Dela via


Säkerhetsbaslinje för Windows

Den här artikeln beskriver konfigurationsinställningarna för Windows-gäster enligt vad som är tillämpligt i följande implementeringar:

  • [Förhandsversion]: Windows-datorer bör uppfylla kraven för azure-beräkningssäkerhetsbaslinjens gästkonfigurationsdefinition för Azure Policy
  • Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas i Azure Security Center

Mer information finns i Konfiguration av Azure Automanage-datorer.

Viktigt!

Azure Policy-gästkonfiguration gäller endast för Windows Server SKU och Azure Stack SKU. Den gäller inte för slutanvändarberäkning som Windows 10- och Windows 11-SKU:er.

Kontoprinciper – lösenordsprincip

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Varaktighet för kontoutelåsning
(AZ-WIN-73312)
Beskrivning: Den här principinställningen avgör hur lång tid det måste gå innan ett låst konto låses upp och en användare kan försöka logga in igen. Inställningen gör detta genom att ange hur många minuter ett utelåst konto ska förbli otillgängligt. Om värdet för den här principinställningen är konfigurerat till 0 förblir utelåst konton utelåst tills en administratör manuellt låser upp dem. Även om det kan verka som en bra idé att konfigurera värdet för den här principinställningen till ett högt värde, kommer en sådan konfiguration sannolikt att öka antalet samtal som supportavdelningen tar emot för att låsa upp konton som låsts av misstag. Användare bör vara medvetna om hur lång tid ett lås förblir på plats, så att de inser att de bara behöver ringa supportavdelningen om de har ett extremt brådskande behov av att återfå åtkomsten till sin dator. Det rekommenderade tillståndet för den här inställningen är: 15 or more minute(s). Obs! Inställningar för lösenordsprinciper (avsnitt 1.1) och Principinställningar för kontoutelåsning (avsnitt 1.2) måste tillämpas via grupprincipobjektet för standarddomänprincip för att kunna tillämpas globalt på domänanvändarkonton som standardbeteende. Om de här inställningarna har konfigurerats i ett annat grupprincipobjekt påverkar de bara lokala användarkonton på de datorer som tar emot grupprincipobjektet. Anpassade undantag till standardprincipen för lösenord och kontoutelåsningsregler för specifika domänanvändare och/eller grupper kan dock definieras med hjälp av lösenordsinställningar (PSOs), som är helt åtskilda från grupprincipen och enklast konfigureras med Hjälp av Active Directory Administrationscenter.
Nyckelsökväg: [Systemåtkomst]LockoutDuration
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Kontoutelåsningsprincip\Varaktighet för kontoutelåsning
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 1.2.1
        CIS WS2019 1.2.1
>= 15
(Princip)
Varning

Administrativ mall – Window Defender

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Konfigurera identifiering för potentiellt oönskade program
(AZ-WIN-202219)
Beskrivning: Den här principinställningen styr identifiering och åtgärd för potentiellt oönskade program (PUA), som är lömska oönskade programpaket eller deras paketerade program, som kan leverera adware eller skadlig kod. Det rekommenderade tillståndet för den här inställningen är: Enabled: Block. Mer information finns i den här länken: Blockera potentiellt oönskade program med Microsoft Defender antivirusni program | Microsoft Docs
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\Konfigurera identifiering för potentiellt oönskade program
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.47.15
        CIS WS2019 18.9.47.15
= 1
(Register)
Kritiskt
Genomsök alla nedladdade filer och bifogade filer
(AZ-WIN-202221)
Beskrivning: Den här principinställningen konfigurerar genomsökning efter alla nedladdade filer och bifogade filer. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: Programvara\Principer\Microsoft\Windows Defender\Realtidsskydd\DisableIOAVProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\Realtidsskydd\Genomsök alla nedladdade filer och bifogade filer
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.47.9.1
        CIS WS2019 18.9.47.9.1
= 0
(Register)
Varning
Inaktivera Microsoft Defender AntiVirus
(AZ-WIN-202220)
Beskrivning: Den här principinställningen inaktiverar Microsoft Defender antivirusni program. Om inställningen är konfigurerad för Inaktiverad genomsöks Microsoft Defender antivirusni program körningar och datorer efter skadlig kod och annan potentiellt oönskad programvara. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\Inaktivera Microsoft Defender AntiVirus
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.47.16
        CIS WS2019 18.9.47.16
= 0
(Register)
Kritiskt
Inaktivera realtidsskydd
(AZ-WIN-202222)
Beskrivning: Den här principinställningen konfigurerar frågor om realtidsskydd för känd identifiering av skadlig kod. Microsoft Defender antivirusni program varnar dig när skadlig kod eller potentiellt oönskad programvara försöker installera sig själv eller att köras på datorn. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: Programvara\Principer\Microsoft\Windows Defender\Realtidsskydd\DisableRealtimeMonitoring
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\Realtidsskydd\Inaktivera realtidsskydd
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.47.9.2
        CIS WS2019 18.9.47.9.2
= 0
(Register)
Varning
Aktivera e-postgenomsökning
(AZ-WIN-202218)
Beskrivning: Med den här principinställningen kan du konfigurera e-postgenomsökning. När e-postgenomsökning är aktiverat parsar motorn postlådan och e-postfilerna enligt deras specifika format för att analysera e-postkroppar och bifogade filer. Flera e-postformat stöds för närvarande, till exempel pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\Scan\Aktivera e-postgenomsökning
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.47.12.2
        CIS WS2019 18.9.47.12.2
= 0
(Register)
Varning
Aktivera skriptgenomsökning
(AZ-WIN-202223)
Beskrivning: Med den här principinställningen kan skriptgenomsökning aktiveras/inaktiveras. Skriptgenomsökning fångar upp skript och söker sedan igenom dem innan de körs i systemet. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: Programvara\Principer\Microsoft\Windows Defender\Realtidsskydd\DisableScriptScanning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\Realtidsskydd\Aktivera skriptgenomsökning
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.47.9.4
        CIS WS2019 18.9.47.9.4
= 0
(Register)
Varning

Administrativa mallar – Kontrolna tabla

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Tillåt anpassning av indata
(AZ-WIN-00168)
Beskrivning: Den här principen aktiverar den automatiska inlärningskomponenten för indataanpassning som inkluderar tal, pennanteckning och skrivning. Automatisk inlärning möjliggör insamling av tal- och handskriftsmönster, skrivhistorik, kontakter och senaste kalenderinformation. Det krävs för användning av Cortana. En del av den insamlade informationen kan lagras på användarens OneDrive, vid pennanteckning och inmatning. en del av informationen laddas upp till Microsoft för att anpassa tal. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled: Datorkonfiguration\Principer\Administrativa mallar\Kontrolna tabla\Nationella alternativ och språkalternativ\Tillåt användare att aktivera onlinetjänster för taligenkänning Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen Globalization.admx/adml som ingår i microsoft Windows 10 RTM (version 1507) administrativa mallar (eller senare). Obs! #2: I äldre administrativa Microsoft Windows-mallar hette den här inställningen ursprungligen Tillåt anpassning av indata, men den bytte namn till Tillåt användare att aktivera onlinetjänster för taligenkänning från och med administrationsmallarna Windows 10 R1809 & Server 2019.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.1.2.2
= 0
(Register)
Varning

Administrativa mallar – MS-säkerhetsguide

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Inaktivera SMB v1-klienten (ta bort beroendet av LanmanWorkstation)
(AZ-WIN-00122)
Beskrivning: SMBv1 är ett äldre protokoll som använder MD5-algoritmen som en del av SMB. MD5 är känt för att vara sårbar för ett antal attacker, till exempel kollisions- och preimage-attacker, samt att de inte är FIPS-kompatibla.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService
OS: WS2008, WS2008R2, WS2012
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Administrativa mallar\MS-säkerhetsguide\Konfigurera SMBv1-klientdrivrutin
Standardmappningar för efterlevnad:
Finns inte eller = Bowser\0MRxSmb20\0NSI\0\0
(Register)
Kritiskt
WDigest-autentisering
(AZ-WIN-73497)
Beskrivning: När WDigest-autentisering är aktiverat behåller Lsass.exe en kopia av användarens lösenord i klartext i minnet, där det kan vara risk för stöld. Om den här inställningen inte har konfigurerats inaktiveras WDigest-autentiseringen i Windows 8.1 och i Windows Server 2012 R2. den är aktiverad som standard i tidigare versioner av Windows och Windows Server. Mer information om lokala konton och stöld av autentiseringsuppgifter finns i dokumenten "Mitigating Pass-the-Hash(PtH) Attacks and Other Credential Theft Techniques". Mer information om UseLogonCredentialfinns i Microsoft Knowledge Base-artikeln 2871997: Microsoft Security Advisory Update för att förbättra autentiseringsuppgifternas skydd och hantering 13 maj 2014. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential
OS: WS2016, WS2019
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MS-säkerhetsguide\WDigest-autentisering (inaktivering kan kräva KB2871997)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.3.7
        CIS WS2019 18.3.7
= 0
(Register)
Viktigt!

Administrativa mallar – MSS

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
MSS: (DisableIPSourceRouting IPv6) IP-källroutningsskyddsnivå (skyddar mot paketförfalskning)
(AZ-WIN-202213)
Beskrivning: IP-källroutning är en mekanism som gör det möjligt för avsändaren att fastställa den IP-väg som ett datagram ska följa genom nätverket. Det rekommenderade tillståndet för den här inställningen är: Enabled: Highest protection, source routing is completely disabled.
Nyckelsökväg: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MSS (äldre)\MSS: (DisableIPSourceRouting IPv6) IP-källroutningsskyddsnivå (skyddar mot paketförfalskning)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.4.2
        CIS WS2019 18.4.2
= 2
(Register)
Information
MSS: (DisableIPSourceRouting) skyddsnivå för IP-källroutning (skyddar mot paketförfalskning)
(AZ-WIN-202244)
Beskrivning: IP-källroutning är en mekanism som gör det möjligt för avsändaren att fastställa den IP-väg som ett datagram ska ta genom nätverket. Vi rekommenderar att du konfigurerar den här inställningen till Inte definierad för företagsmiljöer och högsta skydd för miljöer med hög säkerhet för att helt inaktivera källroutning. Det rekommenderade tillståndet för den här inställningen är: Enabled: Highest protection, source routing is completely disabled.
Nyckelsökväg: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MSS (äldre)\MSS: (DisableIPSourceRouting) IP-källroutningsskyddsnivå (skyddar mot paketförfalskning)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.4.3
        CIS WS2019 18.4.3
= 2
(Register)
Information
MSS: (NoNameReleaseOnDemand) Tillåt att datorn ignorerar Begäranden om NetBIOS-namnversion förutom från WINS-servrar
(AZ-WIN-202214)
Beskrivning: NetBIOS via TCP/IP är ett nätverksprotokoll som bland annat ger ett sätt att enkelt matcha NetBIOS-namn som är registrerade i Windows-baserade system till DE IP-adresser som är konfigurerade på dessa system. Den här inställningen avgör om datorn släpper sitt NetBIOS-namn när den tar emot en namnversionsbegäran. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MSS (äldre)\MSS: (NoNameReleaseOnDemand) Tillåt att datorn ignorerar Begäranden om NetBIOS-namnversion förutom från WINS-servrar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.4.6
        CIS WS2019 18.4.6
= 1
(Register)
Information
MSS: (SafeDllSearchMode) Aktivera säkert DLL-sökläge (rekommenderas)
(AZ-WIN-202215)
Beskrivning: DLL-sökordningen kan konfigureras för att söka efter DLL:er som begärs genom att köra processer på något av två sätt: – Sök efter mappar som anges i systemsökvägen först och sök sedan i den aktuella arbetsmappen. – Sök först efter den aktuella arbetsmappen och sök sedan i de mappar som anges i systemsökvägen. När det är aktiverat är registervärdet inställt på 1. Med inställningen 1 söker systemet först igenom de mappar som anges i systemsökvägen och söker sedan i den aktuella arbetsmappen. När det är inaktiverat är registervärdet inställt på 0 och systemet söker först i den aktuella arbetsmappen och söker sedan igenom de mappar som anges i systemsökvägen. Program tvingas söka efter DLL:er i systemsökvägen först. För program som kräver unika versioner av dessa DLL:er som ingår i programmet kan den här posten orsaka prestanda- eller stabilitetsproblem. Det rekommenderade tillståndet för den här inställningen är: Enabled. Obs! Mer information om hur säkert DLL-sökläge fungerar finns på den här länken: Sökordning för dynamiskt länkbibliotek – Windows-program | Microsoft Docs
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MSS (äldre)\MSS: (SafeDllSearchMode) Aktivera säkert DLL-sökläge (rekommenderas)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.4.8
        CIS WS2019 18.4.8
= 1
(Register)
Varning
MSS: (WarningLevel) Procentuellt tröskelvärde för säkerhetshändelseloggen där systemet genererar en varning
(AZ-WIN-202212)
Beskrivning: Den här inställningen kan generera en säkerhetsgranskning i händelseloggen Säkerhet när loggen når ett användardefinierat tröskelvärde. Det rekommenderade tillståndet för den här inställningen är: Enabled: 90% or less. Obs! Om logginställningarna har konfigurerats för att skriva över händelser efter behov eller skriva över händelser som är äldre än x dagar genereras inte den här händelsen.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MSS (äldre)\MSS: (WarningLevel) Procenttröskel för säkerhetshändelseloggen där systemet genererar en varning
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.4.12
        CIS WS2019 18.4.12
<= 90
(Register)
Information
Windows Server måste konfigureras för att förhindra att ICMP-omdirigeringar (Internet Control Message Protocol) åsidosätter OSPF-genererade vägar (Open Shortest Path First).
(AZ-WIN-73503)
Beskrivning: Omdirigeringar av Internet Control Message Protocol (ICMP) gör att IPv4-stacken kan köra värdvägar. Dessa vägar åsidosätter de OSPF-genererade vägarna (Open Shortest Path First). Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MSS (äldre)\MSS: (EnableICMPRedirect) Tillåt att ICMP-omdirigeringar åsidosätter OSPF-genererade vägar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.4.4
        CIS WS2019 18.4.4
= 0
(Register)
Information

Administrativa mallar – nätverk

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Aktivera osäkra gästinloggning
(AZ-WIN-00171)
Beskrivning: Den här principinställningen avgör om SMB-klienten tillåter osäkra gästinloggningar till en SMB-server. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth
OS: WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar
etwork\Lanman Workstation\Aktivera osäkra gästinloggningar
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "LanmanWorkstation.admx/adml" som ingår i Microsoft Windows 10 Version 1511 Administrativa mallar (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93239
        STIG WS2016 V-73507
        CIS WS2019 18.5.8.1
        CIS WS2022 18.5.8.1
= 0
(Register)
Kritiskt
Härdade UNC-sökvägar – NETLOGON
(AZ_WIN_202250)
Beskrivning: Den här principinställningen konfigurerar säker åtkomst till UNC-sökvägar
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\NETLOGON
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Administrativa mallar\Nätverk\Nätverksprovider\Härdade UNC-sökvägar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Register)
Varning
Härdade UNC-sökvägar – SYSVOL
(AZ_WIN_202251)
Beskrivning: Den här principinställningen konfigurerar säker åtkomst till UNC-sökvägar
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\SYSVOL
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Administrativa mallar\Nätverk\Nätverksprovider\Härdade UNC-sökvägar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(Register)
Varning
Minimera antalet samtidiga anslutningar till Internet eller en Windows-domän
(CCE-38338-0)
Beskrivning: Den här principinställningen förhindrar att datorer ansluter till både ett domänbaserat nätverk och ett icke-domänbaserat nätverk samtidigt. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: 3 = Prevent Wi-Fi when on Ethernet:
Datorkonfiguration\Principer\Administrativa mallar
etwork\Windows Upravljač za uspostavljanje veze\Minimera antalet samtidiga anslutningar till Internet eller en Windows-domän
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "WCM.admx/adml" som ingår i administrationsmallarna Microsoft Windows 8.0 och Server 2012 (icke-R2). Den uppdaterades med en ny underinställning för Minimera principalternativ som börjar med administrativa mallar för Windows 10 Version 1903.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.5.21.1
Finns inte eller = 1
(Register)
Varning
Förhindra installation och konfiguration av Nätverksbrygga i DNS-domännätverket
(CCE-38002-2)
Beskrivning: Du kan använda den här proceduren för att styra användarens möjlighet att installera och konfigurera en nätverksbrygga. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Nätverk\Nätverksanslutningar\Förhindra installation och konfiguration av Nätverksbrygga i DNS-domännätverket
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen NetworkConnections.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.5.11.2
        CIS WS2022 18.5.11.2
= 0
(Register)
Varning
Förhindra användning av Internetanslutningsdelning i DNS-domännätverket
(AZ-WIN-00172)
Beskrivning: Även om den här "äldre" inställningen traditionellt tillämpas på användningen av Internet-anslutningsdelning (ICS) i Windows 2000, Windows XP och Server 2003, gäller den här inställningen nu nyligen för funktionen Mobil hotspot i Windows 10 & Server 2016. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar
etwork
etwork Connections\Prohibit use of Internet Connection Sharing on your DNS domain network
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen NetworkConnections.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.5.11.3
= 0
(Register)
Varning
Inaktivera multicast-namnmatchning
(AZ-WIN-00145)
Beskrivning: LLMNR är ett sekundärt namnmatchningsprotokoll. Med LLMNR skickas frågor med multicast över en lokal nätverkslänk i ett enda undernät från en klientdator till en annan klientdator i samma undernät som också har LLMNR aktiverat. LLMNR kräver ingen DNS-server eller DNS-klientkonfiguration och tillhandahåller namnmatchning i scenarier där konventionell DNS-namnmatchning inte är möjlig. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast
OS: WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar
etwork\DNS Client\Inaktivera matchning av multicast-namn
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen DnsClient.admx/adml som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.5.4.2
= 0
(Register)
Varning

Administrativa mallar – säkerhetsguide

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Aktivera structured exception handling overwrite protection (SEHOP)
(AZ-WIN-202210)
Beskrivning: Windows har stöd för SEHOP (Structured Exception Handling Overwrite Protection). Vi rekommenderar att du aktiverar den här funktionen för att förbättra datorns säkerhetsprofil. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MS-säkerhetsguide\Aktivera strukturerat skydd för undantagshantering (SEHOP)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.3.4
        CIS WS2019 18.3.4
= 0
(Register)
Kritiskt
NetBT NodeType-konfiguration
(AZ-WIN-202211)
Beskrivning: Den här inställningen avgör vilken metod NetBIOS över TCP/IP (NetBT) använder för att registrera och matcha namn. De tillgängliga metoderna är: – Metoden B-node (broadcast) använder bara sändningar. – Metoden P-node (punkt-till-punkt) använder endast namnfrågor till en namnserver (WINS). – Metoden M-node (mixed) sänds först och frågar sedan en namnserver (WINS) om sändningen misslyckades. – Metoden H-node (hybrid) frågar först en namnserver (WINS) och sänder sedan om frågan misslyckades. Det rekommenderade tillståndet för den här inställningen är: Enabled: P-node (recommended) (punkt-till-punkt). Obs! Lösning via LMHOSTS eller DNS följer dessa metoder. NodeType Om registervärdet finns åsidosätter det alla DhcpNodeType registervärden. Om varken NodeType eller DhcpNodeType finns använder datorn B-nod (sändning) om det inte finns några WINS-servrar konfigurerade för nätverket eller H-nod (hybrid) om det finns minst en WINS-server konfigurerad.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MS-säkerhetsguide\NetBT NodeType-konfiguration
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.3.6
        CIS WS2019 18.3.6
= 2
(Register)
Varning

Administrativa mallar – system

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Blockera användare från att visa kontoinformation vid inloggning
(AZ-WIN-00138)
Beskrivning: Den här principen förhindrar att användaren visar kontoinformation (e-postadress eller användarnamn) på inloggningsskärmen. Om du aktiverar den här principinställningen kan användaren inte välja att visa kontoinformation på inloggningsskärmen. Om du inaktiverar eller inte konfigurerar den här principinställningen kan användaren välja att visa kontoinformation på inloggningsskärmen.
Nyckelsökväg: Programvara\Principer\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Inloggning\Blockera användare från att visa kontoinformation vid inloggning
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "Logon.admx/adml" som ingår i Microsoft Windows 10 Version 1607 & Server 2016 Administrativa mallar (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.28.1
= 1
(Register)
Varning
Startprincip för drivrutinsinitiering
(CCE-37912-3)
Beskrivning: Med den här principinställningen kan du ange vilka startdrivrutiner som initieras baserat på en klassificering som bestäms av en startdrivrutin för tidig start av program mot skadlig kod. Startdrivrutinen för tidig start av program mot skadlig kod kan returnera följande klassificeringar för varje startdrivrutin: – Bra: Drivrutinen har signerats och har inte manipulerats. – Dåligt: Drivrutinen har identifierats som skadlig kod. Vi rekommenderar att du inte tillåter att kända felaktiga drivrutiner initieras. – Felaktig, men krävs för start: Drivrutinen har identifierats som skadlig kod, men datorn kan inte starta utan att läsa in drivrutinen. – Okänd: Drivrutinen har inte godkänts av ditt program för identifiering av skadlig kod och har inte klassificerats av startdrivrutinen för tidig start av program mot skadlig kod. Om du aktiverar den här principinställningen kan du välja vilka startdrivrutiner som ska initieras nästa gång datorn startas. Om du inaktiverar eller inte konfigurerar den här principinställningen initieras startdrivrutinerna för start som bedöms vara Bra, Okänd eller Felaktig men Startkritisk och initieringen av drivrutiner som bedöms vara dåliga hoppas över. Om programmet för identifiering av skadlig kod inte innehåller någon startdrivrutin för tidig start av program mot skadlig kod eller om startdrivrutinen för tidig start av program mot skadlig kod har inaktiverats har den här inställningen ingen effekt och alla startdrivrutiner initieras.
Nyckelsökväg: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: Good, unknown and bad but critical:
Datorkonfiguration\Principer\Administrativa mallar\System\Tidig start av program mot skadlig kod\Startdrivrutinsinitieringsprincip
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "EarlyLaunchAM.admx/adml" som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.14.1
Finns inte eller = 3
(Register)
Varning
Konfigurera fjärrhjälp för erbjudande
(CCE-36388-7)
Beskrivning: Med den här principinställningen kan du aktivera eller inaktivera Erbjudande (ej begärd) fjärrhjälp på den här datorn. Supportavdelningen och supportpersonalen kommer inte att kunna erbjuda hjälp proaktivt, även om de fortfarande kan svara på begäranden om användarhjälp. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Fjärrhjälp\Konfigurera erbjudande fjärrhjälp
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av mallen RemoteAssistance.admx/adml Grupprincip som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.36.1
        CIS WS2022 18.8.36.1
Finns inte eller = 0
(Register)
Varning
Konfigurera begärd fjärrhjälp
(CCE-37281-3)
Beskrivning: Med den här principinställningen kan du aktivera eller inaktivera Begärd fjärrhjälp på den här datorn. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Fjärrhjälp\Konfigurera begärd fjärrhjälp
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av mallen RemoteAssistance.admx/adml Grupprincip som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.36.2
        CIS WS2022 18.8.36.2
= 0
(Register)
Kritiskt
Visa inte användargränssnittet för nätverksval
(CCE-38353-9)
Beskrivning: Med den här principinställningen kan du styra om någon kan interagera med det tillgängliga nätverksgränssnittet på inloggningsskärmen. Om du aktiverar den här principinställningen kan datorns nätverksanslutningstillstånd inte ändras utan att logga in på Windows. Om du inaktiverar eller inte konfigurerar den här principinställningen kan alla användare koppla från datorn från nätverket eller ansluta datorn till andra tillgängliga nätverk utan att logga in på Windows.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Inloggning\Visa inte användargränssnittet för nätverksval
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "Logon.admx/adml" som ingår i Administrationsmallar för Microsoft Windows 8.1 och Server 2012 R2 (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.28.2
= 1
(Register)
Varning
Räkna inte upp anslutna användare på domänanslutna datorer
(AZ-WIN-202216)
Beskrivning: Den här principinställningen förhindrar att anslutna användare räknas upp på domänanslutna datorer. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\System\Inloggning\Räkna inte upp anslutna användare på domänanslutna datorer
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.8.28.3
        CIS WS2019 18.8.28.3
= 1
(Register)
Varning
Aktivera RPC-slutpunktsmappningsklientautentisering
(CCE-37346-4)
Beskrivning: Den här principinställningen styr om RPC-klienter autentiserar med Endpoint Mapper-tjänsten när anropet de gör innehåller autentiseringsinformation. Slutpunktsmappningstjänsten på datorer som kör Windows NT4 (alla servicepaket) kan inte bearbeta autentiseringsinformation som tillhandahålls på det här sättet. Om du inaktiverar den här principinställningen autentiseras inte RPC-klienter till endpoint Mapper-tjänsten, men de kommer att kunna kommunicera med endpoint Mapper-tjänsten på Windows NT4 Server. Om du aktiverar den här principinställningen autentiseras RPC-klienter till endpoint Mapper-tjänsten för anrop som innehåller autentiseringsinformation. Klienter som gör sådana anrop kommer inte att kunna kommunicera med Windows NT4 Server Endpoint Mapper Service. Om du inte konfigurerar den här principinställningen förblir den inaktiverad. RPC-klienter autentiseras inte till endpoint Mapper-tjänsten, men de kommer att kunna kommunicera med Windows NT4 Server Endpoint Mapper Service. Obs! Den här principen tillämpas inte förrän systemet har startats om.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen RPC.admx/adml som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.37.1
= 1
(Register)
Kritiskt
Aktivera Windows NTP-klient
(CCE-37843-0)
Beskrivning: Den här principinställningen anger om Windows NTP-klienten är aktiverad. Om du aktiverar Windows NTP-klienten kan datorn synkronisera datorklockan med andra NTP-servrar. Du kanske vill inaktivera den här tjänsten om du bestämmer dig för att använda en tidsprovider från tredje part. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Windows Time Service\Tidsproviders\Aktivera Windows NTP-klient
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen W32Time.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.53.1.1
= 1
(Register)
Kritiskt
Oracle-krypteringsreparation för CredSSP-protokoll
(AZ-WIN-201910)
Beskrivning: Vissa versioner av CredSSP-protokollet som används av vissa program (till exempel Anslutning till fjärrskrivbord) är sårbara för en krypteringsakelattack mot klienten. Den här principen styr kompatibiliteten med sårbara klienter och servrar och gör att du kan ange den skyddsnivå som du vill ha för krypteringsrisken. Det rekommenderade tillståndet för den här inställningen är: Enabled: Force Updated Clients.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle
OS: WS2016, WS2019
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\System\Autentiseringsuppgifter delegering\Kryptering Oracle Reparation
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.8.4.1
        CIS WS2019 18.8.4.1
= 0
(Register)
Kritiskt
Se till att "Konfigurera registerprincipbearbetning: Använd inte under periodisk bakgrundsbearbetning" är inställt på "Aktiverad: FALSE"
(CCE-36169-1)
Beskrivning: Alternativet "Tillämpa inte under periodisk bakgrundsbearbetning" hindrar systemet från att uppdatera berörda principer i bakgrunden medan datorn används. När bakgrundsuppdateringar har inaktiverats börjar principändringarna inte gälla förrän nästa användarinloggning eller omstart av systemet. Det rekommenderade tillståndet för den här inställningen är: Enabled: FALSE (avmarkerat).
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabledoch anger Process even if the Group Policy objects have not changed sedan alternativet till TRUE (markerat):
Datorkonfiguration\Principer\Administrativa mallar\System\Grupprincip\Konfigurera registerprincipbearbetning
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av mallen GroupPolicy.admx/adml Grupprincip som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.21.2
        CIS WS2022 18.8.21.2
= 0
(Register)
Kritiskt
Se till att "Konfigurera registerprincipbearbetning: Process även om grupprincipobjekten inte har ändrats" är inställt på "Aktiverad: SANT"
(CCE-36169-1a)
Beskrivning: Alternativet "Bearbeta även om grupprincipobjekten inte har ändrats" uppdaterar och återutdelar principer även om principerna inte har ändrats. Det rekommenderade tillståndet för den här inställningen är: Enabled: TRUE (markerad).
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabledoch anger sedan alternativet "Process även om grupprincipobjekten inte har ändrats" till "TRUE" (markerad):
Datorkonfiguration\Principer\Administrativa mallar\System\Grupprincip\Konfigurera registerprincipbearbetning
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "GroupPolicy.admx/adml" som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.21.3
= 0
(Register)
Kritiskt
Se till att "Fortsätt funktioner på den här enheten" är inställt på "Inaktiverad"
(AZ-WIN-00170)
Beskrivning: Den här principinställningen avgör om Windows-enheten tillåts delta i upplevelser mellan enheter (fortsätt). Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Grupprincip\Fortsätt upplevelser på den här enheten
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "GroupPolicy.admx/adml" som ingår i Microsoft Windows 10 Version 1607 & Server 2016 Administrativa mallar (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.21.4
Finns inte eller = 0
(Register)
Varning
Räkna upp lokala användare på domänanslutna datorer
(AZ_WIN_202204)
Beskrivning: Med den här principinställningen kan lokala användare räknas upp på domänanslutna datorer. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\System\Inloggning\Räkna upp lokala användare på domänanslutna datorer
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.8.28.4
        CIS WS2019 18.8.28.4
Finns inte eller = 0
(Register)
Varning
Inkludera kommandoraden i processskapandehändelser
(CCE-36925-6)
Beskrivning: Den här principinställningen avgör vilken information som loggas i säkerhetsgranskningshändelser när en ny process har skapats. Den här inställningen gäller endast när principen för skapande av granskningsprocess är aktiverad. Om du aktiverar den här principinställningen loggas kommandoradsinformationen för varje process i oformaterad text i säkerhetshändelseloggen som en del av händelse 4688, "en ny process har skapats", på de arbetsstationer och servrar där den här principinställningen tillämpas. Om du inaktiverar eller inte konfigurerar den här principinställningen inkluderas inte processens kommandoradsinformation i händelser för skapande av granskningsprocess. Standard: Inte konfigurerad Obs! När den här principinställningen är aktiverad kan alla användare med läsbehörighet läsa säkerhetshändelserna läsa kommandoradsargumenten för alla processer som har skapats. Kommandoradsargument kan innehålla känslig eller privat information, till exempel lösenord eller användardata.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Skapande av granskningsprocess\Inkludera kommandorad i processskapandehändelser
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "AuditSettings.admx/adml" som ingår i Administrationsmallar för Microsoft Windows 8.1 och Server 2012 R2 (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.3.1
= 1
(Register)
Kritiskt
Förhindra hämtning av enhetsmetadata från Internet
(AZ-WIN-202251)
Beskrivning: Med den här principinställningen kan du förhindra att Windows hämtar enhetsmetadata från Internet. Det rekommenderade tillståndet för den här inställningen är: Enabled. Obs! Detta förhindrar inte installation av grundläggande maskinvarudrivrutiner, men förhindrar att tillhörande verktygsprogramvara från tredje part installeras automatiskt i kontexten för SYSTEM kontot.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\System\Enhetsinstallation\Förhindra hämtning av enhetsmetadata från Internet
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.8.7.2
        CIS WS2019 18.8.7.2
= 1
(Register)
Information
Fjärrvärden tillåter delegering av autentiseringsuppgifter som inte kan exporteras
(AZ-WIN-20199)
Beskrivning: Fjärrvärden tillåter delegering av autentiseringsuppgifter som inte kan exporteras. När du använder delegering av autentiseringsuppgifter tillhandahåller enheterna en exporterbar version av autentiseringsuppgifterna till fjärrvärden. Detta utsätter användarna för risken för stöld av autentiseringsuppgifter från angripare på fjärrvärden. Funktionerna Restricted Admin Mode och Windows Defender Remote Credential Guard är två alternativ för att skydda mot den här risken. Det rekommenderade tillståndet för den här inställningen är: Enabled. Obs! Mer detaljerad information om Windows Defender Remote Credential Guard och hur den jämförs med begränsat administratörsläge finns på den här länken: Skydda autentiseringsuppgifter för fjärrskrivbord med Windows Defender Remote Credential Guard (Windows 10) | Microsoft Docs
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds
OS: WS2016, WS2019
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\System\Autentiseringsuppgifter delegering\Fjärrvärd tillåter delegering av icke-exporterbara autentiseringsuppgifter
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.8.4.2
        CIS WS2019 18.8.4.2
= 1
(Register)
Kritiskt
Inaktivera appmeddelanden på låsskärmen
(CCE-35893-7)
Beskrivning: Med den här principinställningen kan du förhindra att appmeddelanden visas på låsskärmen. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Inloggning\Inaktivera appmeddelanden på låsskärmen
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "Logon.admx/adml" som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.28.5
= 1
(Register)
Varning
Inaktivera bakgrundsuppdatering av grupprincip
(CCE-14437-8)
Beskrivning: Den här principinställningen förhindrar att grupprincipen uppdateras medan datorn används. Den här principinställningen gäller grupprincip för datorer, användare och domänkontrollanter. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\System\Grupprincip\Inaktivera bakgrundsuppdatering av grupprincip
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.8.21.5
        CIS WS2019 18.8.21.5
= 0
(Register)
Varning
Inaktivera nedladdning av utskriftsdrivrutiner via HTTP
(CCE-36625-2)
Beskrivning: Den här principinställningen styr om datorn kan ladda ned utskriftsdrivrutinspaket via HTTP. Om du vill konfigurera HTTP-utskrifter kan skrivardrivrutiner som inte är tillgängliga i standardinstallationen av operativsystemet behöva laddas ned via HTTP. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Internet Communication Management\Internet Communication settings\Inaktivera nedladdning av utskriftsdrivrutiner via HTTP
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "ICM.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.22.1.1
= 1
(Register)
Varning
Inaktivera guiden Internetanslutning om URL-anslutningen refererar till Microsoft.com
(CCE-37163-3)
Beskrivning: Den här principinställningen anger om Internetanslutningsguiden kan ansluta till Microsoft för att ladda ned en lista över Internetleverantörer (INTERNETleverantörer). Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Internet Communication Management\Internet Communication settings\Turn off Internet Connection Wizard if URL connection is refer to Microsoft.com
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "ICM.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.22.1.4
= 1
(Register)
Varning
Aktivera pin-inloggning för bekvämlighet
(CCE-37528-7)
Beskrivning: Med den här principinställningen kan du styra om en domänanvändare kan logga in med hjälp av en PIN-kod. I Windows 10 ersattes pin-koden för bekvämlighet med Passport, som har starkare säkerhetsegenskaper. Om du vill konfigurera Passport för domänanvändare använder du principerna under Datorkonfiguration\Administrativa mallar\Windows-komponenter\Microsoft Passport for Work. Obs! Användarens domänlösenord cachelagras i systemvalvet när den här funktionen används. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\System\Inloggning\Aktivera pin-inloggning för bekvämlighet
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av mallen CredentialProviders.admx/adml Grupprincip som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare). Obs! I äldre administrativa Microsoft Windows-mallar hette den här inställningen ursprungligen Aktivera PIN-inloggning, men den bytte namn från och med Windows 10 Version 1511 Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.8.28.7
        CIS WS2022 18.8.28.7
Finns inte eller = 0
(Register)
Varning

Administrativa mallar – Windows-komponent

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Inaktivera innehåll för molnkonsumentkontotillstånd
(AZ-WIN-202217)
Beskrivning: Den här principinställningen avgör om molnkonsumentkontots tillståndsinnehåll tillåts i alla Windows-upplevelser. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Molninnehåll\Inaktivera innehåll för molnkonsumentkontotillstånd
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.14.1
        CIS WS2019 18.9.14.1
= 1
(Register)
Varning

Administrativa mallar – Windows-komponenter

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Tillåt inte omdirigering av enheter
(AZ-WIN-73569)
Beskrivning: Den här principinställningen hindrar användare från att dela de lokala enheterna på sina klientdatorer till fjärrskrivbordsservrar som de har åtkomst till. Mappade enheter visas i sessionsmappträdet i Utforskaren i följande format: \\TSClient\<driveletter>$ Om lokala enheter delas lämnas de sårbara för inkräktare som vill utnyttja de data som lagras på dem. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Fjärrskrivbordssessionsvärd\Omdirigering av enhet och resurs\Tillåt inte omdirigering av enheter
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.65.3.3.3
        CIS WS2019 18.9.65.3.3.2
= 1
(Register)
Varning
Aktivera PowerShell-transkription
(AZ-WIN-202208)
Beskrivning: Med den här principinställningen kan du avbilda indata och utdata från Windows PowerShell-kommandon i textbaserade avskrifter. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows PowerShell\Aktivera PowerShell-transkription
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.100.2
        CIS WS2019 18.9.100.2
= 0
(Register)
Varning

Administrativa mallar – Windows bezbednost

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Hindra användare från att ändra inställningar
(AZ-WIN-202209)
Beskrivning: Den här principinställningen hindrar användare från att göra ändringar i området Inställningar för exploateringsskydd i inställningarna för Windows bezbednost. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows bezbednost\App- och webbläsarskydd\Hindra användare från att ändra inställningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.105.2.1
        CIS WS2019 18.9.105.2.1
= 1
(Register)
Varning

Administrativ mall – Windows Defender

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Konfigurera regler för minskning av attackytan
(AZ_WIN_202205)
Beskrivning: Den här principinställningen styr tillståndet för ASR-reglerna (Attack Surface Reduction). Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\Microsoft Defender Exploit Guard\Minskning av attackytan\Konfigurera regler för minskning av attackytan
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.47.5.1.1
        CIS WS2019 18.9.47.5.1.1
= 1
(Register)
Varning
Hindra användare och appar från att komma åt farliga webbplatser
(AZ_WIN_202207)
Beskrivning: Den här principinställningen styr Microsoft Defender Exploit Guard-nätverksskyddet. Det rekommenderade tillståndet för den här inställningen är: Enabled: Block.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\Microsoft Defender Exploit Guard\Network Protection\Förhindra användare och appar från att komma åt farliga webbplatser
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.47.5.3.1
        CIS WS2019 18.9.47.5.3.1
= 1
(Register)
Varning

Granska hantering av datorkonto

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska hantering av datorkonto
(CCE-38004-8)
Beskrivning: Den här underkategorin rapporterar varje händelse av datorkontohantering, till exempel när ett datorkonto skapas, ändras, tas bort, byt namn, inaktiveras eller aktiveras. Händelser för den här underkategorin är: – 4741: Ett datorkonto skapades. - 4742: Ett datorkonto har ändrats. – 4743: Ett datorkonto har tagits bort. Det rekommenderade tillståndet för den här inställningen är att inkludera: Success.
Nyckelsökväg: {0CCE9236-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Kontohantering\Granska hantering av datorkonton
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.2.2
        CIS WS2019 17.2.2
= Lyckades
(Granskning)
Kritiskt

Skyddad kärna

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Aktivera DMA-startskydd
(AZ-WIN-202250)
Beskrivning: Säkra kärnkompatibla servrar stöder inbyggd programvara i systemet som ger skydd mot skadliga och oavsiktliga DMA-attacker (Direct Memory Access) för alla DMA-kompatibla enheter under startprocessen.
Nyckelsökväg: BootDMAProtection
OSEx: WSASHCI22H2
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: NA
Standardmappningar för efterlevnad:
= 1
(OsConfig)
Kritiskt
Aktivera kodintegritet som framtvingas av hypervisor
(AZ-WIN-202246)
Beskrivning: HVCI och VBS förbättrar hotmodellen i Windows och ger starkare skydd mot skadlig kod som försöker utnyttja Windows Kernel. HVCI är en viktig komponent som skyddar och härdar den isolerade virtuella miljön som skapats av VBS genom att köra kodintegritet i kernelläge i den och begränsa kernelminnesallokeringar som kan användas för att kompromettera systemet.
Nyckelsökväg: HypervisorEnforcedCodeIntegrityStatus
OSEx: WSASHCI22H2
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: NA
Standardmappningar för efterlevnad:
= 0
(OsConfig)
Kritiskt
Aktivera säker start
(AZ-WIN-202248)
Beskrivning: Säker start är en säkerhetsstandard som utvecklats av medlemmar i PC-branschen för att se till att en enhet startar endast med programvara som är betrodd av OEM (Original Equipment Manufacturer).
Nyckelsökväg: SecureBootState
OSEx: WSASHCI22H2
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: NA
Standardmappningar för efterlevnad:
= 1
(OsConfig)
Kritiskt
Aktivera systemskydd
(AZ-WIN-202247)
Beskrivning: Med hjälp av processorstöd för DRTM-teknik (Dynamic Root of Trust of Measurement) placerar System Guard inbyggd programvara i en maskinvarubaserad sandbox-miljö som hjälper till att begränsa effekten av sårbarheter i miljontals rader med kod för högprivilegierad inbyggd programvara.
Nyckelsökväg: SystemGuardStatus
OSEx: WSASHCI22H2
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: NA
Standardmappningar för efterlevnad:
= 0
(OsConfig)
Kritiskt
Aktivera virtualiseringsbaserad säkerhet
(AZ-WIN-202245)
Beskrivning: Virtualiseringsbaserad säkerhet, eller VBS, använder maskinvaruvirtualiseringsfunktioner för att skapa och isolera en säker minnesregion från det normala operativsystemet. Detta hjälper till att säkerställa att servrar fortsätter att ägnas åt att köra kritiska arbetsbelastningar och hjälper till att skydda relaterade program och data från angrepp och exfiltrering. VBS är aktiverat och låst som standard på Azure Stack HCI.
Nyckelsökväg: VirtualizationBasedSecurityStatus
OSEx: WSASHCI22H2
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: NA
Standardmappningar för efterlevnad:
= 0
(OsConfig)
Kritiskt
Ange TPM-version
(AZ-WIN-202249)
Beskrivning: TPM-teknik (Trusted Platform Module) är utformad för att tillhandahålla maskinvarubaserade, säkerhetsrelaterade funktioner. TPM2.0 krävs för funktionerna secured-core.
Nyckelsökväg: TPMVersion
OSEx: WSASHCI22H2
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: NA
Standardmappningar för efterlevnad:
Innehåller 2.0
(OsConfig)
Kritiskt

Säkerhetsalternativ – Konton

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Konton: Blockera Microsoft-konton
(AZ-WIN-202201)
Beskrivning: Den här principinställningen hindrar användare från att lägga till nya Microsoft-konton på den här datorn. Det rekommenderade tillståndet för den här inställningen är: Users can't add or log on with Microsoft accounts.
Nyckelsökväg: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Konton: Blockera Microsoft-konton
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.1.2
        CIS WS2019 2.3.1.2
= 3
(Register)
Varning
Konton: Status för gästkonto
(CCE-37432-2)
Beskrivning: Den här principinställningen avgör om gästkontot är aktiverat eller inaktiverat. Gästkontot tillåter oautentiserade nätverksanvändare att få åtkomst till systemet. Det rekommenderade tillståndet för den här inställningen är: Disabled. Obs! Den här inställningen påverkar inte domänkontrollantens organisationsenhet via grupprincip eftersom domänkontrollanter inte har någon lokal kontodatabas. Den kan konfigureras på domännivå via grupprincip, liknande inställningar för kontoutelåsning och lösenordsprinciper.
Nyckelsökväg: [Systemåtkomst]EnableGuestAccount
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Konton: Gästkontostatus
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93497
        STIG WS2016 V-73809
        CIS WS2019 2.3.1.3
        CIS WS2022 2.3.1.3
= 0
(Princip)
Kritiskt
Konton: Begränsa lokal kontoanvändning av tomma lösenord till enbart konsolinloggning
(CCE-37615-2)
Beskrivning: Den här principinställningen avgör om lokala konton som inte är lösenordsskyddade kan användas för att logga in från andra platser än den fysiska datorkonsolen. Om du aktiverar den här principinställningen kommer lokala konton som har tomma lösenord inte att kunna logga in på nätverket från fjärrklientdatorer. Sådana konton kan bara logga in på datorns tangentbord. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Konton: Begränsa lokal kontoanvändning av tomma lösenord till endast konsolinloggning

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93279
        STIG WS2016 V-73621
        CIS WS2019 2.3.1.4
        CIS WS2022 2.3.1.4
Finns inte eller = 1
(Register)
Kritiskt
Konton: Byt namn på gästkontot
(AZ-WIN-202255)
Beskrivning: Det inbyggda lokala gästkontot är ett annat välkänt namn för angripare. Vi rekommenderar att du byter namn på det här kontot till något som inte anger dess syfte. Även om du inaktiverar det här kontot, vilket rekommenderas, kontrollerar du att du byter namn på det för ökad säkerhet. Eftersom de inte har egna lokala konton på domänkontrollanter refererar den här regeln till det inbyggda gästkontot som upprättades när domänen först skapades.
Nyckelsökväg: [Systemåtkomst]NewGuestName
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Konton: Byt namn på gästkonto
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.1.6
        CIS WS2019 2.3.1.6
!= Gäst
(Princip)
Varning
Nätverksåtkomst: Tillåt anonym SID/namnöversättning
(CCE-10024-8)
Beskrivning: Den här principinställningen avgör om en anonym användare kan begära SID-attribut (security identifier) för en annan användare eller använda ett SID för att hämta motsvarande användarnamn. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: [Systemåtkomst]LSAAnonymousNameLookup
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverksåtkomst: Tillåt anonym SID/namnöversättning
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.10.1
        CIS WS2019 2.3.10.1
= 0
(Princip)
Varning

Säkerhetsalternativ – Granskning

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granskning: Tvinga underkategoriinställningar för granskningsprincip (Windows Vista eller senare) att åsidosätta kategoriinställningar för granskningsprincip
(CCE-37850-5)
Beskrivning: Med den här principinställningen kan administratörer aktivera de mer exakta granskningsfunktionerna i Windows Vista. De granskningsprincipinställningar som är tillgängliga i Windows Server 2003 Active Directory innehåller ännu inte inställningar för att hantera de nya granskningsunderkategorierna. Om du vill tillämpa de granskningsprinciper som anges i den här baslinjen korrekt måste underkategoriinställningar för Granskning: Tvinga granskningsprincip (Windows Vista eller senare) för att åsidosätta inställningsinställningarna för granskningsprinciper konfigureras till Aktiverad.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Granskning: Tvinga underkategoriinställningar för granskningsprinciper (Windows Vista eller senare) att åsidosätta kategoriinställningar för granskningsprinciper
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.2.1
Finns inte eller = 1
(Register)
Kritiskt
Granskning: Stäng av systemet omedelbart om det inte går att logga säkerhetsgranskningar
(CCE-35907-5)
Beskrivning: Den här principinställningen avgör om systemet stängs av om det inte går att logga säkerhetshändelser. Det är ett krav för TCSEC(Trusted Computer System Evaluation Criteria)-C2 och Common Criteria certification för att förhindra att granskningsbara händelser inträffar om granskningssystemet inte kan logga dem. Microsoft har valt att uppfylla detta krav genom att stoppa systemet och visa ett stoppmeddelande om granskningssystemet upplever ett fel. När den här principinställningen är aktiverad stängs systemet av om en säkerhetsgranskning inte kan loggas av någon anledning. Om inställningen Audit: Shut down system immediately if unable to log security audits is enabled (Granskning: Stäng av systemet omedelbart om det inte går att logga säkerhetsgranskningsinställningen) är aktiverad kan oplanerade systemfel inträffa. Den administrativa belastningen kan vara betydande, särskilt om du även konfigurerar kvarhållningsmetoden för säkerhetsloggen till Skriv inte över händelser (rensa loggen manuellt). Den här konfigurationen orsakar ett avvisningshot (en säkerhetskopieringsoperator kan neka att de säkerhetskopierade eller återställde data) blir en doS-säkerhetsrisk (Denial of Service), eftersom en server kan tvingas stänga av om den överbelastas av inloggningshändelser och andra säkerhetshändelser som skrivs till säkerhetsloggen. Eftersom avstängningen inte är korrekt är det också möjligt att irreparabel skada på operativsystemet, programmen eller data kan uppstå. Även om NTFS-filsystemet garanterar dess integritet när en ospårbar avstängning av datorn inträffar, kan det inte garantera att varje datafil för varje program fortfarande är i användbar form när datorn startas om. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Granskning: Stäng av systemet omedelbart om det inte går att logga säkerhetsgranskningar

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.2.2
        CIS WS2022 2.3.2.2
Finns inte eller = 0
(Register)
Kritiskt

Säkerhetsalternativ – Enheter

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Enheter: Tillåt att formatera och mata ut flyttbara media
(CCE-37701-0)
Beskrivning: Den här principinställningen avgör vem som får formatera och mata ut flyttbara medier. Du kan använda den här principinställningen för att förhindra att obehöriga användare tar bort data på en dator för att komma åt dem på en annan dator där de har lokal administratörsbehörighet.
Nyckelsökväg: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Enheter: Tillåts formatera och mata ut flyttbara medier
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.4.1
Finns inte eller = 0
(Register)
Varning
Enheter: Förhindra att användare installerar skrivardrivrutiner
(CCE-37942-0)
Beskrivning: För att en dator ska kunna skriva ut till en delad skrivare måste drivrutinen för den delade skrivaren vara installerad på den lokala datorn. Den här säkerhetsinställningen avgör vem som får installera en skrivardrivrutin som en del av anslutningen till en delad skrivare. Det rekommenderade tillståndet för den här inställningen är: Enabled. Obs! Den här inställningen påverkar inte möjligheten att lägga till en lokal skrivare. Den här inställningen påverkar inte administratörer.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Enheter: Hindra användare från att installera skrivardrivrutiner

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.4.2
        CIS WS2022 2.3.4.2
Finns inte eller = 1
(Register)
Varning
Begränsar utskriftsdrivrutinsinstallationen till administratörer
(AZ_WIN_202202)
Beskrivning: Den här principinställningen styr om användare som inte är administratörer kan installera utskriftsdrivrutiner i systemet. Det rekommenderade tillståndet för den här inställningen är: Enabled. Obs! Den 10 augusti 2021 tillkännagav Microsoft en standardbeteendeändring för punkt och utskrift som ändrar standardbeteendet för punkt- och utskriftsdrivrutinen för installation och uppdatering för att kräva administratörsbehörighet. Detta dokumenteras i KB5005652 Hantera installation av ny punkt- och utskriftsdrivrutin (CVE-2021-34481).
Nyckelsökväg: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\MS-säkerhetsguide\Begränsar utskriftsdrivrutinsinstallationen till administratörer
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.3.5
        CIS WS2019 18.3.5
= 1
(Register)
Varning

Säkerhetsalternativ – Domänmedlem

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Se till att "Domänmedlem: Kryptera eller signera säkra kanaldata digitalt (alltid)" är inställt på "Aktiverad"
(CCE-36142-8)
Beskrivning: Den här principinställningen avgör om all säker kanaltrafik som initieras av domänmedlemmen måste signeras eller krypteras. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Domänmedlem: Kryptera eller signera data för säker kanal digitalt (alltid)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.6.1
        CIS WS2019 2.3.6.1
Finns inte eller = 1
(Register)
Kritiskt
Se till att "Domänmedlem: Kryptera säkra kanaldata digitalt (när det är möjligt)" är inställt på "Aktiverad"
(CCE-37130-2)
Beskrivning: Den här principinställningen avgör om en domänmedlem ska försöka förhandla om kryptering för all säker kanaltrafik som initieras. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Domänmedlem: Kryptera säkra kanaldata digitalt (om möjligt)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.6.2
        CIS WS2019 2.3.6.2
Finns inte eller = 1
(Register)
Kritiskt
Se till att "Domänmedlem: Signera säkra kanaldata digitalt (när det är möjligt)" är inställt på "Aktiverad"
(CCE-37222-7)
Beskrivning:

Den här principinställningen avgör om en domänmedlem ska försöka förhandla om huruvida all säker kanaltrafik som initieras måste signeras digitalt. Digitala signaturer skyddar trafiken från att ändras av alla som samlar in data när de passerar nätverket. Det rekommenderade tillståndet för den här inställningen är: "Aktiverad".


Nyckelsökväg: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Domänmedlem: Signera säkra kanaldata digitalt (om möjligt)

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93551
        STIG WS2016 V-73637
        CIS WS2019 2.3.6.3
        CIS WS2022 2.3.6.3
Finns inte eller = 1
(Register)
Kritiskt
Se till att "Domänmedlem: Inaktivera lösenordsändringar för datorkonto" är inställt på "Inaktiverad"
(CCE-37508-9)
Beskrivning:

Den här principinställningen avgör om en domänmedlem regelbundet kan ändra sitt lösenord för datorkontot. Datorer som inte kan ändra sina kontolösenord automatiskt är potentiellt sårbara, eftersom en angripare kanske kan fastställa lösenordet för systemets domänkonto. Det rekommenderade tillståndet för den här inställningen är: "Inaktiverad".


Nyckelsökväg: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Domänmedlem: Inaktivera lösenordsändringar för datorkonto

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93273
        STIG WS2016 V-73631
        CIS WS2019 2.3.6.4
        CIS WS2022 2.3.6.4
Finns inte eller = 0
(Register)
Kritiskt
Se till att "Domänmedlem: Högsta ålder för lösenord för datorkonton" är inställt på "30 eller färre dagar, men inte 0"
(CCE-37431-4)
Beskrivning: Den här principinställningen avgör den högsta tillåtna åldern för ett lösenord för ett datorkonto. Som standard ändrar domänmedlemmar automatiskt sina domänlösenord var 30:e dag. Om du ökar det här intervallet avsevärt så att datorerna inte längre ändrar sina lösenord, skulle en angripare ha mer tid att utföra en råstyrkeattack mot ett av datorkontona. Det rekommenderade tillståndet för den här inställningen är: 30 or fewer days, but not 0. Obs! Värdet 0 för överensstämmer inte med riktmärket eftersom det inaktiverar maximal lösenordsålder.
Nyckelsökväg: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till 30 or fewer days, but not 0:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Domänmedlem: Högsta ålder för lösenord för datorkonto

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93285
        STIG WS2016 V-73641
        CIS WS2019 2.3.6.5
        CIS WS2022 2.3.6.5
I 1-30
(Register)
Kritiskt
Se till att "Domänmedlem: Kräv stark (Windows 2000 eller senare) sessionsnyckel" är inställd på "Aktiverad"
(CCE-37614-5)
Beskrivning: När den här principinställningen är aktiverad kan en säker kanal endast upprättas med domänkontrollanter som kan kryptera säkra kanaldata med en stark (128-bitars) sessionsnyckel. För att aktivera den här principinställningen måste alla domänkontrollanter i domänen kunna kryptera säkra kanaldata med en stark nyckel, vilket innebär att alla domänkontrollanter måste köra Microsoft Windows 2000 eller senare. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Domänmedlem: Kräv stark (Windows 2000 eller senare) sessionsnyckel
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.6.6
        CIS WS2019 2.3.6.6
Finns inte eller = 1
(Register)
Kritiskt

Säkerhetsalternativ – interaktiv inloggning

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Cachelagring av inloggningsuppgifter måste begränsas
(AZ-WIN-73651)
Beskrivning: Den här principinställningen avgör om en användare kan logga in på en Windows-domän med hjälp av cachelagrad kontoinformation. Inloggningsinformation för domänkonton kan cachelagras lokalt så att användarna kan logga in även om en domänkontrollant inte kan kontaktas. Den här principinställningen avgör antalet unika användare för vilka inloggningsinformation cachelagras lokalt. Om det här värdet är inställt på 0 inaktiveras funktionen för inloggningscache. En angripare som kan komma åt serverns filsystem kan hitta den här cachelagrade informationen och använda en råstyrkeattack för att fastställa användarlösenord. Det rekommenderade tillståndet för den här inställningen är: 4 or fewer logon(s).
Nyckelsökväg: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Interaktiv inloggning: Antal tidigare inloggningar att cachelagrar (om domänkontrollanten inte är tillgänglig)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.7.6
        CIS WS2019 2.3.7.6
I 1-4
(Register)
Information
Interaktiv inloggning: Visa inte senaste användarnamn
(CCE-36056-0)
Beskrivning: Den här principinställningen avgör om kontonamnet för den senaste användaren som ska logga in på klientdatorerna i din organisation visas på respektive dators respektive Windows-inloggningsskärm. Aktivera den här principinställningen för att förhindra att inkräktare samlar in kontonamn visuellt från skärmarna på stationära eller bärbara datorer i din organisation. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Interaktiv inloggning: Visa inte senast inloggad
Obs! I äldre versioner av Microsoft Windows fick den här inställningen namnet Interaktiv inloggning: Visa inte efternamn, men det har bytt namn från och med Windows Server 2019.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.7.2
        CIS WS2022 2.3.7.2
= 1
(Register)
Kritiskt
Interaktiv inloggning: Kräv inte CTRL + ALT + DEL
(CCE-37637-6)
Beskrivning: Den här principinställningen avgör om användarna måste trycka på CTRL+ALT+DEL innan de loggar in. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Interaktiv inloggning: Kräver inte CTRL+ALT+DEL

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.7.1
        CIS WS2022 2.3.7.1
Finns inte eller = 0
(Register)
Kritiskt
Interaktiv inloggning: Gräns för datorinaktivitet
(AZ-WIN-73645)
Beskrivning: Windows märker inaktivitet för en inloggningssession, och om mängden inaktiv tid överskrider inaktivitetsgränsen körs skärmsläckaren och låser sessionen. Det rekommenderade tillståndet för den här inställningen är: 900 or fewer second(s), but not 0. Obs! Värdet 0 för överensstämmer inte med riktmärket eftersom det inaktiverar datorns inaktivitetsgräns.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Interaktiv inloggning: Inaktivitetsgräns för datorn
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.7.3
        CIS WS2019 2.3.7.3
I 1-900
(Register)
Viktigt!
Interaktiv inloggning: Meddelandetext för användare som försöker logga in
(AZ-WIN-202253)
Beskrivning: Den här principinställningen anger ett textmeddelande som visas för användarna när de loggar in. Konfigurera den här inställningen på ett sätt som överensstämmer med organisationens säkerhet och driftskrav.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Interaktiv inloggning: Meddelandetext för användare som försöker logga in
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.7.4
        CIS WS2019 2.3.7.4
!=
(Register)
Varning
Interaktiv inloggning: Meddelanderubrik för användare som försöker logga in
(AZ-WIN-202254)
Beskrivning: Den här principinställningen anger den text som visas i namnlisten i fönstret som användarna ser när de loggar in på systemet. Konfigurera den här inställningen på ett sätt som överensstämmer med organisationens säkerhet och driftskrav.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Interaktiv inloggning: Meddelanderubrik för användare som försöker logga in
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.7.5
        CIS WS2019 2.3.7.5
!=
(Register)
Varning
Interaktiv inloggning: Uppmana användaren att ändra lösenord innan de upphör att gälla
(CCE-10930-6)
Beskrivning: Den här principinställningen avgör hur långt i förväg användarna varnas för att deras lösenord upphör att gälla. Vi rekommenderar att du konfigurerar den här principinställningen till minst 5 dagar men högst 14 dagar för att varna användarna tillräckligt när deras lösenord upphör att gälla. Det rekommenderade tillståndet för den här inställningen är: between 5 and 14 days.
Nyckelsökväg: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Interaktiv inloggning: Uppmana användaren att ändra lösenordet innan det upphör att gälla
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.7.7
        CIS WS2019 2.3.7.7
I 5-14
(Register)
Information

Säkerhetsalternativ – Microsoft Network Client

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Microsoft-nätverksklient: Signera kommunikation digitalt (alltid)
(CCE-36325-9)
Beskrivning:

Den här principinställningen avgör om paketsignering krävs av SMB-klientkomponenten. Obs! När Windows Vista-baserade datorer har den här principinställningen aktiverad och de ansluter till fil- eller utskriftsresurser på fjärrservrar är det viktigt att inställningen synkroniseras med dess tillhörande inställning, Microsoft-nätverksserver: Signera kommunikation digitalt (alltid), på dessa servrar. Mer information om de här inställningarna finns i avsnittet "Microsoft-nätverksklient och -server: Signera kommunikation digitalt (fyra relaterade inställningar)" i kapitel 5 i guiden Hot och motåtgärder. Det rekommenderade tillståndet för den här inställningen är: "Aktiverad".


Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft-nätverksklient: Signera kommunikation digitalt (alltid)

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93555
        STIG WS2016 V-73653
        CIS WS2019 2.3.8.1
        CIS WS2022 2.3.8.1
= 1
(Register)
Kritiskt
Microsoft-nätverksklient: Signera kommunikation digitalt (om klienten tillåter)
(CCE-36269-9)
Beskrivning: Den här principinställningen avgör om SMB-klienten ska försöka förhandla om SMB-paketsignering. Obs! Om du aktiverar den här principinställningen på SMB-klienter i nätverket blir de fullt effektiva för paketsignering med alla klienter och servrar i din miljö. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft-nätverksklient: Signera kommunikation digitalt (om servern samtycker)

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93557
        STIG WS2016 V-73655
        CIS WS2019 2.3.8.2
        CIS WS2022 2.3.8.2
Finns inte eller = 1
(Register)
Kritiskt
Microsoft-nätverksklient: Skicka okrypterade lösenord till SMB-servrar från tredje part
(CCE-37863-8)
Beskrivning:

Den här principinställningen avgör om SMB-omdirigeringen skickar lösenord i klartext under autentiseringen till SMB-servrar från tredje part som inte stöder lösenordskryptering. Vi rekommenderar att du inaktiverar den här principinställningen om det inte finns ett starkt affärsfall för att aktivera den. Om den här principinställningen är aktiverad tillåts okrypterade lösenord i nätverket. Det rekommenderade tillståndet för den här inställningen är: "Inaktiverad".


Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft-nätverksklient: Skicka okrypterat lösenord till SMB-servrar från tredje part

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93469
        STIG WS2016 V-73657
        CIS WS2019 2.3.8.3
        CIS WS2022 2.3.8.3
Finns inte eller = 0
(Register)
Kritiskt
Microsoft-nätverksserver: Väntetid som krävs innan sessionen stoppas
(CCE-38046-9)
Beskrivning: Med den här principinställningen kan du ange hur lång kontinuerlig inaktivitetstid som måste passera i en SMB-session innan sessionen pausas på grund av inaktivitet. Administratörer kan använda den här principinställningen för att styra när en dator pausar en inaktiv SMB-session. Om klientaktiviteten återupptas återupprättas sessionen automatiskt. Värdet 0 verkar tillåta att sessioner bevaras på obestämd tid. Det maximala värdet är 99999, vilket är över 69 dagar. i praktiken inaktiverar det här värdet inställningen. Det rekommenderade tillståndet för den här inställningen är: 15 or fewer minute(s), but not 0.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till 15 or fewer minute(s):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft-nätverksserver: Mängden inaktiv tid som krävs innan sessionen pausas
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.9.1
I 1-15
(Register)
Kritiskt
Microsoft-nätverksserver: Signera kommunikation digitalt (alltid)
(CCE-37864-6)
Beskrivning: Den här principinställningen avgör om paketsignering krävs av SMB-serverkomponenten. Aktivera den här principinställningen i en blandad miljö för att förhindra att underordnade klienter använder arbetsstationen som en nätverksserver. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft-nätverksserver: Signera kommunikation digitalt (alltid)

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93559
        STIG WS2016 V-73661
        CIS WS2019 2.3.9.2
        CIS WS2022 2.3.9.2
= 1
(Register)
Kritiskt
Microsoft-nätverksserver: Signera kommunikation digitalt (om klienten tillåter)
(CCE-35988-5)
Beskrivning: Den här principinställningen avgör om SMB-servern ska förhandla SMB-paketsignering med klienter som begär det. Om ingen signeringsbegäran kommer från klienten tillåts en anslutning utan signatur om inställningen Microsoft-nätverksserver: Inställningen Signera kommunikation digitalt (alltid) inte är aktiverad. Obs! Aktivera den här principinställningen på SMB-klienter i nätverket för att göra dem fullt effektiva för paketsignering med alla klienter och servrar i din miljö. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft-nätverksserver: Signera kommunikation digitalt (om klienten samtycker)

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93561
        STIG WS2016 V-73663
        CIS WS2019 2.3.9.3
        CIS WS2022 2.3.9.3
= 1
(Register)
Kritiskt
Microsoft-nätverksserver: Koppla bort klienter när inloggningstiden upphör
(CCE-37972-7)
Beskrivning: Den här säkerhetsinställningen avgör om användare som är anslutna till den lokala datorn ska kopplas från utanför användarkontots giltiga inloggningstider. Den här inställningen påverkar komponenten Server Message Block (SMB). Om du aktiverar den här principinställningen bör du även aktivera Nätverkssäkerhet: Framtvinga utloggning när inloggningstiderna upphör (regel 2.3.11.6). Om din organisation konfigurerar inloggningstimmar för användare är den här principinställningen nödvändig för att säkerställa att de är effektiva. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft-nätverksserver: Koppla från klienter när inloggningstiderna upphör att gälla

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.9.4
        CIS WS2022 2.3.9.4
Finns inte eller = 1
(Register)
Kritiskt
Microsoft-nätverksserver: Verifieringsnivå för serverns SPN-målnamn
(CCE-10617-9)
Beskrivning: Den här principinställningen styr valideringsnivån för en dator med delade mappar eller skrivare (servern) som utförs på tjänstens huvudnamn (SPN) som tillhandahålls av klientdatorn när en session upprättas med hjälp av SMB-protokollet (Server Message Block). SMB-protokollet (Server Message Block) utgör grunden för fil- och utskriftsdelning och andra nätverksåtgärder, till exempel fjärradministration i Windows. SMB-protokollet stöder validering av SMB-tjänstens huvudnamn (SPN) i autentiseringsbloben som tillhandahålls av en SMB-klient för att förhindra en klass av attacker mot SMB-servrar som kallas SMB-reläattacker. Den här inställningen påverkar både SMB1 och SMB2. Det rekommenderade tillståndet för den här inställningen är: Accept if provided by client. Om du konfigurerar den här inställningen så att Required from client den också överensstämmer med riktmärket. Obs! Eftersom versionen av MS KB3161561 säkerhetskorrigering kan den här inställningen orsaka betydande problem (till exempel replikeringsproblem, problem med grupprincipredigering och blåskärmskrascher) på domänkontrollanter när de används samtidigt med UNC-sökvägshärdning (dvs. regel 18.5.14.1). CIS rekommenderar därför att du inte distribuerar den här inställningen på domänkontrollanter.
Nyckelsökväg: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Microsoft-nätverksserver: Serverns SPN-målnamnsverifieringsnivå
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.9.5
        CIS WS2019 2.3.9.5
= 1
(Register)
Varning

Säkerhetsalternativ – Microsoft Network Server

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Inaktivera SMB v1-server
(AZ-WIN-00175)
Beskrivning: Om du inaktiverar den här inställningen inaktiveras bearbetning på serversidan av SMBv1-protokollet. (Rekommenderas.) Om du aktiverar den här inställningen kan du bearbeta SMBv1-protokollet på serversidan. (Standard.) Ändringar i den här inställningen kräver att en omstart börjar gälla. Mer information finns i https://support.microsoft.com/kb/2696547
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Inte tillämpligt
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.3.3
Finns inte eller = 0
(Register)
Kritiskt

Säkerhetsalternativ – Nätverksåtkomst

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Konton: Byt namn på administratörskontot
(CCE-10976-9)
Beskrivning: Det inbyggda lokala administratörskontot är ett välkänt kontonamn som angripare kommer att rikta in sig på. Vi rekommenderar att du väljer ett annat namn för det här kontot och undviker namn som anger administrativa eller förhöjda åtkomstkonton. Se även till att ändra standardbeskrivningen för den lokala administratören (via datorhanteringskonsolen). Eftersom de inte har egna lokala konton på domänkontrollanter refererar den här regeln till det inbyggda administratörskontot som upprättades när domänen först skapades.
Nyckelsökväg: [Systemåtkomst]NewAdministratorName
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Konton: Byt namn på administratörskonto
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.3.1.5
        CIS WS2019 2.3.1.5
!= Administratör
(Princip)
Varning
Nätverksåtkomst: Tillåt inte anonym uppräkning av SAM-konton
(CCE-36316-8)
Beskrivning: Den här principinställningen styr möjligheten för anonyma användare att räkna upp kontona i Security Accounts Manager (SAM). Om du aktiverar den här principinställningen kommer användare med anonyma anslutningar inte att kunna räkna upp domännamn på systemen i din miljö. Den här principinställningen tillåter även ytterligare begränsningar för anonyma anslutningar. Det rekommenderade tillståndet för den här inställningen är: Enabled. Obs! Den här principen har ingen effekt på domänkontrollanter.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ
etwork-åtkomst: Tillåt inte anonym uppräkning av SAM-konton
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.10.2
Finns inte eller = 1
(Register)
Kritiskt
Nätverksåtkomst: Tillåt inte anonym uppräkning av SAM-konton och resurser
(CCE-36077-6)
Beskrivning: Den här principinställningen styr möjligheten för anonyma användare att räkna upp SAM-konton och resurser. Om du aktiverar den här principinställningen kan anonyma användare inte räkna upp domännamn och nätverksresursnamn i systemen i din miljö. Det rekommenderade tillståndet för den här inställningen är: Enabled. Obs! Den här principen har ingen effekt på domänkontrollanter.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ
etwork-åtkomst: Tillåt inte anonym uppräkning av SAM-konton och -resurser
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.10.3
= 1
(Register)
Kritiskt
Nätverksåtkomst: Låt behörigheter för alla gälla för anonyma användare
(CCE-36148-5)
Beskrivning: Den här principinställningen avgör vilka ytterligare behörigheter som tilldelas för anonyma anslutningar till datorn. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverksåtkomst: Låt alla behörigheter gälla för anonyma användare

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93293
        STIG WS2016 V-73673
        CIS WS2019 2.3.10.5
        CIS WS2022 2.3.10.5
Finns inte eller = 0
(Register)
Kritiskt
Nätverksåtkomst: Fjärråtkomliga registersökvägar
(CCE-37194-8)
Beskrivning: Den här principinställningen avgör vilka registersökvägar som ska vara tillgängliga när winreg-nyckeln har refererats till för att fastställa åtkomstbehörigheter till sökvägarna. Obs! Den här inställningen finns inte i Windows XP. Det fanns en inställning med det namnet i Windows XP, men den kallas "Nätverksåtkomst: Fjärrtillgängliga registersökvägar och undersökvägar" i Windows Server 2003, Windows Vista och Windows Server 2008. Obs! När du konfigurerar den här inställningen anger du en lista över ett eller flera objekt. Avgränsare som används när du anger listan är en radmatning eller vagnretur, d.v.s. skriv det första objektet i listan, tryck på returknappen, skriv nästa objekt, tryck på Retur igen osv. Inställningsvärdet lagras som en kommaavgränsad lista i grupprincipsäkerhetsmallar. Den återges också som en kommaavgränsad lista i visningsfönstret för grupprincipredigeraren och den resulterande uppsättningen principkonsol. Den registreras i registret som en radflödesavgränsad lista i ett REG_MULTI_SZ värde.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Ange följande UI-sökväg för att upprätta den rekommenderade konfigurationen via GP:
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverksåtkomst: Fjärrtillgängliga registersökvägar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.10.8
Finns inte eller = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0
(Register)
Kritiskt
Nätverksåtkomst: Fjärrtillgängliga registersökvägar och undersökvägar
(CCE-36347-3)
Beskrivning: Den här principinställningen avgör vilka registersökvägar och undersökvägar som ska vara tillgängliga när ett program eller en process refererar till WinReg-nyckeln för att fastställa åtkomstbehörigheter. Obs! I Windows XP kallas den här inställningen "Nätverksåtkomst: Fjärrtillgängliga registersökvägar", inställningen med samma namn i Windows Vista, Windows Server 2008 och Windows Server 2003 finns inte i Windows XP. Obs! När du konfigurerar den här inställningen anger du en lista över ett eller flera objekt. Avgränsare som används när du anger listan är en radmatning eller vagnretur, d.v.s. skriv det första objektet i listan, tryck på returknappen, skriv nästa objekt, tryck på Retur igen osv. Inställningsvärdet lagras som en kommaavgränsad lista i grupprincipsäkerhetsmallar. Den återges också som en kommaavgränsad lista i visningsfönstret för grupprincipredigeraren och den resulterande uppsättningen principkonsol. Den registreras i registret som en radflödesavgränsad lista i ett REG_MULTI_SZ värde.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Ange följande UI-sökväg för att upprätta den rekommenderade konfigurationen via GP:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog

Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ
etwork-åtkomst: Fjärrtillgängliga registersökvägar och undersökvägar

När en server har rollen Active Directory Certificate Services med rolltjänsten certifikatutfärdare bör listan ovan även innehålla: "System\CurrentControlSet\Services\CertSvc".

När en server har WINS Server-funktionen installerad bör listan ovan även innehålla:
'System\CurrentControlSet\Services\WINS'
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.10.9
Finns inte eller = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0
(Register)
Kritiskt
Nätverksåtkomst: Begränsa anonym åtkomst till namngivna pipes och resurser
(CCE-36021-4)
Beskrivning: När den här principinställningen Network access: Named pipes that can be accessed anonymously är aktiverad begränsas anonym åtkomst till endast de resurser och rör som namnges i inställningarna och Network access: Shares that can be accessed anonymously . Den här principinställningen styr null-sessionsåtkomst till resurser på dina datorer genom att lägga till RestrictNullSessAccess med värdet 1 i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters . Det här registervärdet aktiverar eller inaktiverar null-sessionsresurser för att kontrollera om servertjänsten begränsar oautentiserade klienters åtkomst till namngivna resurser. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverksåtkomst: Begränsa anonym åtkomst till namngivna pipes och resurser

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93539
        STIG WS2016 V-73675
        CIS WS2019 2.3.10.10
        CIS WS2022 2.3.10.10
Finns inte eller = 1
(Register)
Kritiskt
Nätverksåtkomst: Begränsa klienter som tillåts göra fjärranrop till SAM
(AZ-WIN-00142)
Beskrivning: Med den här principinställningen kan du begränsa RPC-fjärranslutningar till SAM. Om den inte är markerad används standardsäkerhetsbeskrivningen. Den här principen stöds på minst Windows Server 2016.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM
OS: WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators: Remote Access: Allow:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ
etwork-åtkomst: Begränsa klienter som tillåts göra fjärranrop till SAM
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.10.11
Finns inte eller = O:BAG:BAD:(A;; RC;;; BA)
(Register)
Kritiskt
Nätverksåtkomst: Resurser som kan användas anonymt
(CCE-38095-6)
Beskrivning: Den här principinställningen avgör vilka nätverksresurser som kan nås av anonyma användare. Standardkonfigurationen för den här principinställningen har liten effekt eftersom alla användare måste autentiseras innan de kan komma åt delade resurser på servern. Obs! Det kan vara mycket farligt att lägga till andra resurser i den här grupprincipinställningen. Alla nätverksanvändare kan komma åt alla resurser som visas, vilket kan exponera eller skada känsliga data. Obs! När du konfigurerar den här inställningen anger du en lista över ett eller flera objekt. Avgränsare som används när du anger listan är en radmatning eller vagnretur, d.v.s. skriv det första objektet i listan, tryck på returknappen, skriv nästa objekt, tryck på Retur igen osv. Inställningsvärdet lagras som en kommaavgränsad lista i grupprincipsäkerhetsmallar. Den återges också som en kommaavgränsad lista i visningsfönstret för grupprincipredigeraren och den resulterande uppsättningen principkonsol. Den registreras i registret som en radflödesavgränsad lista i ett REG_MULTI_SZ värde.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till <blank> (dvs. Ingen):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ
etwork-åtkomst: Resurser som kan nås anonymt
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.10.12
Finns inte eller =
(Register)
Kritiskt
Nätverksåtkomst: Delning och säkerhetsmodell för lokala konton
(CCE-37623-6)
Beskrivning: Den här principinställningen avgör hur nätverksinloggningar som använder lokala konton autentiseras. Det klassiska alternativet ger exakt kontroll över åtkomsten till resurser, inklusive möjligheten att tilldela olika typer av åtkomst till olika användare för samma resurs. Med alternativet Endast gäst kan du behandla alla användare lika. I det här sammanhanget autentiserar alla användare endast som gäst för att få samma åtkomstnivå till en viss resurs. Det rekommenderade tillståndet för den här inställningen är: Classic - local users authenticate as themselves. Obs! Den här inställningen påverkar inte interaktiva inloggningar som utförs via fjärranslutning med hjälp av tjänster som Telnet eller Fjärrskrivbordstjänster (kallades tidigare Terminal Services).
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Classic - local users authenticate as themselves:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverksåtkomst: Delning och säkerhetsmodell för lokala konton

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.10.13
        CIS WS2022 2.3.10.13
Finns inte eller = 0
(Register)
Kritiskt

Säkerhetsalternativ – Nätverkssäkerhet

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Nätverkssäkerhet: Tillåt lokalt system att använda datoridentitet för NTLM
(CCE-38341-4)
Beskrivning: När den här principinställningen är aktiverad får lokala systemtjänster som använder Negotiate att använda datoridentiteten när NTLM-autentisering väljs av förhandlingen. Den här principen stöds på minst Windows 7 eller Windows Server 2008 R2.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ
etwork-säkerhet: Tillåt att det lokala systemet använder datoridentitet för NTLM
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.11.1
= 1
(Register)
Kritiskt
Nätverkssäkerhet: Tillåt LocalSystem NULL-sessionsfallback
(CCE-37035-3)
Beskrivning: Den här principinställningen avgör om NTLM får återgå till en NULL-session när den används med LocalSystem. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverkssäkerhet: Tillåt återställning av LocalSystem NULL-session

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93297
        STIG WS2016 V-73681
        CIS WS2019 2.3.11.2
        CIS WS2022 2.3.11.2
Finns inte eller = 0
(Register)
Kritiskt
Nätverkssäkerhet: Tillåt PKU2U-autentiseringsförfrågningar till den här datorn att använda onlineidentiteter
(CCE-38047-7)
Beskrivning: Den här inställningen avgör om onlineidentiteter kan autentiseras till den här datorn. Protokollet Public Key Cryptography Based User-to-User (PKU2U) som introducerades i Windows 7 och Windows Server 2008 R2 implementeras som en SSP (Security Support Provider). SSP möjliggör peer-to-peer-autentisering, särskilt via Windows 7-media och fildelningsfunktionen Homegroup, som tillåter delning mellan datorer som inte är medlemmar i en domän. Med PKU2U introducerades ett nytt tillägg till negotiate-autentiseringspaketet, Spnego.dll. I tidigare versioner av Windows beslutade Negotiate om Kerberos eller NTLM skulle användas för autentisering. Tillägget SSP för Negotiate, Negoexts.dll, som behandlas som ett autentiseringsprotokoll av Windows, stöder Microsoft SSP:er inklusive PKU2U. När datorer är konfigurerade för att acceptera autentiseringsbegäranden med hjälp av online-ID:n anropar Negoexts.dll du PKU2U SSP på den dator som används för att logga in. PKU2U SSP hämtar ett lokalt certifikat och utbyter principen mellan peer-datorerna. När det verifieras på peer-datorn skickas certifikatet i metadata till inloggnings peer för validering och associerar användarens certifikat med en säkerhetstoken och inloggningsprocessen slutförs. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverkssäkerhet: Tillåt PKU2U-autentiseringsbegäranden till den här datorn att använda onlineidentiteter

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93299
        STIG WS2016 V-73683
        CIS WS2019 2.3.11.3
        CIS WS2022 2.3.11.3
Finns inte eller = 0
(Register)
Varning
Nätverkssäkerhet: Konfigurera krypteringstyper som tillåts för Kerberos
(CCE-37755-6)
Beskrivning: Med den här principinställningen kan du ange de krypteringstyper som Kerberos får använda. Den här principen stöds på minst Windows 7 eller Windows Server 2008 R2.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverkssäkerhet: Konfigurera krypteringstyper som tillåts för Kerberos
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.11.4
Finns inte eller = 2147483640
(Register)
Kritiskt
Nätverkssäkerhet: Lagra inte hashvärdet för LAN Manager vid nästa lösenordsbyte
(CCE-36326-7)
Beskrivning: Den här principinställningen avgör om LAN Manager-hashvärdet (LM) för det nya lösenordet lagras när lösenordet ändras. LM-hashen är relativt svag och utsatt för angrepp jämfört med den kryptografiskt starkare Microsoft Windows NT-hashen. Eftersom LM-hashar lagras på den lokala datorn i säkerhetsdatabasen kan lösenord sedan enkelt komprometteras om databasen attackeras. Obs! Äldre operativsystem och vissa program från tredje part kan misslyckas när den här principinställningen är aktiverad. Observera också att lösenordet måste ändras på alla konton när du har aktiverat den här inställningen för att få rätt fördel. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverkssäkerhet: Lagra inte LAN Manager-hashvärdet vid nästa lösenordsändring

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93467
        STIG WS2016 V-73687
        CIS WS2019 2.3.11.5
        CIS WS2022 2.3.11.5
Finns inte eller = 1
(Register)
Kritiskt
Nätverkssäkerhet: Autentiseringsnivå för LAN Manager
(CCE-36173-3)
Beskrivning: LAN Manager (LM) är en familj av tidig Microsoft-klient-/serverprogramvara som gör det möjligt för användare att länka ihop personliga datorer i ett enda nätverk. Nätverksfunktionerna omfattar transparent fil- och utskriftsdelning, användarsäkerhetsfunktioner och verktyg för nätverksadministration. I Active Directory-domäner är Kerberos-protokollet standardautentiseringsprotokollet. Men om Kerberos-protokollet inte förhandlas av någon anledning använder Active Directory LM, NTLM eller NTLMv2. LAN Manager-autentisering omfattar LM, NTLM, och NTLM version 2 -varianter (NTLMv2) och är det protokoll som används för att autentisera alla Windows-klienter när de utför följande åtgärder: - Anslut till en domän – Autentisera mellan Active Directory-skogar – Autentisera till domäner på nednivå – Autentisera till datorer som inte kör Windows 2000, Windows Server 2003 eller Windows XP) – Autentisera till datorer som inte finns i domänen Möjliga värden för nätverkssäkerheten: Inställningar för LAN Manager-autentiseringsnivå är: – Skicka LM- och NTLM-svar – Skicka LM & NTLM – använd NTLMv2-sessionssäkerhet om det förhandlas – Skicka endast NTLM-svar – Skicka endast NTLMv2-svar – Skicka endast NTLMv2-svar – Skicka NT EndastLMv2-svar\vägra LM – Skicka endast NTLMv2-svar\neka LM & NTLM – Inte definierat Nätverkssäkerheten: Inställningen för LAN Manager-autentiseringsnivå avgör vilket protokoll för autentisering av utmaning/svar som används för nätverksinloggningar. Det här valet påverkar den autentiseringsprotokollnivå som klienter använder, sessionssäkerhetsnivån som datorerna förhandlar om och den autentiseringsnivå som servrarna accepterar på följande sätt: – Skicka LM- och NTLM-svar. Klienter använder LM- och NTLM-autentisering och använder aldrig NTLMv2-sessionssäkerhet. Domänkontrollanter accepterar LM-, NTLM- och NTLMv2-autentisering. – Skicka LM & NTLM – använd NTLMv2-sessionssäkerhet om du förhandlar. Klienter använder LM- och NTLM-autentisering och använder NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter accepterar LM-, NTLM- och NTLMv2-autentisering. – Skicka endast NTLM-svar. Klienter använder endast NTLM-autentisering och använder NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter accepterar LM-, NTLM- och NTLMv2-autentisering. – Skicka endast NTLMv2-svar. Klienter använder endast NTLMv2-autentisering och använder NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter accepterar LM-, NTLM- och NTLMv2-autentisering. – Skicka endast NTLMv2-svar\neka LM. Klienter använder endast NTLMv2-autentisering och använder NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter nekar LM (accepterar endast NTLM- och NTLMv2-autentisering). – Skicka endast NTLMv2-svar\vägra LM & NTLM. Klienter använder endast NTLMv2-autentisering och använder NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter nekar LM och NTLM (accepterar endast NTLMv2-autentisering). De här inställningarna motsvarar de nivåer som beskrivs i andra Microsoft-dokument enligt följande: – Nivå 0 – Skicka LM- och NTLM-svar; använd aldrig NTLMv2-sessionssäkerhet. Klienter använder LM- och NTLM-autentisering och använder aldrig NTLMv2-sessionssäkerhet. Domänkontrollanter accepterar LM-, NTLM- och NTLMv2-autentisering. – Nivå 1 – Använd NTLMv2-sessionssäkerhet om du förhandlar. Klienter använder LM- och NTLM-autentisering och använder NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter accepterar LM-, NTLM- och NTLMv2-autentisering. – Nivå 2 – Skicka endast NTLM-svar. Klienter använder endast NTLM-autentisering och använder NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter accepterar LM-, NTLM- och NTLMv2-autentisering. – Nivå 3 – Skicka endast NTLMv2-svar. Klienter använder NTLMv2-autentisering och använder NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter accepterar LM-, NTLM- och NTLMv2-autentisering. – Nivå 4 – Domänkontrollanter nekar LM-svar. Klienter använder NTLM-autentisering och använder NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter nekar LM-autentisering, det vill säga de accepterar NTLM och NTLMv2. – Nivå 5 – Domänkontrollanter nekar LM- och NTLM-svar (accepterar endast NTLMv2). Klienter använder NTLMv2-autentisering, använder och NTLMv2-sessionssäkerhet om servern stöder det. Domänkontrollanter nekar NTLM- och LM-autentisering (de accepterar endast NTLMv2).
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till: "Skicka endast NTLMv2-svar. Vägra LM & NTLM":
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ
etwork-säkerhet: LAN Manager-autentiseringsnivå
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.11.7
= 5
(Register)
Kritiskt
Nätverkssäkerhet: Signeringskrav för LDAP-klient
(CCE-36858-9)
Beskrivning: Den här principinställningen avgör vilken nivå av datasignering som begärs för klienter som utfärdar LDAP BIND-begäranden. Obs! Den här principinställningen påverkar inte enkel LDAP-bindning (ldap_simple_bind) eller enkel LDAP-bindning via SSL (ldap_simple_bind_s). Inga Microsoft LDAP-klienter som ingår i Windows XP Professional använder ldap_simple_bind eller ldap_simple_bind_s för att kommunicera med en domänkontrollant. Det rekommenderade tillståndet för den här inställningen är: Negotiate signing. Om du konfigurerar den här inställningen så att Require signing den också överensstämmer med benchmark-värdet.
Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Negotiate signing (konfigurerar för att Require signing även överensstämma med riktmärket):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverkssäkerhet: LDAP-klientsigneringskrav

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93303
        STIG WS2016 V-73693
        CIS WS2019 2.3.11.8
        CIS WS2022 2.3.11.8
Finns inte eller = 1
(Register)
Kritiskt
Nätverkssäkerhet: Lägsta sessionssäkerhet för NTLM SSP baserade (inklusive säker RPC) klienter
(CCE-37553-5)
Beskrivning: Den här principinställningen avgör vilka beteenden som tillåts av klienter för program med hjälp av NTLM Security Support Provider (SSP). SSP-gränssnittet (SSPI) används av program som behöver autentiseringstjänster. Inställningen ändrar inte hur autentiseringssekvensen fungerar utan kräver i stället vissa beteenden i program som använder SSPI. Det rekommenderade tillståndet för den här inställningen är: Require NTLMv2 session security, Require 128-bit encryption. Obs! Dessa värden är beroende av värdet för nätverkssäkerhet: SÄKERHETSinställning på LAN Manager-autentiseringsnivå.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Require NTLMv2 session security, Require 128-bit encryption: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverkssäkerhet: Minsta sessionssäkerhet för NTLM SSP-baserade (inklusive säkra RPC)-klienter
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.11.9
= 537395200
(Register)
Kritiskt
Nätverkssäkerhet: Lägsta sessionssäkerhet för NTLM SSP-baserade (inklusive säkra RPC) servrar
(CCE-37835-6)
Beskrivning: Den här principinställningen avgör vilka beteenden som tillåts av servrar för program med hjälp av NTLM Security Support Provider (SSP). SSP-gränssnittet (SSPI) används av program som behöver autentiseringstjänster. Inställningen ändrar inte hur autentiseringssekvensen fungerar utan kräver i stället vissa beteenden i program som använder SSPI. Det rekommenderade tillståndet för den här inställningen är: Require NTLMv2 session security, Require 128-bit encryption. Obs! Dessa värden är beroende av värdet för nätverkssäkerhet: SÄKERHETSinställning på LAN Manager-autentiseringsnivå.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera principvärdet för Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverkssäkerhet: Minsta sessionssäkerhet för NTLM SSP-baserade servrar (inklusive säkra RPC)-servrar till Kräv NTLMv2-sessionssäkerhet och Kräv 128-bitars kryptering (alla alternativ har valts).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.11.10
= 537395200
(Register)
Kritiskt

Säkerhetsalternativ – Avstängning

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Avstängning: Tillåt att systemet stängs av utan inloggning
(CCE-36788-8)
Beskrivning: Den här principinställningen avgör om en dator kan stängas av när en användare inte är inloggad. Om den här principinställningen är aktiverad är avstängningskommandot tillgängligt på Windows-inloggningsskärmen. Vi rekommenderar att du inaktiverar den här principinställningen för att begränsa möjligheten att stänga av datorn till användare med autentiseringsuppgifter i systemet. Det rekommenderade tillståndet för den här inställningen är: Disabled. Obs! I Server 2008 R2 och äldre versioner hade den här inställningen ingen inverkan på Fjärrskrivbord (RDP)/Terminal Services-sessioner – den påverkade bara den lokala konsolen. Microsoft ändrade dock beteendet i Windows Server 2012 (icke-R2) och senare, där RDP-sessioner, om de är inställda på Aktiverad, också tillåts stänga av eller starta om servern.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Avstängning: Tillåt att systemet stängs av utan att behöva logga in

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.13.1
        CIS WS2022 2.3.13.1
Finns inte eller = 0
(Register)
Varning
Avstängning: Rensa den virtuella växlingsfilen
(AZ-WIN-00181)
Beskrivning: Den här principinställningen avgör om sidfilen för virtuellt minne rensas när systemet stängs av. När den här principinställningen är aktiverad rensas systemsidefilen varje gång systemet stängs av korrekt. Om du aktiverar den här säkerhetsinställningen nollställs vilolägesfilen (Hiberfil.sys) när viloläge inaktiveras på ett bärbart datorsystem. Det tar längre tid att stänga av och starta om datorn och kommer att märkas särskilt på datorer med stora växlingsfiler.
Nyckelsökväg: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera principvärdet för Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Avstängning: Rensa sidfil för virtuellt minne till Disabled.
Standardmappningar för efterlevnad:
Finns inte eller = 0
(Register)
Kritiskt

Säkerhetsalternativ – Systemkryptografi

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Användare måste vara skyldiga att ange ett lösenord för att få åtkomst till privata nycklar som lagras på datorn.
(AZ-WIN-73699)
Beskrivning: Om den privata nyckeln identifieras kan en angripare använda nyckeln för att autentisera sig som behörig användare och få åtkomst till nätverksinfrastrukturen. Hörnstenen i PKI:et är den privata nyckel som används för att kryptera eller signera information digitalt. Om den privata nyckeln blir stulen leder detta till att autentiseringen och icke-avvisning som uppnås via PKI komprometteras eftersom angriparen kan använda den privata nyckeln för att signera dokument digitalt och låtsas vara den auktoriserade användaren. Både innehavarna av ett digitalt certifikat och den utfärdande myndigheten måste skydda datorer, lagringsenheter eller vad de än använder för att behålla de privata nycklarna.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Systemkryptografi: Framtvinga starkt nyckelskydd för användarnycklar som lagras på datorn
Standardmappningar för efterlevnad:
= 2
(Register)
Viktigt!
Windows Server måste konfigureras för att använda FIPS-kompatibla algoritmer för kryptering, hashing och signering.
(AZ-WIN-73701)
Beskrivning: Den här inställningen säkerställer att systemet använder algoritmer som är FIPS-kompatibla för kryptering, hashing och signering. FIPS-kompatibla algoritmer uppfyller specifika standarder som fastställts av den amerikanska regeringen och måste vara de algoritmer som används för alla OS-krypteringsfunktioner.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
OS: WS2016, WS2019, WS2022
Servertyp: Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering
Standardmappningar för efterlevnad:
= 1
(Register)
Viktigt!

Säkerhetsalternativ – Systemobjekt

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Systemobjekt: Kräv skiftlägesokänslighet för Windows-undersystem
(CCE-37885-1)
Beskrivning: Den här principinställningen avgör om skiftlägesokänslighet tillämpas för alla undersystem. Microsoft Win32-undersystemet är skiftlägesokänsligt. Kerneln stöder dock skiftlägeskänslighet för andra undersystem, till exempel DET bärbara operativsystemets gränssnitt för UNIX (POSIX). Eftersom Windows är skiftlägesokänsligt (men POSIX-undersystemet stöder skiftlägeskänslighet) gör det möjligt för en användare av POSIX-undersystemet att skapa en fil med samma namn som en annan fil genom att använda blandade skiftlägen för att märka den. En sådan situation kan blockera åtkomsten till dessa filer av en annan användare som använder typiska Win32-verktyg, eftersom endast en av filerna kommer att vara tillgänglig. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Systemobjekt: Kräv skiftlägesokänslighet för icke-Windows-undersystem

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.15.1
        CIS WS2022 2.3.15.1
Finns inte eller = 1
(Register)
Varning
Systemobjekt: Förstärk standardbehörigheterna för interna systemobjekt (t ex symboliska länkar)
(CCE-37644-2)
Beskrivning: Den här principinställningen avgör styrkan i DACL (Default Discretionary Access Control List) för objekt. Active Directory har en global lista över delade systemresurser, till exempel DOS-enhetsnamn, mutexes och semaphores. På så sätt kan objekt hittas och delas mellan processer. Varje typ av objekt skapas med en standard-DACL som anger vem som kan komma åt objekten och vilka behörigheter som beviljas. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera principvärdet för Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Systemobjekt: Stärka standardbehörigheterna för interna systemobjekt (t.ex. symboliska länkar) till Enabled
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.3.15.2
= 1
(Register)
Kritiskt

Säkerhetsalternativ – Systeminställningar

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Systeminställningar: Använd certifikatregler på körbara Windows-filer för principer för begränsning av programvara
(AZ-WIN-00155)
Beskrivning: Den här principinställningen avgör om digitala certifikat bearbetas när principer för begränsning av programvara aktiveras och en användare eller process försöker köra programvara med ett filnamnstillägg för .exe. Den aktiverar eller inaktiverar certifikatregler (en typ av principregel för begränsning av programvara). Med principer för begränsning av programvara kan du skapa en certifikatregel som tillåter eller inte tillåter körning av Authenticode-signerad ® programvara, baserat på det digitala certifikat som är associerat med programvaran. För att certifikatregler ska börja gälla i principer för begränsning av programvara måste du aktivera den här principinställningen.
Nyckelsökväg: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Systeminställningar: Använd certifikatregler i Körbara Windows-filer för principer för begränsning av programvara
Standardmappningar för efterlevnad:
= 1
(Register)
Varning

Säkerhetsalternativ – Användarkontokontroll

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Kontroll av användarkonto: Adminläge för det inbyggda administratörskontot
(CCE-36494-3)
Beskrivning: Den här principinställningen styr beteendet för läget för administratörsgodkännande för det inbyggda administratörskontot. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Användarkontokontroll: Läge för administratörsgodkännande för det inbyggda administratörskontot

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93431
        STIG WS2016 V-73707
        CIS WS2019 2.3.17.1
        CIS WS2022 2.3.17.1
= 1
(Register)
Kritiskt
Kontroll av användarkonto: Tillåt UIAccess-program att fråga om utökade privilegier utan att använda skyddat skrivbord
(CCE-36863-9)
Beskrivning: Den här principinställningen styr om hjälpmedelsprogram för användargränssnitt (UIAccess eller UIA) automatiskt kan inaktivera det säkra skrivbordet för utökade frågor som används av en standardanvändare. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Användarkontokontroll: Tillåt att UIAccess-program uppmanar till utökade privilegier utan att använda det säkra skrivbordet
Standardmappningar för efterlevnad:
= 0
(Register)
Kritiskt
Kontroll av användarkonto: Funktionssätt för fråga om utökade privilegier för administratörer i Adminläge
(CCE-37029-6)
Beskrivning: Den här principinställningen styr beteendet för uppmaningen om utökade privilegier för administratörer. Det rekommenderade tillståndet för den här inställningen är: Prompt for consent on the secure desktop.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Prompt for consent on the secure desktop:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Användarkontokontroll: Beteende för uppmaningen om utökade privilegier för administratörer i läget för administratörsgodkännande

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93523
        STIG WS2016 V-73711
        CIS WS2019 2.3.17.2
        CIS WS2022 2.3.17.2
= 2
(Register)
Kritiskt
Kontroll av användarkonto: Funktionssätt vid fråga om utökade privilegier för standardanvändare
(CCE-36864-7)
Beskrivning: Den här principinställningen styr beteendet för uppmaningen om utökade privilegier för standardanvändare. Det rekommenderade tillståndet för den här inställningen är: Automatically deny elevation requests.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Automatically deny elevation requests:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Användarkontokontroll: Beteende för uppmaningen om utökade privilegier för standardanvändare

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93433
        STIG WS2016 V-73713
        CIS WS2019 2.3.17.3
        CIS WS2022 2.3.17.3
= 0
(Register)
Kritiskt
Kontroll av användarkonto: Identifiera programinstallationer och fråga efter utökade privilegier
(CCE-36533-8)
Beskrivning: Den här principinställningen styr beteendet för programinstallationsidentifiering för datorn. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Användarkontokontroll: Identifiera programinstallationer och fråga efter utökade privilegier

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93525
        STIG WS2016 V-73715
        CIS WS2019 2.3.17.4
        CIS WS2022 2.3.17.4
= 1
(Register)
Kritiskt
Kontroll av användarkonto: Ge endast utökade privilegier till UIAccess-program som är installerade på skyddade platser
(CCE-37057-7)
Beskrivning: Den här principinställningen styr om program som begär att köras med en UIAccess-integritetsnivå (User Interface Accessibility) måste finnas på en säker plats i filsystemet. Säkra platser är begränsade till följande: – …\Program Files\, inklusive undermappar – …\Windows\system32\…\Program Files (x86)\ - , inklusive undermappar för 64-bitarsversioner av Windows Obs! Windows tillämpar en PKI-signatur (Public Key Infrastructure) för alla interaktiva program som begär att köras med en UIAccess-integritetsnivå oavsett tillståndet för den här säkerhetsinställningen. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Användarkontokontroll: Höj endast UIAccess-program som är installerade på säkra platser

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93527
        STIG WS2016 V-73717
        CIS WS2019 2.3.17.5
        CIS WS2022 2.3.17.5
= 1
(Register)
Kritiskt
Kontroll av användarkonto: Kör alla administratörer i Adminläge
(CCE-36869-6)
Beskrivning: Den här principinställningen styr beteendet för alla UAC-principinställningar (User Account Control) för datorn. Om du ändrar den här principinställningen måste du starta om datorn. Det rekommenderade tillståndet för den här inställningen är: Enabled. Obs! Om den här principinställningen är inaktiverad meddelar Security Center dig att den övergripande säkerheten för operativsystemet har minskat.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Användarkontokontroll: Kör alla administratörer i läget för administratörsgodkännande

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93435
        STIG WS2016 V-73719
        CIS WS2019 2.3.17.6
        CIS WS2022 2.3.17.6
= 1
(Register)
Kritiskt
Kontroll av användarkonto: Växla till skyddat skrivbord vid fråga om utökade privilegier
(CCE-36866-2)
Beskrivning: Den här principinställningen styr om frågan om begäran om utökade privilegier visas på den interaktiva användarens skrivbord eller på det säkra skrivbordet. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Användarkontokontroll: Växla till det säkra skrivbordet när du uppmanas att utöka

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93521
        STIG WS2016 V-73709
        CIS WS2019 2.3.17.7
        CIS WS2022 2.3.17.7
= 1
(Register)
Kritiskt
Kontroll av användarkonto: Virtualisera skrivfel för filer och register till platser per användare
(CCE-37064-3)
Beskrivning: Den här principinställningen styr om programskrivningsfel omdirigeras till definierade register- och filsystemplatser. Den här principinställningen minimerar program som körs som administratör och skriver programdata för körning till: - %ProgramFiles%, - %Windir%, - %Windir%\system32eller - HKEY_LOCAL_MACHINE\Software. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Användarkontokontroll: Virtualisera fil- och registerskrivningsfel till platser per användare

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93529
        STIG WS2016 V-73721
        CIS WS2019 2.3.17.8
        CIS WS2022 2.3.17.8
= 1
(Register)
Kritiskt

Säkerhetsinställningar – Kontoprinciper

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Tröskelvärde för kontoutelåsning
(AZ-WIN-73311)
Beskrivning: Den här principinställningen avgör antalet misslyckade inloggningsförsök innan kontot låses. Om du ställer in den här principen på 0 överensstämmer den inte med riktmärket eftersom det inaktiverar tröskelvärdet för kontoutelåsning. Det rekommenderade tillståndet för den här inställningen är: 5 or fewer invalid logon attempt(s), but not 0. Obs! Inställningar för lösenordsprinciper (avsnitt 1.1) och Principinställningar för kontoutelåsning (avsnitt 1.2) måste tillämpas via grupprincipobjektet för standarddomänprincip för att kunna tillämpas globalt på domänanvändarkonton som standardbeteende. Om de här inställningarna har konfigurerats i ett annat grupprincipobjekt påverkar de bara lokala användarkonton på de datorer som tar emot grupprincipobjektet. Anpassade undantag till standardprincipen för lösenord och kontoutelåsningsregler för specifika domänanvändare och/eller grupper kan dock definieras med hjälp av lösenordsinställningar (PSOs), som är helt åtskilda från grupprincipen och enklast konfigureras med Hjälp av Active Directory Administrationscenter.
Nyckelsökväg: [Systemåtkomst]LockoutBadCount
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Kontoutelåsningsprincip\Tröskelvärde för kontoutelåsning
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 1.2.2
        CIS WS2019 1.2.2
I 1-3
(Princip)
Viktigt!
Framtvinga lösenordshistorik
(CCE-37166-6)
Beskrivning:

Den här principinställningen avgör antalet förnyade, unika lösenord som måste associeras med ett användarkonto innan du kan återanvända ett gammalt lösenord. Värdet för den här principinställningen måste vara mellan 0 och 24 lösenord. Standardvärdet för Windows Vista är 0 lösenord, men standardinställningen i en domän är 24 lösenord. Om du vill upprätthålla effektiviteten i den här principinställningen använder du inställningen Lägsta lösenordsålder för att förhindra att användarna ändrar sitt lösenord upprepade gånger. Det rekommenderade tillståndet för den här inställningen är: "24 eller fler lösenord".


Nyckelsökväg: [Systemåtkomst]PasswordHistorySize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till 24 or more password(s):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip\Framtvinga lösenordshistorik
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 1.1.1
>= 24
(Princip)
Kritiskt
Högsta ålder för lösenord
(CCE-37167-4)
Beskrivning: Den här principinställningen definierar hur länge en användare kan använda sitt lösenord innan det upphör att gälla. Värdena för den här principinställningen varierar från 0 till 999 dagar. Om du anger värdet till 0 upphör lösenordet aldrig att gälla. Eftersom angripare kan knäcka lösenord, desto oftare ändrar du lösenordet, desto mindre möjlighet har en angripare att använda ett knäckat lösenord. Ju lägre det här värdet är, desto högre är risken för att samtal till supportavdelningen ökar på grund av att användarna måste ändra sitt lösenord eller glömma vilket lösenord som är aktuellt. Det rekommenderade tillståndet för den här inställningen är 60 or fewer days, but not 0.
Nyckelsökväg: [Systemåtkomst]MaximumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till 365 or fewer days, but not 0:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip\Maximal lösenordsålder
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 1.1.2
I 1-70
(Princip)
Kritiskt
Lägsta ålder för lösenord
(CCE-37073-4)
Beskrivning: Den här principinställningen avgör hur många dagar du måste använda ett lösenord innan du kan ändra det. Värdeintervallet för den här principinställningen är mellan 1 och 999 dagar. (Du kan också ange värdet till 0 för att tillåta omedelbara lösenordsändringar.) Standardvärdet för den här inställningen är 0 dagar. Det rekommenderade tillståndet för den här inställningen är: 1 or more day(s).
Nyckelsökväg: [Systemåtkomst]MinimumPasswordAge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till 1 or more day(s):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip\Lägsta lösenordsålder
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 1.1.3
>= 1
(Princip)
Kritiskt
Minsta längd på lösenord
(CCE-36534-6)
Beskrivning: Den här principinställningen bestämmer det minsta antalet tecken som utgör ett lösenord för ett användarkonto. Det finns många olika teorier om hur man bestämmer den bästa lösenordslängden för en organisation, men kanske är "pass phrase" en bättre term än "lösenord". I Microsoft Windows 2000 eller senare kan passfraser vara ganska långa och innehålla blanksteg. Därför är en fras som "Jag vill dricka en $5 milkshake" en giltig passfras; Det är ett betydligt starkare lösenord än en sträng på 8 eller 10 tecken med slumpmässiga siffror och bokstäver, och ändå är det lättare att komma ihåg. Användarna måste utbildas om rätt val och underhåll av lösenord, särskilt när det gäller lösenordslängd. I företagsmiljöer är det idealiska värdet för inställningen Minsta längd på lösenord 14 tecken, men du bör justera det här värdet för att uppfylla organisationens affärskrav. Det rekommenderade tillståndet för den här inställningen är: 14 or more character(s).
Nyckelsökväg: [Systemåtkomst]MinimumPasswordLength
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till 14 or more character(s):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip\Minsta längd på lösenord
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 1.1.4
>= 14
(Princip)
Kritiskt
Lösenordet måste uppfylla komplexitetskraven
(CCE-37063-5)
Beskrivning: Den här principinställningen kontrollerar alla nya lösenord för att säkerställa att de uppfyller grundläggande krav för starka lösenord. När den här principen är aktiverad måste lösenorden uppfylla följande minimikrav: – Innehåller inte användarens kontonamn eller delar av användarens fullständiga namn som överskrider två tecken i följd – Minst sex tecken långa – Innehåller tecken från tre av följande fyra kategorier: - Engelska versaler (A till och med Z) – Engelska gemener (a till och med z) – Bas 10 siffror (0 till 9) – Icke-alfabetiska tecken (till exempel !, $, #, %) – En catch-all-kategori för alla Unicode-tecken som inte faller under de föregående fyra kategorierna. Den här femte kategorin kan vara regionalt specifik. Varje ytterligare tecken i ett lösenord ökar dess komplexitet exponentiellt. Till exempel skulle ett alfabetiskt lösenord med sju tecken ha 267 (cirka 8 x 109 eller 8 miljarder) möjliga kombinationer. Vid 1 000 000 försök per sekund (en funktion för många lösenordssprickande verktyg) skulle det bara ta 133 minuter att knäcka. Ett alfabetiskt lösenord med sju tecken med skiftlägeskänslighet har 527 kombinationer. Ett alfanumeriskt lösenord med sju tecken utan skiljetecken har 627 kombinationer. Ett lösenord med åtta tecken har 268 (eller 2 x 1011) möjliga kombinationer. Även om detta kan tyckas vara ett stort antal, vid 1 000 000 försök per sekund skulle det bara ta 59 timmar att prova alla möjliga lösenord. Kom ihåg att dessa tider ökar avsevärt för lösenord som använder ALT-tecken och andra specialtecken som "!" eller "@". Korrekt användning av lösenordsinställningarna kan göra det svårt att montera en brute force-attack. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: [Systemåtkomst]PasswordComplexity
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip\Lösenord måste uppfylla komplexitetskraven

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93459
        STIG WS2016 V-73323
        CIS WS2019 1.1.5
        CIS WS2022 1.1.5
= 1
(Princip)
Kritiskt
Återställ kontoutelåsningsräknaren efter
(AZ-WIN-73309)
Beskrivning: Den här principinställningen avgör hur lång tid det tar innan tröskelvärdet för kontoutelåsning återställs till noll. Standardvärdet för den här principinställningen är Inte definierat. Om tröskelvärdet för kontoutelåsning har definierats måste återställningstiden vara mindre än eller lika med värdet för inställningen Varaktighet för kontoutelåsning. Om du lämnar den här principinställningen som standardvärde eller konfigurerar värdet till ett intervall som är för långt kan din miljö vara sårbar för en DoS-attack. En angripare kan göra ett antal misslyckade inloggningsförsök på alla användare i organisationen, vilket låser deras konton. Om ingen princip fastställdes för att återställa kontoutelåsningen skulle det vara en manuell uppgift för administratörer. Om ett rimligt tidsvärde har konfigurerats för den här principinställningen skulle användarna däremot låsas ute under en viss period tills alla konton låses upp automatiskt. Det rekommenderade tillståndet för den här inställningen är: 15 or more minute(s). Obs! Inställningar för lösenordsprinciper (avsnitt 1.1) och Principinställningar för kontoutelåsning (avsnitt 1.2) måste tillämpas via grupprincipobjektet för standarddomänprincip för att kunna tillämpas globalt på domänanvändarkonton som standardbeteende. Om de här inställningarna har konfigurerats i ett annat grupprincipobjekt påverkar de bara lokala användarkonton på de datorer som tar emot grupprincipobjektet. Anpassade undantag till standardprincipen för lösenord och kontoutelåsningsregler för specifika domänanvändare och/eller grupper kan dock definieras med hjälp av lösenordsinställningar (PSOs), som är helt åtskilda från grupprincipen och enklast konfigureras med Hjälp av Active Directory Administrationscenter.
Nyckelsökväg: [Systemåtkomst]ResetLockoutCount
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Kontoutelåsningsprincip\Återställ kontoutelåsningsräknare efter
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 1.2.3
        CIS WS2019 1.2.3
>= 15
(Princip)
Viktigt!
Lagra lösenord med reversibel kryptering
(CCE-36286-3)
Beskrivning: Den här principinställningen avgör om operativsystemet lagrar lösenord på ett sätt som använder reversibel kryptering, vilket ger stöd för programprotokoll som kräver kunskap om användarens lösenord i autentiseringssyfte. Lösenord som lagras med reversibel kryptering är i stort sett samma som klartextversioner av lösenorden. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: [Systemåtkomst]ClearTextPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip\Lagra lösenord med reversibel kryptering

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93465
        STIG WS2016 V-73325
        CIS WS2019 1.1.7
        CIS WS2022 1.1.7
= 0
(Princip)
Kritiskt

Säkerhetsinställningar – Windows-brandväggen

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Windows-brandvägg: Domän: Tillåt unicast-svar
(AZ-WIN-00088)
Beskrivning:

Det här alternativet är användbart om du behöver styra om den här datorn tar emot unicast-svar på utgående multicast- eller sändningsmeddelanden.  

Vi rekommenderar den här inställningen till "Ja" för privata profiler och domänprofiler. Då anges registervärdet till 0.


Nyckelsökväg: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Konfigurera principvärdet för Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper (den här länken finns i det högra fönstret)\Fliken Domänprofil\Inställningar (välj Anpassa)\Unicast-svar, Tillåt unicast-svar
Standardmappningar för efterlevnad:
= 0
(Register)
Varning
Windows-brandvägg: Domän: Brandväggstillstånd
(CCE-36062-8)
Beskrivning: Välj På (rekommenderas) om du vill att Windows-brandväggen med Avancerad säkerhet ska använda inställningarna för den här profilen för att filtrera nätverkstrafik. Om du väljer Av kommer Windows-brandväggen med Avancerad säkerhet inte att använda någon av brandväggsreglerna eller anslutningssäkerhetsreglerna för den här profilen.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till On (recommended):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Domänprofil\Brandväggstillstånd
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.1.1
= 1
(Register)
Kritiskt
Windows-brandvägg: Domän: Inkommande anslutningar
(AZ-WIN-202252)
Beskrivning: Den här inställningen bestämmer beteendet för inkommande anslutningar som inte matchar en inkommande brandväggsregel. Det rekommenderade tillståndet för den här inställningen är: Block (default).
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Domänprofil\Inkommande anslutningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.1.2
        CIS WS2019 9.1.2
= 1
(Register)
Kritiskt
Windows-brandväggen: Domän: Loggning: Logga borttagna paket
(AZ-WIN-202226)
Beskrivning: Använd det här alternativet om du vill logga när Windows-brandväggen med Avancerad säkerhet tar bort ett inkommande paket av någon anledning. Loggen registrerar varför och när paketet togs bort. Leta efter poster med ordet DROP i åtgärdskolumnen i loggen. Det rekommenderade tillståndet för den här inställningen är: Yes.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Domänprofil\Logganpassning\Logga borttagna paket
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.1.7
        CIS WS2019 9.1.7
= 1
(Register)
Information
Windows-brandväggen: Domän: Loggning: Logga lyckade anslutningar
(AZ-WIN-202227)
Beskrivning: Använd det här alternativet för att logga när Windows-brandväggen med Avancerad säkerhet tillåter en inkommande anslutning. Loggen registrerar varför och när anslutningen skapades. Leta efter poster med ordet ALLOW i åtgärdskolumnen i loggen. Det rekommenderade tillståndet för den här inställningen är: Yes.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Domänprofil\Logganpassning\Logga lyckade anslutningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.1.8
        CIS WS2019 9.1.8
= 1
(Register)
Varning
Windows-brandvägg: Domän: Loggning: Namn
(AZ-WIN-202224)
Beskrivning: Använd det här alternativet om du vill ange sökvägen och namnet på filen där Windows-brandväggen ska skriva logginformationen. Det rekommenderade tillståndet för den här inställningen är: %SystemRoot%\System32\logfiles\firewall\domainfw.log.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Domänprofil\Loggning Anpassa\Namn
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.1.5
        CIS WS2019 9.1.5
= %SystemRoot%\System32\logfiles\firewall\domainfw.log
(Register)
Information
Windows-brandvägg: Domän: Loggning: Storleksgräns (KB)
(AZ-WIN-202225)
Beskrivning: Använd det här alternativet om du vill ange storleksgränsen för filen där Windows-brandväggen ska skriva logginformationen. Det rekommenderade tillståndet för den här inställningen är: 16,384 KB or greater.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Domänprofil\Loggningsanpassning\Storleksgräns (KB)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.1.6
        CIS WS2019 9.1.6
>= 16384
(Register)
Varning
Windows-brandvägg: Domän: Utgående anslutningar
(CCE-36146-9)
Beskrivning: Den här inställningen bestämmer beteendet för utgående anslutningar som inte matchar en utgående brandväggsregel. I Windows Vista är standardbeteendet att tillåta anslutningar om det inte finns brandväggsregler som blockerar anslutningen.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Allow (default):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Domänprofil\Utgående anslutningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.1.3
= 0
(Register)
Kritiskt
Windows-brandväggen: Domän: Inställningar: Tillämpa säkerhetsregler för lokal anslutning
(CCE-38040-2)
Beskrivning:

Den här inställningen styr om lokala administratörer får skapa lokala anslutningsregler som tillämpas tillsammans med brandväggsregler som konfigurerats av grupprincipen. Det rekommenderade tillståndet för den här inställningen är "Ja", detta anger registervärdet till 1.


Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Konfigurera principvärdet för Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper (den här länken finns i det högra fönstret)\Fliken Domänprofil\Inställningar (välj Anpassa)\Regelsammanslagningen, Tillämpa lokala anslutningssäkerhetsregler
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.3.6
= 1
(Register)
Kritiskt
Windows-brandvägg: Domän: Inställningar: Tillämpa lokala brandväggsregler
(CCE-37860-4)
Beskrivning:

Den här inställningen styr om lokala administratörer får skapa lokala brandväggsregler som tillämpas tillsammans med brandväggsregler som konfigurerats av grupprincip.

Det rekommenderade tillståndet för den här inställningen är Ja, detta anger registervärdet till 1.


Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper (den här länken finns i det högra fönstret)\Fliken Domänprofil\Inställningar (välj Anpassa)\Regelsammanslagningen, Tillämpa lokala brandväggsregler
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.3.5
Finns inte eller = 1
(Register)
Kritiskt
Windows-brandvägg: Domän: Inställningar: Visa ett meddelande
(CCE-38041-0)
Beskrivning:

Genom att välja det här alternativet visas inget meddelande för användaren när ett program blockeras från att ta emot inkommande anslutningar. I en servermiljö är popup-fönster inte användbara eftersom användarna inte är inloggade, popup-fönster är inte nödvändiga och kan lägga till förvirring för administratören.  

Konfigurera den här principinställningen till Nej. Då anges registervärdet till 1.  Windows-brandväggen visar inte något meddelande när ett program blockeras från att ta emot inkommande anslutningar.


Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Domänprofil\Inställningar Anpassa\Visa ett meddelande
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.1.4
= 1
(Register)
Varning
Windows-brandvägg: Privat: Tillåt unicast-svar
(AZ-WIN-00089)
Beskrivning:

Det här alternativet är användbart om du behöver styra om den här datorn tar emot unicast-svar på utgående multicast- eller sändningsmeddelanden.  

Vi rekommenderar den här inställningen till "Ja" för privata profiler och domänprofiler. Då anges registervärdet till 0.


Nyckelsökväg: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper (den här länken finns i det högra fönstret)\Fliken Privat profil\Inställningar (välj Anpassa)\Unicast-svar, Tillåt unicast-svar
Standardmappningar för efterlevnad:
= 0
(Register)
Varning
Windows-brandvägg: Privat: Brandväggstillstånd
(CCE-38239-0)
Beskrivning: Välj På (rekommenderas) om du vill att Windows-brandväggen med Avancerad säkerhet ska använda inställningarna för den här profilen för att filtrera nätverkstrafik. Om du väljer Av kommer Windows-brandväggen med Avancerad säkerhet inte att använda någon av brandväggsreglerna eller anslutningssäkerhetsreglerna för den här profilen.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till On (recommended):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Privat profil\Brandväggstillstånd
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.2.1
= 1
(Register)
Kritiskt
Windows-brandvägg: Privat: Inkommande anslutningar
(AZ-WIN-202228)
Beskrivning: Den här inställningen bestämmer beteendet för inkommande anslutningar som inte matchar en inkommande brandväggsregel. Det rekommenderade tillståndet för den här inställningen är: Block (default).
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Privat profil\Inkommande anslutningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.2.2
        CIS WS2019 9.2.2
= 1
(Register)
Kritiskt
Windows-brandvägg: Privat: Loggning: Logga borttagna paket
(AZ-WIN-202231)
Beskrivning: Använd det här alternativet om du vill logga när Windows-brandväggen med Avancerad säkerhet tar bort ett inkommande paket av någon anledning. Loggen registrerar varför och när paketet togs bort. Leta efter poster med ordet DROP i åtgärdskolumnen i loggen. Det rekommenderade tillståndet för den här inställningen är: Yes.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Privat profil\Loggning Anpassa\Logga borttagna paket
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.2.7
        CIS WS2019 9.2.7
= 1
(Register)
Information
Windows-brandvägg: Privat: Loggning: Logga lyckade anslutningar
(AZ-WIN-202232)
Beskrivning: Använd det här alternativet för att logga när Windows-brandväggen med Avancerad säkerhet tillåter en inkommande anslutning. Loggen registrerar varför och när anslutningen skapades. Leta efter poster med ordet ALLOW i åtgärdskolumnen i loggen. Det rekommenderade tillståndet för den här inställningen är: Yes.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Privat profil\Loggningsanpassning\Logga lyckade anslutningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.2.8
        CIS WS2019 9.2.8
= 1
(Register)
Varning
Windows-brandvägg: Privat: Loggning: Namn
(AZ-WIN-202229)
Beskrivning: Använd det här alternativet om du vill ange sökvägen och namnet på filen där Windows-brandväggen ska skriva logginformationen. Det rekommenderade tillståndet för den här inställningen är: %SystemRoot%\System32\logfiles\firewall\privatefw.log.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Privat profil\Loggning Anpassa\Namn
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.2.5
        CIS WS2019 9.2.5
= %SystemRoot%\System32\logfiles\firewall\privatefw.log
(Register)
Information
Windows-brandvägg: Privat: Loggning: Storleksgräns (KB)
(AZ-WIN-202230)
Beskrivning: Använd det här alternativet om du vill ange storleksgränsen för filen där Windows-brandväggen ska skriva logginformationen. Det rekommenderade tillståndet för den här inställningen är: 16,384 KB or greater.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Privat profil\Loggningsanpassning\Storleksgräns (KB)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.2.6
        CIS WS2019 9.2.6
>= 16384
(Register)
Varning
Windows-brandvägg: Privat: Utgående anslutningar
(CCE-38332-3)
Beskrivning: Den här inställningen bestämmer beteendet för utgående anslutningar som inte matchar en utgående brandväggsregel. Standardbeteendet är att tillåta anslutningar om det inte finns brandväggsregler som blockerar anslutningen. Viktigt Om du anger Utgående anslutningar till Blockera och sedan distribuerar brandväggsprincipen med hjälp av ett grupprincipobjekt kan datorer som tar emot GPO-inställningarna inte ta emot efterföljande grupprincipuppdateringar om du inte skapar och distribuerar en utgående regel som gör att grupprincipen kan fungera. Fördefinierade regler för Core Networking innehåller utgående regler som gör att grupprincipen fungerar. Se till att dessa regler för utgående trafik är aktiva och testa brandväggsprofilerna noggrant innan du distribuerar dem.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Allow (default):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Privat profil\Utgående anslutningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.2.3
= 0
(Register)
Kritiskt
Windows-brandvägg: Privat: Inställningar: Tillämpa säkerhetsregler för lokal anslutning
(CCE-36063-6)
Beskrivning:

Den här inställningen styr om lokala administratörer får skapa lokala anslutningsregler som tillämpas tillsammans med brandväggsregler som konfigurerats av grupprincipen. Det rekommenderade tillståndet för den här inställningen är "Ja", detta anger registervärdet till 1.


Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper (den här länken finns i den högra rutan)\Fliken Privat profil\Inställningar (välj Anpassa)\Regelsammanslagningen, Tillämpa lokala anslutningssäkerhetsregler
Standardmappningar för efterlevnad:
= 1
(Register)
Kritiskt
Windows-brandvägg: Privat: Inställningar: Tillämpa lokala brandväggsregler
(CCE-37438-9)
Beskrivning:

Den här inställningen styr om lokala administratörer får skapa lokala brandväggsregler som tillämpas tillsammans med brandväggsregler som konfigurerats av grupprincip.

Det rekommenderade tillståndet för den här inställningen är Ja, detta anger registervärdet till 1.


Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera principvärdet för Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper (den här länken finns i det högra fönstret)\Fliken Privat profil\Inställningar (välj Anpassa)\Regelsammanslagningen, Tillämpa lokala brandväggsregler
Standardmappningar för efterlevnad:
Finns inte eller = 1
(Register)
Kritiskt
Windows-brandvägg: Privat: Inställningar: Visa ett meddelande
(CCE-37621-0)
Beskrivning:

Genom att välja det här alternativet visas inget meddelande för användaren när ett program blockeras från att ta emot inkommande anslutningar. I en servermiljö är popup-fönster inte användbara eftersom användarna inte är inloggade, popup-fönster är inte nödvändiga och kan lägga till förvirring för administratören.  

 Konfigurera den här principinställningen till Nej. Då anges registervärdet till 1.  Windows-brandväggen visar inte något meddelande när ett program blockeras från att ta emot inkommande anslutningar.


Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Privat profil\Inställningar Anpassa\Visa ett meddelande
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.2.4
= 1
(Register)
Varning
Windows-brandvägg: Offentlig: Tillåt unicast-svar
(AZ-WIN-00090)
Beskrivning:

Det här alternativet är användbart om du behöver styra om den här datorn tar emot unicast-svar på utgående multicast- eller sändningsmeddelanden. Detta kan göras genom att ändra tillståndet för den här inställningen till "Nej", detta anger registervärdet till 1.


Nyckelsökväg: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera principvärdet för Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper (den här länken finns i det högra fönstret)\Fliken Offentlig profil\Inställningar (välj Anpassa)\Unicast-svar, Tillåt unicast-svar
Standardmappningar för efterlevnad:
= 1
(Register)
Varning
Windows-brandvägg: Offentligt: Brandväggstillstånd
(CCE-37862-0)
Beskrivning: Välj På (rekommenderas) om du vill att Windows-brandväggen med Avancerad säkerhet ska använda inställningarna för den här profilen för att filtrera nätverkstrafik. Om du väljer Av kommer Windows-brandväggen med Avancerad säkerhet inte att använda någon av brandväggsreglerna eller anslutningssäkerhetsreglerna för den här profilen.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till On (recommended):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Brandväggstillstånd
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.3.1
= 1
(Register)
Kritiskt
Windows-brandväggen: Offentlig: Inkommande anslutningar
(AZ-WIN-202234)
Beskrivning: Den här inställningen bestämmer beteendet för inkommande anslutningar som inte matchar en inkommande brandväggsregel. Det rekommenderade tillståndet för den här inställningen är: Block (default).
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Inkommande anslutningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.3.2
        CIS WS2019 9.3.2
= 1
(Register)
Kritiskt
Windows-brandväggen: Offentlig: Loggning: Logga borttagna paket
(AZ-WIN-202237)
Beskrivning: Använd det här alternativet om du vill logga när Windows-brandväggen med Avancerad säkerhet tar bort ett inkommande paket av någon anledning. Loggen registrerar varför och när paketet togs bort. Leta efter poster med ordet DROP i åtgärdskolumnen i loggen. Det rekommenderade tillståndet för den här inställningen är: Yes.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandväggen med avancerad säkerhet\Windows-brandväggen med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Logganpassning\Logga borttagna paket
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.3.9
        CIS WS2019 9.3.9
= 1
(Register)
Information
Windows-brandvägg: Offentlig: Loggning: Logga lyckade anslutningar
(AZ-WIN-202233)
Beskrivning: Använd det här alternativet för att logga när Windows-brandväggen med Avancerad säkerhet tillåter en inkommande anslutning. Loggen registrerar varför och när anslutningen skapades. Leta efter poster med ordet ALLOW i åtgärdskolumnen i loggen. Det rekommenderade tillståndet för den här inställningen är: Yes.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Loggningsanpassning\Logga lyckade anslutningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.3.10
        CIS WS2019 9.3.10
= 1
(Register)
Varning
Windows-brandvägg: Offentlig: Loggning: Namn
(AZ-WIN-202235)
Beskrivning: Använd det här alternativet om du vill ange sökvägen och namnet på filen där Windows-brandväggen ska skriva logginformationen. Det rekommenderade tillståndet för den här inställningen är: %SystemRoot%\System32\logfiles\firewall\publicfw.log.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Loggning Anpassa\Namn
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.3.7
        CIS WS2019 9.3.7
= %SystemRoot%\System32\logfiles\firewall\publicfw.log
(Register)
Information
Windows-brandvägg: Offentlig: Loggning: Storleksgräns (KB)
(AZ-WIN-202236)
Beskrivning: Använd det här alternativet om du vill ange storleksgränsen för filen där Windows-brandväggen ska skriva logginformationen. Det rekommenderade tillståndet för den här inställningen är: 16,384 KB or greater.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Loggningsanpassning\Storleksgräns (KB)
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 9.3.8
        CIS WS2019 9.3.8
>= 16384
(Register)
Information
Windows-brandvägg: Offentlig: Utgående anslutningar
(CCE-37434-8)
Beskrivning: Den här inställningen bestämmer beteendet för utgående anslutningar som inte matchar en utgående brandväggsregel. Standardbeteendet är att tillåta anslutningar om det inte finns brandväggsregler som blockerar anslutningen. Viktigt Om du anger Utgående anslutningar till Blockera och sedan distribuerar brandväggsprincipen med hjälp av ett grupprincipobjekt kan datorer som tar emot GPO-inställningarna inte ta emot efterföljande grupprincipuppdateringar om du inte skapar och distribuerar en utgående regel som gör att grupprincipen kan fungera. Fördefinierade regler för Core Networking innehåller utgående regler som gör att grupprincipen fungerar. Se till att dessa regler för utgående trafik är aktiva och testa brandväggsprofilerna noggrant innan du distribuerar dem.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Allow (default):
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Utgående anslutningar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.3.3
= 0
(Register)
Kritiskt
Windows-brandvägg: Offentlig: Inställningar: Tillämpa säkerhetsregler för lokal anslutning
(CCE-36268-1)
Beskrivning:

Den här inställningen styr om lokala administratörer får skapa lokala anslutningsregler som tillämpas tillsammans med brandväggsregler som konfigurerats av grupprincipen. Det rekommenderade tillståndet för den här inställningen är "Ja", detta anger registervärdet till 1.


Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Inställningar Anpassa\Tillämpa lokala anslutningssäkerhetsregler
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.3.6
= 1
(Register)
Kritiskt
Windows-brandvägg: Offentlig: Inställningar: Tillämpa lokala brandväggsregler
(CCE-37861-2)
Beskrivning:

Den här inställningen styr om lokala administratörer får skapa lokala brandväggsregler som tillämpas tillsammans med brandväggsregler som konfigurerats av grupprincip.

Det rekommenderade tillståndet för den här inställningen är Ja, detta anger registervärdet till 1.


Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Inställningar Anpassa\Tillämpa lokala brandväggsregler
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.3.5
Finns inte eller = 1
(Register)
Kritiskt
Windows-brandvägg: Offentlig: Inställningar: Visa ett meddelande
(CCE-38043-6)
Beskrivning:

Genom att välja det här alternativet visas inget meddelande för användaren när ett program blockeras från att ta emot inkommande anslutningar. I en servermiljö är popup-fönster inte användbara eftersom användarna inte är inloggade, popup-fönster är inte nödvändiga och kan lägga till förvirring för administratören.  

Konfigurera den här principinställningen till Nej. Då anges registervärdet till 1.  Windows-brandväggen visar inte något meddelande när ett program blockeras från att ta emot inkommande anslutningar.


Nyckelsökväg: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Windows-brandvägg med avancerad säkerhet\Windows-brandvägg med avancerad säkerhet\Windows-brandväggsegenskaper\Offentlig profil\Inställningar Anpassa\Visa ett meddelande
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 9.3.4
= 1
(Register)
Varning

Systemgranskningsprinciper – Kontoinloggning

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska verifiering av autentiseringsuppgifter
(CCE-37741-6)
Beskrivning:

Den här underkategorin rapporterar resultatet av valideringstester för autentiseringsuppgifter som skickats för en inloggningsbegäran för användarkonto. Dessa händelser inträffar på den dator som är auktoritativ för autentiseringsuppgifterna. För domänkonton är domänkontrollanten auktoritativ, medan den lokala datorn är auktoritativ för lokala konton. I domänmiljöer sker de flesta kontoinloggningshändelser i säkerhetsloggen för de domänkontrollanter som är auktoritativa för domänkontona. Dessa händelser kan dock inträffa på andra datorer i organisationen när lokala konton används för att logga in. Händelser för den här underkategorin är: – 4774: Ett konto mappades för inloggning. – 4775: Det gick inte att mappa ett konto för inloggning. – 4776: Domänkontrollanten försökte verifiera autentiseringsuppgifterna för ett konto. – 4777: Domänkontrollanten kunde inte verifiera autentiseringsuppgifterna för ett konto. Det rekommenderade tillståndet för den här inställningen är: "Lyckades och misslyckades".


Nyckelsökväg: {0CCE923F-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Success and Failure:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Konfiguration av avancerad granskningsprincip\Granskningsprinciper\Kontoinloggning\Verifiering av granskningsautentiseringsuppgifter

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93153
        STIG WS2016 V-73413
        CIS WS2019 17.1.1
        CIS WS2022 17.1.1
= Lyckad och misslyckad
(Granskning)
Kritiskt
Granska Kerberos-autentiseringstjänst
(AZ-WIN-00004)
Beskrivning: Den här underkategorin rapporterar resultatet av händelser som genererats efter en TGT-begäran för Kerberos-autentisering. Kerberos är en distribuerad autentiseringstjänst som gör att en klient som körs åt en användare kan bevisa sin identitet för en server utan att skicka data över nätverket. Detta hjälper till att minimera en angripare eller server från att personifiera en användare. – 4768: En Kerberos-autentiseringsbiljett (TGT) begärdes. – 4771: Kerberos förautentisering misslyckades. – 4772: En Begäran om Kerberos-autentiseringsbegäran misslyckades. Det rekommenderade tillståndet för den här inställningen är: Success and Failure.
Nyckelsökväg: {0CCE9242-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Kontoinloggning\Granska Kerberos-autentiseringstjänst
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.1.2
        CIS WS2019 17.1.2
>= Lyckad och misslyckad
(Granskning)
Kritiskt

Systemgranskningsprinciper – Kontohantering

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska hantering av distributionsgrupp
(CCE-36265-7)
Beskrivning: Den här underkategorin rapporterar varje händelse av hantering av distributionsgrupper, till exempel när en distributionsgrupp skapas, ändras eller tas bort eller när en medlem läggs till i eller tas bort från en distributionsgrupp. Om du aktiverar den här inställningen Granskningsprincip kan administratörer spåra händelser för att identifiera skadliga, oavsiktliga och auktoriserade skapande av gruppkonton. Händelser för den här underkategorin är: – 4744: En säkerhetsaktiverad lokal grupp skapades. – 4745: En lokal grupp med säkerhetsaktivering har ändrats. – 4746: En medlem har lagts till i en lokal grupp med säkerhetsaktivering. – 4747: En medlem har tagits bort från en lokal grupp med säkerhetsaktivering. – 4748: En säkerhetsaktiverad lokal grupp har tagits bort. – 4749: En global grupp med säkerhetsaktivering skapades. – 4750: En global grupp med säkerhetsaktivering har ändrats. – 4751: En medlem har lagts till i en global grupp med säkerhetsaktivering. – 4752: En medlem har tagits bort från en global grupp med säkerhetsaktivering. – 4753: En global grupp med säkerhetsaktivering har tagits bort. – 4759: En universell grupp med säkerhetsaktivering skapades. - 4760: En universell grupp med säkerhetsaktivering har ändrats. - 4761: En medlem lades till i en universell grupp med säkerhetsaktivering. - 4762: En medlem har tagits bort från en universell grupp med säkerhetsaktivering. – 4763: En universell grupp med säkerhetsaktivering har tagits bort. Det rekommenderade tillståndet för den här inställningen är att inkludera: Success.
Nyckelsökväg: {0CCE9238-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Kontohantering\Hantering av granskningsdistributionsgrupp
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.2.3
        CIS WS2019 17.2.3
>= Lyckades
(Granskning)
Kritiskt
Granska andra kontohanteringshändelser
(CCE-37855-4)
Beskrivning: Den här underkategorin rapporterar andra kontohanteringshändelser. Händelser för den här underkategorin är: – 4782: Lösenordshash ett konto har använts. — 4793: API:et för kontroll av lösenordsprincip anropades. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE923A-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Success:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Kontohantering\Granska andra kontohanteringshändelser
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.2.4
>= Lyckades
(Granskning)
Kritiskt
Granska hantering av säkerhetsgrupp
(CCE-38034-5)
Beskrivning: Den här underkategorin rapporterar varje händelse av hantering av säkerhetsgrupper, till exempel när en säkerhetsgrupp skapas, ändras eller tas bort eller när en medlem läggs till i eller tas bort från en säkerhetsgrupp. Om du aktiverar den här inställningen Granskningsprincip kan administratörer spåra händelser för att identifiera skadliga, oavsiktliga och auktoriserade skapande av säkerhetsgruppskonton. Händelser för den här underkategorin är: – 4727: En säkerhetsaktiverad global grupp skapades. – 4728: En medlem lades till i en säkerhetsaktiverad global grupp. – 4729: En medlem har tagits bort från en säkerhetsaktiverad global grupp. – 4730: En säkerhetsaktiverad global grupp har tagits bort. – 4731: En säkerhetsaktiverad lokal grupp skapades. – 4732: En medlem har lagts till i en säkerhetsaktiverad lokal grupp. – 4733: En medlem har tagits bort från en säkerhetsaktiverad lokal grupp. – 4734: En säkerhetsaktiverad lokal grupp har tagits bort. – 4735: En säkerhetsaktiverad lokal grupp har ändrats. – 4737: En säkerhetsaktiverad global grupp har ändrats. – 4754: En säkerhetsaktiverad universell grupp skapades. – 4755: En säkerhetsaktiverad universell grupp har ändrats. – 4756: En medlem lades till i en säkerhetsaktiverad universell grupp. – 4757: En medlem har tagits bort från en säkerhetsaktiverad universell grupp. – 4758: En säkerhetsaktiverad universell grupp har tagits bort. - 4764: En grupps typ ändrades. Det rekommenderade tillståndet för den här inställningen är: Success and Failure.
Nyckelsökväg: {0CCE9237-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Success:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Kontohantering\Hantering av säkerhetsgrupper
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.2.5
>= Lyckades
(Granskning)
Kritiskt
Granska hantering av användarkonto
(CCE-37856-2)
Beskrivning: Den här underkategorin rapporterar varje händelse av hantering av användarkonton, till exempel när ett användarkonto skapas, ändras eller tas bort. Ett användarkonto har bytt namn, inaktiverats eller aktiverats eller ett lösenord har angetts eller ändrats. Om du aktiverar den här inställningen Granskningsprincip kan administratörer spåra händelser för att identifiera skadliga, oavsiktliga och auktoriserade skapande av användarkonton. Händelser för den här underkategorin är: – 4720: Ett användarkonto skapades. – 4722: Ett användarkonto har aktiverats. - 4723: Ett försök gjordes att ändra ett kontos lösenord. – 4724: Ett försök gjordes att återställa ett kontos lösenord. – 4725: Ett användarkonto har inaktiverats. – 4726: Ett användarkonto har tagits bort. – 4738: Ett användarkonto har ändrats. – 4740: Ett användarkonto har låsts. – 4765: SID-historik lades till i ett konto. – 4766: Ett försök att lägga till SID-historik till ett konto misslyckades. – 4767: Ett användarkonto har låsts upp. - 4780: ACL:en har angetts för konton som är medlemmar i administratörsgrupper. - 4781: Namnet på ett konto ändrades: - 4794: Ett försök gjordes att ange återställningsläget för Katalogtjänster. – 5376: Autentiseringsuppgifterna för autentiseringshanteraren säkerhetskopierades. – 5377: Autentiseringsuppgifterna för autentiseringshanteraren återställdes från en säkerhetskopia. Det rekommenderade tillståndet för den här inställningen är: Success and Failure.
Nyckelsökväg: {0CCE9235-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Success and Failure:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Kontohantering\Granska användarkontohantering

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-92981
        STIG WS2016 V-73427
        CIS WS2019 17.2.6
        CIS WS2022 17.2.6
= Lyckad och misslyckad
(Granskning)
Kritiskt

Systemgranskningsprinciper – detaljerad spårning

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska PNP-aktivitet
(AZ-WIN-00182)
Beskrivning: Med den här principinställningen kan du granska när plug and play identifierar en extern enhet. Det rekommenderade tillståndet för den här inställningen är: Success. Obs! Ett Windows 10-, Server 2016- eller högre operativsystem krävs för att få åtkomst till och ange det här värdet i grupprincip.
Nyckelsökväg: {0CCE9248-69AE-11D9-BED3-505054503030}
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Granskning: Tvinga underkategoriinställningar för granskningsprinciper (Windows Vista eller senare) att åsidosätta kategoriinställningar för granskningsprinciper

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.3.1
        CIS WS2022 17.3.1
>= Lyckades
(Granskning)
Kritiskt
Granska processgenerering
(CCE-36059-4)
Beskrivning: Den här underkategorin rapporterar skapandet av en process och namnet på programmet eller användaren som skapade den. Händelser för den här underkategorin är: – 4688: En ny process har skapats. – 4696: En primär token tilldelades till processen. Mer information om den här inställningen finns i Microsoft Knowledge Base-artikeln 947226. Det rekommenderade tillståndet för den här inställningen är: Success.
Nyckelsökväg: {0CCE922B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Success:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Detaljerad spårning\Skapande av granskningsprocess

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93173
        STIG WS2016 V-73433
        CIS WS2019 17.3.2
        CIS WS2022 17.3.2
>= Lyckades
(Granskning)
Kritiskt

Systemgranskningsprinciper – DS-åtkomst

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska katalogtjänståtkomst
(CCE-37433-0)
Beskrivning: Den här underkategorin rapporterar när ett AD DS-objekt används. Endast objekt med SACL:er gör att granskningshändelser genereras och endast när de används på ett sätt som matchar deras SACL. Dessa händelser liknar katalogtjänstens åtkomsthändelser i tidigare versioner av Windows Server. Den här underkategorin gäller endast för domänkontrollanter. Händelser för den här underkategorin är: – 4662 : En åtgärd utfördes på ett objekt. Det rekommenderade tillståndet för den här inställningen är att inkludera: Failure.
Nyckelsökväg: {0CCE923B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\DS-åtkomst\Granskningskatalogtjänståtkomst
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.4.1
        CIS WS2019 17.4.1
>= Fel
(Granskning)
Kritiskt
Granska ändringar av katalogtjänst
(CCE-37616-0)
Beskrivning: Den här underkategorin rapporterar ändringar i objekt i Usluge domena aktivnog direktorijuma (AD DS). De typer av ändringar som rapporteras är skapa, ändra, flytta och ta bort åtgärder som utförs på ett objekt. DS Ändringsgranskning anger i förekommande fall de gamla och nya värdena för de ändrade egenskaperna för de objekt som har ändrats. Endast objekt med SACL:er gör att granskningshändelser genereras och endast när de används på ett sätt som matchar deras SACL. Vissa objekt och egenskaper orsakar inte att granskningshändelser genereras på grund av inställningarna för objektklassen i schemat. Den här underkategorin gäller endast för domänkontrollanter. Händelser för den här underkategorin är: – 5136 : Ett katalogtjänstobjekt ändrades. – 5137: Ett katalogtjänstobjekt skapades. – 5138: Ett katalogtjänstobjekt togs bort. – 5139: Ett katalogtjänstobjekt har flyttats. Det rekommenderade tillståndet för den här inställningen är att inkludera: Success.
Nyckelsökväg: {0CCE923C-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\DS-åtkomst\Granska katalogtjänständringar
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.4.2
        CIS WS2019 17.4.2
>= Lyckades
(Granskning)
Kritiskt
Granska replikering av katalogtjänst
(AZ-WIN-00093)
Beskrivning: Den här underkategorin rapporterar när replikeringen mellan två domänkontrollanter börjar och slutar. Händelser för den här underkategorin är: – 4932: Synkronisering av en replik av en Active Directory-namngivningskontext har påbörjats. – 4933: Synkroniseringen av en replik av en Active Directory-namngivningskontext har avslutats. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och Windows Server 2008" för den senaste informationen om den här inställningen: http:--support.microsoft.com-default.aspx-kb-947226
Nyckelsökväg: {0CCE923D-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\DS-åtkomst\Granskningskatalogtjänstreplikering
Standardmappningar för efterlevnad:
>= Ingen granskning
(Granskning)
Kritiskt

Systemgranskningsprinciper – Inloggningsloggning

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska kontoutelåsning
(CCE-37133-6)
Beskrivning: Den här underkategorin rapporterar när en användares konto är utelåst på grund av för många misslyckade inloggningsförsök. Händelser för den här underkategorin är: – 4625: Ett konto kunde inte logga in. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och i Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE9217-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Failure:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Inloggning/utloggning\Utlåsning av granskningskonto
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.5.1
>= Fel
(Granskning)
Kritiskt
Granska gruppmedlemskap
(AZ-WIN-00026)
Beskrivning: Med granskningsgruppmedlemskap kan du granska gruppmedlemskap när de räknas upp på klientdatorn. Med den här principen kan du granska information om gruppmedlemskap i användarens inloggningstoken. Händelser i den här underkategorin genereras på datorn där en inloggningssession skapas. För en interaktiv inloggning genereras säkerhetsgranskningshändelsen på den dator som användaren loggade in på. För en nätverksinloggning, till exempel åtkomst till en delad mapp i nätverket, genereras säkerhetsgranskningshändelsen på den dator som är värd för resursen. Du måste också aktivera underkategorin Granskningsinloggning. Flera händelser genereras om gruppmedlemskapsinformationen inte får plats i en enda säkerhetsgranskningshändelse. De händelser som granskas inkluderar följande: - 4627(S): Information om gruppmedlemskap.
Nyckelsökväg: {0CCE9249-69AE-11D9-BED3-505054503030}
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Success:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Inloggning/utloggning\Granskningsgruppmedlemskap
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.5.2
>= Lyckades
(Granskning)
Kritiskt
Granska utloggning
(CCE-38237-4)
Beskrivning:

Den här underkategorin rapporterar när en användare loggar ut från systemet. Dessa händelser inträffar på den anslutna datorn. För interaktiva inloggningar sker genereringen av dessa händelser på den dator som är inloggad på. Om en nätverksinloggning sker för att komma åt en resurs genereras dessa händelser på den dator som är värd för den använda resursen. Om du konfigurerar den här inställningen till Ingen granskning är det svårt eller omöjligt att avgöra vilken användare som har åtkomst till eller försökt komma åt organisationsdatorer. Händelser för den här underkategorin är: – 4634: Ett konto loggades ut. – 4647: Användarinitierad utloggning. Det rekommenderade tillståndet för den här inställningen är: "Lyckades".


Nyckelsökväg: {0CCE9216-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Success:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Inloggning/utloggning\Granskningsloggning

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93171
        STIG WS2016 V-73449
        CIS WS2019 17.5.3
        CIS WS2022 17.5.3
>= Lyckades
(Granskning)
Kritiskt
Granska inloggning
(CCE-38036-0)
Beskrivning:

Den här underkategorin rapporterar när en användare försöker logga in på systemet. Dessa händelser inträffar på den anslutna datorn. För interaktiva inloggningar sker genereringen av dessa händelser på den dator som är inloggad på. Om en nätverksinloggning sker för att komma åt en resurs genereras dessa händelser på den dator som är värd för den använda resursen. Om du konfigurerar den här inställningen till Ingen granskning är det svårt eller omöjligt att avgöra vilken användare som har åtkomst till eller försökt komma åt organisationsdatorer. Händelser för den här underkategorin är: – 4624: Ett konto har loggats in. – 4625: Det gick inte att logga in på ett konto. – 4648: Ett inloggningsförsök gjordes med explicita autentiseringsuppgifter. - 4675: SID filtrerades. Det rekommenderade tillståndet för den här inställningen är: "Lyckades och misslyckades".


Nyckelsökväg: {0CCE9215-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Success and Failure:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Inloggning/utloggning\Granskningsinloggning

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-92967
        STIG WS2016 V-73451
        CIS WS2019 17.5.4
        CIS WS2022 17.5.4
= Lyckad och misslyckad
(Granskning)
Kritiskt
Granska andra inloggnings-/utloggningshändelser
(CCE-36322-6)
Beskrivning: Den här underkategorin rapporterar andra inloggnings-/utloggningsrelaterade händelser, till exempel att Terminal Services-sessionen kopplar från och återansluter, använder RunAs för att köra processer under ett annat konto och låser och låser upp en arbetsstation. Händelser för den här underkategorin är: – 4649: En reprisattack upptäcktes. — 4778: En session återansluts till en fönsterstation. — 4779: En session kopplades från en fönsterstation. — 4800: Arbetsstationen var låst. — 4801: Arbetsstationen var olåst. — 4802: Skärmsläckaren anropades. — 4803: Skärmsläckaren avvisades. — 5378: Den begärda delegeringen av autentiseringsuppgifter tilläts inte av principen. — 5632: En begäran gjordes om att autentisera till ett trådlöst nätverk. — 5633: En begäran gjordes om att autentisera till ett kabelanslutet nätverk. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE921C-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Success and Failure:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Konfiguration av avancerad granskningsprincip\Granskningsprinciper\Inloggning/utloggning\Granska andra inloggnings-/utloggningshändelser
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.5.5
= Lyckad och misslyckad
(Granskning)
Kritiskt
Granska specialinloggning
(CCE-36266-5)
Beskrivning: Den här underkategorin rapporterar när en särskild inloggning används. En särskild inloggning är en inloggning som har administratörsekvivalenter och kan användas för att höja en process till en högre nivå. Händelser för den här underkategorin är: – 4964 : Specialgrupper har tilldelats till en ny inloggning. Det rekommenderade tillståndet för den här inställningen är: Success.
Nyckelsökväg: {0CCE921B-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Success:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Inloggning/utloggning\Granska särskild inloggning

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93161
        STIG WS2016 V-73455
        CIS WS2019 17.5.6
        CIS WS2022 17.5.6
>= Lyckades
(Granskning)
Kritiskt

Systemgranskningsprinciper – objektåtkomst

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska detaljerad filresurs
(AZ-WIN-00100)
Beskrivning: Med den här underkategorin kan du granska försök att komma åt filer och mappar i en delad mapp. Händelser för den här underkategorin är: – 5145: nätverksresursobjektet kontrollerades för att se om klienten kan beviljas önskad åtkomst. Det rekommenderade tillståndet för den här inställningen är att inkludera: Failure
Nyckelsökväg: {0CCE9244-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Objektåtkomst\Granska detaljerad filresurs
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.6.1
        CIS WS2019 17.6.1
>= Fel
(Granskning)
Kritiskt
Granska filresurs
(AZ-WIN-00102)
Beskrivning: Med den här principinställningen kan du granska försök att komma åt en delad mapp. Det rekommenderade tillståndet för den här inställningen är: Success and Failure. Obs! Det finns inga systemåtkomstkontrollistor (SACLs) för delade mappar. Om den här principinställningen är aktiverad granskas åtkomsten till alla delade mappar i systemet.
Nyckelsökväg: {0CCE9224-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Objektåtkomst\Granskningsfilresurs
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.6.2
        CIS WS2019 17.6.2
= Lyckad och misslyckad
(Granskning)
Kritiskt
Granska andra objektåtkomsthändelser
(AZ-WIN-00113)
Beskrivning: Den här underkategorin rapporterar andra objektåtkomstrelaterade händelser som Schemaläggarjobb och COM+-objekt. Händelser för den här underkategorin är: – 4671: Ett program försökte komma åt en blockerad ordningsfråga via TBS. — 4691: Indirekt åtkomst till ett objekt begärdes. — 4698: En schemalagd aktivitet skapades. — 4699: En schemalagd uppgift har tagits bort. — 4700: En schemalagd aktivitet aktiverades. — 4701: En schemalagd aktivitet inaktiverades. — 4702: En schemalagd aktivitet uppdaterades. — 5888: Ett objekt i COM+-katalogen ändrades. — 5889: Ett objekt togs bort från COM+-katalogen. — 5890: Ett objekt har lagts till i COM+-katalogen. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE9227-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Success and Failure:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Objektåtkomst\Granska andra objektåtkomsthändelser
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.6.3
= Lyckad och misslyckad
(Granskning)
Kritiskt
Granska flyttbar lagring
(CCE-37617-8)
Beskrivning: Med den här principinställningen kan du granska användarens försök att komma åt filsystemobjekt på en flyttbar lagringsenhet. En säkerhetsgranskningshändelse genereras endast för alla objekt för alla typer av åtkomst som begärs. Om du konfigurerar den här principinställningen genereras en granskningshändelse varje gång ett konto får åtkomst till ett filsystemobjekt på ett flyttbart lagringsutrymme. Lyckade granskningar registrerar lyckade försök och Misslyckade granskningar registrerar misslyckade försök. Om du inte konfigurerar den här principinställningen genereras ingen granskningshändelse när ett konto får åtkomst till ett filsystemobjekt på ett flyttbart lagringsutrymme. Det rekommenderade tillståndet för den här inställningen är: Success and Failure. Obs! Ett Windows 8-, Server 2012-operativsystem (icke-R2) eller högre operativsystem krävs för att komma åt och ange det här värdet i grupprincip.
Nyckelsökväg: {0CCE9245-69AE-11D9-BED3-505054503030}
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Success and Failure:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Objektåtkomst\Granska flyttbar lagring

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93167
        STIG WS2016 V-73457
        CIS WS2019 17.6.4
        CIS WS2022 17.6.4
= Lyckad och misslyckad
(Granskning)
Kritiskt

Systemgranskningsprinciper – principändring

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska ändring av autentiseringsprincip
(CCE-38327-3)
Beskrivning: Den här underkategorin rapporterar ändringar i autentiseringsprincipen. Händelser för den här underkategorin är: – 4706: Ett nytt förtroende har skapats för en domän. — 4707: Ett förtroende för en domän har tagits bort. — 4713: Kerberos-principen ändrades. — 4716: Den betrodda domäninformationen ändrades. — 4717: Systemsäkerhetsåtkomst beviljades till ett konto. — 4718: Systemsäkerhetsåtkomsten har tagits bort från ett konto. — 4739: Domänprincipen ändrades. — 4864: En namnområdeskollision upptäcktes. — 4865: En betrodd skogsinformationspost har lagts till. — 4866: En betrodd skogsinformationspost har tagits bort. — 4867: En betrodd skogsinformationspost ändrades. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE9230-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Success:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Principändring\Ändring av granskningsautentiseringsprincip
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.7.2
>= Lyckades
(Granskning)
Kritiskt
Granska ändring av auktoriseringsprincip
(CCE-36320-0)
Beskrivning: Den här underkategorin rapporterar ändringar i auktoriseringsprincipen. Händelser för den här underkategorin är: – 4704: En användarrättighet tilldelades. – 4705: En användarrätt har tagits bort. – 4706: Ett nytt förtroende skapades till en domän. – 4707: Ett förtroende för en domän har tagits bort. – 4714: Principen för krypterad dataåterställning har ändrats. Det rekommenderade tillståndet för den här inställningen är att inkludera: Success.
Nyckelsökväg: {0CCE9231-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Principändring\Ändring av granskningsauktoriseringsprincip
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.7.3
        CIS WS2019 17.7.3
>= Lyckades
(Granskning)
Kritiskt
Granska ändring av MPSSVC-regelnivåprincip
(AZ-WIN-00111)
Beskrivning: Den här underkategorin rapporterar ändringar i principregler som används av Microsoft Protection Service (MPSSVC.exe). Den här tjänsten används av Windows-brandväggen och av Microsoft OneCare. Händelser för den här underkategorin är: – 4944: Följande princip var aktiv när Windows-brandväggen startade. — 4945: En regel angavs när Windows-brandväggen startade. — 4946: En ändring har gjorts i undantagslistan för Windows-brandväggen. En regel har lagts till. — 4947: En ändring har gjorts i undantagslistan för Windows-brandväggen. En regel ändrades. — 4948: En ändring har gjorts i undantagslistan för Windows-brandväggen. En regel har tagits bort. — 4949: Windows-brandväggsinställningarna återställdes till standardvärdena. — 4950: En Windows-brandväggsinställning har ändrats. — 4951: En regel har ignorerats eftersom dess huvudversionsnummer inte kändes igen av Windows-brandväggen. — 4952: Delar av en regel har ignorerats eftersom dess mindre versionsnummer inte kändes igen av Windows-brandväggen. De andra delarna av regeln tillämpas. — 4953: En regel har ignorerats av Windows-brandväggen eftersom den inte kunde parsa regeln. — 4954: Grupprincipinställningarna för Windows-brandväggen har ändrats. De nya inställningarna har tillämpats. — 4956: Windows-brandväggen har ändrat den aktiva profilen. — 4957: Windows-brandväggen tillämpade inte följande regel: – 4958: Windows-brandväggen tillämpade inte följande regel eftersom regeln refererade till objekt som inte har konfigurerats på den här datorn: Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och i Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE9232-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Success and Failure:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Principändring\Granska principändring på MPSSVC-regelnivå
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.7.4
= Lyckad och misslyckad
(Granskning)
Kritiskt
Granska andra principändringshändelser
(AZ-WIN-00114)
Beskrivning: Den här underkategorin innehåller händelser om principändringar för EFS Data Recovery Agent, ändringar i Windows filtreringsplattformsfilter, status för uppdateringar av inställningar för säkerhetsprinciper för lokala grupprincipinställningar, ändringar av central åtkomstprincip och detaljerade felsökningshändelser för kryptografiska nästa generations åtgärder (CNG). – 5063: En kryptografisk provideråtgärd försökte utföras. – 5064: En kryptografisk kontextåtgärd försökte utföras. - 5065: En kryptografisk kontextändring gjordes. – 5066: En kryptografisk funktionsåtgärd försökte utföras. – 5067: Ett försök gjordes att ändra kryptografiska funktioner. – 5068: En kryptografisk funktionsprovideråtgärd försökte utföras. – 5069: En kryptografisk funktionsegenskapsåtgärd försökte utföras. – 5070: Ett försök gjordes att ändra en kryptografisk funktionsegenskap. – 6145: Ett eller flera fel inträffade vid bearbetning av säkerhetsprinciper i grupprincipobjekten. Det rekommenderade tillståndet för den här inställningen är att inkludera: Failure.
Nyckelsökväg: {0CCE9234-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Principändring\Granska andra principändringshändelser
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.7.5
        CIS WS2019 17.7.5
>= Fel
(Granskning)
Kritiskt
Ändring av granskningsprincip
(CCE-38028-7)
Beskrivning: Den här underkategorin rapporterar ändringar i granskningsprincipen, inklusive SACL-ändringar. Händelser för den här underkategorin är: – 4715: Granskningsprincipen (SACL) för ett objekt har ändrats. — 4719: Systemgranskningsprincipen ändrades. — 4902: Granskningsprinciptabellen per användare skapades. — 4904: Ett försök gjordes att registrera en säkerhetshändelsekälla. — 4905: Ett försök gjordes att avregistrera en säkerhetshändelsekälla. — 4906: CrashOnAuditFail-värdet har ändrats. — 4907: Granskningsinställningarna för objektet har ändrats. — 4908: Tabellen För specialgruppers inloggning har ändrats. — 4912: Per användargranskningsprincip har ändrats. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE922F-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Principändring\Granskningsprincipändring
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.7.1
>= Lyckades
(Granskning)
Kritiskt

Systemgranskningsprinciper – Behörighetsanvändning

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska användning av känsliga privilegier
(CCE-36267-3)
Beskrivning: Den här underkategorin rapporterar när ett användarkonto eller en tjänst använder en känslig behörighet. En känslig behörighet omfattar följande användarrättigheter: Agera som en del av operativsystemet, Säkerhetskopieringsfiler och kataloger, Skapa ett tokenobjekt, Felsöka program, Aktivera att dator- och användarkonton är betrodda för delegering, Generera säkerhetsgranskningar, Personifiera en klient efter autentisering, Läsa in och ta bort enhetsdrivrutiner, Hantera granskning och säkerhetslogg, Ändra miljövärden för inbyggd programvara, Ersätt en token på processnivå, Återställ filer och kataloger och Ta över ägarskapet för filer eller andra objekt. Om du granskar den här underkategorin skapas en stor mängd händelser. Händelser för den här underkategorin är: – 4672: Särskilda privilegier som tilldelats till ny inloggning. — 4673: En privilegierad tjänst anropades. — 4674: En åtgärd försökte utföras på ett privilegierat objekt. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och i Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE9228-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Success and Failure:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Privilege Use\Audit Sensitive Privilege Use
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.8.1
= Lyckad och misslyckad
(Granskning)
Kritiskt

Systemgranskningsprinciper – System

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Granska IPsec-drivrutin
(CCE-37853-9)
Beskrivning: Den här underkategorin rapporterar om aktiviteterna för IPsec-drivrutinen (Internet Protocol Security). Händelser för den här underkategorin är: – 4960: IPsec släppte ett inkommande paket som misslyckades med en integritetskontroll. Om det här problemet kvarstår kan det tyda på ett nätverksproblem eller att paket ändras under överföring till den här datorn. Kontrollera att paketen som skickas från fjärrdatorn är desamma som de som tas emot av den här datorn. Det här felet kan också tyda på samverkansproblem med andra IPsec-implementeringar. - 4961: IPsec släppte ett inkommande paket som misslyckades med en återspelningskontroll. Om det här problemet kvarstår kan det tyda på en reprisattack mot den här datorn. - 4962: IPsec släppte ett inkommande paket som misslyckades med en återspelningskontroll. Det inkommande paketet hade ett för lågt sekvensnummer för att säkerställa att det inte var en repris. - 4963: IPsec släppte ett inkommande clear text-paket som borde ha skyddats. Detta beror vanligtvis på att fjärrdatorn ändrar sin IPsec-princip utan att informera den här datorn. Detta kan också vara ett förfalskningsattackförsök. – 4965: IPsec tog emot ett paket från en fjärrdator med ett felaktigt Säkerhetsparameterindex (SPI). Detta orsakas vanligtvis av felaktig maskinvara som skadar paket. Om dessa fel kvarstår kontrollerar du att paketen som skickas från fjärrdatorn är desamma som de som tas emot av den här datorn. Det här felet kan också tyda på samverkansproblem med andra IPsec-implementeringar. I så fall kan dessa händelser ignoreras om anslutningen inte hindras. – 5478: IPsec Services har startats. – 5479: IPsec-tjänsterna har stängts av. Avstängningen av IPsec Services kan utsätta datorn för större risk för nätverksattacker eller utsätta datorn för potentiella säkerhetsrisker. – 5480: IPsec Services kunde inte hämta den fullständiga listan över nätverksgränssnitt på datorn. Detta utgör en potentiell säkerhetsrisk eftersom vissa av nätverksgränssnitten kanske inte får det skydd som tillhandahålls av de tillämpade IPsec-filtren. Använd snapin-modulen IP Security Monitor för att diagnostisera problemet. – 5483: IPsec Services kunde inte initiera RPC-servern. Det gick inte att starta IPsec Services. – 5484: IPsec Services har drabbats av ett kritiskt fel och har stängts av. Avstängningen av IPsec Services kan utsätta datorn för större risk för nätverksattacker eller utsätta datorn för potentiella säkerhetsrisker. – 5485: IPsec Services kunde inte bearbeta vissa IPsec-filter på en plug-and-play-händelse för nätverksgränssnitt. Detta utgör en potentiell säkerhetsrisk eftersom vissa av nätverksgränssnitten kanske inte får det skydd som tillhandahålls av de tillämpade IPsec-filtren. Använd snapin-modulen IP Security Monitor för att diagnostisera problemet. Det rekommenderade tillståndet för den här inställningen är: Success and Failure.
Nyckelsökväg: {0CCE9213-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\System\Granska IPsec-drivrutin
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.9.1
        CIS WS2019 17.9.1
>= Lyckad och misslyckad
(Granskning)
Kritiskt
Granska andra systemhändelser
(CCE-38030-3)
Beskrivning: Den här underkategorin rapporterar om andra systemhändelser. Händelser för den här underkategorin är: – 5024 : Windows-brandväggstjänsten har startats. – 5025 : Windows-brandväggstjänsten har stoppats. – 5027 : Windows-brandväggstjänsten kunde inte hämta säkerhetsprincipen från den lokala lagringen. Tjänsten fortsätter att framtvinga den aktuella principen. – 5028 : Windows-brandväggstjänsten kunde inte parsa den nya säkerhetsprincipen. Tjänsten fortsätter med den princip som tillämpas för närvarande. – 5029: Windows-brandväggstjänsten kunde inte initiera drivrutinen. Tjänsten fortsätter att tillämpa den aktuella principen. – 5030: Windows-brandväggstjänsten kunde inte starta. – 5032: Windows-brandväggen kunde inte meddela användaren att den blockerade ett program från att acceptera inkommande anslutningar i nätverket. – 5033: Windows-brandväggsdrivrutinen har startats. - 5034: Windows-brandväggsdrivrutinen har stoppats. – 5035: Windows-brandväggsdrivrutinen kunde inte startas. – 5037 : Windows-brandväggsdrivrutinen upptäckte ett kritiskt körningsfel. Avslutande. - 5058: Nyckelfilåtgärd. – 5059: Nyckelmigreringsåtgärd. Det rekommenderade tillståndet för den här inställningen är: Success and Failure.
Nyckelsökväg: {0CCE9214-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\System\Granska andra systemhändelser
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 17.9.2
        CIS WS2019 17.9.2
= Lyckad och misslyckad
(Granskning)
Kritiskt
Granska ändring av säkerhetsstatus
(CCE-38114-5)
Beskrivning: Den här underkategorin rapporterar ändringar i systemets säkerhetstillstånd, till exempel när säkerhetsundersystemet startar och stoppas. Händelser för den här underkategorin är: – 4608: Windows startar. — 4609: Windows stängs av. — 4616: Systemtiden ändrades. — 4621: Administratören återställde systemet från CrashOnAuditFail. Användare som inte är administratörer får nu logga in. Vissa granskningsbara aktiviteter kanske inte har registrerats. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och i Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE9210-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Success:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\System\Granska säkerhetstillståndsändring
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.9.3
>= Lyckades
(Granskning)
Kritiskt
Granska utökning av säkerhetssystem
(CCE-36144-4)
Beskrivning: Den här underkategorin rapporterar inläsningen av tilläggskoden, till exempel autentiseringspaket av säkerhetsundersystemet. Händelser för den här underkategorin är: – 4610: Ett autentiseringspaket har lästs in av den lokala säkerhetsmyndigheten. — 4611: En betrodd inloggningsprocess har registrerats hos den lokala säkerhetsmyndigheten. — 4614: Ett meddelandepaket har lästs in av säkerhetskontohanteraren. — 4622: Ett säkerhetspaket har lästs in av den lokala säkerhetsmyndigheten. — 4697: En tjänst installerades i systemet. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE9211-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Success:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security System Extension
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.9.4
>= Lyckades
(Granskning)
Kritiskt
Granska systemintegritet
(CCE-37132-8)
Beskrivning: Den här underkategorin rapporterar om överträdelser av integriteten i säkerhetsundersystemet. Händelser för den här underkategorin är: – 4612: Interna resurser som allokerats för köer av granskningsmeddelanden har uttömts, vilket leder till att vissa granskningar går förlorade. — 4615: Ogiltig användning av LPC-port. — 4618: Ett övervakat mönster för säkerhetshändelser har inträffat. — 4816 : RPC upptäckte en integritetsöverträdelse när ett inkommande meddelande dekrypterades. — 5038: Kodintegriteten fastställde att avbildningshashen för en fil inte är giltig. Filen kan vara skadad på grund av obehörig ändring eller så kan den ogiltiga hashen tyda på ett potentiellt diskenhetsfel. — 5056: Ett kryptografiskt självtest utfördes. — 5057: En kryptografisk primitiv åtgärd misslyckades. — 5060: Verifieringen misslyckades. — 5061: Kryptografisk åtgärd. — 5062: Ett kryptografiskt självtest i kernelläge utfördes. Se Microsoft Knowledgebase-artikeln "Beskrivning av säkerhetshändelser i Windows Vista och i Windows Server 2008" för den senaste informationen om den här inställningen: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Nyckelsökväg: {0CCE9212-69AE-11D9-BED3-505054503030}
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till "Lyckad och misslyckad":
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\System\Granska systemintegritet
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 17.9.5
= Lyckad och misslyckad
(Granskning)
Kritiskt

Tilldelning av användarrättigheter

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Åtkomst Autentiseringshanteraren som en betrodd anropare
(CCE-37056-9)
Beskrivning: Den här säkerhetsinställningen används av Credential Manager under säkerhetskopiering och återställning. Inga konton ska ha den här användarbehörigheten, eftersom den endast tilldelas Winlogon. Användarnas sparade autentiseringsuppgifter kan komprometteras om den här användarbehörigheten tilldelas till andra entiteter. Det rekommenderade tillståndet för den här inställningen är: No One.
Nyckelsökväg: [Privilege Rights]SeTrustedCredManAccessPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No One:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Åtkomst till autentiseringshanteraren som betrodd anropare

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93049
        STIG WS2016 V-73729
        CIS WS2019 2.2.1
        CIS WS2022 2.2.1
= Ingen
(Princip)
Varning
Åtkomst till den här datorn från nätverket
(CCE-35818-4)
Beskrivning:

Med den här principinställningen kan andra användare i nätverket ansluta till datorn och krävs av olika nätverksprotokoll som inkluderar SMB-baserade protokoll (Server Message Block), NetBIOS, Common Internet File System (CIFS) och Component Object Model Plus (COM+). - Nivå 1 – Domänkontrollant. Det rekommenderade tillståndet för den här inställningen är: "Administratörer, autentiserade användare, FÖRETAGSDOMÄNKONTROLLANTer". - Nivå 1 – Medlemsserver. Det rekommenderade tillståndet för den här inställningen är: "Administratörer, autentiserade användare".


Nyckelsökväg: [Privilege Rights]SeNetworkLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera följande UI-sökväg för att upprätta den rekommenderade konfigurationen via GP:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Åtkomst till den här datorn från nätverket

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-92995
        STIG WS2016 V-73731
        CIS WS2019 2.2.3
        CIS WS2022 2.2.3
<= Administratörer, autentiserade användare
(Princip)
Kritiskt
Agera som del av operativsystemet
(CCE-36876-1)
Beskrivning: Med den här principinställningen kan en process anta identiteten för alla användare och därmed få åtkomst till de resurser som användaren har behörighet att komma åt. Det rekommenderade tillståndet för den här inställningen är: No One.
Nyckelsökväg: [Privilege Rights]SeTcbPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No One:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Agera som en del av operativsystemet

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93051
        STIG WS2016 V-73735
        CIS WS2019 2.2.4
        CIS WS2022 2.2.4
= Ingen
(Princip)
Kritiskt
Lokal inloggning
(CCE-37659-0)
Beskrivning: Den här principinställningen avgör vilka användare som kan logga in interaktivt på datorer i din miljö. Inloggningar som initieras genom att trycka på tangentsekvensen CTRL+ALT+DEL på klientdatorns tangentbord kräver den här användarens rättighet. Användare som försöker logga in via Terminal Services eller IIS kräver också den här användarbehörigheten. Gästkontot tilldelas den här användaren som standard. Även om det här kontot är inaktiverat som standard rekommenderar Microsoft att du aktiverar den här inställningen via grupprincip. Den här användarbehörigheten bör dock i allmänhet begränsas till grupperna Administratörer och Användare. Tilldela den här användaren rätt till gruppen Säkerhetskopieringsoperatörer om din organisation kräver att de har den här funktionen. När du konfigurerar en användare direkt i SCM anger du en kommaavgränsad lista med konton. Konton kan vara antingen lokala eller finns i Active Directory, de kan vara grupper, användare eller datorer.
Nyckelsökväg: [Privilege Rights]SeInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera följande UI-sökväg för att upprätta den rekommenderade konfigurationen via GP:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Tillåt inloggning lokalt
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.2.7
= Administratörer
(Princip)
Kritiskt
Tillåt inloggning genom Fjärrskrivbordstjänster
(CCE-37072-6)
Beskrivning:

Den här principinställningen avgör vilka användare eller grupper som har rätt att logga in som Terminal Services-klient. Fjärrskrivbordsanvändare kräver den här användarbehörigheten. Om din organisation använder fjärrhjälp som en del av sin supportstrategi skapar du en grupp och tilldelar den den här användaren direkt via grupprincip. Om supportavdelningen i din organisation inte använder fjärrhjälp tilldelar du endast den här användarbehörigheten till gruppen Administratörer eller använder funktionen begränsade grupper för att säkerställa att inga användarkonton ingår i gruppen Fjärrskrivbordsanvändare. Begränsa användarbehörigheten till gruppen Administratörer, och eventuellt gruppen Fjärrskrivbordsanvändare, för att förhindra att oönskade användare får åtkomst till datorer i nätverket med hjälp av funktionen Fjärrhjälp. - Nivå 1 – Domänkontrollant. Det rekommenderade tillståndet för den här inställningen är: "Administratörer". - Nivå 1 – Medlemsserver. Det rekommenderade tillståndet för den här inställningen är: "Administratörer, Fjärrskrivbordsanvändare". Obs! En medlemsserver som har rollen Fjärrskrivbordstjänster med rolltjänsten anslutningsutjämning för fjärrskrivbord kräver ett särskilt undantag från den här rekommendationen för att tillåta att gruppen "Autentiserade användare" beviljas den här användarbehörigheten. Anmärkning 2: Ovanstående listor ska behandlas som tillåtna listor, vilket innebär att ovanstående huvudnamn inte behöver vara närvarande för att utvärderingen av denna rekommendation ska godkännas.


Nyckelsökväg: [Privilege Rights]SeRemoteInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera följande UI-sökväg för att upprätta den rekommenderade konfigurationen via GP:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Tillåt inloggning via Fjärrskrivbordstjänster

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-92997
        STIG WS2016 V-73741
        CIS WS2019 2.2.8
        CIS WS2022 2.2.8
        CIS WS2019 2.2.9
        CIS WS2022 2.2.9
<= Administratörer, Fjärrskrivbordsanvändare
(Princip)
Kritiskt
Säkerhetskopiera filer och kataloger
(CCE-35912-5)
Beskrivning: Med den här principinställningen kan användare kringgå fil- och katalogbehörigheter för att säkerhetskopiera systemet. Den här användarbehörigheten aktiveras endast när ett program (till exempel NTBACKUP) försöker komma åt en fil eller katalog via NTFS-filsystemets programmeringsgränssnitt för säkerhetskopiering av program (API). Annars gäller de tilldelade fil- och katalogbehörigheterna. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeBackupPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators.
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Säkerhetskopiera filer och kataloger

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93053
        STIG WS2016 V-73743
        CIS WS2019 2.2.10
        CIS WS2022 2.2.10
<= Administratörer, säkerhetskopieringsoperatörer, serveroperatörer
(Princip)
Kritiskt
Kringgå bläddringskontroll
(AZ-WIN-00184)
Beskrivning: Med den här principinställningen kan användare som inte har åtkomstbehörigheten Traverse Folder passera genom mappar när de bläddrar i en objektsökväg i NTFS-filsystemet eller registret. Den här användarbehörigheten tillåter inte att användare listar innehållet i en mapp. När du konfigurerar en användare direkt i SCM anger du en kommaavgränsad lista med konton. Konton kan vara antingen lokala eller finns i Active Directory, de kan vara grupper, användare eller datorer.
Nyckelsökväg: [Privilege Rights]SeChangeNotifyPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera principvärdet för Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Kringgå blädderingskontroll för att endast inkludera följande konton eller grupper: Administrators, Authenticated Users, Backup Operators, Local Service, Network Service
Standardmappningar för efterlevnad:
<= Administratörer, autentiserade användare, säkerhetskopieringsoperatörer, lokal tjänst, nätverkstjänst
(Princip)
Kritiskt
Ändra datorns tid
(CCE-37452-0)
Beskrivning: Den här principinställningen avgör vilka användare och grupper som kan ändra tid och datum på den interna klockan för datorerna i din miljö. Användare som har tilldelats den här användarbehörigheten kan påverka utseendet på händelseloggar. När en dators tidsinställning ändras återspeglar loggade händelser den nya tiden, inte den faktiska tiden som händelserna inträffade. När du konfigurerar en användare direkt i SCM anger du en kommaavgränsad lista med konton. Konton kan vara antingen lokala eller finns i Active Directory, de kan vara grupper, användare eller datorer. Obs! Avvikelser mellan tiden på den lokala datorn och på domänkontrollanterna i din miljö kan orsaka problem för Kerberos-autentiseringsprotokollet, vilket kan göra det omöjligt för användare att logga in på domänen eller få behörighet att komma åt domänresurser när de har loggat in. Dessutom uppstår problem när grupprincip tillämpas på klientdatorer om systemtiden inte synkroniseras med domänkontrollanterna. Det rekommenderade tillståndet för den här inställningen är: Administrators, LOCAL SERVICE.
Nyckelsökväg: [Privilege Rights]SeSystemtimePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators, LOCAL SERVICE:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Ändra systemtiden

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.2.11
        CIS WS2022 2.2.11
<= Administratörer, serveroperatörer, LOKAL TJÄNST
(Princip)
Kritiskt
Ändra tidszon
(CCE-37700-2)
Beskrivning: Den här inställningen avgör vilka användare som kan ändra datorns tidszon. Den här förmågan medför ingen stor fara för datorn och kan vara användbar för mobila arbetare. Det rekommenderade tillståndet för den här inställningen är: Administrators, LOCAL SERVICE.
Nyckelsökväg: [Privilege Rights]SeTimeZonePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators, LOCAL SERVICE:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Ändra tidszonen

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.2.12
        CIS WS2022 2.2.12
<= Administratörer, LOKAL TJÄNST
(Princip)
Kritiskt
Skapa en växlingsfil
(CCE-35821-8)
Beskrivning: Med den här principinställningen kan användarna ändra sidfilens storlek. Genom att göra sidfilen extremt stor eller extremt liten kan en angripare enkelt påverka prestandan för en komprometterad dator. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeCreatePagefilePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Skapa en sidfil

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93055
        STIG WS2016 V-73745
        CIS WS2019 2.2.13
        CIS WS2022 2.2.13
= Administratörer
(Princip)
Kritiskt
Skapa token-objekt
(CCE-36861-3)
Beskrivning: Med den här principinställningen kan en process skapa en åtkomsttoken, vilket kan ge utökade behörigheter för åtkomst till känsliga data. Det rekommenderade tillståndet för den här inställningen är: No One.
Nyckelsökväg: [Privilege Rights]SeCreateTokenPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No One:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Skapa ett tokenobjekt

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93057
        STIG WS2016 V-73747
        CIS WS2019 2.2.14
        CIS WS2022 2.2.14
= Ingen
(Princip)
Varning
Skapa globala objekt
(CCE-37453-8)
Beskrivning: Den här principinställningen avgör om användare kan skapa globala objekt som är tillgängliga för alla sessioner. Användare kan fortfarande skapa objekt som är specifika för sin egen session om de inte har den här användarbehörigheten. Användare som kan skapa globala objekt kan påverka processer som körs under andra användares sessioner. Den här funktionen kan leda till en mängd olika problem, till exempel programfel eller skadade data. Det rekommenderade tillståndet för den här inställningen är: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Obs! En medlemsserver med Microsoft SQL Server och dess valfria "Integration Services"-komponent installerad kräver ett särskilt undantag från den här rekommendationen för att ytterligare SQL-genererade poster ska beviljas den här användarbehörigheten.
Nyckelsökväg: [Privilege Rights]SeCreateGlobalPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Skapa globala objekt

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93059
        STIG WS2016 V-73749
        CIS WS2019 2.2.15
        CIS WS2022 2.2.15
<= Administratörer, TJÄNST, LOKAL TJÄNST, NÄTVERKSTJÄNST
(Princip)
Varning
Skapa permanent delade objekt
(CCE-36532-0)
Beskrivning: Den här användarbehörigheten är användbar för kernellägeskomponenter som utökar objektnamnområdet. Komponenter som körs i kernelläge har dock den här användaren rätt. Därför är det vanligtvis inte nödvändigt att specifikt tilldela den här användarbehörigheten. Det rekommenderade tillståndet för den här inställningen är: No One.
Nyckelsökväg: [Privilege Rights]SeCreatePermanentPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No One:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Skapa permanenta delade objekt

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93061
        STIG WS2016 V-73751
        CIS WS2019 2.2.16
        CIS WS2022 2.2.16
= Ingen
(Princip)
Varning
Skapa symboliska länkar
(CCE-35823-4)
Beskrivning:

Den här principinställningen avgör vilka användare som kan skapa symboliska länkar. I Windows Vista kan befintliga NTFS-filsystemobjekt, till exempel filer och mappar, nås genom att referera till en ny typ av filsystemobjekt som kallas en symbolisk länk. En symbolisk länk är en pekare (ungefär som en genväg eller .lnk fil) till ett annat filsystemobjekt, som kan vara en fil, mapp, genväg eller en annan symbolisk länk. Skillnaden mellan en genväg och en symbolisk länk är att en genväg endast fungerar inifrån Windows-gränssnittet. För andra program och program är genvägar bara en annan fil, medan begreppet genväg implementeras som en funktion i NTFS-filsystemet med symboliska länkar. Symboliska länkar kan potentiellt exponera säkerhetsproblem i program som inte är utformade för att använda dem. Därför bör behörigheten för att skapa symboliska länkar endast tilldelas till betrodda användare. Som standard kan endast administratörer skapa symboliska länkar. - Nivå 1 – Domänkontrollant. Det rekommenderade tillståndet för den här inställningen är: "Administratörer". - Nivå 1 – Medlemsserver. Det rekommenderade tillståndet för den här inställningen är: "Administratörer" och (när Hyper-V-rollen är installerad) "NT VIRTUAL MACHINE\Virtual Machines".


Nyckelsökväg: [Privilege Rights]SeCreateSymbolicLinkPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera följande UI-sökväg för att implementera det rekommenderade konfigurationstillståndet:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Skapa symboliska länkar

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93063
        STIG WS2016 V-73753
        CIS WS2019 2.2.17
        CIS WS2022 2.2.17
        CIS WS2019 2.2.18
        CIS WS2022 2.2.18
<= Administratörer, NT VIRTUAL MACHINE\Virtual Machines
(Princip)
Kritiskt
Felsöka program
(AZ-WIN-73755)
Beskrivning: Den här principinställningen avgör vilka användarkonton som ska ha rätt att koppla ett felsökningsprogram till en process eller till kerneln, vilket ger fullständig åtkomst till känsliga och kritiska operativsystemkomponenter. Utvecklare som felsöker sina egna program behöver inte tilldelas den här användarbehörigheten. Utvecklare som felsöker nya systemkomponenter behöver det dock. Det rekommenderade tillståndet för den här inställningen är: Administrators. Obs! Den här användarbehörigheten anses vara en "känslig behörighet" för granskning.
Nyckelsökväg: [Privilege Rights]SeDebugPrivilege
OS: WS2016, WS2019
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Felsökningsprogram
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.2.19
        CIS WS2019 2.2.19
= Administratörer
(Princip)
Kritiskt
Neka åtkomst till den här datorn från nätverket
(CCE-37954-5)
Beskrivning:

Den här principinställningen förbjuder användare att ansluta till en dator från hela nätverket, vilket gör det möjligt för användare att komma åt och eventuellt ändra data via fjärranslutning. I miljöer med hög säkerhet bör fjärranvändare inte behöva komma åt data på en dator. I stället bör fildelning utföras med hjälp av nätverksservrar. - Nivå 1 – Domänkontrollant. Det rekommenderade tillståndet för den här inställningen är att inkludera: "Gäster, Lokalt konto". - Nivå 1 – Medlemsserver. Det rekommenderade tillståndet för den här inställningen är att inkludera: "Gäster, lokalt konto och medlem i gruppen Administratörer". Varning! Om du konfigurerar en fristående (icke-domänansluten) server enligt beskrivningen ovan kan det leda till att servern inte kan administreras via fjärranslutning. Obs! Om du konfigurerar en medlemsserver eller fristående server enligt beskrivningen ovan kan det påverka program som skapar ett lokalt tjänstkonto och placerar det i gruppen Administratörer. I så fall måste du antingen konvertera programmet till att använda ett domänhanterat tjänstkonto eller ta bort lokalt konto och medlem i gruppen Administratörer från den här tilldelningen av användarrättigheter. Att använda ett domänhanterat tjänstkonto är starkt att föredra framför att göra ett undantag till den här regeln, där det är möjligt.


Nyckelsökväg: [Privilege Rights]SeDenyNetworkLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera följande UI-sökväg för att upprätta den rekommenderade konfigurationen via GP:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Neka åtkomst till den här datorn från nätverket

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-92999
        STIG WS2016 V-73757
        CIS WS2019 2.2.20
        CIS WS2022 2.2.20
        CIS WS2019 2.2.21
        CIS WS2022 2.2.21
>= Gäster
(Princip)
Kritiskt
Neka inloggning som batchjobb
(CCE-36923-1)
Beskrivning: Den här principinställningen avgör vilka konton som inte kommer att kunna logga in på datorn som ett batchjobb. Ett batchjobb är inte en batchfil (.bat), utan snarare en batchköfunktion. Konton som använder schemaläggaren för att schemalägga jobb behöver den här användarbehörigheten. Behörigheten Neka inloggning som batchjobbanvändare åsidosätter inloggningen som en användarbehörighet för batchjobb , som kan användas för att tillåta konton att schemalägga jobb som förbrukar överdrivna systemresurser. En sådan förekomst kan orsaka ett DoS-villkor. Det kan vara en säkerhetsrisk att inte tilldela den här användarbehörigheten till de rekommenderade kontona. Det rekommenderade tillståndet för den här inställningen är att inkludera: Guests.
Nyckelsökväg: [Privilege Rights]SeDenyBatchLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Guests:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Neka inloggning som ett batchjobb

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93001
        STIG WS2016 V-73761
        CIS WS2019 2.2.22
        CIS WS2022 2.2.22
>= Gäster
(Princip)
Kritiskt
Neka inloggning som en tjänst
(CCE-36877-9)
Beskrivning: Den här säkerhetsinställningen avgör vilka tjänstkonton som hindras från att registrera en process som en tjänst. Den här principinställningen ersätter inställningen Logga in som en tjänstprincip om ett konto omfattas av båda principerna. Det rekommenderade tillståndet för den här inställningen är att inkludera: Guests. Obs! Den här säkerhetsinställningen gäller inte för kontona System, Lokal tjänst eller Nätverkstjänst.
Nyckelsökväg: [Privilege Rights]SeDenyServiceLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Guests:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Neka inloggning som en tjänst

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93003
        STIG WS2016 V-73765
        CIS WS2019 2.2.23
        CIS WS2022 2.2.23
>= Gäster
(Princip)
Kritiskt
Neka inloggning lokalt
(CCE-37146-8)
Beskrivning: Den här säkerhetsinställningen avgör vilka användare som hindras från att logga in på datorn. Den här principinställningen ersätter inställningen Tillåt inloggning lokalt om ett konto omfattas av båda principerna. Viktigt: Om du tillämpar den här säkerhetsprincipen på gruppen Alla kommer ingen att kunna logga in lokalt. Det rekommenderade tillståndet för den här inställningen är att inkludera: Guests.
Nyckelsökväg: [Privilege Rights]SeDenyInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg så att den inkluderar Guests:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Neka inloggning lokalt

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93017
        STIG WS2016 V-73739
        CIS WS2019 2.2.24
        CIS WS2022 2.2.24
>= Gäster
(Princip)
Kritiskt
Neka inloggning genom Fjärrskrivbordstjänster
(CCE-36867-0)
Beskrivning: Den här principinställningen avgör om användare kan logga in som Terminal Services-klienter. När baslinjemedlemsservern har anslutits till en domänmiljö behöver du inte använda lokala konton för att komma åt servern från nätverket. Domänkonton kan komma åt servern för administration och slutanvändarbearbetning. Det rekommenderade tillståndet för den här inställningen är att inkludera: Guests, Local account. Varning! Om du konfigurerar en fristående (icke-domänansluten) server enligt beskrivningen ovan kan det leda till att servern inte kan administreras via fjärranslutning.
Nyckelsökväg: [Privilege Rights]SeDenyRemoteInteractiveLogonRight
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera följande UI-sökväg för att upprätta den rekommenderade konfigurationen via GP:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Neka inloggning via Fjärrskrivbordstjänster
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.2.26
>= Gäster
(Princip)
Kritiskt
Aktivera dator- och användarkonton som ska vara betrodd för delegering
(CCE-36860-5)
Beskrivning:

Med den här principinställningen kan användare ändra inställningen Betrodd för delegering på ett datorobjekt i Active Directory. Missbruk av den här behörigheten kan göra det möjligt för obehöriga användare att personifiera andra användare i nätverket. - Nivå 1 – Domänkontrollant. Det rekommenderade tillståndet för den här inställningen är: "Administratörer" – Nivå 1 – Medlemsserver. Det rekommenderade tillståndet för den här inställningen är: "Ingen".


Nyckelsökväg: [Privilege Rights]SeEnableDelegationPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera följande UI-sökväg för att upprätta den rekommenderade konfigurationen via GP:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Aktivera att dator- och användarkonton är betrodda för delegering

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93041
        STIG WS2016 V-73777
        CIS WS2019 2.2.28
        CIS WS2022 2.2.28
= Ingen
(Princip)
Kritiskt
Tvångsavsluta från ett fjärrsystem
(CCE-37877-8)
Beskrivning: Med den här principinställningen kan användare stänga av Windows Vista-baserade datorer från fjärrplatser i nätverket. Alla som har tilldelats den här användarbehörigheten kan orsaka ett DoS-villkor (Denial of Service), vilket skulle göra datorn otillgänglig för tjänstanvändarbegäranden. Därför rekommenderar vi att endast betrodda administratörer tilldelas den här användarbehörigheten. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeRemoteShutdownPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Tvinga avstängning från ett fjärrsystem

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93067
        STIG WS2016 V-73781
        CIS WS2019 2.2.29
        CIS WS2022 2.2.29
= Administratörer
(Princip)
Kritiskt
Skapa säkerhetsgranskningar
(CCE-37639-2)
Beskrivning: Den här principinställningen avgör vilka användare eller processer som kan generera granskningsposter i säkerhetsloggen. Det rekommenderade tillståndet för den här inställningen är: LOCAL SERVICE, NETWORK SERVICE. Obs! En medlemsserver som innehar webbserverrollen (IIS) med webbserverrolltjänsten kräver ett särskilt undantag från den här rekommendationen för att tillåta att IIS-programpooler beviljas den här användarbehörigheten. Obs! En medlemsserver som innehåller Active Directory usluge za ujedinjavanje-rollen kräver ett särskilt undantag till den här rekommendationen NT SERVICE\ADFSSrv för att tillåta att tjänsterna och NT SERVICE\DRS samt det associerade Active Directory usluge za ujedinjavanje tjänstkontot beviljas detta användarens rättighet.
Nyckelsökväg: [Privilege Rights]SeAuditPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till LOCAL SERVICE, NETWORK SERVICE:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Generera säkerhetsgranskningar

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93069
        STIG WS2016 V-73783
        CIS WS2019 2.2.30
        CIS WS2022 2.2.30
<= Lokal tjänst, nätverkstjänst, IIS APPPOOL\DefaultAppPool
(Princip)
Kritiskt
Öka en process arbetsminne
(AZ-WIN-00185)
Beskrivning: Den här behörigheten avgör vilka användarkonton som kan öka eller minska storleken på en processs arbetsuppsättning. Arbetsuppsättningen för en process är den uppsättning minnessidor som för närvarande är synliga för processen i fysiskt RAM-minne. Dessa sidor är bosatta och tillgängliga för ett program att använda utan att utlösa ett sidfel. Minsta och högsta storlek på arbetsuppsättningar påverkar beteendet för växling av virtuellt minne i en process. När du konfigurerar en användare direkt i SCM anger du en kommaavgränsad lista med konton. Konton kan vara antingen lokala eller finns i Active Directory, de kan vara grupper, användare eller datorer.
Nyckelsökväg: [Privilege Rights]SeIncreaseWorkingSetPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Öka en processarbetsuppsättning
Standardmappningar för efterlevnad:
<= Administratörer, lokal tjänst
(Princip)
Varning
Öka schemaläggning prioritet
(CCE-38326-5)
Beskrivning: Den här principinställningen avgör om användare kan öka basprioritetsklassen för en process. (Det är inte en privilegierad åtgärd att öka relativ prioritet inom en prioritetsklass.) Den här användarbehörigheten krävs inte av administrativa verktyg som medföljer operativsystemet, men som kan krävas av programutvecklingsverktyg. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeIncreaseBasePriorityPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators, Window Manager\Window Manager Group:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Öka schemaläggningsprioriteten

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93073
        STIG WS2016 V-73787
        CIS WS2019 2.2.33
        CIS WS2022 2.2.33
= Administratörer
(Princip)
Varning
Läsa in och ta bort drivrutiner
(CCE-36318-4)
Beskrivning: Med den här principinställningen kan användarna dynamiskt läsa in en ny enhetsdrivrutin i ett system. En angripare kan eventuellt använda den här funktionen för att installera skadlig kod som verkar vara en enhetsdrivrutin. Den här användarbehörigheten krävs för att användare ska kunna lägga till lokala skrivare eller skrivardrivrutiner i Windows Vista. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeLoadDriverPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Läsa in och ta bort enhetsdrivrutiner

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93075
        STIG WS2016 V-73789
        CIS WS2019 2.2.34
        CIS WS2022 2.2.34
<= Administratörer, utskriftsoperatorer
(Princip)
Varning
Låsa sidor i minnet
(CCE-36495-0)
Beskrivning: Med den här principinställningen kan en process lagra data i fysiskt minne, vilket hindrar systemet från att växla data till virtuellt minne på disken. Om den här användarbehörigheten tilldelas kan betydande försämring av systemprestanda inträffa. Det rekommenderade tillståndet för den här inställningen är: No One.
Nyckelsökväg: [Privilege Rights]SeLockMemoryPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No One:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Lås sidor i minnet

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93077
        STIG WS2016 V-73791
        CIS WS2019 2.2.35
        CIS WS2022 2.2.35
= Ingen
(Princip)
Varning
Hantera granskning- och säkerhetsloggar
(CCE-35906-7)
Beskrivning:

Den här principinställningen avgör vilka användare som kan ändra granskningsalternativen för filer och kataloger och rensa säkerhetsloggen. För miljöer som kör Microsoft Exchange Server måste gruppen Exchange-servrar ha den här behörigheten på domänkontrollanter för att fungera korrekt. Med tanke på detta överensstämmer de domänkontrollanter som ger gruppen Exchange-servrar den här behörigheten med det här riktmärket. Om miljön inte använder Microsoft Exchange Server bör den här behörigheten begränsas till endast "Administratörer" på domänkontrollanter. - Nivå 1 – Domänkontrollant. Det rekommenderade tillståndet för den här inställningen är: "Administratörer och (när Exchange körs i miljön) "Exchange-servrar". - Nivå 1 – Medlemsserver. Det rekommenderade tillståndet för den här inställningen är: "Administratörer"


Nyckelsökväg: [Privilege Rights]SeSecurityPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Konfigurera följande UI-sökväg för att upprätta den rekommenderade konfigurationen via GP:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Hantera granskning och säkerhetslogg

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93197
        STIG WS2016 V-73793
        CIS WS2019 2.2.37
        CIS WS2022 2.2.37
        CIS WS2019 2.2.38
        CIS WS2022 2.2.38
= Administratörer
(Princip)
Kritiskt
Ändra etikett för ett objekt
(CCE-36054-5)
Beskrivning: Den här behörigheten avgör vilka användarkonton som kan ändra integritetsetiketten för objekt, till exempel filer, registernycklar eller processer som ägs av andra användare. Processer som körs under ett användarkonto kan ändra etiketten för ett objekt som ägs av användaren till en lägre nivå utan den här behörigheten. Det rekommenderade tillståndet för den här inställningen är: No One.
Nyckelsökväg: [Privilege Rights]SeRelabelPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till No One:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Ändra en objektetikett

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.2.39
        CIS WS2022 2.2.39
= Ingen
(Princip)
Varning
Ändra maskinvarumiljö
(CCE-38113-7)
Beskrivning: Med den här principinställningen kan användarna konfigurera de systemomfattande miljövariabler som påverkar maskinvarukonfigurationen. Den här informationen lagras vanligtvis i den senaste fungerande konfigurationen. Ändring av dessa värden och kan leda till ett maskinvarufel som skulle resultera i ett denial of service-villkor. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeSystemEnvironmentPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Ändra miljövärden för inbyggd programvara

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93079
        STIG WS2016 V-73795
        CIS WS2019 2.2.40
        CIS WS2022 2.2.40
= Administratörer
(Princip)
Varning
Utföra underhållsaktiviteter
(CCE-36143-6)
Beskrivning: Med den här principinställningen kan användarna hantera systemets volym- eller diskkonfiguration, vilket kan göra det möjligt för en användare att ta bort en volym och orsaka dataförlust samt ett denial-of-service-villkor. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeManageVolumePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Utför volymunderhållsuppgifter

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93081
        STIG WS2016 V-73797
        CIS WS2019 2.2.41
        CIS WS2022 2.2.41
= Administratörer
(Princip)
Varning
Studera enstaka process
(CCE-37131-0)
Beskrivning: Den här principinställningen avgör vilka användare som kan använda verktyg för att övervaka prestanda för icke-systemprocesser. Normalt behöver du inte konfigurera den här användarens rätt att använda snapin-modulen Microsoft Management Console (MMC). Du behöver dock den här användaren rätt om System Monitor har konfigurerats för att samla in data med hjälp av Windows Management Instrumentation (WMI). Genom att begränsa användarens rätt till enskild profilprocess kan inkräktare inte få ytterligare information som kan användas för att montera ett angrepp på systemet. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeProfileSingleProcessPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Enskild profilprocess

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93083
        STIG WS2016 V-73799
        CIS WS2019 2.2.42
        CIS WS2022 2.2.42
= Administratörer
(Princip)
Varning
Studera systemprestanda
(CCE-36052-9)
Beskrivning: Med den här principinställningen kan användare använda verktyg för att visa prestanda för olika systemprocesser, som kan missbrukas så att angripare kan fastställa ett systems aktiva processer och ge insikt i datorns potentiella attackyta. Det rekommenderade tillståndet för den här inställningen är: Administrators, NT SERVICE\WdiServiceHost.
Nyckelsökväg: [Privilege Rights]SeSystemProfilePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators, NT SERVICE\WdiServiceHost:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Profilsystemprestanda

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.2.43
        CIS WS2022 2.2.43
<= Administratörer, NT SERVICE\WdiServiceHost
(Princip)
Varning
Ersätta en processnivå-token
(CCE-37430-6)
Beskrivning: Med den här principinställningen kan en process eller tjänst starta en annan tjänst eller process med en annan säkerhetsåtkomsttoken, som kan användas för att ändra säkerhetsåtkomsttoken för den underprocessen och resultera i eskalering av behörigheter. Det rekommenderade tillståndet för den här inställningen är: LOCAL SERVICE, NETWORK SERVICE. Obs! En medlemsserver som innehar webbserverrollen (IIS) med webbserverrolltjänsten kräver ett särskilt undantag från den här rekommendationen för att tillåta att IIS-programpooler beviljas den här användarbehörigheten. Obs! En medlemsserver med Microsoft SQL Server installerad kräver ett särskilt undantag från den här rekommendationen för att ytterligare SQL-genererade poster ska beviljas den här användarbehörigheten.
Nyckelsökväg: [Privilege Rights]SeAssignPrimaryTokenPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till LOCAL SERVICE, NETWORK SERVICE:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Ersätt en processnivåtoken

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.2.44
        CIS WS2022 2.2.44
<= LOKAL TJÄNST, NÄTVERKSTJÄNST
(Princip)
Varning
Återställa filer och kataloger
(CCE-37613-7)
Beskrivning: Den här principinställningen avgör vilka användare som kan kringgå fil-, katalog-, register- och andra beständiga objektbehörigheter när de återställer säkerhetskopierade filer och kataloger på datorer som kör Windows Vista i din miljö. Den här användarbehörigheten avgör också vilka användare som kan ange giltiga säkerhetsobjekt som objektägare. Det liknar användarbehörigheten för säkerhetskopieringsfiler och kataloger. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeRestorePrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Återställa filer och kataloger
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.2.45
<= Administratörer, säkerhetskopieringsoperatörer
(Princip)
Varning
Stänga av systemet
(CCE-38328-1)
Beskrivning: Den här principinställningen avgör vilka användare som är inloggade lokalt på datorerna i din miljö kan stänga av operativsystemet med kommandot Stäng av. Missbruk av den här användarrätten kan resultera i ett denial of service-villkor. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeShutdownPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Stäng av systemet

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 2.2.46
        CIS WS2022 2.2.46
<= Administratörer, säkerhetskopieringsoperatörer
(Princip)
Varning
Bli ägare till filer eller andra objekt
(CCE-38325-7)
Beskrivning: Med den här principinställningen kan användarna ta över ägarskapet för filer, mappar, registernycklar, processer eller trådar. Den här användarrättigheten kringgår alla behörigheter som finns för att skydda objekt för att ge ägarskap till den angivna användaren. Det rekommenderade tillståndet för den här inställningen är: Administrators.
Nyckelsökväg: [Privilege Rights]SeTakeOwnershipPrivilege
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Administrators:
Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Ta över ägarskapet för filer eller andra objekt

Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93087
        STIG WS2016 V-73803
        CIS WS2019 2.2.48
        CIS WS2022 2.2.48
= Administratörer
(Princip)
Kritiskt
Användarbehörigheten Personifiera en klient efter autentisering får endast tilldelas administratörer, tjänster, lokala tjänster och nätverkstjänster.
(AZ-WIN-73785)
Beskrivning: Med principinställningen kan program som körs för en användares räkning personifiera användaren (eller ett annat angivet konto) så att de kan agera för användarens räkning. Om den här användarrättigheten krävs för den här typen av personifiering kan en obehörig användare inte övertyga en klient att ansluta till exempel genom fjärrproceduranrop (RPC) eller namngivna pipes till en tjänst som de har skapat för att personifiera klienten, vilket kan höja den obehöriga användarens behörigheter till administrativa nivåer eller systemnivåer. Tjänster som startas av Service Control Manager har den inbyggda tjänstgruppen som standard tillagd till sina åtkomsttoken. COM-servrar som startas av COM-infrastrukturen och konfigureras för att köras under ett specifikt konto har också tjänstgruppen tillagd i sina åtkomsttoken. Därför tilldelas dessa processer den här användaren rätt när de startas. Dessutom kan en användare personifiera en åtkomsttoken om något av följande villkor finns: – Åtkomsttoken som personifieras är för den här användaren. – Användaren loggade in i nätverket i den här inloggningssessionen med explicita autentiseringsuppgifter för att skapa åtkomsttoken. – Den begärda nivån är mindre än Personifiera, till exempel Anonym eller Identifiera. En angripare med behörigheten Personifiera en klient efter autentisering kan skapa en tjänst, lura en klient att få dem att ansluta till tjänsten och sedan personifiera klienten för att höja angriparens åtkomstnivå till klientens. Det rekommenderade tillståndet för den här inställningen är: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Obs! Den här användarbehörigheten anses vara en "känslig behörighet" för granskning. Obs! #2: En medlemsserver med Microsoft SQL Server och dess valfria "Integration Services"-komponent installerad kräver ett särskilt undantag från den här rekommendationen för att ytterligare SQL-genererade poster ska beviljas den här användarbehörigheten.
Nyckelsökväg: [Privilege Rights]SeImpersonatePrivilege
OS: WS2016, WS2019
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Personifiera en klient efter autentisering
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.2.31
        CIS WS2019 2.2.31
<= Administratörer,Tjänst,Lokal tjänst,Nätverkstjänst
(Princip)
Viktigt!

Windows-komponenter

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Tillåt grundläggande autentisering
(CCE-36254-1)
Beskrivning: Med den här principinställningen kan du hantera om WinRM-tjänsten (Windows Remote Management) accepterar grundläggande autentisering från en fjärrklient. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Remote Management (WinRM)\WinRM Service\Tillåt grundläggande autentisering
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen WindowsRemoteManagement.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93507
        STIG WS2016 V-73599
        CIS WS2019 18.9.102.1.1
        CIS WS2022 18.9.102.2.1
Finns inte eller = 0
(Register)
Kritiskt
Tillåt diagnostikdata
(AZ-WIN-00169)
Beskrivning: Den här principinställningen bestämmer mängden diagnostik- och användningsdata som rapporteras till Microsoft. Värdet 0 skickar minimala data till Microsoft. Dessa data inkluderar borttagningsverktyget för skadlig programvara (MSRT) och Windows Defender-data, om de är aktiverade, och telemetriklientinställningar. Att ange värdet 0 gäller endast för företags-, EDU-, IoT- och serverenheter. Att ange värdet 0 för andra enheter motsvarar att välja värdet 1. Värdet 1 skickar bara en grundläggande mängd diagnostik- och användningsdata. Observera att inställningsvärdena 0 eller 1 försämrar vissa funktioner på enheten. Värdet 2 skickar förbättrade diagnostik- och användningsdata. Värdet 3 skickar samma data som värdet 2, plus ytterligare diagnostikdata, inklusive de filer och innehåll som kan ha orsakat problemet. Telemetriinställningar för Windows 10 gäller för Windows-operativsystemet och vissa appar från första part. Den här inställningen gäller inte för appar från tredje part som körs i Windows 10. Det rekommenderade tillståndet för den här inställningen är: Enabled: 0 - Security [Enterprise Only]. Obs! Om inställningen "Tillåt telemetri" är konfigurerad till "0 – Säkerhet [Endast företag]" har alternativen i Windows Update för att skjuta upp uppgraderingar och uppdateringar ingen effekt.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: Diagnostic data off (not recommended) eller Enabled: Send required diagnostic data:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Datainsamling och förhandsversioner\Tillåt diagnostikdata
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "DataCollection.admx/adml" som ingår i Microsoft Windows 11 Release 21H2 Administrativa mallar (eller senare).
Obs! #2: I äldre administrativa Microsoft Windows-mallar hette den här inställningen ursprungligen Tillåt telemetri, men den bytte namn till Tillåt diagnostikdata från och med administrationsmallarna för Windows 11 Release 21H2.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93257
        STIG WS2016 V-73551
        CIS WS2019 18.9.17.1
        CIS WS2022 18.9.17.1
>= 1
(Register)
Varning
Tillåt indexering av krypterade filer
(CCE-38277-0)
Beskrivning: Den här principinställningen styr om krypterade objekt får indexeras. När den här inställningen ändras återskapas indexet helt. Fullständig volymkryptering (till exempel BitLocker-diskkryptering eller en icke-Microsoft-lösning) måste användas för indexets plats för att upprätthålla säkerheten för krypterade filer. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Sök\Tillåt indexering av krypterade filer
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen Search.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93415
        STIG WS2016 V-73581
        CIS WS2019 18.9.67.3
        CIS WS2022 18.9.67.3
Finns inte eller = 0
(Register)
Varning
Tillåt att Microsoft-konton är valfria
(CCE-38354-7)
Beskrivning: Med den här principinställningen kan du styra om Microsoft-konton är valfria för Windows Store-appar som kräver ett konto för att logga in. Den här principen påverkar endast Windows Store-appar som stöder den. Om du aktiverar den här principinställningen tillåter Windows Store-appar som vanligtvis kräver ett Microsoft-konto för att logga in användare att logga in med ett företagskonto i stället. Om du inaktiverar eller inte konfigurerar den här principinställningen måste användarna logga in med ett Microsoft-konto.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional
OS: WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Appkörning\Tillåt att Microsoft-konton är valfria
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "AppXRuntime.admx/adml" som ingår i Administrationsmallar för Microsoft Windows 8.1 och Server 2012 R2 (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.6.1
= 1
(Register)
Varning
Tillåt okrypterad trafik
(CCE-38223-4)
Beskrivning: Med den här principinställningen kan du hantera om WinRM-tjänsten (Windows Remote Management) skickar och tar emot okrypterade meddelanden via nätverket. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Remote Management (WinRM)\WinRM Service\Tillåt okrypterad trafik
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen WindowsRemoteManagement.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93499
        STIG WS2016 V-73601
        CIS WS2019 18.9.102.1.2
        CIS WS2022 18.9.102.1.2
        CIS WS2019 18.9.102.2.3
        CIS WS2022 18.9.102.2.3
Finns inte eller = 0
(Register)
Kritiskt
Tillåt användarkontroll över installationer
(CCE-36400-0)
Beskrivning: Tillåter användare att ändra installationsalternativ som vanligtvis endast är tillgängliga för systemadministratörer. Säkerhetsfunktionerna i Windows Installer hindrar användare från att ändra installationsalternativ som vanligtvis är reserverade för systemadministratörer, till exempel att ange den katalog som filerna är installerade i. Om Windows Installer upptäcker att ett installationspaket har tillåtit användaren att ändra ett skyddat alternativ stoppas installationen och ett meddelande visas. Dessa säkerhetsfunktioner fungerar endast när installationsprogrammet körs i en privilegierad säkerhetskontext där den har åtkomst till kataloger som nekas användaren. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Installer\Tillåt användarkontroll över installationer
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen MSI.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar. Obs! #2: I äldre administrativa Microsoft Windows-mallar fick den här inställningen namnet Aktivera användarkontroll över installationer, men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93199
        STIG WS2016 V-73583
        CIS WS2019 18.9.90.1
        CIS WS2022 18.9.90.1
Finns inte eller = 0
(Register)
Kritiskt
Installera alltid med förhöjd behörighet
(CCE-37490-0)
Beskrivning: Den här inställningen styr om Windows Installer ska använda systembehörigheter när det installerar något program i systemet. Obs! Den här inställningen visas både i mapparna Datorkonfiguration och Användarkonfiguration. Om du vill göra den här inställningen effektiv måste du aktivera inställningen i båda mapparna. Varning! Om den här inställningen är aktiverad kan skickliga användare dra nytta av de behörigheter som den här inställningen ger för att ändra sina privilegier och få permanent åtkomst till begränsade filer och mappar. Observera att användarkonfigurationsversionen av den här inställningen inte garanteras vara säker. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Användarkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Installer\Installera alltid med förhöjd behörighet
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen MSI.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93201
        STIG WS2016 V-73585
        CIS WS2019 18.9.90.2
        CIS WS2022 18.9.90.2
Finns inte eller = 0
(Register)
Varning
Fråga alltid efter lösenord vid anslutning
(CCE-37929-7)
Beskrivning: Den här principinställningen anger om Terminal Services alltid uppmanar klientdatorn att ange ett lösenord vid anslutningen. Du kan använda den här principinställningen för att framtvinga en lösenordsfråga för användare som loggar in på Terminal Services, även om de redan har angett lösenordet i fjärrskrivbordsanslutningsklienten. Som standard tillåter Terminal Services användare att automatiskt logga in om de anger ett lösenord i fjärrskrivbordsanslutningsklienten. Obs! Om du inte konfigurerar den här principinställningen kan den lokala datoradministratören använda konfigurationsverktyget för Terminal Services för att antingen tillåta eller förhindra att lösenord skickas automatiskt.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Värd för fjärrskrivbordssession\Säkerhet\Fråga alltid efter lösenord vid anslutning
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "TerminalServer.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! #2: I administrationsmallarna för Microsoft Windows Vista fick den här inställningen namnet Always prompt client for password upon connection (Fråga alltid efter lösenord vid anslutning), men den ändrades från och med de administrativa mallarna för Windows Server 2008 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.65.3.9.1
= 1
(Register)
Kritiskt
Program: Kontrollera händelseloggens beteende när loggfilen når sin maximala storlek
(CCE-37775-4)
Beskrivning: Den här principinställningen styr händelseloggens beteende när loggfilen når sin maximala storlek. Om du aktiverar den här principinställningen och en loggfil når sin maximala storlek skrivs inte nya händelser till loggen och går förlorade. Om du inaktiverar eller inte konfigurerar den här principinställningen och en loggfil når sin maximala storlek skriver nya händelser över gamla händelser. Obs! Gamla händelser kanske eller kanske inte behålls enligt principinställningen "Säkerhetskopieringslogg automatiskt när den är full".
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Händelseloggtjänst\Program\Kontrollera händelseloggens beteende när loggfilen når sin maximala storlek
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen EventLog.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! I äldre administrativa Microsoft Windows-mallar hette den här inställningen ursprungligen Behåll gamla händelser, men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.27.1.1
Finns inte eller = 0
(Register)
Kritiskt
Program: Ange den maximala loggfilsstorleken (KB)
(CCE-37948-7)
Beskrivning: Den här principinställningen anger den maximala storleken på loggfilen i kilobyte. Om du aktiverar den här principinställningen kan du konfigurera den maximala loggfilstorleken till mellan 1 mb (1 024 kilobyte) och 2 terabyte (2147483647 kilobyte) i steg om kilobyte. Om du inaktiverar eller inte konfigurerar den här principinställningen anges loggfilens maximala storlek till det lokalt konfigurerade värdet. Det här värdet kan ändras av den lokala administratören med hjälp av dialogrutan Loggegenskaper och det är som standard 20 MB.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: 32,768 or greater:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Händelseloggtjänst\Program\Ange maximal loggfilstorlek (KB)
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen EventLog.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! #2: I äldre administrationsmallar för Microsoft Windows fick den här inställningen ursprungligen namnet Maximal loggstorlek (KB), men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.27.1.2
>= 32768
(Register)
Kritiskt
Blockera all användarautentisering för microsoft-konto för konsumenter
(AZ-WIN-20198)
Beskrivning: Den här inställningen avgör om program och tjänster på enheten kan använda ny Microsoft-kontoautentisering för konsumenter via Windows OnlineID och WebAccountManager API:er. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth
OS: WS2016, WS2019
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Microsoft-konton\Blockera all användarautentisering för Microsoft-konsumentkonto
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.46.1
        CIS WS2019 18.9.46.1
= 1
(Register)
Kritiskt
Konfigurera åsidosättning av lokal inställning för rapportering till Microsoft MAPS
(AZ-WIN-00173)
Beskrivning: Den här principinställningen konfigurerar en lokal åsidosättning för konfigurationen så att den ansluter till Microsoft MAPS. Den här inställningen kan bara anges av en grupprincip. Om du aktiverar den här inställningen prioriteras inställningen för lokala inställningar framför grupprincipen. Om du inaktiverar eller inte konfigurerar den här inställningen prioriteras grupprincipen framför den lokala inställningsinställningen.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Defender Antivirus\MAPS\Konfigurera åsidosättning av lokal inställning för rapportering till Microsoft MAPS
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av mallen WindowsDefender.admx/adml Grupprincip som ingår i Administrationsmallar för Microsoft Windows 8.1 och Server 2012 R2 (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.47.4.1
        CIS WS2022 18.9.47.4.1
Finns inte eller = 0
(Register)
Varning
Konfigurera Windows SmartScreen
(CCE-35859-8)
Beskrivning: Med den här principinställningen kan du hantera beteendet för Windows SmartScreen. Windows SmartScreen hjälper till att skydda datorer genom att varna användare innan de kör okända program som laddats ned från Internet. Viss information skickas till Microsoft om filer och program som körs på datorer med den här funktionen aktiverad. Om du aktiverar den här principinställningen kan Windows SmartScreen-beteendet styras genom att något av följande alternativ anges: * Ge användaren en varning innan du kör nedladdad okänd programvara * Inaktivera SmartScreen Om du inaktiverar eller inte konfigurerar den här principinställningen hanteras Windows SmartScreen-beteendet av administratörer på datorn med hjälp av Windows SmartScreen-inställningar i Säkerhet och underhåll. Alternativ: * Ge användaren en varning innan du kör nedladdad okänd programvara * Inaktivera SmartScreen
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: Varna och förhindra förbikoppling: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Defender SmartScreen\Explorer\Konfigurera Windows Defender SmartScreen Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen WindowsExplorer.admx/adml som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare). Obs! #2: I äldre administrativa Microsoft Windows-mallar hette den här inställningen ursprungligen Konfigurera Windows SmartScreen, men den bytte namn från och med Administrationsmallar för Windows 10 Version 1703.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.85.1.1
= 1
(Register)
Varning
Identifiera ändringar från rdp-standardporten
(AZ-WIN-00156)
Beskrivning: Den här inställningen avgör om nätverksporten som lyssnar efter fjärrskrivbordsanslutningar har ändrats från standardvärdet 3389
Nyckelsökväg: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Inte tillämpligt
Standardmappningar för efterlevnad:
= 3389
(Register)
Kritiskt
Inaktivera Windows Search Service
(AZ-WIN-00176)
Beskrivning: Den här registerinställningen inaktiverar Windows Search-tjänsten
Nyckelsökväg: System\CurrentControlSet\Services\Wsearch\Start
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Inte tillämpligt
Standardmappningar för efterlevnad:
Finns inte eller = 4
(Register)
Kritiskt
Tillåt inte autospel för enheter som inte är volymenheter
(CCE-37636-8)
Beskrivning: Den här principinställningen tillåter inte autospel för MTP-enheter som kameror eller telefoner. Om du aktiverar den här principinställningen tillåts inte Spela upp automatiskt för MTP-enheter som kameror eller telefoner. Om du inaktiverar eller inte konfigurerar den här principinställningen aktiveras Spela upp automatiskt för enheter som inte är volymenheter.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Autoplay-principer\Tillåt inte autospel för icke-volymenheter
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "AutoPlay.admx/adml" som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.8.1
= 1
(Register)
Kritiskt
Tillåt inte sammanfattad autentisering
(CCE-38318-2)
Beskrivning: Med den här principinställningen kan du hantera om WinRM-klienten (Windows Remote Management) inte använder sammanfattad autentisering. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Fjärrhantering (WinRM)\WinRM-klient\Tillåt inte sammanfattad autentisering
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen WindowsRemoteManagement.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93505
        STIG WS2016 V-73597
        CIS WS2019 18.9.102.1.3
        CIS WS2022 18.9.102.1.3
= 0
(Register)
Kritiskt
Tillåt inte Att WinRM lagrar RunAs-autentiseringsuppgifter
(CCE-36000-8)
Beskrivning: Med den här principinställningen kan du hantera om WinRM-tjänsten (Windows Remote Management) inte tillåter att RunAs-autentiseringsuppgifter lagras för plugin-program. Om du aktiverar den här principinställningen tillåter inte WinRM-tjänsten att konfigurationsvärdena RunAsUser eller RunAsPassword anges för plugin-program. Om ett plugin-program redan har angett konfigurationsvärdena RunAsUser och RunAsPassword raderas konfigurationsvärdet RunAsPassword från lagringsplatsen för autentiseringsuppgifter på den här datorn. Om du inaktiverar eller inte konfigurerar den här principinställningen tillåter WinRM-tjänsten att konfigurationsvärdena RunAsUser och RunAsPassword anges för plugin-program och RunAsPassword-värdet lagras på ett säkert sätt. Om du aktiverar och sedan inaktiverar den här principinställningen måste alla värden som tidigare konfigurerats för RunAsPassword återställas.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Remote Management (WinRM)\WinRM Service\Tillåt inte att WinRM lagrar autentiseringsuppgifter för RunAs
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "WindowsRemoteManagement.admx/adml" som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.102.2.4
= 1
(Register)
Kritiskt
Tillåt inte att lösenord sparas
(CCE-36223-6)
Beskrivning: Den här principinställningen förhindrar att Terminal Services-klienter sparar lösenord på en dator. Obs! Om den här principinställningen tidigare har konfigurerats som Inaktiverad eller Inte konfigurerad tas tidigare sparade lösenord bort första gången en Terminal Services-klient kopplar från någon server.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Anslutningsklient för fjärrskrivbord\Tillåt inte att lösenord sparas
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "TerminalServer.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.65.2.2
= 1
(Register)
Kritiskt
Ta inte bort temporära mappar när du avslutar
(CCE-37946-1)
Beskrivning: Den här principinställningen anger om Fjärrskrivbordstjänster behåller en användares temporära mappar per session vid utloggning. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Värd för fjärrskrivbordssession\Temporära mappar\Ta inte bort temporära mappar när du avslutar
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "TerminalServer.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! #2: I äldre administrationsmallar för Microsoft Windows hette den här inställningen Ta inte bort temporär mapp vid avslut, men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.65.3.11.1
Finns inte eller = 1
(Register)
Varning
Visa inte knappen Visa lösenord
(CCE-37534-5)
Beskrivning: Med den här principinställningen kan du konfigurera visningen av knappen för lösenordssökning i användarupplevelser för lösenordsinmatning. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Användargränssnitt för autentiseringsuppgifter\Visa inte knappen Visa lösenord
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen CredUI.admx/adml som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.16.1
= 1
(Register)
Varning
Visa inte feedbackmeddelanden
(AZ-WIN-00140)
Beskrivning: Med den här principinställningen kan en organisation förhindra att dess enheter visar feedbackfrågor från Microsoft. Om du aktiverar den här principinställningen ser användarna inte längre feedbackmeddelanden via Windows Feedback-appen. Om du inaktiverar eller inte konfigurerar den här principinställningen kan användarna se aviseringar via Appen Windows Feedback och be användarna om feedback. Obs! Om du inaktiverar eller inte konfigurerar den här principinställningen kan användarna styra hur ofta de får feedbackfrågor.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Datainsamling och förhandsversioner\Visa inte feedbackmeddelanden
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen FeedbackNotifications.admx/adml som ingår i Microsoft Windows 10 Version 1511 Administrativa mallar (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.17.4
= 1
(Register)
Kritiskt
Använd inte temporära mappar per session
(CCE-38180-6)
Beskrivning: Som standard skapar Fjärrskrivbordstjänster en separat tillfällig mapp på värdservern för fjärrskrivbordssessionen för varje aktiv session som en användare underhåller på värdservern för fjärrskrivbordssessionen. Den tillfälliga mappen skapas på värdservern för fjärrskrivbordssessionen i en Temp-mapp under användarens profilmapp och namnges med "sessionid". Den här temporära mappen används för att lagra enskilda temporära filer. Om du vill frigöra diskutrymme tas den tillfälliga mappen bort när användaren loggar ut från en session. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Värd för fjärrskrivbordssession\Temporära mappar\Använd inte temporära mappar per session
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "TerminalServer.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.65.3.11.2
Finns inte eller = 1
(Register)
Kritiskt
Räkna upp administratörskonton vid utökade privilegier
(CCE-36512-2)
Beskrivning: Den här principinställningen styr om administratörskonton visas när en användare försöker höja ett program som körs. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Användargränssnitt för autentiseringsuppgifter\Räkna upp administratörskonton vid utökade privilegier
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen CredUI.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93517
        STIG WS2016 V-73487
        CIS WS2019 18.9.16.2
        CIS WS2022 18.9.16.2
Finns inte eller = 0
(Register)
Varning
Förhindra nedladdning av bilagor
(CCE-37126-0)
Beskrivning: Den här principinställningen hindrar användaren från att hämta bilagor (filbilagor) från en feed till användarens dator. Det rekommenderade tillståndet för den här inställningen är: Enabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\RSS-feeds\Förhindra nedladdning av bilagor
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "InetRes.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! #2: I äldre administrativa Microsoft Windows-mallar hette den här inställningen Inaktivera nedladdning av bilagor, men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.66.1
= 1
(Register)
Varning
Kräv säker RPC-kommunikation
(CCE-37567-5)
Beskrivning: Anger om en värdserver för fjärrskrivbordssession kräver säker RPC-kommunikation med alla klienter eller tillåter oskyddad kommunikation. Du kan använda den här inställningen för att stärka säkerheten för RPC-kommunikation med klienter genom att endast tillåta autentiserade och krypterade begäranden. Om statusen är aktiverad accepterar Fjärrskrivbordstjänster begäranden från RPC-klienter som stöder säkra begäranden och tillåter inte oskyddad kommunikation med ej betrodda klienter. Om statusen är inaktiverad begär Fjärrskrivbordstjänster alltid säkerhet för all RPC-trafik. Oskyddad kommunikation tillåts dock för RPC-klienter som inte svarar på begäran. Om statusen är inställd på Inte konfigurerad tillåts oskyddad kommunikation. Obs! RPC-gränssnittet används för att administrera och konfigurera fjärrskrivbordstjänster.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Värd för fjärrskrivbordssession\Säkerhet\Kräv säker RPC-kommunikation
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "TerminalServer.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.65.3.9.2
= 1
(Register)
Kritiskt
Kräv användarautentisering för fjärranslutningar med hjälp av autentisering på nätverksnivå
(AZ-WIN-00149)
Beskrivning: Kräv användarautentisering för fjärranslutningar med hjälp av autentisering på nätverksnivå
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Värd för fjärrskrivbordssession\Säkerhet\Kräv användarautentisering för fjärranslutningar med hjälp av autentisering på nätverksnivå
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "TerminalServer.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! #2: I administrationsmallarna för Microsoft Windows Vista hette den här inställningen ursprungligen Kräv användarautentisering med RDP 6.0 för fjärranslutningar, men den bytte namn från och med administrativa mallar för Windows Server 2008 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.65.3.9.4
Finns inte eller = 1
(Register)
Kritiskt
Skanna flyttbara enheter
(AZ-WIN-00177)
Beskrivning: Med den här principinställningen kan du hantera om du vill söka efter skadlig programvara och oönskad programvara i innehållet på flyttbara enheter, till exempel USB-flash-enheter när du kör en fullständig genomsökning. Om du aktiverar den här inställningen genomsöks flyttbara enheter under alla typer av genomsökningar. Om du inaktiverar eller inte konfigurerar den här inställningen genomsöks inte flyttbara enheter under en fullständig genomsökning. Flyttbara enheter kan fortfarande genomsökas vid snabbsökning och anpassad genomsökning.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Defender Antivirus\Scan\Scan flyttbara enheter
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av mallen WindowsDefender.admx/adml Grupprincip som ingår i Administrationsmallar för Microsoft Windows 8.1 och Server 2012 R2 (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.47.12.1
        CIS WS2022 18.9.47.12.1
= 0
(Register)
Kritiskt
Säkerhet: Kontrollera händelseloggens beteende när loggfilen når sin maximala storlek
(CCE-37145-0)
Beskrivning: Den här principinställningen styr händelseloggens beteende när loggfilen når sin maximala storlek. Om du aktiverar den här principinställningen och en loggfil når sin maximala storlek skrivs inte nya händelser till loggen och går förlorade. Om du inaktiverar eller inte konfigurerar den här principinställningen och en loggfil når sin maximala storlek skriver nya händelser över gamla händelser. Obs! Gamla händelser kanske eller kanske inte behålls enligt principinställningen "Säkerhetskopieringslogg automatiskt när den är full".
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Händelseloggtjänst\Säkerhet\Kontrollera händelseloggens beteende när loggfilen når sin maximala storlek
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen EventLog.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! I äldre administrativa Microsoft Windows-mallar hette den här inställningen ursprungligen Behåll gamla händelser, men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.27.2.1
Finns inte eller = 0
(Register)
Kritiskt
Säkerhet: Ange den maximala loggfilsstorleken (KB)
(CCE-37695-4)
Beskrivning: Den här principinställningen anger den maximala storleken på loggfilen i kilobyte. Om du aktiverar den här principinställningen kan du konfigurera den maximala loggfilstorleken till mellan 1 megabyte (1 024 kilobyte) och 2 terabyte (2 147 483 647 kilobyte) i ökningar av kilobyte. Om du inaktiverar eller inte konfigurerar den här principinställningen anges loggfilens maximala storlek till det lokalt konfigurerade värdet. Det här värdet kan ändras av den lokala administratören med hjälp av dialogrutan Loggegenskaper och det är som standard 20 MB.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: 196,608 or greater:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Händelseloggtjänst\Säkerhet\Ange maximal loggfilstorlek (KB)
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen EventLog.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! #2: I äldre administrationsmallar för Microsoft Windows fick den här inställningen ursprungligen namnet Maximal loggstorlek (KB), men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.27.2.2
>= 196608
(Register)
Kritiskt
Skicka filexempel när ytterligare analys krävs
(AZ-WIN-00126)
Beskrivning: Den här principinställningen konfigurerar beteendet för exempelöverföring när opt-in för MAPS-telemetri anges. Möjliga alternativ är: (0x0) Fråga alltid (0x1) Skicka säkra exempel automatiskt (0x2) Skicka aldrig (0x3) Skicka alla exempel automatiskt
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\MAPS\Skicka filexempel när ytterligare analys krävs
Standardmappningar för efterlevnad:
= 1
(Register)
Varning
Ange krypteringsnivå för klientanslutning
(CCE-36627-8)
Beskrivning: Den här principinställningen anger om den dator som ska vara värd för fjärranslutningen framtvingar en krypteringsnivå för alla data som skickas mellan den och klientdatorn för fjärrsessionen.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: High Level:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Värd för fjärrskrivbordssession\Säkerhet\Ange krypteringsnivå för klientanslutning
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "TerminalServer.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.65.3.9.5
Finns inte eller = 3
(Register)
Kritiskt
Ange standardbeteendet för AutoRun
(CCE-38217-6)
Beskrivning: Den här principinställningen anger standardbeteendet för Autorun-kommandon. Autorun-kommandon lagras vanligtvis i autorun.inf-filer. De startar ofta installationsprogrammet eller andra rutiner. Innan Windows Vista, när media som innehåller ett autorun-kommando infogas, kör systemet automatiskt programmet utan användarintervention. Detta skapar ett stort säkerhetsproblem eftersom kod kan köras utan användarens vetskap. Standardbeteendet som börjar med Windows Vista är att fråga användaren om kommandot autorun ska köras. Kommandot autorun representeras som en hanterare i dialogrutan Spela upp automatiskt. Om du aktiverar den här principinställningen kan en administratör ändra standardbeteendet för Windows Vista eller senare för automatisk körning till: a) Inaktivera autokörningskommandon helt eller b) Återgå till beteendet före Windows Vista för automatisk körning. Om du inaktiverar eller inte konfigurerar den här principinställningen uppmanar Windows Vista eller senare användaren om kommandot autorun ska köras.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: Do not execute any autorun commands:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Autoplay-principer\Ange standardbeteendet för AutoRun
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "AutoPlay.admx/adml" som ingår i Administrationsmallar för Microsoft Windows 8.0 och Server 2012 (icke-R2) (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.8.2
= 1
(Register)
Kritiskt
Installation: Kontrollera händelseloggens beteende när loggfilen når sin maximala storlek
(CCE-38276-2)
Beskrivning: Den här principinställningen styr händelseloggens beteende när loggfilen når sin maximala storlek. Om du aktiverar den här principinställningen och en loggfil når sin maximala storlek skrivs inte nya händelser till loggen och går förlorade. Om du inaktiverar eller inte konfigurerar den här principinställningen och en loggfil når sin maximala storlek skriver nya händelser över gamla händelser. Obs! Gamla händelser kanske eller kanske inte behålls enligt principinställningen "Säkerhetskopieringslogg automatiskt när den är full".
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Händelseloggtjänst\Installation\Kontrollera händelseloggens beteende när loggfilen når sin maximala storlek
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen EventLog.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! I äldre administrativa Microsoft Windows-mallar hette den här inställningen ursprungligen Behåll gamla händelser, men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.27.3.1
Finns inte eller = 0
(Register)
Kritiskt
Installation: Ange den maximala loggfilsstorleken (KB)
(CCE-37526-1)
Beskrivning: Den här principinställningen anger den maximala storleken på loggfilen i kilobyte. Om du aktiverar den här principinställningen kan du konfigurera den maximala loggfilstorleken till mellan 1 megabyte (1 024 kilobyte) och 2 terabyte (2 147 483 647 kilobyte) i ökningar av kilobyte. Om du inaktiverar eller inte konfigurerar den här principinställningen anges loggfilens maximala storlek till det lokalt konfigurerade värdet. Det här värdet kan ändras av den lokala administratören med hjälp av dialogrutan Loggegenskaper och det är som standard 20 MB.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: 32,768 or greater:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Händelseloggtjänst\Installation\Ange maximal loggfilstorlek (KB)
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen EventLog.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! #2: I äldre administrationsmallar för Microsoft Windows fick den här inställningen ursprungligen namnet Maximal loggstorlek (KB), men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.27.3.2
>= 32768
(Register)
Kritiskt
Logga in senast interaktiv användare automatiskt efter en systeminitierad omstart
(CCE-36977-7)
Beskrivning: Den här principinställningen styr om en enhet automatiskt ska logga in den senaste interaktiva användaren efter att Windows Update har startat om systemet. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn
OS: WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Alternativ för Windows-inloggning\Inloggning senast interaktiv användare automatiskt efter en systeminitierad omstart
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av mallen WinLogon.admx/adml Grupprincip som ingår i Administrationsmallar för Microsoft Windows 8.1 och Server 2012 R2 (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93269
        STIG WS2016 V-73589
        CIS WS2019 18.9.86.1
        CIS WS2022 18.9.86.1
= 1
(Register)
Kritiskt
Ange intervallet för att söka efter definitionsuppdateringar
(AZ-WIN-00152)
Beskrivning: Med den här principinställningen kan du ange ett intervall där du kan söka efter definitionsuppdateringar. Tidsvärdet representeras som antalet timmar mellan uppdateringskontrollerna. Giltiga värden varierar från 1 (varje timme) till 24 (en gång per dag). Om du aktiverar den här inställningen sker sökning efter definitionsuppdateringar med det angivna intervallet. Om du inaktiverar eller inte konfigurerar den här inställningen sker sökning efter definitionsuppdateringar med standardintervallet.
Nyckelsökväg: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval
OS: WS2008, WS2008R2, WS2012, WS2012R2
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Administrativa mallar\Windows-komponenter\Microsoft Defender antivirusni program\Säkerhetsinformationsuppdateringar\Ange intervallet för att söka efter säkerhetsinformationsuppdateringar
Standardmappningar för efterlevnad:
8=
(Register)
Kritiskt
System: Kontrollera händelseloggens beteende när loggfilen når sin maximala storlek
(CCE-36160-0)
Beskrivning: Den här principinställningen styr händelseloggens beteende när loggfilen når sin maximala storlek. Om du aktiverar den här principinställningen och en loggfil når sin maximala storlek skrivs inte nya händelser till loggen och går förlorade. Om du inaktiverar eller inte konfigurerar den här principinställningen och en loggfil når sin maximala storlek skriver nya händelser över gamla händelser. Obs! Gamla händelser kanske eller kanske inte behålls enligt principinställningen "Säkerhetskopieringslogg automatiskt när den är full".
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Händelseloggtjänst\System\Kontrollera händelseloggbeteende när loggfilen når sin maximala storlek
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen EventLog.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! I äldre administrativa Microsoft Windows-mallar hette den här inställningen ursprungligen Behåll gamla händelser, men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.27.4.1
Finns inte eller = 0
(Register)
Kritiskt
System: Ange den maximala loggfilsstorleken (KB)
(CCE-36092-5)
Beskrivning: Den här principinställningen anger den maximala storleken på loggfilen i kilobyte. Om du aktiverar den här principinställningen kan du konfigurera den maximala loggfilstorleken till mellan 1 megabyte (1 024 kilobyte) och 2 terabyte (2 147 483 647 kilobyte) i ökningar av kilobyte. Om du inaktiverar eller inte konfigurerar den här principinställningen anges loggfilens maximala storlek till det lokalt konfigurerade värdet. Det här värdet kan ändras av den lokala administratören med hjälp av dialogrutan Loggegenskaper och det är som standard 20 MB.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: 32,768 or greater:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Händelseloggtjänst\System\Ange maximal loggfilstorlek (KB)
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen EventLog.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Obs! #2: I äldre administrationsmallar för Microsoft Windows fick den här inställningen ursprungligen namnet Maximal loggstorlek (KB), men den bytte namn från och med administrativa mallar för Windows 8.0 och Server 2012 (icke-R2).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.27.4.2
>= 32768
(Register)
Kritiskt
Inventering av programkompatibilitetsprogram måste förhindras från att samla in data och skicka informationen till Microsoft.
(AZ-WIN-73543)
Beskrivning: Vissa funktioner kan kommunicera med leverantören, skicka systeminformation eller ladda ned data eller komponenter för funktionen. Om du stänger av den här funktionen förhindras potentiellt känslig information från att skickas utanför företaget och förhindrar okontrollerade uppdateringar av systemet. Den här inställningen förhindrar att programinventeringen samlar in data om ett system och skickar informationen till Microsoft.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory
OS: WS2016, WS2019, WS2022
Servertyp: Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Administrativa mallar\Windows-komponenter\Programkompatibilitet\Inaktivera inventeringsinsamlare
Standardmappningar för efterlevnad:
= 1
(Register)
Information
Inaktivera Spela upp automatiskt
(CCE-36875-3)
Beskrivning: Autoplay börjar läsas från en enhet så fort du infogar media i enheten, vilket gör att installationsfilen för program eller ljudmedia startas omedelbart. En angripare kan använda den här funktionen för att starta ett program för att skada datorn eller data på datorn. Du kan aktivera inställningen Inaktivera spela upp automatiskt för att inaktivera funktionen Spela upp automatiskt. Automatisk uppspelning är inaktiverat som standard på vissa typer av flyttbara enheter, till exempel diskett- och nätverksenheter, men inte på CD-ROM-enheter. Obs! Du kan inte använda den här principinställningen för att aktivera Spela upp automatiskt på datorenheter där den är inaktiverad som standard, till exempel diskett och nätverksenheter.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled: All drives:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Autoplay-principer\Inaktivera spela upp automatiskt
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen "AutoPlay.admx/adml" som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.8.3
= 255
(Register)
Kritiskt
Inaktivera datakörningsskydd för Explorer
(CCE-37809-1)
Beskrivning: Om du inaktiverar datakörningsskydd kan vissa äldre plugin-program fungera utan att explorer avslutas. Det rekommenderade tillståndet för den här inställningen är: Disabled. Obs! Vissa äldre plugin-program och annan programvara kanske inte fungerar med datakörningsskydd och kräver ett undantag för att definieras för det specifika plugin-programmet.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention
OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Istraživač datoteka\Inaktivera datakörningsskydd för Explorer
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av mallen Explorer.admx/adml Grupprincip som ingår i Administrationsmallar för Microsoft Windows 7 och Server 2008 R2 (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93563
        STIG WS2016 V-73561
        CIS WS2019 18.9.31.2
        CIS WS2022 18.9.31.2
Finns inte eller = 0
(Register)
Kritiskt
Inaktivera heap-avslutning vid skada
(CCE-36660-9)
Beskrivning: Utan heap-avslutning vid skada kan äldre plugin-program fortsätta att fungera när en Istraživač datoteka session har blivit skadad. Att se till att heap-avslutningen vid skada är aktiv förhindrar detta. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Istraživač datoteka\Inaktivera heap-avslutning vid skada
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen Explorer.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93261
        STIG WS2016 V-73563
        CIS WS2019 18.9.31.3
        CIS WS2022 18.9.31.3
Finns inte eller = 0
(Register)
Kritiskt
Inaktivera Microsofts konsumentupplevelser
(AZ-WIN-00144)
Beskrivning: Den här principinställningen inaktiverar funktioner som hjälper konsumenterna att få ut mesta möjliga av sina enheter och Microsoft-konto. Om du aktiverar den här principinställningen visas inte längre anpassade rekommendationer från Microsoft och meddelanden om deras Microsoft-konto. Om du inaktiverar eller inte konfigurerar den här principinställningen kan användarna se förslag från Microsoft och meddelanden om sitt Microsoft-konto. Obs! Den här inställningen gäller endast för SKU:er för företag och utbildning.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Molninnehåll\Inaktivera Microsofts konsumentupplevelser
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av grupprincipmallen "CloudContent.admx/adml" som ingår i Microsoft Windows 10 Version 1511 Administrativa mallar (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.14.2
Finns inte eller = 1
(Register)
Varning
Inaktivera gränssnittsprotokollskyddat läge
(CCE-36809-2)
Beskrivning: Med den här principinställningen kan du konfigurera den mängd funktioner som shell-protokollet kan ha. När du använder alla funktioner i de här protokollprogrammen kan du öppna mappar och starta filer. Det skyddade läget minskar funktionerna i det här protokollet så att program endast kan öppna en begränsad uppsättning mappar. Program kan inte öppna filer med det här protokollet när det är i skyddat läge. Vi rekommenderar att du lämnar det här protokollet i skyddat läge för att öka säkerheten för Windows. Det rekommenderade tillståndet för den här inställningen är: Disabled.
Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior
OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Disabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Istraživač datoteka\Inaktivera gränssnittsprotokollskyddat läge
Obs! Den här grupprincipsökvägen tillhandahålls av grupprincipmallen WindowsExplorer.admx/adml som ingår i alla versioner av Microsoft Windows Administrativa mallar.
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        STIG WS2019 V-93263
        STIG WS2016 V-73565
        CIS WS2019 18.9.31.4
        CIS WS2022 18.9.31.4
Finns inte eller = 0
(Register)
Varning
Aktivera beteendeövervakning
(AZ-WIN-00178)
Beskrivning: Med den här principinställningen kan du konfigurera beteendeövervakning. Om du aktiverar eller inte konfigurerar den här inställningen aktiveras beteendeövervakning. Om du inaktiverar den här inställningen inaktiveras beteendeövervakning.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender\Realtidsskydd\DisableBehaviorMonitoring
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Om du vill upprätta den rekommenderade konfigurationen via GP anger du följande UI-sökväg till Enabled:
Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows Defender Antivirus\Realtidsskydd\Aktivera beteendeövervakning
Obs! Den här grupprincipsökvägen kanske inte finns som standard. Den tillhandahålls av mallen WindowsDefender.admx/adml Grupprincip som ingår i Administrationsmallar för Microsoft Windows 8.1 och Server 2012 R2 (eller senare).
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2019 18.9.47.9.3
        CIS WS2022 18.9.47.9.3
Finns inte eller = 0
(Register)
Varning
Aktivera Loggning av PowerShell-skriptblock
(AZ-WIN-73591)
Beskrivning: Den här principinställningen möjliggör loggning av alla PowerShell-skriptindata till Applications and Services Logs\Microsoft\Windows\PowerShell\Operational händelseloggkanalen. Det rekommenderade tillståndet för den här inställningen är: Enabled. Obs! Om loggning av start-/stopphändelser för skriptblock har aktiverats (alternativrutan är markerad) loggar PowerShell ytterligare händelser när anrop av ett kommando, skriptblock, funktion eller skript startar eller stoppar. Om du aktiverar det här alternativet genereras en stor mängd händelseloggar. CIS har avsiktligt valt att inte göra en rekommendation för det här alternativet, eftersom det genererar en stor mängd händelser. Om en organisation väljer att aktivera den valfria inställningen (markerad) överensstämmer detta även med riktmärket.
Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging
OS: WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem, Arbetsgruppsmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Windows PowerShell\Aktivera Loggning av PowerShell-skriptblock
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 18.9.100.1
        CIS WS2019 18.9.100.1
= 1
(Register)
Viktigt!

Windows-inställningar – Säkerhetsinställningar

Name
(ID)
Details Förväntat värde
(Typ)
Allvarlighet
Justera minneskvoter för en process
(CCE-10849-8)
Beskrivning: Med den här principinställningen kan en användare justera den maximala mängden minne som är tillgängligt för en process. Möjligheten att justera minneskvoter är användbar för systemjustering, men den kan missbrukas. I fel händer kan den användas för att starta en DoS-attack (Denial of Service). Det rekommenderade tillståndet för den här inställningen är: Administrators, LOCAL SERVICE, NETWORK SERVICE. Obs! En medlemsserver som innehar webbserverrollen (IIS) med webbserverrolltjänsten kräver ett särskilt undantag från den här rekommendationen för att tillåta att IIS-programpooler beviljas den här användarbehörigheten. Obs! En medlemsserver med Microsoft SQL Server installerad kräver ett särskilt undantag från den här rekommendationen för att ytterligare SQL-genererade poster ska beviljas den här användarbehörigheten.
Nyckelsökväg: [Privilege Rights]SeIncreaseQuotaPrivilege
OS: WS2012, WS2012R2, WS2016, WS2019, WS2022
Servertyp: Domänkontrollant, Domänmedlem
Grupprincipsökväg: Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter\Justera minneskvoter för en process
Standardmappningar för efterlevnad:
        Namnpå plattforms-ID
        CIS WS2022 2.2.6
        CIS WS2019 2.2.6
<= Administratörer, lokal tjänst, nätverkstjänst
(Princip)
Varning

Kommentar

Tillgängligheten för specifika inställningar för azure policy-gästkonfiguration kan variera i Azure Government och andra nationella moln.

Nästa steg

Ytterligare artiklar om Azure Policy och gästkonfiguration: