параметры настроены в другом объекте групповой политики, они будут влиять только на учетные записи локальных пользователей на компьютерах, получающих объект групповой политики. Однако пользовательские исключения для политики паролей по умолчанию и правил политики блокировки учетных записей для определенных пользователей домена и (или) групп можно определить с помощью объектов параметров пароля (PSOS), которые полностью отделены от групповой политики и наиболее легко настроены с помощью Центра администрирования Active Directory.
Путь к ключу: [System Access]ResetLockoutCount
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Политики учетной записи\Политика блокировки учетной записи\Сброс счетчика блокировки учетной записи после
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 1.2.3
        CIS WS2019 1.2.3
>= 15
(Policy) (Политика)
Внимание
Хранить пароли, используя обратимое шифрование
(CCE-36286-3)
Описание: этот параметр политики определяет, будет ли операционная система хранить пароли способом, использующим обратимое шифрование, которое обеспечивает поддержку протоколов приложений, для которых требуется знание пароля пользователя в целях проверки подлинности. Пароли, хранимые с обратимым шифрованием, по сути, совпадают с обычными версиями паролей. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: [System Access]ClearTextPassword
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Store password passwords using reversible encryption

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93465
        STIG WS2016 V-73325
        CIS WS2019 1.1.7
        CIS WS2022 1.1.7
= 0
(Policy) (Политика)
Критически важно

Параметры безопасности — Брандмауэр Windows

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Брандмауэр Windows: домен: разрешить ответ одноадресной рассылки
(AZ-WIN-00088)
Описание:

Этот параметр полезен, если необходимо контролировать, получает ли этот компьютер одноадресные ответы на исходящие многоадресные или широковещательные сообщения.  

Мы рекомендуем использовать этот параметр как "Да" для профилей частных и доменных профилей, присвоив этому параметру значение реестра значение 0.


Путь к ключу: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Настройка значения политики для конфигурации компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Windows (эта ссылка будет находиться в правой области)\Вкладка "Профиль домена"\Параметры (выберите "Настроить)\Юниадресный ответ", разрешить одноадресный ответ
Сопоставления стандартов соответствия:
= 0
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: Домен: состояние брандмауэра
(CCE-36062-8)
Описание: выберите пункт "Вкл." (рекомендуется), чтобы брандмауэр Windows в режиме повышенной безопасности использовал параметры этого профиля для фильтрации сетевого трафика. Если установлено значение "Выкл.", брандмауэр Windows в режиме повышенной безопасности не будет использовать правила брандмауэра и правила безопасности подключения для этого профиля.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь On (recommended)пользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Firewall state
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.1.1
= 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Домен: входящие подключения
(AZ-WIN-202252)
Описание. Этот параметр определяет поведение для входящих подключений, которые не соответствуют правилу брандмауэра для входящего трафика. Рекомендуемое состояние для этого параметра — Block (default).
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь к групповой политике: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Windows\Профиль домена\входящие подключения
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.1.2
        CIS WS2019 9.1.2
= 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Домен: Ведение журнала: запись удаленных пакетов
(AZ-WIN-202226)
Описание. Используйте этот параметр для регистрации, если брандмауэр Windows с расширенным безопасностью удаляет входящий пакет по какой-либо причине. Записи журнала о том, почему и когда пакет был удален. Найдите записи со словом DROP в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Ведение журнала удаленных пакетов
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.1.7
        CIS WS2019 9.1.7
= 1
(Registry) (Реестр)
Информационный
Брандмауэр Windows: Домен: Ведение журнала: регистрация успешных подключений
(AZ-WIN-202227)
Описание. Используйте этот параметр для регистрации, если брандмауэр Windows с расширенной безопасностью разрешает входящий трафик. Записи журнала о том, почему и когда было сформировано соединение. Найдите записи со словом ALLOW в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Ведение журнала успешное подключение
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.1.8
        CIS WS2019 9.1.8
= 1
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: Домен: Ведение журнала: название
(AZ-WIN-202224)
Описание. Используйте этот параметр, чтобы указать путь и имя файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — %SystemRoot%\System32\logfiles\firewall\domainfw.log.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Ведение журнала настройка\имя
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.1.5
        CIS WS2019 9.1.5
= %SystemRoot%\System32\logfiles\firewall\domainfw.log
(Registry) (Реестр)
Информационный
Брандмауэр Windows: Домен: Ведение журнала: ограничение размера (КБ)
(AZ-WIN-202225)
Описание. Используйте этот параметр, чтобы указать ограничение размера файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — 16,384 KB or greater.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь к групповой политике: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Настройка\Ограничение размера (КБ)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.1.6
        CIS WS2019 9.1.6
>= 16384
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: Домен: исходящие подключения
(CCE-36146-9)
Описание: задает поведение исходящих подключений, которые не соответствуют исходящему правилу брандмауэра. В Windows Vista поведением по умолчанию является разрешение подключений, если только правила брандмауэра не блокируют подключение.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Allow (default)пользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Outbound connections
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.1.3
= 0
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Домен: применение локальных правил безопасности подключений
(CCE-38040-2)
Описание:

Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила соединения, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики. Рекомендуемое состояние этого параметра — "Да", присвойте реестру значение 1.


Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Настройка значения политики для конфигурации компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами безопасности\Брандмауэр Windows (эта ссылка будет находиться на правой панели)\Вкладка "Профиль домена"\Параметры (выберите "Настройка)\Объединение правил безопасности локального подключения", "Применить правила безопасности локального подключения"
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.3.6
= 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Домен: применение локальных правил брандмауэра
(CCE-37860-4)
Описание:

Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила брандмауэра, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики.

Рекомендуемое состояние для этого параметра — "Да", присвойте параметру реестра значение 1.


Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами безопасности\Брандмауэр Windows (эта ссылка будет находиться в правой области)\Вкладка "Профиль домена"\Параметры (выберите "Настройка)\Объединение правил правил локального брандмауэра", "Применить локальные правила брандмауэра"
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.3.5
Не существует или = 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Домен: Параметры: отображение уведомления
(CCE-38041-0)
Описание:

При выборе этого параметра пользователю не отображается уведомление, когда программа блокирует получение входящих подключений. В серверной среде всплывающие окна бесполезны, поскольку пользователи не входят в систему, всплывающие окна не нужны и могут запутать администратора.  

Настройте этот параметр политики в значение "Нет", присвойте параметру реестра значение 1.  Брандмауэр Windows не отображает уведомление, когда программе заблокировано получение входящих подключений.


Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Settings Configuration\Display a notification
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.1.4
= 1
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: частный: разрешить ответ одноадресной рассылки
(AZ-WIN-00089)
Описание:

Этот параметр полезен, если необходимо контролировать, получает ли этот компьютер одноадресные ответы на исходящие многоадресные или широковещательные сообщения.  

Мы рекомендуем использовать этот параметр как "Да" для профилей частных и доменных профилей, присвоив этому параметру значение реестра значение 0.


Путь к ключу: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Windows (эта ссылка будет находиться в правой области)\Вкладка "Частный профиль"\Параметры (выберите "Настроить)\Юниадрес ответ", разрешить одноадресный ответ
Сопоставления стандартов соответствия:
= 0
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: Частный: состояние брандмауэра
(CCE-38239-0)
Описание: выберите пункт "Вкл." (рекомендуется), чтобы брандмауэр Windows в режиме повышенной безопасности использовал параметры этого профиля для фильтрации сетевого трафика. Если установлено значение "Выкл.", брандмауэр Windows в режиме повышенной безопасности не будет использовать правила брандмауэра и правила безопасности подключения для этого профиля.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь On (recommended)пользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Firewall state
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.2.1
= 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Частный: входящие подключения
(AZ-WIN-202228)
Описание. Этот параметр определяет поведение для входящих подключений, которые не соответствуют правилу брандмауэра для входящего трафика. Рекомендуемое состояние для этого параметра — Block (default).
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Private Profile\Inbound connections
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.2.2
        CIS WS2019 9.2.2
= 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Частный: Ведение журнала: запись удаленных пакетов
(AZ-WIN-202231)
Описание. Используйте этот параметр для регистрации, если брандмауэр Windows с расширенным безопасностью удаляет входящий пакет по какой-либо причине. Записи журнала о том, почему и когда пакет был удален. Найдите записи со словом DROP в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Windows\Частный профиль\Ведение журнала удаленных пакетов
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.2.7
        CIS WS2019 9.2.7
= 1
(Registry) (Реестр)
Информационный
Брандмауэр Windows: Частный: Ведение журнала: регистрация успешных подключений
(AZ-WIN-202232)
Описание. Используйте этот параметр для регистрации, если брандмауэр Windows с расширенной безопасностью разрешает входящий трафик. Записи журнала о том, почему и когда было сформировано соединение. Найдите записи со словом ALLOW в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Частный профиль\Настройка журнала\Успешные подключения
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.2.8
        CIS WS2019 9.2.8
= 1
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: Частный: Ведение журнала: название
(AZ-WIN-202229)
Описание. Используйте этот параметр, чтобы указать путь и имя файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — %SystemRoot%\System32\logfiles\firewall\privatefw.log.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Частный профиль\Ведение журнала настройка\имя
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.2.5
        CIS WS2019 9.2.5
= %SystemRoot%\System32\logfiles\firewall\privatefw.log
(Registry) (Реестр)
Информационный
Брандмауэр Windows: Частный: Ведение журнала: ограничение размера (КБ)
(AZ-WIN-202230)
Описание. Используйте этот параметр, чтобы указать ограничение размера файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — 16,384 KB or greater.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Частный профиль\Ведение журнала настройка\ограничение размера (КБ)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.2.6
        CIS WS2019 9.2.6
>= 16384
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: Частный: исходящие подключения
(CCE-38332-3)
Описание: задает поведение исходящих подключений, которые не соответствуют исходящему правилу брандмауэра. Поведением по умолчанию является разрешение подключений, если только правила брандмауэра не блокируют подключение. Важно! Если вы настроили исходящие подключения для блокировки и затем развернули политику брандмауэра с помощью объекта групповой политики, компьютеры, получающие параметры объекта групповой политики, не смогут получить последующие обновления групповой политики, пока не будет создано и развернуто правило исходящего трафика, которое позволяет групповой политике работать. Стандартные правила для основных сетей включают правила исходящего трафика, позволяющие групповой политике работать. Убедитесь, что эти правила для исходящего трафика активны, и тщательно протестируйте профили брандмауэра перед развертыванием.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Allow (default)пользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Outbound connections
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.2.3
= 0
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Частный: применение локальных правил безопасности подключений
(CCE-36063-6)
Описание:

Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила соединения, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики. Рекомендуемое состояние этого параметра — "Да", присвойте реестру значение 1.


Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами безопасности\Брандмауэр Windows (эта ссылка будет находиться в правой области)\Вкладка "Частный профиль"\Параметры (выберите "Настройка)\Объединение правил безопасности локального подключения", "Применить правила безопасности локального подключения"
Сопоставления стандартов соответствия:
= 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Частный: Параметры: применение локальных правил брандмауэра
(CCE-37438-9)
Описание:

Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила брандмауэра, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики.

Рекомендуемое состояние для этого параметра — "Да", присвойте параметру реестра значение 1.


Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Настройка значения политики для конфигурации компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Безопасности\Windows (эта ссылка будет находиться на правой панели)\Вкладка "Частный профиль"\Параметры (выберите "Настройка)\Объединение правил локального брандмауэра", "Применить правила локального брандмауэра"
Сопоставления стандартов соответствия:
Не существует или = 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Частный: Параметры: отображение уведомления
(CCE-37621-0)
Описание:

При выборе этого параметра пользователю не отображается уведомление, когда программа блокирует получение входящих подключений. В серверной среде всплывающие окна бесполезны, поскольку пользователи не входят в систему, всплывающие окна не нужны и могут запутать администратора.  

 Настройте этот параметр политики в значение "Нет", присвойте параметру реестра значение 1.  Брандмауэр Windows не отображает уведомление, когда программе заблокировано получение входящих подключений.


Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Settings Configuration\Display a notification
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.2.4
= 1
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: общедоступный: разрешить ответ одноадресной рассылки
(AZ-WIN-00090)
Описание:

Этот параметр полезен, если необходимо контролировать, получает ли этот компьютер одноадресные ответы на исходящие многоадресные или широковещательные сообщения. Это можно сделать, изменив состояние этого параметра на "Нет", присвойте реестру значение 1.


Путь к ключу: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Настройка значения политики для конфигурации компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Безопасности\Windows (эта ссылка будет находиться на правой панели)\Вкладка "Общедоступный профиль\Параметры"/Параметры (выберите "Настроить)\Юниадресный ответ", разрешить одноадресный ответ
Сопоставления стандартов соответствия:
= 1
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: Общедоступный: состояние брандмауэра
(CCE-37862-0)
Описание: выберите пункт "Вкл." (рекомендуется), чтобы брандмауэр Windows в режиме повышенной безопасности использовал параметры этого профиля для фильтрации сетевого трафика. Если установлено значение "Выкл.", брандмауэр Windows в режиме повышенной безопасности не будет использовать правила брандмауэра и правила безопасности подключения для этого профиля.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь On (recommended)пользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Firewall state
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.3.1
= 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Общедоступный: входящие подключения
(AZ-WIN-202234)
Описание. Этот параметр определяет поведение для входящих подключений, которые не соответствуют правилу брандмауэра для входящего трафика. Рекомендуемое состояние для этого параметра — Block (default).
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\входящие подключения
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.3.2
        CIS WS2019 9.3.2
= 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Общедоступный: Ведение журнала: запись удаленных пакетов
(AZ-WIN-202237)
Описание. Используйте этот параметр для регистрации, если брандмауэр Windows с расширенным безопасностью удаляет входящий пакет по какой-либо причине. Записи журнала о том, почему и когда пакет был удален. Найдите записи со словом DROP в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Windows\Общедоступный профиль\Ведение журнала, удаленные пакеты
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.3.9
        CIS WS2019 9.3.9
= 1
(Registry) (Реестр)
Информационный
Брандмауэр Windows: Общедоступный: Ведение журнала: регистрация успешных подключений
(AZ-WIN-202233)
Описание. Используйте этот параметр для регистрации, если брандмауэр Windows с расширенной безопасностью разрешает входящий трафик. Записи журнала о том, почему и когда было сформировано соединение. Найдите записи со словом ALLOW в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Ведение журнала успешных подключений
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.3.10
        CIS WS2019 9.3.10
= 1
(Registry) (Реестр)
Предупреждение
Брандмауэр Windows: Общедоступный: Ведение журнала: название
(AZ-WIN-202235)
Описание. Используйте этот параметр, чтобы указать путь и имя файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — %SystemRoot%\System32\logfiles\firewall\publicfw.log.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Ведение журнала настройка\имя
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.3.7
        CIS WS2019 9.3.7
= %SystemRoot%\System32\logfiles\firewall\publicfw.log
(Registry) (Реестр)
Информационный
Брандмауэр Windows: Общедоступный: Ведение журнала: ограничение размера (КБ)
(AZ-WIN-202236)
Описание. Используйте этот параметр, чтобы указать ограничение размера файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — 16,384 KB or greater.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь к групповой политике: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Параметры ведения журнала (КБ)
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 9.3.8
        CIS WS2019 9.3.8
>= 16384
(Registry) (Реестр)
Информационный
Брандмауэр Windows — общедоступный — исходящие подключения
(CCE-37434-8)
Описание: задает поведение исходящих подключений, которые не соответствуют исходящему правилу брандмауэра. Поведением по умолчанию является разрешение подключений, если только правила брандмауэра не блокируют подключение. Важно! Если вы настроили исходящие подключения для блокировки и затем развернули политику брандмауэра с помощью объекта групповой политики, компьютеры, получающие параметры объекта групповой политики, не смогут получить последующие обновления групповой политики, пока не будет создано и развернуто правило исходящего трафика, которое позволяет групповой политике работать. Стандартные правила для основных сетей включают правила исходящего трафика, позволяющие групповой политике работать. Убедитесь, что эти правила для исходящего трафика активны, и тщательно протестируйте профили брандмауэра перед развертыванием.
Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Allow (default)пользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Outbound connections
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.3.3
= 0
(Registry) (Реестр)
Критически важно
Брандмауэр Защитника Windows — общедоступный — параметры — применение локальных правил безопасности подключения
(CCE-36268-1)
Описание:

Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила соединения, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики. Рекомендуемое состояние этого параметра — "Да", присвойте реестру значение 1.


Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Configuration\Apply local connection security rules
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.3.6
= 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Общедоступный: Параметры: применение локальных правил брандмауэра
(CCE-37861-2)
Описание:

Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила брандмауэра, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики.

Рекомендуемое состояние для этого параметра — "Да", присвойте параметру реестра значение 1.


Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Configuration\Apply local firewall rules
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.3.5
Не существует или = 1
(Registry) (Реестр)
Критически важно
Брандмауэр Windows: Общедоступный: Параметры: отображение уведомления
(CCE-38043-6)
Описание:

При выборе этого параметра пользователю не отображается уведомление, когда программа блокирует получение входящих подключений. В серверной среде всплывающие окна бесполезны, поскольку пользователи не входят в систему, всплывающие окна не нужны и могут запутать администратора.  

Настройте этот параметр политики в значение "Нет", присвойте параметру реестра значение 1.  Брандмауэр Windows не отображает уведомление, когда программе заблокировано получение входящих подключений.


Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Configuration\Display a notification
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 9.3.4
= 1
(Registry) (Реестр)
Предупреждение

Политики аудита системы — Вход учетной записи

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит проверки учетных данных
(CCE-37741-6)
Описание:

Эта подкатегория сообщает о результатах проверки учетных данных, отправленных для запроса на вход в учетную запись пользователя. Эти события происходят на компьютере, который является доверенным для учетных данных. Для учетных записей домена доверенным является контроллер домена, в то время как для локальных учетных записей доверенным является локальный компьютер. В средах домена большая часть событий входа в учетную запись возникает в Журнале безопасности контроллеров домена, доверенных для учетных записей домена. Однако эти события могут возникать на других компьютерах в организации, когда для входа в систему используются локальные учетные записи. К событиям для этой подкатегории относятся: - 4774: учетная запись сопоставлена для входа в систему. -4775: не удалось сопоставить учетную запись для входа. -4776: контроллер домена попытался проверить учетные данные для учетной записи. -4777: контроллеру домена не удалось проверить учетные данные для учетной записи. Рекомендуемое состояние для этого параметра — "Success and Failure" ("Успешное завершение и сбой").


Путь к ключу: {0CCE923F-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Audit Policies\Account Logon\Audit Credential Validation

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93153
        STIG WS2016 V-73413
        CIS WS2019 17.1.1
        CIS WS2022 17.1.1
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно
Аудит службы проверки подлинности Kerberos
(AZ-WIN-00004)
Описание. Этот подкатегорий сообщает результаты событий, созданных после запроса TGT проверки подлинности Kerberos. Kerberos — это распределенная служба проверки подлинности, которая позволяет клиенту, работающему от имени пользователя, доказать свое удостоверение серверу без отправки данных по сети. Это помогает снизить риск злоумышленника или сервера от олицетворения пользователя. - 4768: запрос на проверку подлинности Kerberos (TGT). — 4771: сбой предварительной проверки подлинности Kerberos. — 4772: сбой запроса на проверку подлинности Kerberos. Рекомендуемое состояние для этого параметра — Success and Failure.
Путь к ключу: {0CCE9242-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Политики аудита\Вход учетной записи\Аудит службы проверки подлинности Kerberos
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.1.2
        CIS WS2019 17.1.2
>= успех и сбой
(Audit) (Аудит)
Критически важно

Политики аудита системы — Управление учетными записями

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит управления группами распространения
(CCE-36265-7)
Описание. Этот подкатегорий сообщает о каждом событии управления группами рассылки, например при создании, изменении или удалении группы рассылки или при добавлении или удалении члена из группы рассылки. Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и авторизованных учетных записей групп. События для этой подкатегории: — 4744: была создана локальная группа, отключенная с безопасностью. - 4745: была изменена локальная группа с отключенной безопасностью. - 4746: участник был добавлен в локальную группу, отключенную безопасностью. — 4747: член был удален из локальной группы, отключенной безопасностью. — 4748: удалена локальная группа, отключаемая безопасностью. - 4749: была создана глобальная группа, отключаемая безопасностью. - 4750: была изменена глобальная группа с отключенной безопасностью. - 4751: член был добавлен в глобальную группу, отключенную безопасностью. — 4752: член был удален из глобальной группы, отключаемой безопасностью. — 4753: удалена глобальная группа, отключенная с безопасностью. - 4759: была создана универсальная группа, отключаемая безопасностью. - 4760: была изменена универсальная группа, отключаемая безопасностью. - 4761: член был добавлен в универсальную группу, отключаемую безопасностью. - 4762: член был удален из отключенной безопасности универсальной группы. — 4763: удалена отключенная безопасность универсальная группа. Рекомендуемое состояние для этого параметра — Success.
Путь к ключу: {0CCE9238-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Distribution Group Management
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.2.3
        CIS WS2019 17.2.3
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит других событий управления учетными записями
(CCE-37855-4)
Описание: эта подкатегория создает отчеты о других событиях управления учетными записями. К событиям для этой подкатегории относятся: — 4782: зафиксировано обращение к хэшу пароля учетной записи. — 4793: был вызван API проверки политики паролей. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE923A-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Success
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Other Account Management Events
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.2.4
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит управления группами безопасности
(CCE-38034-5)
Описание: эта подкатегория сообщает о каждом событии управления группами безопасности, например при создании, изменении или удалении группы безопасности, а также при добавлении или удалении члена группы безопасности. Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и полномочных событий создания учетных записей групп безопасности. К событиям для этой подкатегории относятся: — 4727: создана глобальная группа со включенной безопасностью. — 4728: член добавлен в глобальную группу со включенной безопасностью. — 4729: член был удален из глобальной группы со включенной безопасностью. — 4730: удалена глобальная группа со включенной безопасностью. — 4731: создана локальная группа со включенной безопасностью. — 4732: член добавлен в локальную группу со включенной безопасностью. — 4733: член был удален из локальной группы со включенной безопасностью. — 4734: была удалена локальная группа со включенной безопасностью. — 4735: была изменена локальная группа со включенной безопасностью. — 4737: была изменена глобальная группа со включенной безопасностью. — 4754: создана универсальная группа со включенной безопасностью. — 4755: была изменена универсальная группа со включенной безопасностью. — 4756: член добавлен в универсальную группу со включенной безопасностью. — 4757: член был удален из универсальной группы со включенной безопасностью. — 4758: удалена универсальная группа со включенной безопасностью. — 4764: тип группы был изменен. Рекомендуемое состояние для этого параметра — Success and Failure.
Путь к ключу: {0CCE9237-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Success
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Group Management
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.2.5
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит управления учетными записями пользователей
(CCE-37856-2)
Описание: эта подкатегория сообщает о каждом событии управления учетными записями пользователей, например о создании, изменении или удалении учетной записи пользователя, о переименовании записи, ее отключении и включении, а также об установке или смене пароля. Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и полномочных событий создания учетных записей групп безопасности. К событиям для этой подкатегории относятся: — 4720: создана учетная запись пользователя. — 4722: учетная запись была включена. — 4723: предпринята попытка изменить пароль учетной записи. — 4724: предпринята попытка сбросить пароль учетной записи. — 4725: учетная запись была отключена. — 4726: учетная запись была удалена. — 4738: учетная запись была изменена. — 4740: учетная запись пользователя заблокирована. — 4765: журнал SID был добавлен в учетную запись. — 4766: ошибка при добавлении журнала SID в учетную запись. — 4767: учетная запись разблокирована. — 4780: список ACL был задан для учетных записей, входящих в группы администраторов. — 4781: имя учетной записи изменено: — 4794: была предпринята попытка установить режим восстановления служб каталогов. — 5376: созданы резервные копии учетных данных Диспетчера учетных данных. — 5377: учетные данные Диспетчера учетных данных восстановлены из резервной копии. Рекомендуемое состояние для этого параметра — Success and Failure.
Путь к ключу: {0CCE9235-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit User Account Management

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-92981
        STIG WS2016 V-73427
        CIS WS2019 17.2.6
        CIS WS2022 17.2.6
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно

Политики аудита системы — Подробное отслеживание

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит активности PNP
(AZ-WIN-00182)
Описание: этот параметр политики позволяет выполнять аудит, когда функция Plug and Play обнаруживает внешнее устройство. Рекомендуемое состояние для этого параметра — Success. Важно: для доступа к этому значению групповой политики требуется операционная система Windows 10, Server 2016 или более поздняя версия.
Путь к ключу: {0CCE9248-69AE-11D9-BED3-505054503030}
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Аудит: принудительное изменение параметров подкатегории политики аудита (Windows Vista или более поздней версии) для переопределения параметров категории политики аудита

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.3.1
        CIS WS2022 17.3.1
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит создания процессов
(CCE-36059-4)
Описание: эта подкатегория сообщает о создании процесса и имени программы или пользователя, создавшего его. События для этой подкатегории включают: — 4688: был создан новый процесс. — 4696: для обработки был назначен основной маркер. Дополнительные сведения об этом параметре см. в статье базы знаний Майкрософт 947226. Рекомендуемое состояние для этого параметра — Success.
Путь к ключу: {0CCE922B-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Success
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Detailed Tracking\Audit Process Creation

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93173
        STIG WS2016 V-73433
        CIS WS2019 17.3.2
        CIS WS2022 17.3.2
>= Успешно
(Audit) (Аудит)
Критически важно

Политики аудита системы — доступ DS

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит доступа к службе каталогов
(CCE-37433-0)
Описание. Этот подкатегорий сообщает о доступе к объекту AD DS. Только объекты с SACLs вызывают создание событий аудита и только в том случае, если к ним обращаются таким образом, чтобы они соответствовали их SACL. Эти события похожи на события доступа к службе каталогов в предыдущих версиях Windows Server. Эта подкатегория применяется только к контроллерам домена. События для этой подкатегории включают: - 4662: операция была выполнена для объекта. Рекомендуемое состояние для этого параметра — Failure.
Путь к ключу: {0CCE923B-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Access
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.4.1
        CIS WS2019 17.4.1
>= Failure
(Audit) (Аудит)
Критически важно
Аудит изменения службы каталогов
(CCE-37616-0)
Описание. Этот подкатегорий сообщает об изменениях объектов в службах домен Active Directory (AD DS). Типы внесенных изменений: создание, изменение, перемещение и отмена операций, выполняемых в объекте. Аудит изменений DS, где это необходимо, указывает старые и новые значения измененных свойств измененных объектов. Только объекты с SACLs вызывают создание событий аудита и только в том случае, если к ним обращаются таким образом, чтобы они соответствовали их SACL. Некоторые объекты и свойства не вызывают создания событий аудита из-за параметров класса объектов в схеме. Эта подкатегория применяется только к контроллерам домена. События для этой подкатегории включают: - 5136: объект службы каталогов был изменен. - 5137: был создан объект службы каталогов. - 5138: объект службы каталогов был отменяется. - 5139: был перемещен объект службы каталогов. Рекомендуемое состояние для этого параметра — Success.
Путь к ключу: {0CCE923C-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Changes
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.4.2
        CIS WS2019 17.4.2
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит репликации службы каталогов
(AZ-WIN-00093)
Описание. Этот подкатегорий сообщает, когда репликация между двумя контроллерами домена начинается и заканчивается. События для этой подкатегории включают: - 4932: синхронизация реплики контекста именования Active Directory началась. – 4933: завершена синхронизация реплики контекста именования Active Directory. Дополнительные сведения об этом параметре см. в статье Базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008": http:--support.microsoft.com-default.aspx-kb-94726
Путь к ключу: {0CCE923D-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Replication
Сопоставления стандартов соответствия:
>= No Auditing
(Audit) (Аудит)
Критически важно

Политики аудита системы — Вход и выход

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит блокировки учетных записей
(CCE-37133-6)
Описание: эта подкатегория сообщает, когда учетная запись пользователя заблокирована в результате слишком большого числа неудачных попыток входа. К событиям для этой подкатегории относятся: — 4625: учетной записи не удалось войти в систему. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE9217-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Failure
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Account Lockout
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.5.1
>= Failure
(Audit) (Аудит)
Критически важно
Аудит участия в группе
(AZ-WIN-00026)
Описание: аудирование членства в группах позволяет проводить аудит членства в группах при их перечислении на клиентском компьютере. Эта политика позволяет проверять сведения о членстве в группах в маркере входа пользователя. События в этой подкатегории создаются на компьютере, на котором создается сеанс входа. Для интерактивного входа событие аудита безопасности создается на компьютере, на который вошел пользователь. Для входа в сеть, например для доступа к общей папке в сети, на компьютере, на котором размещен ресурс, создается событие аудита безопасности. Необходимо также включить подкатегорию "Аудит входа в систему". Несколько событий создаются, если сведения о членстве в группе не могут соответствовать одному событию аудита безопасности. Аудит событий включает следующие события: — 4627(S): сведения о членстве в группах.
Путь к ключу: {0CCE9249-69AE-11D9-BED3-505054503030}
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Success
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Group Membership
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.5.2
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит выхода из системы
(CCE-38237-4)
Описание:

Эта подкатегория сообщает о выходе пользователя из системы. Эти события происходят на компьютере, к которому осуществляется доступ. При интерактивном входе в систему эти события генерируются на компьютере, на котором выполняется вход. Если для доступа к общему ресурсу выполняется вход в сеть, эти события генерируются на компьютере, на котором размещен ресурс, к которому осуществляется доступ. Если этот параметр имеет настройку "Без аудита", будет сложно или невозможно определить, какой пользователь получил доступ или пытался получить доступ к компьютерам организации. К событиям для этой подкатегории относятся: - 4634: выполнен выход учетной записи из системы. - 4647: выход из системы, инициированный пользователем. Рекомендуемое состояние для этого параметра — "Success" ("Успешно").


Путь к ключу: {0CCE9216-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Success
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logoff\Audit Logoff

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93171
        STIG WS2016 V-73449
        CIS WS2019 17.5.3
        CIS WS2022 17.5.3
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит входа в систему
(CCE-38036-0)
Описание:

Эта подкатегория сообщает, когда пользователь пытается войти в систему. Эти события происходят на компьютере, к которому осуществляется доступ. При интерактивном входе в систему эти события генерируются на компьютере, на котором выполняется вход. Если для доступа к общему ресурсу выполняется вход в сеть, эти события генерируются на компьютере, на котором размещен ресурс, к которому осуществляется доступ. Если этот параметр имеет настройку "Без аудита", будет сложно или невозможно определить, какой пользователь получил доступ или пытался получить доступ к компьютерам организации. К событиям для этой подкатегории относятся: - 4624: выполнен выход учетной записи в систему. - 4625: учетную запись не удалось использовать для входа в систему. - 4648: попытка входа с явными учетными данными. - 4675: идентификаторы безопасности отфильтрованы. Рекомендуемое состояние для этого параметра — "Success and Failure" ("Успешное завершение и сбой").


Путь к ключу: {0CCE9215-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon\Audit Logon

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-92967
        STIG WS2016 V-73451
        CIS WS2019 17.5.4
        CIS WS2022 17.5.4
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно
Аудит других событий входа и выхода
(CCE-36322-6)
Описание: эта подкатегория сообщает о других событиях входа и выхода, таких как обрыв соединения и повторное подключение для сеансов служб терминалов, использование RunAs для запуска процессов под другой учетной записью, а также блокировки и разблокировки рабочей станции. К событиям для этой подкатегории относятся: — 4649: обнаружена атака повторного воспроизведения. — 4778: сеанс был повторно подключен к оконной станции. — 4779: сеанс был отключен от оконной станции. — 4800: рабочая станция заблокирована. — 4801: рабочая станция разблокирована. — 4802: была вызвана экранная заставка. — 4803: экранная заставка была закрыта. — 5378: передача запрашиваемых данных был отменена на основе политики. — 5632: был совершен запрос проверки подлинности от беспроводной сети. — 5633: был совершен запрос проверки подлинности от локальной сети. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE921C-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Other Logon/Audit Other Logon/Logoff Events
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.5.5
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно
Аудит специального входа
(CCE-36266-5)
Описание: эта подкатегория сообщает о том, что используется специальный вход в систему. Специальный вход в систему — это вход, имеющий привилегии, эквивалентные администратору. Он может использоваться для запуска процесса на более высоком уровне. К событиям для этой подкатегории относятся: — 4964: для нового входа были назначены специальные группы. Рекомендуемое состояние для этого параметра — Success.
Путь к ключу: {0CCE921B-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Success
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Special Logon

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93161
        STIG WS2016 V-73455
        CIS WS2019 17.5.6
        CIS WS2022 17.5.6
>= Успешно
(Audit) (Аудит)
Критически важно

Политики аудита системы — Доступ к объектам

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит сведений об общем файловом ресурсе
(AZ-WIN-00100)
Описание. Эта подкатегория позволяет выполнять аудит попыток доступа к файлам и папкам в общей папке. События для этой подкатегории включают: - 5145: объект сетевой общей папки был проверен, чтобы узнать, может ли клиент быть предоставлен нужный доступ. Рекомендуемое состояние для этого параметра — включить: Failure
Путь к ключу: {0CCE9244-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Detailed File Share
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.6.1
        CIS WS2019 17.6.1
>= Failure
(Audit) (Аудит)
Критически важно
Аудит общего файлового ресурса
(AZ-WIN-00102)
Описание. Этот параметр политики позволяет выполнять аудит попыток доступа к общей папке. Рекомендуемое состояние для этого параметра — Success and Failure. Примечание. Для общих папок нет списков управления доступом системы (SACLs). Если этот параметр политики включен, выполняется аудит доступа ко всем общим папкам в системе.
Путь к ключу: {0CCE9224-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit File Share
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.6.2
        CIS WS2019 17.6.2
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно
Аудит других событий доступа к объектам
(AZ-WIN-00113)
Описание: эта подкатегория сообщает о других событиях, связанных с доступом к объектам, таких как задания планировщика задач и объекты COM+. К событиям для этой подкатегории относятся: — 4671: приложение попыталось получить доступ к заблокированному порядковому номеру через TBS. — 4691: запрошен косвенный доступ к объекту. — 4698: запланированная задача создана. — 4699: запланированная задача удалена. — 4700: запланированная задача включена. — 4701: запланированная задача отключена. — 4702: запланированная задача обновлена. — 5888: объект в каталоге COM+ был изменен. — 5889: объект удален из каталога COM+. — 5890: объект добавлен в каталог COM+. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE9227-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Other Object Access Events
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.6.3
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно
Аудит съемного носителя
(CCE-37617-8)
Описание: этот параметр политики позволяет выполнять аудит попыток доступа пользователей к объектам файловой системы на съемном носителе. Событие аудита безопасности создается только для всех объектов для всех типов запрошенного доступа. При настройке этого параметра политики событие аудита создается каждый раз, когда учетная запись обращается к объекту файловой системы в съемном хранилище. Успешные аудиты записывают успешные попытки и неудачные попытки аудита. Если не настроить этот параметр политики, при доступе учетной записи к объекту файловой системы на съемном носителе не будет создаваться событие аудита. Рекомендуемое состояние для этого параметра — Success and Failure. Важно: для доступа к этому значению групповой политики требуется операционная система Windows 8, Server 2012 (не R2) или более поздняя версия.
Путь к ключу: {0CCE9245-69AE-11D9-BED3-505054503030}
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Съемный хранилище

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93167
        STIG WS2016 V-73457
        CIS WS2019 17.6.4
        CIS WS2022 17.6.4
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно

Политики аудита системы — Изменение политики

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит изменения политики проверки подлинности
(CCE-38327-3)
Описание: эта подкатегория сообщает об изменениях в политике проверки подлинности. К событиям для этой подкатегории относятся: — 4706: для домена было создано новое отношение доверия. — 4707: отношение доверия с доменом удалено. — 4713: политика Kerberos была изменена. — 4716: сведения о доверенном домене были изменены. — 4717: учетной записи предоставлен доступ к системе безопасности. — 4718: доступ к системе безопасности был удален из учетной записи. — 4739: политика домена была изменена. — 4864: обнаружен конфликт пространств имен. — 4865: добавлена запись сведений о доверенном лесе. — 4866: удалена запись о доверенном лесе. — 4867: изменена запись о доверенном лесе. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE9230-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Success
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Authentication Policy Change\Audit Authentication Policy Change
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.7.2
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит изменения политики авторизации
(CCE-36320-0)
Описание. Эта подкатегория сообщает об изменениях в политике авторизации. События для этой подкатегории включают: - 4704: было назначено право пользователя. — 4705: было удалено право пользователя. — 4706: в домене создано новое доверие. — 4707: было удалено доверие к домену. - 4714: изменена политика восстановления зашифрованных данных. Рекомендуемое состояние для этого параметра — Success.
Путь к ключу: {0CCE9231-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\Audit Change\Audit Authorization Policy Change
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.7.3
        CIS WS2019 17.7.3
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит изменения политики на уровне правил MPSSVC
(AZ-WIN-00111)
Описание: эта подкатегория сообщает об изменениях в правилах политики, используемых службой защиты Майкрософт (MPSSVC.exe). Эта служба используется брандмауэром Windows и службой Microsoft OneCare. К событиям для этой подкатегории относятся: — 4944: при запуске брандмауэра Windows была активна следующая политика. — 4945: при запуске брандмауэра Windows было указано правило. — 4946: в список исключений брандмауэра Windows внесено изменение. Было добавлено правило. — 4947: в список исключений брандмауэра Windows внесено изменение. Правило было изменено. — 4948: в список исключений брандмауэра Windows внесено изменение. Правило было удалено. — 4949: восстановлены значения по умолчанию для параметров брандмауэра Windows. — 4950: параметр брандмауэра Windows изменился. — 4951: правило было пропущено, так как его основной номер версии не был распознан брандмауэром Windows. — 4952: части правила были пропущены, так как его вторичный номер версии не был распознан брандмауэром Windows. Другие части правила будут применены. — 4953: правило было пропущено брандмауэром Windows, поскольку ему не удалось проанализировать правило. — 4954: параметры политики групп для брандмауэра Windows изменены. Были применены новые параметры. — 4956: брандмауэр Windows изменил активный профиль. — 4957: брандмауэр Windows не применил следующее правило: — 4958: брандмауэр Windows не применил следующее правило, так как правило ссылается на элементы, не настроенные на этом компьютере. См. статью базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" для получения последних сведений об этом параметре: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE9232-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit MPSSVC Rule-Level Policy Change
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.7.4
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно
Аудит других событий изменения политики
(AZ-WIN-00114)
Описание. Эта подкатегория содержит события о изменениях политики агента восстановления данных EFS, изменениях в фильтре платформы фильтрации Windows, обновлении параметров политики безопасности для локальных параметров групповой политики, изменениях центральной политики доступа и подробных событиях устранения неполадок для операций криптографического следующего поколения (CNG). - 5063: была предпринята попытка операции поставщика шифрования. - 5064: была предпринята попытка операции криптографического контекста. - 5065: была предпринята попытка изменения криптографического контекста. - 5066: была предпринята попытка операции криптографической функции. - 5067: была предпринята попытка изменения криптографической функции. — 5068: была предпринята попытка выполнить операцию поставщика криптографических функций. - 5069: была предпринята попытка операции свойства криптографической функции. - 5070: была предпринята попытка изменения свойства криптографической функции. - 6145: при обработке политики безопасности в объектах групповой политики произошла одна или несколько ошибок. Рекомендуемое состояние для этого параметра — Failure.
Путь к ключу: {0CCE9234-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\Audit Change\Audit Other Policy Change\Audit Other Policy Change Events
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.7.5
        CIS WS2019 17.7.5
>= Failure
(Audit) (Аудит)
Критически важно
Изменение политики аудита
(CCE-38028-7)
Описание: эта подкатегория сообщает об изменениях в политике аудита, включая изменения списка SACL. К событиям для этой подкатегории относятся: — 4715: политика аудита (SACL) для объекта была изменена. — 4719: политика аудита системы была изменена. — 4902: создана таблица политики аудита на пользователя. — 4904: предпринята попытка регистрации источника событий безопасности. — 4905: предпринята попытка регистрации источника событий безопасности. — 4906: значение CrashOnAuditFail изменилось. — 4907: параметры аудита для объекта были изменены. — 4908: изменена таблица входа в специальные группы. — 4912: политика аудита системы была изменена. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE922F-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Политики аудита\Изменение политики аудита\Изменение политики аудита
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.7.1
>= Успешно
(Audit) (Аудит)
Критически важно

Политики аудита системы — Использование привилегий

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит использования привилегий, затрагивающих конфиденциальные данные
(CCE-36267-3)
Описание: эта подкатегория сообщает, когда учетная запись пользователя или служба использует конфиденциальную привилегию. Конфиденциальная привилегия включает следующие права пользователя: работа в составе операционной системы, резервное копирование файлов и каталогов, создание объекта маркера, отладка программ, включение доверенных учетных записей компьютеров и пользователей для делегирования, создание аудита безопасности, олицетворение клиента после проверки подлинности, загрузка и выгрузка драйверов устройств, управление аудитом и журналом безопасности, изменение значений среды встроенного ПО, восстановление файлов и каталогов, а также принятие в собственность файлов или других объектов. Аудит этой подкатегории создаст большой объем событий. К событиям для этой подкатегории относятся: — 4672: специальные привилегии были назначены новому входу в систему. — 4673: была вызвана привилегированная служба. — 4674: предпринята попытка выполнить операцию для привилегированного объекта. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE9228-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Privilege Use\Audit Sensitive Privilege Use\Audit Sensitive Privilege Use Use
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.8.1
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно

Политики аудита системы — Система

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Аудит драйвера IPsec
(CCE-37853-9)
Описание. В этом подкатегории сообщается о действиях драйвера безопасности интернет-протокола (IPsec). События для этой подкатегории включают: - 4960: IPsec бросил входящий пакет, который завершил проверку целостности. Если эта проблема сохраняется, это может указывать на проблему сети или изменения пакетов при передаче на этот компьютер. Убедитесь, что пакеты, отправленные с удаленного компьютера, совпадают с теми, которые были получены этим компьютером. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. - 4961: IPsec снял входящий пакет, который завершил проверку воспроизведения. Если эта проблема сохраняется, это может указывать на атаку воспроизведения на этом компьютере. - 4962: IPsec снял входящий пакет, который завершил проверку воспроизведения. Входящий пакет слишком низкий порядковый номер, чтобы убедиться, что это не повтор. - 4963: IPsec снял входящий текстовый пакет, который должен был быть защищен. Обычно это связано с изменением политики IPsec удаленного компьютера без информирования этого компьютера. Это также может быть попытка спуфингов атаки. - 4965: IPsec получил пакет с удаленного компьютера с неправильным индексом параметров безопасности (SPI). Обычно это вызвано сбоем оборудования, которое повреждено пакетами. Если эти ошибки сохраняются, убедитесь, что пакеты, отправленные с удаленного компьютера, совпадают с теми, которые были получены этим компьютером. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. В этом случае, если подключение не препятствует, эти события можно игнорировать. — 5478: службы IPsec успешно запущены. — 5479: службы IPsec успешно завершены. Завершение работы служб IPsec может привести компьютер к большему риску сетевой атаки или предоставить компьютеру потенциальные риски безопасности. — 5480: службы IPsec не удалось получить полный список сетевых интерфейсов на компьютере. Это может привести к потенциальному риску безопасности, так как некоторые сетевые интерфейсы могут не получить защиту, предоставляемую примененными фильтрами IPsec. Используйте оснастку монитора безопасности IP для диагностики проблемы. — 5483: службы IPsec не удалось инициализировать сервер RPC. Не удалось запустить службы IPsec. — 5484: службы IPsec столкнулись с критическим сбоем и завершились. Завершение работы служб IPsec может привести компьютер к большему риску сетевой атаки или предоставить компьютеру потенциальные риски безопасности. - 5485: службы IPsec не смогли обработать некоторые фильтры IPsec в событии plug-and-play для сетевых интерфейсов. Это может привести к потенциальному риску безопасности, так как некоторые сетевые интерфейсы могут не получить защиту, предоставляемую примененными фильтрами IPsec. Используйте оснастку монитора безопасности IP для диагностики проблемы. Рекомендуемое состояние для этого параметра — Success and Failure.
Путь к ключу: {0CCE9213-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\System\Audit IPsec Driver
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.9.1
        CIS WS2019 17.9.1
>= успех и сбой
(Audit) (Аудит)
Критически важно
Аудит других системных событий
(CCE-38030-3)
Описание. Этот подкатегорий сообщает о других системных событиях. События для этой подкатегории включают: - 5024: служба брандмауэра Windows успешно запущена. — 5025: служба брандмауэра Windows остановлена. — 5027: служба брандмауэра Windows не смогла получить политику безопасности из локального хранилища. Служба может продолжить применять текущую политику. — 5028: служба брандмауэра Windows не смогла проанализировать новую политику безопасности. Служба продолжит применять текущую политику. — 5029: служба брандмауэра Windows не инициализирует драйвер. Служба продолжит применять текущую политику. — 5030: не удалось запустить службу брандмауэра Windows. — 5032: брандмауэр Windows не смог уведомить пользователя о том, что он заблокировал прием входящих подключений в сети. — 5033: драйвер брандмауэра Windows успешно запущен. — 5034: драйвер брандмауэра Windows остановлен. — 5035: не удалось запустить драйвер брандмауэра Windows. — 5037: драйвер брандмауэра Windows обнаружил критичную ошибку среды выполнения. Завершение работы. — 5058: операция файла ключа. - 5059: операция миграции ключей. Рекомендуемое состояние для этого параметра — Success and Failure.
Путь к ключу: {0CCE9214-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\System\Audit Other System\Audit Other System
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 17.9.2
        CIS WS2019 17.9.2
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно
Аудит изменения состояния безопасности
(CCE-38114-5)
Описание: эта подкатегория сообщает об изменениях в состоянии безопасности системы, например о запуске и остановке подсистемы безопасности. К событиям для этой подкатегории относятся: — 4608: запускается Windows. — 4609: Windows завершает работу. — 4616: системное время изменилось. — 4621: Администратор восстановил систему из CrashOnAuditFail. Пользователям, не являющимся администраторами, теперь разрешено выполнять вход. Возможно, некоторые операции, поддерживающие аудит, не были записаны. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE9210-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Success
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security State Change
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.9.3
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит расширения системы безопасности
(CCE-36144-4)
Описание: эта подкатегория содержит сведения о загрузке кода расширения, например пакетов проверки подлинности, с помощью подсистемы безопасности. К событиям для этой подкатегории относятся: — 4610: пакет проверки подлинности был загружен локальным администратором безопасности. — 4611: доверенный процесс входа в систему зарегистрирован в локальном центре безопасности. — 4614: пакет уведомлений был загружен диспетчером учетных записей безопасности. — 4622: пакет безопасности был загружен локальным администратором безопасности. — 4697: служба была установлена в системе. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE9211-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Success
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security System\Audit Security System
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.9.4
>= Успешно
(Audit) (Аудит)
Критически важно
Аудит целостности системы
(CCE-37132-8)
Описание: эта подкатегория сообщает о нарушениях целостности подсистемы безопасности. К событиям для этой подкатегории относятся: — 4612: исчерпаны внутренние ресурсы, выделенные для очереди сообщений аудита, что приведет к утрате некоторых аудитов. — 4615: недопустимое использование порта LPC. — 4618: произошла отслеживаемая последовательность событий безопасности. — 4816: в RPC обнаружено нарушение целостности при расшифровке входящего сообщения. — 5038: служба целостности кода определила, что хэш изображения файла является недопустимым. Возможно, файл поврежден из-за неавторизованного изменения или недопустимый хэш может указывать на возможную ошибку дискового устройства. — 5056: выполнена проверка криптографии. — 5057: сбой операции криптографического примитива. — 5060: сбой операции подтверждения. — 5061: операция криптографии. — 5062: выполнена проверка криптографии на уровне ядра. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Путь к ключу: {0CCE9212-69AE-11D9-BED3-505054503030}
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса в значение Success and Failure:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit System
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 17.9.5
= Успешное завершение и сбой
(Audit) (Аудит)
Критически важно

Назначение прав пользователя

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Доступ к диспетчеру учетных данных от имени доверенного вызывающего
(CCE-37056-9)
Описание: этот параметр безопасности используется диспетчером учетных данных во время резервного копирования и восстановления. Ни одна учетная запись не должна иметь этого права пользователя, так как она назначена только Winlogon. Сохраненные учетные данные пользователей могут быть скомпрометированы, если это право пользователя назначено другим сущностям. Рекомендуемое состояние для этого параметра — No One.
Путь к ключу: [Privilege Rights]SeTrustedCredManAccessPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Access Credential Manager в качестве доверенного вызывающего объекта

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93049
        STIG WS2016 V-73729
        CIS WS2019 2.2.1
        CIS WS2022 2.2.1
= No one (Никому)
(Policy) (Политика)
Предупреждение
Доступ к этому компьютеру из сети
(CCE-35818-4)
Описание:

Этот параметр политики позволяет другим пользователям в сети подключаться к компьютеру и требуется для различных сетевых протоколов, включая протоколы на основе SMB, NetBIOS, Common Internet File System (CIFS) и Component Object Model Plus (COM+). - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Администраторы, прошедшие проверку пользователи, КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Администраторы, прошедшие проверку пользователи".


Путь к ключу: [Privilege Rights]SeNetworkLogonRight
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Доступ к этому компьютеру из сети

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-92995
        STIG WS2016 V-73731
        CIS WS2019 2.2.3
        CIS WS2022 2.2.3
<= администраторы, прошедшие проверку подлинности пользователи
(Policy) (Политика)
Критически важно
Работа в режиме операционной системы
(CCE-36876-1)
Описание: этот параметр политики позволяет процессу использовать удостоверение любого пользователя и, таким образом, получать доступ к ресурсам, к которым у пользователя есть право доступа. Рекомендуемое состояние для этого параметра — No One.
Путь к ключу: [Privilege Rights]SeTcbPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Act в составе операционной системы

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93051
        STIG WS2016 V-73735
        CIS WS2019 2.2.4
        CIS WS2022 2.2.4
= No one (Никому)
(Policy) (Политика)
Критически важно
Локальный вход в систему
(CCE-37659-0)
Описание: этот параметр политики определяет, какие пользователи могут интерактивно входить на компьютеры в вашей среде. Для входа в систему, инициированную нажатием клавиш CTRL + ALT + DEL на клавиатуре клиентского компьютера, требуется это право пользователя. Пользователям, пытающимся войти в систему через службы терминалов или IIS, также требуется это право пользователя. Учетной записи гостя это право пользователя назначено по умолчанию. Хотя эта учетная запись отключена по умолчанию, корпорация Майкрософт рекомендует включить этот параметр с помощью службы групповой политики. Однако это право пользователя обычно должно быть ограничено группами "Администраторы" и "Пользователи". Назначьте этому пользователю право на группу "операторы резервного копирования", если ваша организация требует, чтобы у них была эта возможность. При настройке права пользователя в SCM введите разделенный запятыми список учетных записей. Учетные записи могут быть либо локальными, либо расположенными в Active Directory, они могут быть группами, пользователями или компьютерами.
Путь к ключу: [Privilege Rights]SeInteractiveLogonRight
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.2.7
= Администраторы
(Policy) (Политика)
Критически важно
Разрешить вход в систему через службу удаленных рабочих столов
(CCE-37072-6)
Описание:

Этот параметр политики определяет, какие пользователи или группы имеют право на вход в систему в качестве клиента служб терминалов. Пользователям удаленного рабочего стола требуется это право пользователя. Если ваша организация использует удаленный помощник как часть своей стратегии службы поддержки, создайте группу и назначьте ей это право пользователя с помощью групповой политики. Если служба поддержки в вашей организации не использует удаленный помощник, назначьте это право пользователя только группе администраторов или используйте функцию групп с ограниченным доступом, чтобы гарантировать, что никакие учетные записи пользователей не входят в группу пользователей удаленного рабочего стола. Ограничьте это право пользователя группой "Администраторы" и, возможно, группой "Пользователи удаленного рабочего стола", чтобы предотвратить получение нежелательными пользователями доступа к компьютерам в вашей сети с помощью функции удаленного помощника. - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Администраторы". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Администраторы, Пользователи удаленного рабочего стола". Примечание. Для рядового сервера с ролью Службы удаленных рабочих столов со службой роли Брокер подключений к удаленному рабочему столу потребуется специальное исключение из этой рекомендации, чтобы иметь возможность предоставить группе "Прошедшие проверку пользователи" это право пользователя. Примечание 2. Приведенные выше списки следует рассматривать как allowlists. Это означает, что для оценки этой рекомендации не требуется наличие указанных выше субъектов.


Путь к ключу: [PrivilegeRights]SeInteractiveLogonRight
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Разрешить вход через службы удаленных рабочих столов

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-92997
        STIG WS2016 V-73741
        CIS WS2019 2.2.8
        CIS WS2022 2.2.8
        CIS WS2019 2.2.9
        CIS WS2022 2.2.9
<= администраторы, пользователи удаленного рабочего стола
(Policy) (Политика)
Критически важно
Архивация файлов и каталогов
(CCE-35912-5)
Описание: этот параметр политики позволяет пользователям обходить разрешения на доступ к файлам и каталогам для резервного копирования системы. Это право пользователя доступно, только если приложение (например, NTBACKUP) пытается получить доступ к файлу или каталогу через программный интерфейс (API) резервного копирования файловой системы NTFS. В противном случае применяются назначенные разрешения на доступ к файлам и каталогам. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeBackupPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса.
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Резервное копирование файлов и каталогов

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93053
        STIG WS2016 V-73743
        CIS WS2019 2.2.10
        CIS WS2022 2.2.10
<= администраторы, операторы резервного копирования, операторы сервера
(Policy) (Политика)
Критически важно
Обход проходной проверки
(AZ-WIN-00184)
Описание: этот параметр политики позволяет пользователям, у которых нет разрешения "Доступ к папкам", перемещаться между папками при просмотре пути к объекту в файловой системе NTFS или в реестре. Это право пользователя не разрешает пользователям выводить список содержимого папки. При настройке права пользователя в SCM введите разделенный запятыми список учетных записей. Учетные записи могут быть либо локальными, либо расположенными в Active Directory, они могут быть группами, пользователями или компьютерами.
Путь к ключу: [Privilege Rights]SeChangeNotifyPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики: настройте значение политики для конфигурации компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Обход, чтобы включить только следующие учетные записи или группы: Administrators, Authenticated Users, Backup Operators, Local Service, Network Service
Сопоставления стандартов соответствия:
<= администраторы, прошедшие проверку подлинности пользователи, операторы резервного копирования, локальная служба, сетевая служба
(Policy) (Политика)
Критически важно
Изменение системного времени
(CCE-37452-0)
Описание: этот параметр политики определяет, какие пользователи и группы могут изменять время и дату внутренних часов у компьютеров в вашей среде. Пользователи, которым назначено это право пользователя, могут повлиять на внешний вид журналов событий. При изменении параметра времени на компьютере записанные в журнал события будут отражать новое время, а не фактическое время возникновения событий. При настройке права пользователя в SCM введите разделенный запятыми список учетных записей. Учетные записи могут быть либо локальными, либо расположенными в Active Directory, они могут быть группами, пользователями или компьютерами. Важно: несоответствия между временем на локальном компьютере и контроллерами домена в среде могут вызвать проблемы с протоколом проверки подлинности Kerberos, что, в свою очередь, может привести к невозможности входа пользователей в домен или невозможности получения разрешения на доступ к ресурсам домена после входа в систему. Кроме того, при применении групповой политики к клиентским компьютерам могут возникнуть проблемы, если системное время не синхронизировано с контроллерами домена. Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE.
Путь к ключу: [Privilege Rights]SeSystemtimePrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, LOCAL SERVICEпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Изменение системного времени

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.2.11
        CIS WS2022 2.2.11
<= администраторы, операторы сервера, LOCAL SERVICE
(Policy) (Политика)
Критически важно
Изменение часового пояса
(CCE-37700-2)
Описание: этот параметр определяет, какие пользователи могут изменять часовой пояс компьютера. Эта возможность не имеет большой опасности для компьютера и может быть полезной для часто путешествующих сотрудников. Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE.
Путь к ключу: [Privilege Rights]SeTimeZonePrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, LOCAL SERVICEпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Изменение часового пояса

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.2.12
        CIS WS2022 2.2.12
<= администраторы, LOCAL SERVICE
(Policy) (Политика)
Критически важно
Создание файла подкачки
(CCE-35821-8)
Описание: этот параметр политики позволяет пользователям изменять размер файла подкачки. Если сделать файл подкачки очень большим или очень небольшим, злоумышленник может легко повлиять на производительность скомпрометированного компьютера. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeCreatePagefilePrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create a pagefile

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93055
        STIG WS2016 V-73745
        CIS WS2019 2.2.13
        CIS WS2022 2.2.13
= Администраторы
(Policy) (Политика)
Критически важно
Создание маркерного объекта
(CCE-36861-3)
Описание: этот параметр политики позволяет процессу создавать маркер доступа, который может предоставить повышенные права доступа к конфиденциальным данным. Рекомендуемое состояние для этого параметра — No One.
Путь к ключу: [Privilege Rights]SeCreateTokenPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create a token object

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93057
        STIG WS2016 V-73747
        CIS WS2019 2.2.14
        CIS WS2022 2.2.14
= No one (Никому)
(Policy) (Политика)
Предупреждение
Создание глобальных объектов
(CCE-37453-8)
Описание: этот параметр политики определяет, могут ли пользователи создавать глобальные объекты, доступные для всех сеансов. Пользователи по-прежнему могут создавать объекты, относящиеся к их отдельным сеансам, если они не имеют этого права пользователя. Пользователи, которые могут создавать глобальные объекты, могут повлиять на процессы, выполняющиеся в сеансах других пользователей. Это может привести к различным проблемам, например к сбоям приложения или повреждению данных. Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Важно: на рядовом сервере с Microsoft SQL Server и его необязательным компонентом "Integration Services" будет требоваться специальное исключение для этой рекомендации, чтобы предоставить это право дополнительным записям, созданным SQL.
Путь к ключу: [PrivilegeRights]SeCreateTokenPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICEпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Создание глобальных объектов

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93059
        STIG WS2016 V-73749
        CIS WS2019 2.2.15
        CIS WS2022 2.2.15
<= администраторы, SERVICE, LOCAL SERVICE, NETWORK SERVICE
(Policy) (Политика)
Предупреждение
Создание постоянных общих объектов
(CCE-36532-0)
Описание: это право пользователя полезно для компонентов режима ядра, расширяющих пространство имен объектов. Однако компоненты, работающие в режиме ядра, изначально имеют это право пользователя. Поэтому обычно нет необходимости специально назначать это право пользователя. Рекомендуемое состояние для этого параметра — No One.
Путь к ключу: [PrivilegeRights]SeCreatePagefilePrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Создание постоянных общих объектов

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93061
        STIG WS2016 V-73751
        CIS WS2019 2.2.16
        CIS WS2022 2.2.16
= No one (Никому)
(Policy) (Политика)
Предупреждение
Создание символических ссылок
(CCE-35823-4)
Описание:

Этот параметр политики определяет, какие пользователи могут создавать символьные ссылки. В Windows Vista доступ к существующим объектам файловой системы NTFS, таким как файлы и папки, можно получить, обратившись к новому типу объекта файловой системы, называемого символьной ссылкой. Символьная ссылка — это указатель (похожий на ярлык или файл .lnk) на другой объект файловой системы, который может быть файлом, папкой, ярлыком или другой символьной ссылкой. Различие между ярлыком и символьной ссылкой заключается в том, что ярлык работает только в оболочке Windows. Для других программ и приложений ярлыки — это просто другой файл, в то время как с символьной ссылкой понятие ярлыка реализуется как компонент файловой системы NTFS. Символьные ссылки могут потенциально подвергать риску безопасность в приложениях, которые не предназначены для их использования. По этой причине права на создание символьных ссылок должны быть назначены только доверенным пользователям. По умолчанию только администраторы могут создавать символьные ссылки. - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Администраторы". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Администраторы" и (при установке роли Hyper-V) "NT VIRTUAL MACHINE\Virtual Machines".


Путь к ключу: [PrivilegeRights]SeCreateSymbolicLinkPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы реализовать рекомендуемое состояние конфигурации, настройте следующий путь пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Создание символьных ссылок

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93063
        STIG WS2016 V-73753
        CIS WS2019 2.2.17
        CIS WS2022 2.2.17
        CIS WS2019 2.2.18
        CIS WS2022 2.2.18
<= администраторы, NT VIRTUAL MACHINE\Виртуальные машины
(Policy) (Политика)
Критически важно
Отладка программ
(AZ-WIN-73755)
Описание. Этот параметр политики определяет, какие учетные записи пользователей имеют право подключить отладчик к любому процессу или ядру, что обеспечивает полный доступ к конфиденциальным и критически важным компонентам операционной системы. Разработчикам, которые выполняют отладку собственных приложений, не нужно назначать это право пользователя; однако разработчикам, которые выполняют отладку новых системных компонентов, потребуется. Рекомендуемое состояние для этого параметра — Administrators. Примечание. Это право пользователя считается "конфиденциальным привилегированным" для целей аудита.
Путь к ключу: [Privilege Rights]SeDebugPrivilege
ОС: WS2016, WS2019
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Отладка программ
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.2.19
        CIS WS2019 2.2.19
= Администраторы
(Policy) (Политика)
Критически важно
Отказ в доступе к компьютеру из сети
(CCE-37954-5)
Описание:

Этот параметр политики запрещает пользователям подключаться к компьютеру по сети, что позволит пользователям получать удаленный доступ и потенциально изменять данные. В средах с высоким уровнем безопасности для удаленных пользователей не требуется доступ к данным на компьютере. Вместо этого общий доступ к файлам должен осуществляться с помощью сетевых серверов. - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Гости, Локальная учетная запись". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра должно включать: "Гости, Локальная учетная запись и член группы Администраторов". Внимание! Настройка автономного сервера (не присоединенного к домену), как описано выше, может привести к невозможности удаленного администрирования сервера. Примечание. Настройка рядового сервера или отдельного сервера, как описано выше, может негативно сказаться на приложениях, которые создают учетную запись локальной службы и размещают ее в группе администраторов. В этом случае необходимо преобразовать приложение для использования учетной записи службы, размещенной в домене, или удалить локальную учетную запись и члена группы Администраторов из этого назначения прав пользователя. Настоятельно рекомендуется использовать учетную запись службы, размещенной в домене, а не делать исключения из этого правила, где это возможно.


Путь к ключу: [Privilege Rights]SeDenyNetworkLogonRight
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Запрет доступа к этому компьютеру из сети

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-92999
        STIG WS2016 V-73757
        CIS WS2019 2.2.20
        CIS WS2022 2.2.20
        CIS WS2019 2.2.21
        CIS WS2022 2.21
>= Гости
(Policy) (Политика)
Критически важно
Отказ во входе в качестве пакетного задания
(CCE-36923-1)
Описание: этот параметр политики определяет, какие учетные записи не смогут входить в систему на компьютере в качестве пакетного задания. Пакетное задание не является пакетным (.bat-файлом), а представляет собой средство пакетной очереди. Учетным записям, которые используют планировщик задач для планирования заданий, требуется это право пользователя. Право Запретить вход в систему как пакетного задания переопределяет право пользователя Вход в качестве пакетного задания, которое можно использовать, чтобы разрешить учетным записям планировать задания, использующие чрезмерные системные ресурсы. Такая ситуация может привести к состоянию DoS. Отсутствие назначения этого права для рекомендуемых учетных записей может создать угрозу безопасности. Рекомендуемое состояние для этого параметра — Guests.
Путь к ключу: [Privilege Rights]SeDenyBatchLogonRight
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Guests
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Запрет входа в качестве пакетного задания

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93001
        STIG WS2016 V-73761
        CIS WS2019 2.2.22
        CIS WS2022 2.2.22
>= Гости
(Policy) (Политика)
Критически важно
Отказать во входе в качестве службы
(CCE-36877-9)
Описание: этот параметр безопасности определяет, каким учетным записям служб запрещено регистрировать процесс в качестве службы. Этот параметр политики заменяет параметр политики Вход в систему в качестве службы, если учетная запись подчиняется обеим политикам. Рекомендуемое состояние для этого параметра — Guests. Важно: этот параметр безопасности не применяется к учетным записям системы, локальной службы или сетевой службы.
Путь к ключу: [Privilege Rights]SeDenyServiceLogonRight
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Guests
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93003
        STIG WS2016 V-73765
        CIS WS2019 2.2.23
        CIS WS2022 2.2.23
>= Гости
(Policy) (Политика)
Критически важно
Запретить локальный вход
(CCE-37146-8)
Описание: этот параметр безопасности определяет, каким пользователям запрещается входить в систему на компьютере. Этот параметр политики заменяет параметр политики Вход в систему локально, если учетная запись подчиняется обеим политикам. Важно: если применить эту политику безопасности к группе "Все", никто не сможет войти в систему локально. Рекомендуемое состояние для этого параметра — Guests.
Путь к ключу: [Privilege Rights]SeDenyInteractiveLogonRight
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса:Guests
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93017
        STIG WS2016 V-73739
        CIS WS2019 2.24
        CIS WS2022 2.24
>= Гости
(Policy) (Политика)
Критически важно
Запретить вход в систему через службу удаленных рабочих столов
(CCE-36867-0)
Описание: этот параметр политики определяет, могут ли пользователи входить в систему как клиенты служб терминалов. После того как базовый сервер-участник присоединен к доменной среде, нет необходимости использовать локальные учетные записи для доступа к серверу из сети. Учетные записи домена могут получать доступ к серверу для администрирования и обработки конечных пользователей. Рекомендуемое состояние для этого параметра — Guests, Local account. Внимание! Настройка автономного сервера (не присоединенного к домену), как описано выше, может привести к невозможности удаленного администрирования сервера.
Путь к ключу: [Privilege Rights]SeDenyRemoteInteractiveLogonRight
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Запрет входа через службы удаленных рабочих столов
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.26
>= Гости
(Policy) (Политика)
Критически важно
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании
(CCE-36860-5)
Описание:

Этот параметр политики позволяет пользователям изменять параметр "Доверенный для делегирования" для объекта-компьютера в Active Directory. Злоупотребление этой привилегией может позволить неавторизованным пользователям выдавать себя за других пользователей в сети. - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Администраторы" - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Никто".


Путь к ключу: [Privilege Rights]SeEnableDelegationPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Enable computer and user accounts to trusted for делегирование

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93041
        STIG WS2016 V-73777
        CIS WS2019 2.2.28
        CIS WS2022 2.28
= No one (Никому)
(Policy) (Политика)
Критически важно
Принудительное удаленное завершение работы
(CCE-37877-8)
Описание: этот параметр политики позволяет пользователям завершать работу компьютеров под управлением Windows Vista из удаленных расположений в сети. Любой пользователь, которому назначено это право, может вызвать ситуацию отказа в обслуживании (DoS), которая сделает компьютер недоступным для запросов пользователей службы. Поэтому рекомендуется назначать это право только высоко доверенным администраторам. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeRemoteShutdownPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Принудительное завершение работы из удаленной системы

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93067
        STIG WS2016 V-73781
        CIS WS2019 2.2.29
        CIS WS2022 2.29
= Администраторы
(Policy) (Политика)
Критически важно
Создание аудитов безопасности
(CCE-37639-2)
Описание: этот параметр политики определяет, какие пользователи или процессы могут создавать записи аудита в журнале безопасности. Рекомендуемое состояние для этого параметра — LOCAL SERVICE, NETWORK SERVICE. Примечание. Рядовой сервер, который содержит роль веб-сервера (IIS) со службой роли веб-сервера, потребует особого исключения из этой рекомендации, чтобы пулы приложений IIS получили это право пользователя. Примечание 2: Рядовой сервер, на котором размещена роль службы федерации Active Directory (AD FS), потребует особого исключения из этой рекомендации, чтобы разрешить службам NT SERVICE\ADFSSrv и NT SERVICE\DRS, а также связанной учетной записи службы федерации Active Directory (AD FS), иметь это право пользователя.
Путь к ключу: [Privilege Rights]SeAuditPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь LOCAL SERVICE, NETWORK SERVICEпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Generate security audits

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93069
        STIG WS2016 V-73783
        CIS WS2019 2.2.30
        CIS WS2022 2.2.30
<= локальная служба, сетевая служба, СЛУЖБА IIS APPPOOL\DefaultAppPool
(Policy) (Политика)
Критически важно
Увеличение рабочего набора процесса
(AZ-WIN-00185)
Описание. Эта привилегия определяет, какие учетные записи пользователей могут увеличивать или уменьшать размер рабочего набора процесса. Рабочий набор процесса — это набор страниц памяти, которые в настоящее время видны процессу в физической оперативной памяти (RAM). Эти страницы являются резидентными и доступны для использования приложением без активации ошибки страницы. Минимальный и максимальный размеры рабочего набора влияют на режим разбиения на страницы виртуальной памяти процесса. При настройке права пользователя в SCM введите разделенный запятыми список учетных записей. Учетные записи могут быть либо локальными, либо расположенными в Active Directory, они могут быть группами, пользователями или компьютерами.
Путь к ключу: [Privilege Rights]SeIncreaseWorkingSetPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Увеличение рабочего набора
Сопоставления стандартов соответствия:
<= администраторы, локальная служба
(Policy) (Политика)
Предупреждение
Увеличение приоритета выполнения
(CCE-38326-5)
Описание: этот параметр политики определяет, могут ли пользователи увеличивать базовый класс приоритета процесса. (Увеличение относительного приоритета в пределах класса приоритета не является привилегированной операцией.) Это право пользователя не требуется для средств администрирования, предоставляемых вместе с операционной системой, но может потребоваться для средств разработки программного обеспечения. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeIncreaseBasePriorityPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, Window Manager\Window Manager Groupпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Увеличение приоритета планирования

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93073
        STIG WS2016 V-73787
        CIS WS2019 2.2.33
        CIS WS2022 2.2.33
= Администраторы
(Policy) (Политика)
Предупреждение
Загрузка и выгрузка драйверов устройств
(CCE-36318-4)
Описание: этот параметр политики позволяет пользователям динамически загружать новый драйвер устройства в системе. Злоумышленник потенциально может использовать эту возможность для установки вредоносного кода, который маскируется под драйвером устройства. Это право пользователя требуется пользователям для добавления локальных принтеров или драйверов принтеров в Windows Vista. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeLoadDriverPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Загрузка и выгрузка драйверов устройств

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93075
        STIG WS2016 V-73789
        CIS WS2019 2.2.34
        CIS WS2022 2.2.34
<= администраторы, операторы печати
(Policy) (Политика)
Предупреждение
Блокировка страниц в памяти
(CCE-36495-0)
Описание: эта политика определяет, какие учетные записи имеют право использовать процесс для хранения данных в физической памяти, что предотвращает страничную запись данных операционной системой в область виртуальной памяти на диске. При назначении этого права пользователя может возникнуть значительное снижение производительности системы. Рекомендуемое состояние для этого параметра — No One.
Путь к ключу: [Privilege Rights]SeLockMemoryPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Lock pages in memory

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93077
        STIG WS2016 V-73791
        CIS WS2019 2.2.35
        CIS WS2022 2.2.35
= No one (Никому)
(Policy) (Политика)
Предупреждение
Управление журналом аудита и безопасности
(CCE-35906-7)
Описание:

Этот параметр политики определяет, какие пользователи могут изменять параметры аудита для файлов и каталогов, а также очищать журнал безопасности. В средах с Microsoft Exchange Server группа "Серверы Exchange" должна обладать этой привилегией на контроллерах домена для правильной работы. Учитывая это, контроллеры домена, предоставляющие группе "Серверы Exchange" эту привилегию, соответствуют этому тесту. Если среда не использует Microsoft Exchange Server, эта привилегия должна быть ограничена только группой "Администраторы" на контроллерах домена. - Уровень 1 — контроллер домена. рекомендуемое состояние для этого параметра: "Администраторы" и (если Exchange выполняется в среде) "Серверы Exchange". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Администраторы"


Путь к ключу: [Privilege Rights]SeSecurityPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Управление аудитом и журналом безопасности

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93197
        STIG WS2016 V-73793
        CIS WS2019 2.2.37
        CIS WS2022 2.2.37
        CIS WS2019 2.2.38
        CIS WS2022 2.2.38
= Администраторы
(Policy) (Политика)
Критически важно
Изменение метки объекта
(CCE-36054-5)
Описание: эта привилегия определяет, какие учетные записи пользователей могут изменять метки целостности объектов, таких как файлы, разделы реестра или процессы, принадлежащие другим пользователям. Без этой привилегии процессы, работающие под учетной записью пользователя, могут изменять метку объекта, принадлежащего этому пользователю, на более низкий уровень. Рекомендуемое состояние для этого параметра — No One.
Путь к ключу: [Privilege Rights]SeRelabelPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Изменение метки объекта

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.2.39
        CIS WS2022 2.2.39
= No one (Никому)
(Policy) (Политика)
Предупреждение
Изменение параметров среды изготовителя
(CCE-38113-7)
Описание: этот параметр политики позволяет пользователям настраивать системные переменные среды, влияющие на конфигурацию оборудования. Эти сведения обычно хранятся в последней известной работоспособной конфигурации. Изменение этих значений и может привести к сбою оборудования, что приведет к отказу в обслуживании. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeSystemEnvironmentPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Изменение значений среды встроенного ПО

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93079
        STIG WS2016 V-73795
        CIS WS2019 2.2.40
        CIS WS2022 2.2.40
= Администраторы
(Policy) (Политика)
Предупреждение
Выполнение задач по обслуживанию томов
(CCE-36143-6)
Описание: этот параметр политики позволяет пользователям управлять томом или конфигурацией дисков системы, что может позволить пользователю удалить том и привести к потере данных, а также к состоянию отказа в обслуживании. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeManageVolumePrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Выполнение задач обслуживания тома

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93081
        STIG WS2016 V-73797
        CIS WS2019 2.2.41
        CIS WS2022 2.2.41
= Администраторы
(Policy) (Политика)
Предупреждение
Профилирование одного процесса
(CCE-37131-0)
Описание: этот параметр политики определяет, какие пользователи могут использовать средства для наблюдения за производительностью несистемных процессов. Как правило, нет необходимости настраивать это право пользователя для использования оснастки производительности консоли управления (MMC). Однако это право пользователя необходимо, если служба наблюдения за системой (System Monitor) настроена для сбора данных с помощью инструментария управления Windows (WMI). При ограничении права пользователя "Профилирование отдельного процесса" злоумышленники не смогут получить дополнительные сведения, которые могут быть использованы для проведения атаки на систему. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeProfileSingleProcessPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Profile single process

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93083
        STIG WS2016 V-73799
        CIS WS2019 2.2.42
        CIS WS2022 2.2.42
= Администраторы
(Policy) (Политика)
Предупреждение
Профилирование производительности системы
(CCE-36052-9)
Описание: этот параметр политики позволяет пользователям использовать средства для просмотра производительности различных системных процессов, что может предоставить злоумышленникам возможность определить активные процессы системы и получить сведения о потенциальной уязвимости компьютера. Рекомендуемое состояние для этого параметра — Administrators, NT SERVICE\WdiServiceHost.
Путь к ключу: [Privilege Rights]SeSystemProfilePrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, NT SERVICE\WdiServiceHostпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Производительность системы

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.2.43
        CIS WS2022 2.2.43
<= администраторы, NT SERVICE\WdiServiceHost
(Policy) (Политика)
Предупреждение
Замена маркера уровня процесса
(CCE-37430-6)
Описание: этот параметр политики позволяет одному процессу или службе запускать другую службу или процесс с другим маркером доступа безопасности, который может использоваться для изменения маркера доступа безопасности этого подпроцесса и приводит к последовательному увеличению привилегий. Рекомендуемое состояние для этого параметра — LOCAL SERVICE, NETWORK SERVICE. Примечание. Рядовой сервер, который содержит роль веб-сервера (IIS) со службой роли веб-сервера, потребует особого исключения из этой рекомендации, чтобы пулы приложений IIS получили это право пользователя. Примечание 2. На рядовом сервере с Microsoft SQL Server будет требоваться специальное исключение для этой рекомендации, чтобы предоставить это право дополнительным записям, созданным SQL.
Путь к ключу: [Privilege Rights]SeAssignPrimaryTokenPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь LOCAL SERVICE, NETWORK SERVICEпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Replace a process level token

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.2.44
        CIS WS2022 2.2.44
<= ЛОКАЛЬНАЯ СЛУЖБА, СЕТЕВАЯ СЛУЖБА
(Policy) (Политика)
Предупреждение
Восстановление файлов и каталогов
(CCE-37613-7)
Описание: этот параметр политики определяет, какие пользователи могут обходить разрешения для файлы, каталоги, реестр и другие постоянные объекты при восстановлении резервных копий файлов и каталогов на компьютерах под управлением Windows Vista в вашей среде. Это право также определяет, какие пользователи могут устанавливать действительные субъекты безопасности в качестве владельцев объектов. Это похоже на право пользователя "Резервное копирование файлов и каталогов". Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeRestorePrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Восстановление файлов и каталогов
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.2.45
<= администраторы, операторы резервного копирования
(Policy) (Политика)
Предупреждение
Завершение работы системы
(CCE-38328-1)
Определение: Указывает, каким пользователям и группам, выполнившим локальный вход в систему на компьютерах в вашей среде, разрешено завершить работу операционной системы с помощью команды "Завершение работы". Неправильное использование этого права пользователя может привести к отказу в обслуживании. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeShutdownPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Завершение работы системы

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 2.2.46
        CIS WS2022 2.2.46
<= администраторы, операторы резервного копирования
(Policy) (Политика)
Предупреждение
Смена владельцев файлов и других объектов
(CCE-38325-7)
Описание: этот параметр политики позволяет пользователям становиться владельцами файлов, папок, разделов реестра, процессов или потоков. Это право пользователя обходит все разрешения, установленные для защиты объектов, чтобы предоставить права владения указанному пользователю. Рекомендуемое состояние для этого параметра — Administrators.
Путь к ключу: [Privilege Rights]SeTakeOwnershipPrivilege
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:
Конфигурация компьютера\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Take ownership of files or other objects

Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93087
        STIG WS2016 V-73803
        CIS WS2019 2.2.48
        CIS WS2022 2.2.48
= Администраторы
(Policy) (Политика)
Критически важно
Право пользователя "Олицетворять клиента после проверки подлинности" должно быть назначено только администраторам, службе, локальной службе и сетевой службе.
(AZ-WIN-73785)
Описание. Параметр политики позволяет программам, выполняющимся от имени пользователя, олицетворить этого пользователя (или другую указанную учетную запись), чтобы они могли действовать от имени пользователя. Если это право пользователя требуется для олицетворения такого типа, несанкционированный пользователь не сможет убедить клиента подключиться, например, путем удаленного вызова процедур (RPC) или именованных каналов к службе, которую они создали для олицетворения этого клиента, что может повысить разрешения несанкционированного пользователя на административные или системные уровни. Службы, запущенные диспетчером управления службами, имеют встроенную группу служб, добавленную по умолчанию к маркерам доступа. COM-серверы, запущенные инфраструктурой COM и настроенные для запуска под определенной учетной записью, также добавляют группу служб в маркеры доступа. В результате эти процессы назначаются этому пользователю право при запуске. Кроме того, пользователь может олицетворить маркер доступа, если существуют какие-либо из следующих условий: — маркер доступа, олицетворенный для этого пользователя. — Пользователь в этом сеансе входа в систему вошел в сеть с явными учетными данными для создания маркера доступа. — Запрошенный уровень меньше олицетворения, например анонимный или идентификационный. Злоумышленник с олицетворения клиента после проверки подлинности прав пользователя может создать службу, обмануть клиента, чтобы сделать его подключение к службе, а затем олицетворить этот клиент, чтобы повысить уровень доступа злоумышленника к клиенту. Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Примечание. Это право пользователя считается "конфиденциальным привилегированным" для целей аудита. Примечание 2. Для предоставления этому пользователю дополнительных записей, созданных SQL Server, и его дополнительным компонентом Integration Services потребуется специальное исключение для получения дополнительных записей, созданных SQL.
Путь к ключу: [Privilege Rights]SeImpersonatePrivilege
ОС: WS2016, WS2019
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\олицетворения клиента после проверки подлинности
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.2.31
        CIS WS2019 2.2.31
<= администраторы, служба, локальная служба, сетевая служба
(Policy) (Политика)
Внимание

Компоненты Windows

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Разрешить базовую проверку подлинности
(CCE-36254-1)
Описание: этот параметр политики позволяет определить, будет ли служба удаленного управления Windows (WinRM) принимать базовую проверку подлинности от удаленного клиента. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Удаленное управление Windows (WinRM)\Служба WinRM\Разрешить обычную проверку подлинности
Примечание. Этот путь групповой политики предоставляется шаблоном WindowsRemoteManagement.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93507
        STIG WS2016 V-73599
        CIS WS2019 18.9.102.1.1
        CIS WS2022 18.9.102.2.1
Не существует или = 0
(Registry) (Реестр)
Критически важно
Разрешить диагностические данные
(AZ-WIN-00169)
Описание: этот параметр политики определяет объем данных о диагностике и использовании, отправляемый в Майкрософт. При значении 0 система будет отсылать минимальные данные в корпорацию Майкрософт. Эти данные включают данные средства удаления вредоносных программ (MSRT) и защитника Windows, если они включены, а также параметры клиента телеметрии. Установка значения 0 применяется только к корпоративным, образовательным (EDU) и серверным устройствам, а также устройствам "Интернета вещей" (IoT). Установка значения 0 для других устройств эквивалентна выбору значения 1. Значение 1 отправляет только базовый объем данных о диагностике и использовании. Обратите внимание, что установка значений 0 или 1 приведет к снижению определенных функций на устройстве. Значение 2 отправляет расширенные данные о диагностике и использовании. Значение 3 отправляет те же данные, что и значение 2, а также дополнительные диагностические данные, включая файлы и содержимое, которые могли вызвать проблемы. Параметры телеметрии Windows 10 применяются к операционной системе Windows и некоторым приложениям первого производителя. Этот параметр не распространяется на сторонние приложения, работающие в Windows 10. Рекомендуемое состояние для этого параметра — Enabled: 0 - Security [Enterprise Only]. Важно: если для параметра "разрешить телеметрию" задано значение "0 — Security [Enterprise Only] (0 — безопасность [только Корпоративная])", то параметр "Отложить обновления" в Центре обновления Windows и сами обновления не будут действовать.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса или Enabled: Diagnostic data off (not recommended) Enabled: Send required diagnostic data:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Сбор данных и предварительные сборки\Разрешить диагностические данные
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики DataCollection.admx/adml, который входит в состав административных шаблонов Microsoft Windows 11 версии 21H2 (или более поздней версии).
Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван " Разрешить телеметрию", но он был переименован в Allow Diagnostic Data , начиная с административных шаблонов Windows 11 выпуска 21H2.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93257
        STIG WS2016 V-73551
        CIS WS2019 18.9.17.1
        CIS WS2022 18.9.17.1
>= 1
(Registry) (Реестр)
Предупреждение
Разрешить индексирование зашифрованных файлов
(CCE-38277-0)
Описание: этот параметр политики определяет, разрешено ли индексирование зашифрованных элементов. При изменении этого параметра индекс полностью перестраивается. Чтобы обеспечить безопасность зашифрованных файлов, необходимо использовать полное шифрование тома (например, шифрование диска BitLocker или решение, не являющееся решением корпорации Майкрософт) в месте расположения индекса. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Поиск\Разрешить индексирование зашифрованных файлов
Примечание. Этот путь групповой политики предоставляется шаблоном Search.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93415
        STIG WS2016 V-73581
        CIS WS2019 18.9.67.3
        CIS WS2022 18.9.67.3
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Разрешить необязательные учетные записи Майкрософт
(CCE-38354-7)
Описание: этот параметр политики позволяет указать, являются ли учетные записи Майкрософт необязательными для приложений Магазина Windows, которым требуется учетная запись для входа. Эта политика влияет только на приложения Магазина Windows, поддерживающие его. Если этот параметр политики включен, приложения Магазина Windows, которые обычно требуют входа учетной записи Майкрософт, позволят пользователям входить с помощью корпоративной учетной записи. Если этот параметр политики отключен или не настроен, пользователям потребуется войти с помощью учетной записи Майкрософт.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional
ОС: WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Среда выполнения приложения\Разрешить учетным записям Майкрософт быть необязательными
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики AppXRuntime.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.1 и Server 2012 R2 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.6.1
= 1
(Registry) (Реестр)
Предупреждение
Разрешить незашифрованный трафик
(CCE-38223-4)
Описание: этот параметр политики позволяет управлять тем, будет ли служба удаленного управления Windows (WinRM) отправлять и принимать незашифрованные сообщения по сети. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Удаленное управление Windows (WinRM)\WinRM Service\Allow unencrypted traffic
Примечание. Этот путь групповой политики предоставляется шаблоном WindowsRemoteManagement.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93499
        STIG WS2016 V-73601
        CIS WS2019 18.9.102.1.2
        CIS WS2022 18.9.102.1.2
        CIS WS2019 18.9.102.2.3
        CIS WS2022 18.9.102.2.3
Не существует или = 0
(Registry) (Реестр)
Критически важно
Разрешить пользователю управлять установкой
(CCE-36400-0)
Описание: этот параметр политики позволяет пользователям изменять параметры установки, которые обычно доступны только системным администраторам. Если вы отключаете или не настраиваете этот параметр политики, функции безопасности установщика Windows запрещают пользователям изменять параметры установки, обычно доступные только системным администраторам, например указание каталога, в который устанавливаются файлы. Если установщик Windows обнаруживает, что пакет установки позволил пользователю изменить защищенный параметр, он останавливает установку и отображает сообщение. Эти функции безопасности работают только в том случае, если программа установки запущена в привилегированном контексте безопасности, в котором он имеет доступ к каталогам, отказано в доступе к пользователю. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Установщик Windows\Разрешить управление пользователями над установками
Примечание. Этот путь групповой политики предоставляется шаблоном MSI.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows. Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр был назван " Включить управление пользователями над установками", но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93199
        STIG WS2016 V-73583
        CIS WS2019 18.9.90.1
        CIS WS2022 18.9.90.1
Не существует или = 0
(Registry) (Реестр)
Критически важно
Всегда устанавливать с повышенными правами
(CCE-37490-0)
Описание: этот параметр определяет, следует ли установщику Windows использовать разрешения системы при установке любой программы в системе. Важно: этот параметр присутствует как в папке "Конфигурация компьютера", так и в папке "Конфигурация пользователя". Чтобы этот параметр политики действовал, он должен быть включен в обеих папках. Внимание! Опытные пользователи могут воспользоваться разрешениями, предоставленными этим параметром политики, для изменения своих привилегий и получения постоянного доступа к ограниченным файлам и папкам. Обратите внимание, что версия "Конфигурация пользователя" этого параметра политики не гарантирует безопасность. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Установщик Windows\Always install с повышенными привилегиями
Примечание. Этот путь групповой политики предоставляется шаблоном MSI.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93201
        STIG WS2016 V-73585
        CIS WS2019 18.9.90.2
        CIS WS2022 18.9.90.2
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Всегда запрашивать пароль при подключении
(CCE-37929-7)
Описание: этот параметр политики определяет, всегда ли службы удаленных рабочих столов запрашивают пароль клиента при подключении. Этот параметр политики можно использовать, чтобы принудительно обеспечить ввод пароля пользователями, которые входят в службы терминалов, даже если они уже указали пароль в клиенте подключения к удаленному рабочему столу. По умолчанию службы удаленных рабочих столов разрешают автоматический вход, если пароль был введен на клиенте подключений к удаленному рабочему столу. Важно: если этот параметр политики не настроен, администратор локального компьютера может использовать средство настройки служб терминалов, чтобы разрешить или запретить автоматическую отправку паролей.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеанса удаленного рабочего стола\Безопасность\Всегда запрашивать пароль при подключении
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В административных шаблонах Microsoft Windows Vista этот параметр был назван клиентом Always prompt для пароля при подключении, но он был переименован начиная с административных шаблонов Windows Server 2008 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.65.3.9.1
= 1
(Registry) (Реестр)
Критически важно
Приложение: управление поведением журнала событий при достижении максимального размера файла журнала
(CCE-37775-4)
Описание: этот параметр политики управляет поведением журнала событий при достижении максимального размера файла журнала. Если включить этот параметр политики, по достижении максимального размера файла журнала новые события не будут записываться в журнал и будут утеряны. Если этот параметр отключен или не настроен, а файл журнала достигает максимального размера, новые события перезаписывают старые. Примечание. Старые события могут храниться или не сохраняются в соответствии с параметром политики "Автоматическое резервное копирование" в журнале резервного копирования.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Служба журналов событий\Application\Control, когда файл журнала достигает максимального размера
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван "Сохранить старые события", но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.27.1.1
Не существует или = 0
(Registry) (Реестр)
Критически важно
Приложение: укажите максимальный размер файла журнала (КБ)
(CCE-37948-7)
Описание: этот параметр политики задает максимальный размер файла журнала в килобайтах. Если этот параметр политики включен, можно настроить максимальный размер файла журнала в диапазоне от 1 мегабайта (1024 килобайта) до 2 терабайтов (2147483647 килобайт) в килобайтах. Если этот параметр политики отключен или не настроен, максимальный размер файла журнала будет установлен на локально настроенное значение. Это значение можно изменить локальным администратором с помощью диалогового окна "Свойства журнала" и по умолчанию — 20 мегабайт.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 32,768 or greaterпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Служба журналов событий\Application\Указание максимального размера файла журнала (КБ)
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван максимальным размером журнала (КБ), но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.27.1.2
>= 32768
(Registry) (Реестр)
Критически важно
Блокировать проверку подлинности учетных записей Майкрософт для потребителей
(AZ-WIN-20198)
Описание. Этот параметр определяет, могут ли приложения и службы на устройстве использовать новую проверку подлинности учетной записи клиента Майкрософт через Windows OnlineID и WebAccountManager API. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth
ОС: WS2016, WS2019
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Учетные записи Майкрософт\Блокировать проверку подлинности всех пользователей учетной записи потребителя Майкрософт
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.46.1
        CIS WS2019 18.9.46.1
= 1
(Registry) (Реестр)
Критически важно
Настройка переопределения локального параметра для создания отчетов в Microsoft MAPS
(AZ-WIN-00173)
Описание: этот параметр политики позволяет настроить локальное переопределение конфигурации для присоединения к Microsoft MAPS. Этот параметр можно задать только групповой политикой. При включении этого параметра политики локальная настройка будет иметь приоритет перед групповой политикой. Если этот параметр отключен или не настроен, групповая политика будет иметь приоритет перед локальной настройкой.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Антивирусная программа Защитника Windows\MAPS\Настройка локального параметра переопределяются для создания отчетов в Microsoft MAPS
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном WindowsDefender.admx/adml групповой политики, который входит в состав административных шаблонов Microsoft Windows 8.1 и Server 2012 R2 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.47.4.1
        CIS WS2022 18.9.47.4.1
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Настроить Windows SmartScreen
(CCE-35859-8)
Описание: этот параметр политики позволяет управлять поведением Windows SmartScreen. Windows SmartScreen помогает защитить компьютеры с помощью предупреждений перед запуском неопознанных программ, загружаемых из Интернета. Некоторые сведения по файлам и программам, запущенным на компьютерах с этой функцией, отправляются в корпорацию Майкрософт. Если этот параметр политики включен, поведение Windows SmartScreen может контролироваться путем установки одного из следующих параметров: * Предоставьте пользователю предупреждение перед запуском скачанное неизвестное программное обеспечение * Отключите или не настраиваете этот параметр политики, поведение Windows SmartScreen управляется администраторами на компьютере с помощью параметров Windows SmartScreen в системе безопасности и обслуживания. Параметры: * Предоставьте пользователю предупреждение перед запуском скачанное неизвестное программное обеспечение * Отключите SmartScreen
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса: предупреждение и предотвращение обхода: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Компоненты Windows\SmartScreen\Explorer\Настройка SmartScreen Defender в Защитнике Windows: этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики WindowsExplorer.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2). Примечание 2. В более старых административных шаблонах Microsoft Windows этот параметр изначально был назван "Настройка SmartScreen Windows", но он был переименован начиная с административных шаблонов Windows 10 выпуска 1703.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.85.1.1
= 1
(Registry) (Реестр)
Предупреждение
Обнаружение изменений из порта RDP по умолчанию
(AZ-WIN-00156)
Описание: этот параметр определяет, был ли сетевой порт, прослушиваемый для подключения удаленного рабочего стола, изменен со значения по умолчанию (3389)
Путь к ключу: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: неприменимо
Сопоставления стандартов соответствия:
= 3389
(Registry) (Реестр)
Критически важно
Отключение службы поиска Windows Search
(AZ-WIN-00176)
Описание: этот параметр реестра отключает службу поиска Windows
Путь к ключу: System\CurrentControlSet\Services\Wsearch\Start
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: неприменимо
Сопоставления стандартов соответствия:
Не существует или = 4
(Registry) (Реестр)
Критически важно
Запретить автозапуск устройств, не являющихся томами
(CCE-37636-8)
Описание: этот параметр политики запрещает автоматическое воспроизведение для устройств MTP, таких как камеры и телефоны. Если этот параметр политики включен, автоматическое воспроизведение не допускается для устройств MTP, таких как камеры или телефоны. Если этот параметр политики отключен или не настроен, автозапуск включен для устройств, отличных от томов.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume
ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Политики автозапуска\Запрет автозапуска для устройств без томов
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики AutoPlay.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.8.1
= 1
(Registry) (Реестр)
Критически важно
Запрет дайджест-проверки подлинности
(CCE-38318-2)
Описание: этот параметр политики позволяет определить, будет ли клиент службы удаленного управления Windows (WinRM) использовать обычную проверку подлинности вместо дайджест-проверки. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Удаленное управление Windows (WinRM)\WinRM Client\Disallow Digest Authentication
Примечание. Этот путь групповой политики предоставляется шаблоном WindowsRemoteManagement.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93505
        STIG WS2016 V-73597
        CIS WS2019 18.9.102.1.3
        CIS WS2022 18.9.102.1.3
= 0
(Registry) (Реестр)
Критически важно
Запретить WinRM хранить учетные данные запуска от имени
(CCE-36000-8)
Описание: этот параметр политики позволяет управлять возможностью службы удаленного управления Windows (WinRM) не разрешать сохранение учетных данных запуска от имени для любых подключаемых модулей. При включенном параметре политики, служба WinRM не разрешит задавать значения конфигурации RunAsUser или RunAsPassword для каких-либо подключаемых модулей. Если подключаемый модуль уже установил значения конфигурации RunAsUser и RunAsPassword, значение конфигурации RunAsPassword будет удалено из хранилища учетных данных на этом компьютере. Если этот параметр отключен или не настроен, служба WinRM разрешит установку значений конфигурации RunAsUser и RunAsPassword для подключаемых модулей, а значение RunAsPassword будет храниться в безопасном месте. Если включить и затем отключить этот параметр политики, то все значения, ранее настроенные для параметра RunAsPassword, потребуется сбросить.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Удаленное управление Windows (WinRM)\WinRM Service\Disallow WinRM от хранения учетных данных запуска
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "WindowsRemoteManagement.admx/adml", который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.102.2.4
= 1
(Registry) (Реестр)
Критически важно
Запретить сохранение паролей
(CCE-36223-6)
Описание: этот параметр политики позволяет запретить клиентам служб терминалов сохранять пароли на компьютере. Важно: если этот параметр политики ранее был отключен или не настроен, все ранее сохраненные пароли будут удалены при первом отключении клиента служб терминалов с любого сервера.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу\Не разрешать сохранять пароли
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.65.2.2
= 1
(Registry) (Реестр)
Критически важно
Не удалять временные папки при выходе
(CCE-37946-1)
Описание: этот параметр политики определяет, будет ли службы удаленных рабочих столов хранить временные папки пользователя по сеансам при выходе из системы. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеанса удаленного рабочего стола\Временные папки\Не удалять временные папки при выходе
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В более старых административных шаблонах Microsoft Windows этот параметр был назван " Не удалять временную папку при выходе", но она была переименована начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.65.3.11.1
Не существует или = 1
(Registry) (Реестр)
Предупреждение
Не отображать кнопку "Показать пароль"
(CCE-37534-5)
Описание: этот параметр политики позволяет настроить отображение кнопки показа пароля в пользовательском интерфейсе ввода пароля. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal
ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Пользовательский интерфейс учетных данных\Не отображать кнопку "Показать пароль"
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики CredUI.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.16.1
= 1
(Registry) (Реестр)
Предупреждение
Запрет отображения уведомлений об отзывах
(AZ-WIN-00140)
Описание: этот параметр политики позволяет организации запрещать отображение на своих устройствах вопросов с предложением Майкрософт отправить отзыв. Если этот параметр политики включен, пользователи больше не увидят уведомления об отзывах в приложении обратной связи Windows. Если этот параметр отключен или не настроен, пользователи смогут видеть уведомления с запросом обратной связи в приложении обратной связи Windows. Важно: если этот параметр отключен или не настроен, пользователи сами смогут управлять частотой появления запросов на обратную связь.
Путь ключу: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Сбор данных и предварительные сборки\Не показывать уведомления отзывов
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "FeedbackNotifications.admx/adml", который входит в состав административных шаблонов Microsoft Windows 10 версии 1511 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.17.4
= 1
(Registry) (Реестр)
Критически важно
Не использовать временные папки за сеанс
(CCE-38180-6)
Описание: по умолчанию служба удаленного рабочего стола создает отдельную временную папку на сервере узла сеансов удаленных рабочих столов для каждого активного сеанса, который пользователь поддерживает на сервере узла сеансов удаленных рабочих столов. Временная папка создается на сервере узла сеансов удаленных рабочих столов во временной папке Temp,в каталоге профиля пользователя с именем "sessionid". Эта временная папка используется для хранения индивидуальных временных файлов. Чтобы освободить место на диске, временная папка удаляется при выходе пользователя из сеанса. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеанса удаленного рабочего стола\Временные папки\Не использовать временные папки на сеанс
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.65.3.11.2
Не существует или = 1
(Registry) (Реестр)
Критически важно
Перечисление учетных записей администраторов при повышении прав
(CCE-36512-2)
Описание: этот параметр политики определяет, отображаются ли учетные записи администратора, когда пользователь пытается повысить права для запущенного приложения. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Пользовательский интерфейс учетных данных\Перечисление учетных записей администратора при повышении прав
Примечание. Этот путь групповой политики предоставляется шаблоном CredUI.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93517
        STIG WS2016 V-73487
        CIS WS2019 18.9.16.2
        CIS WS2022 18.9.16.2
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Запретить загрузку вложений
(CCE-37126-0)
Описание: этот параметр политики запрещает скачивание вложений (вложенных файлов) из веб-канала на компьютер пользователя. Рекомендуемое состояние для этого параметра — Enabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\RSS-каналы\Предотвращение скачивания корпусов
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики InetRes.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В более старых административных шаблонах Microsoft Windows этот параметр был назван отключением загрузки корпусов, но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.66.1
= 1
(Registry) (Реестр)
Предупреждение
Требовать безопасный обмен данными RPC
(CCE-37567-5)
Описание: указывает, требует ли сервер узла сеансов удаленных рабочих столов безопасные RPC-подключения от всех клиентов, либо допускает небезопасные подключения. Этот параметр можно использовать для укрепления безопасности связи RPC с клиентами, разрешая только прошедшие проверку подлинности и зашифрованные запросы. Если задано значение "Включено", службы удаленных рабочих столов принимают запросы от клиентов RPC, поддерживающих безопасные запросы, и не разрешает незащищенное взаимодействие с ненадежными клиентами. Если для состояния задано значение "Отключено", службы удаленных рабочих столов всегда запрашивают безопасность для всего трафика RPC. Однако незащищенное взаимодействие разрешено для клиентов RPC, которые не отвечают на запрос. Если для состояния задано значение "Не настроено", разрешено незащищенное взаимодействие. Примечание. Интерфейс RPC используется для администрирования и настройки служб удаленных рабочих столов.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеанса удаленного рабочего стола\Безопасность\Требовать безопасное взаимодействие RPC
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.65.3.9.2
= 1
(Registry) (Реестр)
Критически важно
Требовать проверку подлинности пользователей для удаленных подключений с помощью проверки подлинности на уровне сети
(AZ-WIN-00149)
Описание: требование проверки подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеанса удаленного рабочего стола\Безопасность\Требовать проверку подлинности пользователя для удаленных подключений с помощью проверки подлинности на уровне сети
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В административных шаблонах Microsoft Windows Vista этот параметр изначально был назван "Требовать проверку подлинности пользователей с помощью RDP 6.0 для удаленных подключений", но он был переименован начиная с административных шаблонов Windows Server 2008 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.65.3.9.4
Не существует или = 1
(Registry) (Реестр)
Критически важно
Проверять съемные носители
(AZ-WIN-00177)
Описание: этот параметр политики позволяет управлять тем, следует ли проверять наличие вредоносных и нежелательных программ в содержимом съемных носителей, таких как USB-накопители, при выполнении полной проверки. Если этот параметр включен, съемные диски будут проверяться во время проверки любого типа. Если этот параметр отключен или не настроен, съемные носители не будет проверяться во время полного сканирования. Съемные диски по-прежнему могут быть проанализированы во время быстрой проверки и пользовательской проверки.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Антивирусная программа Защитника Windows\Сканирование\Сканирование съемных дисков
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном WindowsDefender.admx/adml групповой политики, который входит в состав административных шаблонов Microsoft Windows 8.1 и Server 2012 R2 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.47.12.1
        CIS WS2022 18.9.47.12.1
= 0
(Registry) (Реестр)
Критически важно
Безопасность: управление поведением журнала событий при достижении максимального размера файла журнала
(CCE-37145-0)
Описание: этот параметр политики управляет поведением журнала событий при достижении максимального размера файла журнала. Если включить этот параметр политики, по достижении максимального размера файла журнала новые события не будут записываться в журнал и будут утеряны. Если этот параметр отключен или не настроен, а файл журнала достигает максимального размера, новые события перезаписывают старые. Примечание. Старые события могут храниться или не сохраняются в соответствии с параметром политики "Автоматическое резервное копирование" в журнале резервного копирования.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Служба журналов событий\Безопасность\Управление поведением журнала событий, когда файл журнала достигает максимального размера
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван "Сохранить старые события", но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.27.2.1
Не существует или = 0
(Registry) (Реестр)
Критически важно
Безопасность: укажите максимальный размер файла журнала (КБ)
(CCE-37695-4)
Описание: этот параметр политики задает максимальный размер файла журнала в килобайтах. Если этот параметр включен, можно настроить максимальный размер файла журнала, задав его размер между 1 мегабайтом (1024 килобайта) и 2 терабайтами (2 147 483 647 килобайт) с шагом в один килобайт. Если этот параметр политики отключен или не настроен, максимальный размер файла журнала будет установлен на локально настроенное значение. Это значение можно изменить локальным администратором с помощью диалогового окна "Свойства журнала" и по умолчанию — 20 мегабайт.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 196,608 or greaterпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Служба журналов событий\Безопасность\Укажите максимальный размер файла журнала (КБ)
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван максимальным размером журнала (КБ), но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.27.2.2
>= 196608
(Registry) (Реестр)
Критически важно
Отправлять образцы файлов, если требуется дальнейший анализ
(AZ-WIN-00126)
Описание: этот параметр политики используется для настройки поведения отправки образцов при активной телеметрии сопоставлений. Возможные варианты: (0x0) Всегда запрашивать (0x1) Автоматически отправлять безопасные выборки (0x2) Никогда не отправлять (0x3) Автоматически отправлять все выборки
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: конфигурация компьютера\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\MAPS\Send примеры файлов при необходимости дальнейшего анализа
Сопоставления стандартов соответствия:
= 1
(Registry) (Реестр)
Предупреждение
Установить уровень шифрования для клиентских подключений
(CCE-36627-8)
Описание: этот параметр политики указывает, будет ли компьютер, на котором будет размещаться удаленное подключение, применять уровень шифрования для всех передаваемых между ним и компьютером-клиентом данных для удаленного сеанса.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: High Levelпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеанса удаленного рабочего стола\Безопасность\Настройка уровня шифрования подключения клиента
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.65.3.9.5
Не существует или = 3
(Registry) (Реестр)
Критически важно
Установка поведения по умолчанию для автозапуска
(CCE-38217-6)
Описание: этот параметр политики задает поведение по умолчанию для команд автозапуска. Команды автозапуска в основном хранятся в файлах autorun.inf. Они часто запускают программу установки или другие подпрограммы. До Windows Vista при вставке носителя, содержащего команду автозапуска, система автоматически выполняла программу без вмешательства пользователя. Такой подход является серьезной проблемой безопасности, так как код может выполняться без ведома пользователя. Поведение по умолчанию, начиная с Windows Vista, заключается в запросе пользователя о необходимости запуска команды autorun. Команда автозапуска представлена в виде обработчика в диалоговом окне автозапуска. При включении этого параметра политики, администратор может изменить поведение по умолчанию в Windows Vista или более поздней версии на: a) полностью отключить команды автозапуска или б) вернуться к поведению до Windows Vista — автоматическому выполнению команды автозапуска. Если этот параметр отключен или не настроен в Windows Vista или более поздней версии, система будет выводить запрос о необходимости запуска autorun.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: Do not execute any autorun commandsпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Политики автозапуска\Настройка поведения по умолчанию для автозапуска
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики AutoPlay.admx/adml, который входит в состав административных шаблонов Microsoft Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.8.2
= 1
(Registry) (Реестр)
Критически важно
Настройка: управление поведением журнала событий при достижении максимального размера файла журнала
(CCE-38276-2)
Описание: этот параметр политики управляет поведением журнала событий при достижении максимального размера файла журнала. Если включить этот параметр политики, по достижении максимального размера файла журнала новые события не будут записываться в журнал и будут утеряны. Если этот параметр отключен или не настроен, а файл журнала достигает максимального размера, новые события перезаписывают старые. Примечание. Старые события могут храниться или не сохраняются в соответствии с параметром политики "Автоматическое резервное копирование" в журнале резервного копирования.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Служба журналов событий\Настройка\Управление поведением журнала событий, когда файл журнала достигает максимального размера
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван "Сохранить старые события", но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.27.3.1
Не существует или = 0
(Registry) (Реестр)
Критически важно
Настройка: укажите максимальный размер файла журнала (КБ)
(CCE-37526-1)
Описание: этот параметр политики задает максимальный размер файла журнала в килобайтах. Если этот параметр включен, можно настроить максимальный размер файла журнала, задав его размер между 1 мегабайтом (1024 килобайта) и 2 терабайтами (2 147 483 647 килобайт) с шагом в один килобайт. Если этот параметр политики отключен или не настроен, максимальный размер файла журнала будет установлен на локально настроенное значение. Это значение можно изменить локальным администратором с помощью диалогового окна "Свойства журнала" и по умолчанию — 20 мегабайт.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 32,768 or greaterпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Служба журналов событий\Настройка\Указание максимального размера файла журнала (КБ)
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван максимальным размером журнала (КБ), но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.27.3.2
>= 32768
(Registry) (Реестр)
Критически важно
Автоматически впускать последнего интерактивного пользователя после инициирования системой перезапуска
(CCE-36977-7)
Описание: этот параметр политики определяет, будет ли устройство автоматически впускать в систему последнего интерактивного пользователя после того, как центр обновления Windows перезагрузит систему. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn
ОС: WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: Disabled:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Параметры входа Windows\Вход последнего интерактивного пользователя автоматически после перезагрузки, инициированной системой
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном WinLogon.admx/adml групповой политики, который входит в состав административных шаблонов Microsoft Windows 8.1 и Server 2012 R2 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93269
        STIG WS2016 V-73589
        CIS WS2019 18.9.86.1
        CIS WS2022 18.9.86.1
= 1
(Registry) (Реестр)
Критически важно
Указание интервала для проверки обновлений определений
(AZ-WIN-00152)
Описание: этот параметр политики позволяет задать интервал, с которым нужно проверять наличие обновлений определений. Значение времени представлено как количество часов между проверками обновления. Допустимые значения варьируются от 1 (каждый час) до 24 (один раз в день). При включении этого параметра политики наличие обновлений для определений будет проверяться с указанным интервалом. Если этот параметр отключен или не настроен, проверка обновлений для определений будет производиться с интервалом по умолчанию.
Путь к ключу: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval
ОС: WS2008, WS2008R2, WS2012, WS2012R2
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Обновления аналитики безопасности\Укажите интервал для проверки обновлений аналитики безопасности
Сопоставления стандартов соответствия:
= 8
(Registry) (Реестр)
Критически важно
Система: управление поведением журнала событий при достижении максимального размера файла журнала
(CCE-36160-0)
Описание: этот параметр политики управляет поведением журнала событий при достижении максимального размера файла журнала. Если включить этот параметр политики, по достижении максимального размера файла журнала новые события не будут записываться в журнал и будут утеряны. Если этот параметр отключен или не настроен, а файл журнала достигает максимального размера, новые события перезаписывают старые. Примечание. Старые события могут храниться или не сохраняются в соответствии с параметром политики "Автоматическое резервное копирование" в журнале резервного копирования.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Служба журналов событий\System\Control Журнал событий, когда файл журнала достигает максимального размера
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван "Сохранить старые события", но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.27.4.1
Не существует или = 0
(Registry) (Реестр)
Критически важно
Система: укажите максимальный размер файла журнала (КБ)
(CCE-36092-5)
Описание: этот параметр политики задает максимальный размер файла журнала в килобайтах. Если этот параметр включен, можно настроить максимальный размер файла журнала, задав его размер между 1 мегабайтом (1024 килобайта) и 2 терабайтами (2 147 483 647 килобайт) с шагом в один килобайт. Если этот параметр политики отключен или не настроен, максимальный размер файла журнала будет установлен на локально настроенное значение. Это значение можно изменить локальным администратором с помощью диалогового окна "Свойства журнала" и по умолчанию — 20 мегабайт.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 32,768 or greaterпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Служба журнала событий\System\Укажите максимальный размер файла журнала (КБ)
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Примечание 2. В старых административных шаблонах Microsoft Windows этот параметр изначально был назван максимальным размером журнала (КБ), но он был переименован начиная с административных шаблонов Windows 8.0 и Server 2012 (не R2).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.27.4.2
>= 32768
(Registry) (Реестр)
Критически важно
Средствам программы совместимости приложений должен быть запрещен сбор данных и отправка информации в корпорацию Майкрософт.
(AZ-WIN-73543)
Описание. Некоторые функции могут взаимодействовать с поставщиком, отправлять сведения о системе или загружать данные или компоненты для этой функции. Отключение этой возможности позволит предотвратить отправку потенциально конфиденциальной информации за пределы предприятия и предотвратит неконтролируемые обновления системы. Этот параметр не позволит инвентаризации программ собирать данные о системе и отправлять сведения в корпорацию Майкрософт.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory
ОС: WS2016, WS2019, WS2022
Тип сервера: член домена
Путь групповой политики: конфигурация компьютера\Административные шаблоны\Компоненты Windows\Совместимость приложений\Отключение сборщика инвентаризации
Сопоставления стандартов соответствия:
= 1
(Registry) (Реестр)
Информационный
Отключить автозапуск
(CCE-36875-3)
Описание: автозапуск начинает чтение с диска сразу после вставки носителя в диск, что приводит к немедленному запуску файла установки для программ или воспроизведению звукового мультимедиа-файла с носителя. Злоумышленник может использовать эту функцию для запуска программы, которая приведет к повреждению компьютера или данных на компьютере. Можно включить параметр "Отключить автозапуск", чтобы отключить функцию автозапуска. По умолчанию автозапуск отключен на некоторых съемных носителях, таких как дискеты и сетевые диски, но не на устройствах чтения компакт-дисков. Важно: данный параметр политики нельзя использовать для включения автозапуска на дисках, на которых он отключен по умолчанию, например, дискетах и сетевых дисках.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: All drivesпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Политики автозапуска\Отключение автоматического воспроизведения
Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики AutoPlay.admx/adml, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.8.3
= 255
(Registry) (Реестр)
Критически важно
Отключить предотвращение выполнения данных для Проводника
(CCE-37809-1)
Описание: отключение предотвращения выполнения данных позволяет некоторым устаревшим подключаемым приложениям работать без завершения работы Проводника. Рекомендуемое состояние для этого параметра — Disabled. Важно: некоторые устаревшие подключаемые приложения и другие программы могут не работать с предотвращением выполнения данных. Для этого конкретного подключаемого модуля или программного обеспечения необходимо определить исключение.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention
ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\проводник\Отключение предотвращения выполнения данных для обозревателя
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном Explorer.admx/adml групповой политики, который входит в состав административных шаблонов Microsoft Windows 7 и Server 2008 R2 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93563
        STIG WS2016 V-73561
        CIS WS2019 18.9.31.2
        CIS WS2022 18.9.31.2
Не существует или = 0
(Registry) (Реестр)
Критически важно
Отключить завершение кучи при повреждении
(CCE-36660-9)
Описание: без прерывания кучи при повреждении устаревшие подключаемые приложения могут продолжать работать при повреждении сеанса обозревателя файлов. Предотвращение активного сбоя кучи при сбое необходимо, чтобы не допустить подобного сценария. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\проводник\Отключение завершения кучи при повреждении
Примечание. Этот путь групповой политики предоставляется шаблоном Explorer.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93261
        STIG WS2016 V-73563
        CIS WS2019 18.9.31.3
        CIS WS2022 18.9.31.3
Не существует или = 0
(Registry) (Реестр)
Критически важно
Выключение возможностей потребителя Microsoft
(AZ-WIN-00144)
Описание: этот параметр политики отключает возможности, которые помогают потребителям наиболее эффективно использовать устройства и учетную запись Майкрософт. Если этот параметр политики включен, пользователи больше не увидят персонализированные рекомендации от корпорации Майкрософт и уведомления о своей учетной записи Майкрософт. Если этот параметр отключен или не настроен, пользователи будут видеть предложения и уведомления от Майкрософт касательно их учетной записи. Важно: этот параметр относится только к корпоративным и образовательным SKU.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Облачное содержимое\Отключение взаимодействия с потребителями Майкрософт
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики CloudContent.admx/adml, включенным в состав административных шаблонов Microsoft Windows 10 версии 1511 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.14.2
Не существует или = 1
(Registry) (Реестр)
Предупреждение
Отключить защищенный режим протокола оболочки
(CCE-36809-2)
Описание: этот параметр политики позволяет настроить объем функциональных возможностей, которые может иметь протокол оболочки. При использовании всех функций этого протокола приложения могут открывать папки и запускать файлы. Защищенный режим сокращает функциональные возможности этого протокола, позволяя приложениям открывать только ограниченный набор папок. Приложения не могут открывать файлы с этим протоколом, если он находится в защищенном режиме. Рекомендуется оставить этот протокол в защищенном режиме, чтобы повысить безопасность Windows. Рекомендуемое состояние для этого параметра — Disabled.
Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior
ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\проводник\Отключение защищенного режима протокола оболочки
Примечание. Этот путь групповой политики предоставляется шаблоном WindowsExplorer.admx/adml групповой политики, включенным во все версии административных шаблонов Microsoft Windows.
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        STIG WS2019 V-93263
        STIG WS2016 V-73565
        CIS WS2019 18.9.31.4
        CIS WS2022 18.9.31.4
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Включение мониторинга поведения
(AZ-WIN-00178)
Описание: этот параметр политики позволяет настроить контроль поведения. Если этот параметр включен или не настроен, контроль поведения будет осуществляться. Если этот параметр отключен, контроль поведения также будет отключен.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Антивирусная программа Защитника Windows\Защита в реальном времени\Включение мониторинга поведения
Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном WindowsDefender.admx/adml групповой политики, который входит в состав административных шаблонов Microsoft Windows 8.1 и Server 2012 R2 (или более поздней версии).
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2019 18.9.47.9.3
        CIS WS2022 18.9.47.9.3
Не существует или = 0
(Registry) (Реестр)
Предупреждение
Включение ведения журнала блоков скриптов PowerShell
(AZ-WIN-73591)
Описание. Этот параметр политики включает ведение журнала всех входных данных скрипта PowerShell в Applications and Services Logs\Microsoft\Windows\PowerShell\Operational канал журнала событий. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Если ведение журнала событий запуска и остановки блока скрипта включено (установлен флажок флажок), PowerShell записывает дополнительные события при вызове команды, блока скрипта, функции или скрипта начинается или останавливается. Включение этого параметра создает большой объем журналов событий. CIS намеренно выбрал не делать рекомендацию по этому варианту, так как она создает большой объем событий. Если организация решит включить необязательный параметр (установлен), это также соответствует тесту.
Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging
ОС: WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена, член Рабочей группы
Путь групповой политики: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Windows PowerShell\Включение ведения журнала блоков скриптов PowerShell
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 18.9.100.1
        CIS WS2019 18.9.100.1
= 1
(Registry) (Реестр)
Внимание

Параметры Windows — параметры безопасности

Имя.
(ID) (Идентификатор)
Сведения Ожидаемое значение
(Type) (Тип)
Важность
Назначение квот памяти процессам
(CCE-10849-8)
Описание. Этот параметр политики позволяет пользователю настраивать максимальный объем памяти, доступный для процесса. Возможность настройки квот памяти полезна для настройки системы, но ее можно использовать. В неправильных руках его можно использовать для запуска атаки типа "отказ в обслуживании" (DoS). Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE, NETWORK SERVICE. Примечание. Рядовой сервер, который содержит роль веб-сервера (IIS) со службой роли веб-сервера, потребует особого исключения из этой рекомендации, чтобы пулы приложений IIS получили это право пользователя. Примечание 2. На рядовом сервере с Microsoft SQL Server будет требоваться специальное исключение для этой рекомендации, чтобы предоставить это право дополнительным записям, созданным SQL.
Путь к ключу: [Privilege Rights]SeIncreaseQuotaPrivilege
ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022
Тип сервера: контроллер домена, член домена
Путь групповой политики: конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Настройка квот памяти для процесса
Сопоставления стандартов соответствия:
        Идентификатор платформыимен
        CIS WS2022 2.2.6
        CIS WS2019 2.2.6
<= администраторы, локальная служба, сетевая служба
(Policy) (Политика)
Предупреждение

Примечание.

Возможность использования отдельных определений Политики Azure может отличаться в Azure для государственных организаций и в других национальных облаках.

Следующие шаги

Дополнительные статьи о политике Azure и гостевой конфигурации: