你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Windows 安全基线

本文详细介绍适用于以下实现中的 Windows 来宾的配置设置:

  • [预览版]:Windows 计算机应符合 Azure 计算安全基线 Azure Policy 来宾配置定义的要求
  • Azure 安全中心应修复计算机上安全配置中的漏洞

有关详细信息,请参阅 Azure Automanage 计算机配置

重要

Azure Policy 来宾配置仅适用于 Windows Server SKU 和 Azure Stack SKU。 它不适用于最终用户计算,例如 Windows 10 和 Windows 11 SKU。

帐户策略 - 密码策略

名称
(ID)
详细信息 预期值
(类型)
严重性
帐户锁定持续时间
(AZ-WIN-73312)
说明:此策略设置确定在锁定帐户被解锁并且用户可以尝试再次登录之前必须经过的时间长度。 该设置通过指定锁定帐户将保持不可用的分钟数来实现此目的。 如果此策略设置的值配置为 0,则锁定的帐户将保持锁定状态,直到管理员手动将其解锁。 虽然将此策略设置的值配置为较高的值似乎是个好主意,但此类配置可能会增加支持人员接收到的呼叫数量,以便解锁意外锁定帐户。 用户应该知道锁定的时间长度,这样他们才能意识到,如果他们非常迫切需要重新获得对计算机的访问权限,只需要致电支持人员即可。 此设置的建议状态为:15 or more minute(s)。 注意:“密码策略”设置(第 1.1 节)和“帐户锁定策略”设置(第 1.2 节)必须通过“默认域策略”GPO 应用,才能作为默认行为在域用户帐户上全局生效。 如果这些设置是在另一个 GPO 中配置的,则只影响接收该 GPO 的计算机上的本地用户帐户。 但是,可以使用密码设置对象 (PSO) 定义针对特定域用户和/或组的默认密码策略和帐户锁定策略规则的自定义例外,这些对象与组策略完全分开,并且最容易使用 Active Directory 管理中心进行配置。
注册表项路径:[System Access]LockoutDuration
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\帐户策略\帐户锁定策略\帐户锁定持续时间
合规性标准映射:
        名称平台ID
        CIS WS2022 1.2.1
        CIS WS2019 1.2.1
>= 15
(策略)
警告

管理模板 - Window Defender

名称
(ID)
详细信息 预期值
(类型)
严重性
为可能不需要的应用程序配置检测
(AZ-WIN-202219)
说明:此策略设置控制对可能不需要的应用程序 (PUA) 的检测和操作,这些应用程序是不需要的流氓应用程序捆绑程序或其捆绑的应用程序,可以提供广告程序或恶意软件。 此设置的建议状态为:Enabled: Block。 有关详细信息,请参阅此链接:使用 Microsoft Defender 防病毒阻止可能不需要的应用程序 | Microsoft Docs
注册表项路径:SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Microsoft Defender 防病毒\为可能不需要的应用程序配置检测
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.47.15
        CIS WS2019 18.9.47.15
= 1
(注册表)
严重
扫描所有下载的文件和附件
(AZ-WIN-202221)
说明:此策略设置将配置扫描所有下载的文件和附件。 此设置的建议状态为:Enabled
注册表项路径:Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Microsoft Defender 防病毒\实时保护\扫描所有已下载的文件和附件
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.47.9.1
        CIS WS2019 18.9.47.9.1
= 0
(注册表)
警告
关闭 Microsoft Defender 防病毒
(AZ-WIN-202220)
说明:此策略设置将关闭 Microsoft Defender 防病毒。 如果该设置配置为“已禁用”,Microsoft Defender 防病毒将运行并扫描计算机,以便查找恶意软件和其他可能不需要的软件。 此设置的建议状态为:Disabled
注册表项路径:Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Microsoft Defender 防病毒\关闭 Microsoft Defender 防病毒
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.47.16
        CIS WS2019 18.9.47.16
= 0
(注册表)
严重
关闭实时保护。
(AZ-WIN-202222)
说明:此策略设置为已知恶意软件检测配置实时保护提示。 当恶意软件或可能不需要的软件试图在计算机上自行安装或运行时,Microsoft Defender 防病毒会发出警报。 此设置的建议状态为:Disabled
注册表项路径:Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Microsoft Defender 防病毒\实时保护\关闭实时保护
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.47.9.2
        CIS WS2019 18.9.47.9.2
= 0
(注册表)
警告
打开电子邮件扫描
(AZ-WIN-202218)
说明:使用此策略设置,可以配置电子邮件扫描。 启动电子邮件扫描时,引擎会根据邮箱和邮件文件的特定格式分析这些邮箱和邮件文件,以便分析邮件正文和附件。 当前支持多种电子邮件格式,例如:pst (Outlook)、dbx、mbx、mime (Outlook Express)、binhex (Mac)。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Microsoft Defender 防病毒\扫描\打开电子邮件扫描
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.47.12.2
        CIS WS2019 18.9.47.12.2
= 0
(注册表)
警告
打开脚本扫描
(AZ-WIN-202223)
说明:使用此策略设置,可以打开/关闭脚本扫描。 脚本扫描会拦截脚本,对其进行扫描后才会在系统上执行这些脚本。 此设置的建议状态为:Enabled
注册表项路径:Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Microsoft Defender 防病毒\实时保护\打开脚本扫描
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.47.9.4
        CIS WS2019 18.9.47.9.4
= 0
(注册表)
警告

管理模板 - 控制面板

名称
(ID)
详细信息 预期值
(类型)
严重性
允许输入个性化
(AZ-WIN-00168)
说明:此策略启用输入个性化的自动学习组件,其中包括语音、墨迹书写,以及键入。 通过自动学习,可以收集语音和手写模式、键入历史记录、联系人和最近的日历信息。 它是使用 Cortana 所必需的。 在进行墨迹书写和键入的情况下,所收集的这些信息有一部分可能会存储在用户的 OneDrive 上;有一部分将上传到 Microsoft 以将语音个性化。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled:计算机配置\策略\管理模板\控制面板\区域和语言选项\允许用户启用在线语音识别服务。注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 10 RTM(版本 1507)管理模板(或更新模板)随附的组策略模板 Globalization.admx/adml 提供。 注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初名为“允许输入个性化”,但它已重命名为“允许用户启用从 Windows 10 R1809 和 Server 2019 管理员主模板开始的联机语音识别服务”。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.1.2.2
= 0
(注册表)
警告

管理模板 - MS 安全指南

名称
(ID)
详细信息 预期值
(类型)
严重性
禁用 SMB v1 客户端(移除对 LanmanWorkstation 的依赖)
(AZ-WIN-00122)
说明:SMBv1 是一种旧式协议,它使用 MD5 算法作为 SMB 的一部分。 众所周知,MD5 容易受到多种攻击(例如碰撞攻击和原像攻击),而且不符合 FIPS。
密钥路径:SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService
OS:WS2008、WS2008R2、WS2012
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\管理模板\MS 安全指南\配置 SMBv1 客户端驱动程序
合规性标准映射:
不存在或 = Bowser\0MRxSmb20\0NSI\0\0
(注册表)
严重
WDigest 身份验证
(AZ-WIN-73497)
说明:启用 WDigest 身份验证后,Lsass.exe 将在内存中保留一份用户明文密码的副本,其中可能存在被盗的风险。 如果未配置此设置,则将在 Windows 8.1 和 Windows Server 2012 R2 中禁用 WDigest 身份验证;默认在早期版本的 Windows 和 Windows Server 中启用此功能。 有关本地帐户和凭据盗窃的详细信息,请查看“缓解哈希传递 (PtH) 攻击和其他凭据盗窃技术”文档。 有关 UseLogonCredential 的详细信息,请参阅 Microsoft 知识库文章 2871997:用于改进凭据保护和管理的 Microsoft 安全公告更新 - 2014 年 5 月 13 日。 此设置的建议状态为:Disabled
密钥路径:SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential
OS:WS2016、WS2019
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\管理模板\MS 安全指南\WDigest 身份验证(禁用此设置可能需要 KB2871997)
合规性标准映射:
        名称平台ID
        CIS WS2022 18.3.7
        CIS WS2019 18.3.7
= 0
(注册表)
重要

管理模板 - MSS

名称
(ID)
详细信息 预期值
(类型)
严重性
MSS:(DisableIPSourceRouting IPv6) IP 源路由保护级别(防止数据包欺骗)
(AZ-WIN-202213)
说明:IP 源路由是一种机制,它允许发送方确定数据报应遵循的 IP 路由通过网络。 此设置的建议状态为:Enabled: Highest protection, source routing is completely disabled
注册表项路径:System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\MSS (旧版)\MSS: (DisableIPSourceRouting IPv6) IP 源路由保护级别(防范数据包欺骗)
合规性标准映射:
        名称平台ID
        CIS WS2022 18.4.2
        CIS WS2019 18.4.2
= 2
(注册表)
信息
MSS:(DisableIPSourceRouting) IP 源路由保护级别(防止数据包欺骗)
(AZ-WIN-202244)
说明:IP 源路由是一种机制,它允许发送方确定数据报应采用的 IP 路由通过网络。 对于企业环境,建议将此设置配置为“未定义”,而对于高安全性环境,建议将此设置配置为“最高保护”,以便完全禁用源路由。 此设置的建议状态为:Enabled: Highest protection, source routing is completely disabled
注册表项路径:System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\MSS (旧版)\MSS: (DisableIPSourceRouting) IP 源路由保护级别(防范数据包欺骗)
合规性标准映射:
        名称平台ID
        CIS WS2022 18.4.3
        CIS WS2019 18.4.3
= 2
(注册表)
信息
MSS:(NoNameReleaseOnDemand) 允许计算机忽略 NetBIOS 名称释放请求(来自 WINS 服务器的请求除外)
(AZ-WIN-202214)
说明:TCP/IP 上的 NetBIOS 是一种网络协议,除其他外,它还提供了一种方法,可以轻松地将在基于 Windows 的系统上注册的 NetBIOS 名称解析为在这些系统上配置的 IP 地址。 此设置确定计算机在收到名称发布请求时是否发布其 NetBIOS 名称。 此设置的建议状态为:Enabled
注册表项路径:System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\MSS (旧版)\MSS: (NoNameReleaseOnDemand)允许计算机忽略 NetBIOS 名称释放请求,来自 WINS 服务器的请求除外
合规性标准映射:
        名称平台ID
        CIS WS2022 18.4.6
        CIS WS2019 18.4.6
= 1
(注册表)
信息
MSS:(SafeDllSearchMode) 启用安全 DLL 搜索模式(推荐)
(AZ-WIN-202215)
说明:可以将 DLL 搜索顺序配置为通过以下两种方式之一搜索运行进程所请求的 DLL:- 先搜索系统路径中指定的文件夹,再搜索当前工作文件夹。 - 先搜索当前工作文件夹,再搜索系统路径中指定的文件夹。 启用此设置后,注册表值设置为 1。 设置为 1 时,系统先搜索系统路径中指定的文件夹,再搜索当前工作文件夹。 禁用此设置后,注册表值设置为 0,系统先搜索当前工作文件夹,再搜索系统路径中指定的文件夹。 应用程序将被迫先在系统路径中搜索 DLL。 对于需要在应用程序中包含的这些 DLL 的唯一版本的应用程序,此条目可能会导致性能或稳定性问题。 此设置的建议状态为:Enabled。 注意:有关安全 DLL 搜索模式如何工作的详细信息,请访问此链接:动态链接库搜索顺序 - Windows 应用程序 | Microsoft Docs
注册表项路径:SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\MSS (旧版)\MSS: (SafeDllSearchMode)启用安全 DLL 搜索模式(建议)
合规性标准映射:
        名称平台ID
        CIS WS2022 18.4.8
        CIS WS2019 18.4.8
= 1
(注册表)
警告
MSS:(WarningLevel) 安全事件日志的百分比阈值,达到此阈值系统就会生成警告
(AZ-WIN-202212)
说明:当日志达到用户定义的阈值时,此设置可以在安全事件日志中生成安全审核。 此设置的建议状态为:Enabled: 90% or less。 注意:如果将日志设置配置为根据需要覆盖事件或覆盖 x 天之前的事件,则不会生成此事件。
注册表项路径:SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\MSS (旧版)\MSS: (WarningLevel)安全事件日志的百分比阈值,达到此阈值系统就会生成警告
合规性标准映射:
        名称平台ID
        CIS WS2022 18.4.12
        CIS WS2019 18.4.12
<= 90
(注册表)
信息
必须配置 Windows Server,以防止 Internet 控制消息协议 (ICMP) 重定向替代开放最短路径优先 (OSPF) 生成的路由。
(AZ-WIN-73503)
说明:Internet 控制消息协议 (ICMP) 重定向导致 IPv4 堆栈联结主机路由。 这些路由将替代开放最短路径优先 (OSPF) 生成的路由。 此设置的建议状态为:Disabled
注册表项路径:SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\管理模板\MSS (旧版)\MSS: (EnableICMPRedirect)允许 ICMP 重定向替代 OSPF 生成的路由
合规性标准映射:
        名称平台ID
        CIS WS2022 18.4.4
        CIS WS2019 18.4.4
= 0
(注册表)
信息

管理模板 - 网络

名称
(ID)
详细信息 预期值
(类型)
严重性
启用不安全的来宾登录
(AZ-WIN-00171)
说明:此策略设置确定 SMB 客户端是否将允许向 SMB 服务器进行不安全的来宾登录。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth
OS:WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板
\网络\Lanman Workstation\启用不安全的来宾登录
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 10 版本 1511 管理模板(或更新模板)随附的组策略模板“LanmanWorkstation.admx/adml”提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93239
        STIG WS2016 V-73507
        CIS WS2019 18.5.8.1
        CIS WS2022 18.5.8.1
= 0
(注册表)
严重
强化的 UNC 路径 - NETLOGON
(AZ_WIN_202250)
说明:此策略设置配置对 UNC 路径的安全访问
密钥路径:SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\NETLOGON
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\管理模板\网络\网络提供程序\强化的 UNC 路径
合规性标准映射:
        名称平台ID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1,RequireIntegrity=1
(注册表)
警告
强化的 UNC 路径 - SYSVOL
(AZ_WIN_202251)
说明:此策略设置配置对 UNC 路径的安全访问
密钥路径:SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\SYSVOL
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\管理模板\网络\网络提供程序\强化的 UNC 路径
合规性标准映射:
        名称平台ID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1,RequireIntegrity=1
(注册表)
警告
最大程度地减少同时连接到 Internet 或 Windows 域的连接数
(CCE-38338-0)
说明:此策略设置阻止计算机同时连接到基于域的网络和非基于域的网络。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled: 3 = Prevent Wi-Fi when on Ethernet
计算机配置\策略\管理模板
\网络\Windows 连接管理器\最大程度地减少同时连接到 Internet 或 Windows 域的连接数
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“WCM.admx/adml”提供,该模板包含在 Microsoft Windows 8.0 & Server 2012(非 R2)管理员istrative 模板中。 从 Windows 10 版本 1903 管理模板开始,已使用新的“尽量减少策略选项”子设置对其进行更新。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.5.21.1
不存在或 = 1
(注册表)
警告
禁止在 DNS 域网络上安装和配置网桥
(CCE-38002-2)
说明:可以使用此过程来控制用户安装和配置网桥的功能。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\网络\网络连接\禁止在 DNS 域网络上安装和配置网桥
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 NetworkConnections.admx/adml 提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.5.11.2
        CIS WS2022 18.5.11.2
= 0
(注册表)
警告
禁止在 DNS 域网络上使用 Internet 连接共享
(AZ-WIN-00172)
说明:尽管此“旧版”设置过去应用于 Windows 2000、Windows XP 和 Server 2003 中的 Internet 连接共享 (ICS) 的使用,但此设置现在全新应用于 Windows 10 和 Server 2016 中的“移动热点”功能。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板
\网络
\网络连接\禁止在 DNS 域网络上使用 Internet 连接共享
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“NetworkConnections.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.5.11.3
= 0
(注册表)
警告
关闭多播名称解析
(AZ-WIN-00145)
说明:LLMNR 是一个辅助名称解析协议。 使用 LLMNR 时,将使用多播通过单个子网上的本地网络链接将查询从一个客户端发送到同一子网中也已启用了 LLMNR 的另一个客户端。 LLMNR 不要求进行 DNS 服务器或 DNS 客户端配置,并且在不可能进行传统 DNS 名称解析的情况下提供名称解析。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast
OS:WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板
\网络\DNS 客户端\关闭多播名称解析
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“DnsClient.admx/adml”提供,该模板包含在 Microsoft Windows 8.0 & Server 2012(非 R2)管理员更新模板(或更新)。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.5.4.2
= 0
(注册表)
警告

管理模板 - 安全指南

名称
(ID)
详细信息 预期值
(类型)
严重性
启用结构化异常处理覆盖保护 (SEHOP)
(AZ-WIN-202210)
说明:Windows 包括对结构化异常处理覆盖保护 (SEHOP) 的支持。 建议启用此功能,以改进计算机的安全配置文件。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\MS 安全指南\启用结构化异常处理覆盖保护 (SEHOP)
合规性标准映射:
        名称平台ID
        CIS WS2022 18.3.4
        CIS WS2019 18.3.4
= 0
(注册表)
严重
NetBT NodeType 配置
(AZ-WIN-202211)
说明:此设置确定 TCP/IP 上的 NetBIOS (NetBT) 使用哪种方法来注册和解析名称。 可用的方法包括:- B 节点(广播)方法仅使用广播。 - P 节点(点对点)方法仅使用对名称服务器 (WINS) 的名称查询。 - M 节点(混合)方法先进行广播,如果广播失败,再查询名称服务器 (WINS)。 - H 节点(混合)方法先查询名称服务器 (WINS),如果查询失败,再进行广播。 此设置的建议状态为:Enabled: P-node (recommended)(点对点)。 注意:通过 LMHOSTS 或 DNS 进行的解析遵循这些方法。 如果存在 NodeType 注册表值,它将替代任何 DhcpNodeType 注册表值。 如果 NodeTypeDhcpNodeType 都不存在,则计算机在网络没有配置 WINS 服务器的情况下使用 B 节点(广播),或者在配置了至少一个 WINS 服务器的情况下使用 H 节点(混合)。
注册表项路径:SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\MS 安全指南\NetBT NodeType 配置
合规性标准映射:
        名称平台ID
        CIS WS2022 18.3.6
        CIS WS2019 18.3.6
= 2
(注册表)
警告

管理模板 - 系统

名称
(ID)
详细信息 预期值
(类型)
严重性
阻止用户在登录时显示帐户详细信息
(AZ-WIN-00138)
说明:此策略阻止用户在登录屏幕上显示帐户详细信息(电子邮件地址或用户名)。 如果你启用此策略设置,则用户无法选择在登录屏幕上显示帐户详细信息。 如果禁用或未配置此策略设置,则用户可以选择在登录屏幕上显示帐户详细信息。
注册表项路径:Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\系统\登录\阻止用户在登录时显示帐户详细信息
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 10 版本 1607 & Server 2016 管理员istrative Templates(或更新)随附的组策略模板“Logon.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.28.1
= 1
(注册表)
警告
引导启动驱动程序初始化策略
(CCE-37912-3)
说明:使用此策略设置,可以根据“提前启动反恶意软件”引导启动驱动程序所确定的分类来指定要初始化哪些引导启动驱动程序。 对于每个引导启动驱动程序,“提前启动反恶意软件”引导启动驱动程序可以返回以下分类:- 好:驱动程序已签名且未被篡改。 - 差:驱动程序已被识别为恶意软件。 建议不允许初始化已知的差驱动程序。 - 差,但引导时必需:驱动程序已被识别为恶意软件,但计算机无法在不加载此驱动程序的情况下成功引导。 - 未知:驱动程序未经恶意软件检测应用程序证明,且未经“提前启动反恶意软件”引导启动驱动程序分类。 如果启用此策略设置,则能够选择下次启动计算机时要初始化的引导启动驱动程序。 如果禁用或未配置此策略设置,则会初始化被确定为“好”、“未知”或“差,但启动关键”的引导启动驱动程序,而跳过初始化被确定为“差”的驱动程序。 如果恶意软件检测应用程序不包括提前启动反恶意软件引导启动驱动程序,或者提前启动反恶意软件引导启动驱动程序已禁用,则此设置无效,所有引导启动驱动程序都会被初始化。
注册表项路径:SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled:Good, unknown and bad but critical
计算机配置\策略\管理模板\系统\提前启动反恶意软件\引导启动驱动程序初始化策略
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“EarlyLaunchAM.admx/adml”提供,该模板包含在 Microsoft Windows 8.0 & Server 2012(非 R2)管理员istrative Templates(或更高版本)。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.14.1
不存在或 = 3
(注册表)
警告
配置“提供远程协助”
(CCE-36388-7)
说明:使用此策略设置,可以启用或关闭此计算机上的“提供(未经请求的)远程协助”。 技术支持和支持人员将无法主动提供协助,但他们仍可响应用户协助请求。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\系统\远程协助\配置“提供远程协助”
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.0 和 Server 2012(非 R2)管理员更新模板随附的组策略模板RemoteAssistance.admx/adml提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.36.1
        CIS WS2022 18.8.36.1
不存在或 = 0
(注册表)
警告
配置请求的远程协助
(CCE-37281-3)
说明:使用此策略设置,可以启用或关闭此计算机上的“请求的远程协助”。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\系统\远程协助\配置请求的远程协助
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.0 和 Server 2012(非 R2)管理员更新模板随附的组策略模板RemoteAssistance.admx/adml提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.36.2
        CIS WS2022 18.8.36.2
= 0
(注册表)
严重
不显示网络选择 UI
(CCE-38353-9)
说明:此策略设置允许你控制是否任何人都可以与登录屏幕上的可用网络 UI 进行交互。 如果启用此策略设置,则在不登录到 Windows 的情况下无法更改电脑的网络连接状态。 如果禁用或不配置此策略设置,则任何用户都可以在不登录到 Windows 的情况下断开电脑与网络的连接或将电脑连接到其他可用网络。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\系统\登录\不显示网络选择 UI
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.1 和 Server 2012 R2 随附的组策略模板“Logon.admx/adml”管理员istrative Templates(或更高版本)提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.28.2
= 1
(注册表)
警告
不枚举已加入域的计算机上已连接的用户
(AZ-WIN-202216)
说明:此策略设置可防止在加入域的计算机上枚举连接的用户。 此设置的建议状态为:Enabled
注册表项路径:Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\系统\登录\不要枚举已加入域的计算机上的已连接用户
合规性标准映射:
        名称平台ID
        CIS WS2022 18.8.28.3
        CIS WS2019 18.8.28.3
= 1
(注册表)
警告
启用 RPC 端点映射程序客户端验证
(CCE-37346-4)
说明:此策略设置控制在 RPC 客户端进行的调用中包含身份验证信息时 RPC 客户端是否使用端点映射程序服务进行身份验证。 运行 Windows NT4(包括所有 Service Pack)的计算机上的端点映射程序服务无法处理以此方式提供的身份验证信息。 如果禁用此策略设置,则 RPC 客户端不会向端点映射程序服务进行身份验证,但可以与 Windows NT4 Server 上的端点映射程序服务进行通信。 如果启用此策略设置,则 RPC 客户端将针对包含身份验证信息的调用向端点映射程序服务进行身份验证。 进行此类调用的客户端将无法与 Windows NT4 Server 端点映射程序服务进行通信。 如果未配置此策略设置,则会禁用该策略设置。 RPC 客户端不会向端点映射程序服务进行身份验证,但可以与 Windows NT4 Server 端点映射程序服务进行通信。 注意:只有在重启系统后才会应用此策略。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\系统\远程过程调用\启用 RPC 终结点映射程序客户端身份验证
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“RPC.admx/adml”提供,该模板包含在 Microsoft Windows 8.0 & Server 2012(非 R2)管理员更新模板(或更新)。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.37.1
= 1
(注册表)
严重
启用 Windows NTP 客户端
(CCE-37843-0)
说明:此策略设置指定是否启用 Windows NTP 客户端。 启用 Windows NTP 客户端将允许计算机与其他 NTP 服务器同步计算机时钟。 如果你决定使用第三方的时间提供程序,则可能需要禁用该服务。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\系统\Windows 时间服务\时间提供程序\启用 Windows NTP 客户端
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“W32Time.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.53.1.1
= 1
(注册表)
严重
CredSSP 协议的加密 Oracle 修正
(AZ-WIN-201910)
说明:某些应用程序(例如远程桌面连接)所使用的 CredSSP 协议的某些版本容易受到针对客户端的加密 Oracle 攻击。 此策略控制与易受攻击的客户端和服务器的兼容性,并且可让你设置加密 Oracle 漏洞所需的保护级别。 此设置的建议状态为:Enabled: Force Updated Clients
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle
OS:WS2016、WS2019
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\管理模板\系统\凭据委派\加密 Oracle 修正
合规性标准映射:
        名称平台ID
        CIS WS2022 18.8.4.1
        CIS WS2019 18.8.4.1
= 0
(注册表)
严重
确保将“配置注册表策略处理: 不要在定期后台处理期间应用”设置为“Enabled: FALSE”
(CCE-36169-1)
说明:“不要在定期后台处理期间应用”选项可防止系统在计算机正在使用时更新后台受影响的策略。 禁用后台更新后,策略更改在下次用户登录或系统重启之前不会生效。 此设置的建议状态为 Enabled: FALSE(未选中)。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled,然后将 Process even if the Group Policy objects have not changed 选项设置为 TRUE(选中):
计算机配置\策略\管理员istrative Templates\System\Group Policy\Configure registry policy processing
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.0 和 Server 2012(非 R2)管理员更新模板随附的组策略模板GroupPolicy.admx/adml提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.21.2
        CIS WS2022 18.8.21.2
= 0
(注册表)
严重
确保将“配置注册表策略处理: 即使组策略对象未更改,也进行处理”设置为“Enabled: TRUE”
(CCE-36169-1a)
说明:“即使组策略对象未更改,也进行处理”选项会更新并重新应用策略,即使策略未更改。 此设置的建议状态为 Enabled: TRUE(已选中)。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled,然后将“即使组策略对象未更改也进行处理”选项设置为“TRUE”(选中):
计算机配置\策略\管理模板\系统\组策略\配置注册表策略处理
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“GroupPolicy.admx/adml”提供,该模板包含在 Microsoft Windows 8.0 & Server 2012(非 R2)管理员istrative Templates(或更高版本)。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.21.3
= 0
(注册表)
严重
确保将“在此设备上继续体验”设置为“禁用”
(AZ-WIN-00170)
说明:此策略设置确定是否允许 Windows 设备参与跨设备体验(继续体验)。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\系统\组策略\在此设备上继续体验
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 10 版本 1607 & Server 2016 管理员istrative Templates(或更高版本)随附的组策略模板“GroupPolicy.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.21.4
不存在或 = 0
(注册表)
警告
枚举已加入域的计算机上的本地用户
(AZ_WIN_202204)
说明:使用此策略设置,可以在加入域的计算机上枚举本地用户。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员
组策略路径:计算机配置\策略\管理模板\系统\登录\枚举已加入域的计算机上的本地用户
合规性标准映射:
        名称平台ID
        CIS WS2022 18.8.28.4
        CIS WS2019 18.8.28.4
不存在或 = 0
(注册表)
警告
在过程创建事件中加入命令行
(CCE-36925-6)
说明:此策略设置确定在创建了新过程时会在安全审核事件中记录哪些信息。 仅当启用了“审核过程创建”策略时,此设置才会应用。 如果启用此策略设置,则在应用了此策略设置的工作站和服务器上,每个过程的命令行信息都将以纯文本形式记录在安全事件日志中(作为审核过程创建事件 4688“已创建了一个新过程”的一部分)。 如果禁用或未配置此策略设置,则审核过程创建事件中将不会包括该过程的命令行信息。 默认值:未配置。注意:启用此策略设置后,任何有权读取安全事件的用户都能读取所有成功创建的过程的命令行参数。 命令行参数可包含敏感信息或私人信息,例如密码或用户数据。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled
OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\系统\审核进程创建\在进程创建事件中包含命令行
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.1 和 Server 2012 R2 管理员istrative Templates(或更高版本)随附的组策略模板“Audit设置.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.3.1
= 1
(注册表)
严重
禁止从 Internet 进行设备元数据检索
(AZ-WIN-202251)
说明:使用此策略设置,可以阻止 Windows 从 Internet 检索设备元数据。 此设置的建议状态为:Enabled。 注意:这将不会阻止安装基本的硬件驱动程序,但确实会阻止关联的第三方实用程序软件在 SYSTEM 帐户的上下文中自动安装。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\系统\设备安装\阻止从 Internet 检索设备元数据
合规性标准映射:
        名称平台ID
        CIS WS2022 18.8.7.2
        CIS WS2019 18.8.7.2
= 1
(注册表)
信息
远程主机允许委托不可导出的凭据
(AZ-WIN-20199)
说明:远程主机允许委派不可导出的凭据。 使用凭据委派功能时,设备向远程主机提供一个可导出版本的凭据。 这会使用户面临被位于远程主机上的攻击者盗用凭据的风险。 Restricted Admin Mode 和 Windows Defender Remote Credential Guard 功能是可帮助防范此风险的两个选项。 此设置的建议状态为:Enabled。 注意:有关 Windows Defender Remote Credential Guard 及其与 Restricted Admin Mode 的比较的更多详细信息,请参阅此链接:使用 Windows Defender Remote Credential Guard (Windows 10) 保护远程桌面凭据 | Microsoft Docs
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds
OS:WS2016、WS2019
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\管理模板\系统\凭据委派\远程主机允许委派不可导出的凭据
合规性标准映射:
        名称平台ID
        CIS WS2022 18.8.4.2
        CIS WS2019 18.8.4.2
= 1
(注册表)
严重
关闭锁屏界面上的应用通知
(CCE-35893-7)
说明:使用此策略设置,可阻止在锁屏界面上显示应用通知。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\系统\登录\关闭锁屏界面上的应用通知
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.0 & Server 2012(非 R2)管理员更新模板随附的组策略模板“Logon.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.28.5
= 1
(注册表)
警告
关闭组策略的后台刷新
(CCE-14437-8)
说明:此策略设置可防止在计算机正在使用时更新组策略。 此策略设置适用于计算机、用户和域控制器的组策略。 此设置的建议状态为:Disabled
注册表项路径:Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\系统\组策略\关闭组策略的后台刷新
合规性标准映射:
        名称平台ID
        CIS WS2022 18.8.21.5
        CIS WS2019 18.8.21.5
= 0
(注册表)
警告
关闭通过 HTTP 下载打印驱动程序
(CCE-36625-2)
说明:此策略设置控制计算机是否可以通过 HTTP 下载打印驱动程序包。 若要设置 HTTP 打印,可能需要通过 HTTP 下载标准操作系统安装中未提供的打印机驱动程序。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\系统\Internet 通信管理\Internet 通信设置\关闭通过 HTTP 下载打印驱动程序
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“ICM.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.22.1.1
= 1
(注册表)
警告
如果 URL 连接指向 Microsoft.com,则关闭 Internet 连接向导
(CCE-37163-3)
说明:此策略设置指定 Internet 连接向导能否连接到 Microsoft 来下载一系列的 Microsoft 服务提供程序 (ISP)。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\系统\Internet 通信管理\Internet 通信设置\如果 URL 连接引用 Microsoft.com,则关闭 Internet 连接向导
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“ICM.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.22.1.4
= 1
(注册表)
警告
打开便利 PIN 登录
(CCE-37528-7)
说明:使用此策略设置,可以控制域用户是否可以使用便捷型 PIN 进行登录。 在 Windows 10 中,已使用安全属性更强的 Windows Hello PIN 来替代便捷型 PIN。 若要为域用户配置 Passport,请使用“计算机配置\管理模板\Windows 组件\Microsoft Passport for Work”下的策略。 注意: 使用此功能时,用户的域密码将缓存在系统保管库中。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\系统\登录\启用便捷型 PIN 登录
注意:默认情况下,此组策略路径可能不存在。 该模板由 Microsoft Windows 8.0 和 Server 2012(非 R2)管理员更新模板随附的组策略模板CredentialProviders.admx/adml提供。注意 2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初名为“打开 PIN 登录”,但从 Windows 10 版本 1511 管理员istrative Templates 开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.8.28.7
        CIS WS2022 18.8.28.7
不存在或 = 0
(注册表)
警告

管理模板 - Windows 组件

名称
(ID)
详细信息 预期值
(类型)
严重性
关闭云使用者帐户状态内容
(AZ-WIN-202217)
说明:此策略设置确定是否在所有 Windows 体验中都允许云使用者帐户状态内容。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\云内容\关闭云使用者帐户状态内容
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.14.1
        CIS WS2019 18.9.14.1
= 1
(注册表)
警告

管理模板 - Windows 组件

名称
(ID)
详细信息 预期值
(类型)
严重性
不允许驱动器重定向
(AZ-WIN-73569)
说明:此策略设置阻止用户将其客户端计算机上的本地驱动器共享给他们访问的远程桌面服务器。 映射驱动器以下列格式显示在 Windows 资源管理器的会话文件夹树中:\\TSClient\<driveletter>$。如果本地驱动器是共享的,则它们很容易受到想要利用存储在其中的数据的入侵者的攻击。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\设备和资源重定向\不允许驱动器重定向
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.65.3.3.3
        CIS WS2019 18.9.65.3.3.2
= 1
(注册表)
警告
打开 PowerShell 听录
(AZ-WIN-202208)
说明:此“策略”设置可让你将 Windows PowerShell 命令的输入和输出捕获到基于文本的脚本中。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Windows PowerShell\打开 PowerShell 听录
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.100.2
        CIS WS2019 18.9.100.2
= 0
(注册表)
警告

管理模板 - Windows 安全性

名称
(ID)
详细信息 预期值
(类型)
严重性
阻止用户修改设置
(AZ-WIN-202209)
说明:此策略设置会阻止用户更改“Windows 安全”设置中的 Exploit Protection 设置区域。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Windows 安全中心\应用和浏览器保护\防止用户修改设置
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.105.2.1
        CIS WS2019 18.9.105.2.1
= 1
(注册表)
警告

管理模板 - Windows Defender

名称
(ID)
详细信息 预期值
(类型)
严重性
配置攻击面减少规则
(AZ_WIN_202205)
说明:此策略设置控制攻击面减少 (ASR) 规则的状态。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Microsoft Defender 防病毒\Microsoft Defender 攻击防护\攻击面减少\配置攻击面减少规则
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.47.5.1.1
        CIS WS2019 18.9.47.5.1.1
= 1
(注册表)
警告
阻止用户和应用访问危险网站
(AZ_WIN_202207)
说明:此策略设置控制 Microsoft Defender 攻击防护网络保护。 此设置的建议状态为:Enabled: Block
注册表项路径:SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Microsoft Defender 防病毒\Microsoft Defender 攻击防护\网络保护\防止用户和应用访问危险网站
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.47.5.3.1
        CIS WS2019 18.9.47.5.3.1
= 1
(注册表)
警告

审核计算机帐户管理

名称
(ID)
详细信息 预期值
(类型)
严重性
审核计算机帐户管理
(CCE-38004-8)
说明:此子类别报告计算机帐户管理的每个事件,例如创建、更改、删除、重命名、禁用或启用计算机帐户的时间。 此子类别的事件包括:- 4741:创建了计算机帐户。 - 4742:更改了计算机帐户。 - 4743:删除了计算机帐户。 此设置的建议状态包括:Success
注册表项路径:{0CCE9236-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\帐户管理\审核计算机帐户管理
合规性标准映射:
        名称平台ID
        CIS WS2022 17.2.2
        CIS WS2019 17.2.2
= 成功
(审核)
严重

Secured Core

名称
(ID)
详细信息 预期值
(类型)
严重性
启用启动 DMA 保护
(AZ-WIN-202250)
说明:支持安全核心的服务器支持系统固件,可在启动过程中为所有支持 DMA 的设备提供针对恶意和意外直接内存访问 (DMA) 攻击的保护。
注册表项路径:BootDMAProtection
OSEx:WSASHCI22H2
服务器类型:域控制器、域成员、工作组成员
组策略路径:不适用
合规性标准映射:
= 1
(OsConfig)
严重
启用虚拟机监控程序强制实施的代码完整性
(AZ-WIN-202246)
说明:HVCI 和 VBS 改进了 Windows 的威胁模型,并针对试图利用 Windows 内核的恶意软件提供更强大的保护。 HVCI 是一个关键组件,它通过以下方式来保护和强化由 VBS 创建的隔离虚拟环境:在其中运行内核模式代码完整性,并限制可用于危害系统的内核内存分配。
注册表项路径:HypervisorEnforcedCodeIntegrityStatus
OSEx:WSASHCI22H2
服务器类型:域控制器、域成员、工作组成员
组策略路径:不适用
合规性标准映射:
= 0
(OsConfig)
严重
启用安全启动
(AZ-WIN-202248)
说明:安全启动是由电脑行业成员开发的一种安全标准,旨在帮助确保设备仅使用原始设备制造商 (OEM) 信任的软件启动。
注册表项路径:SecureBootState
OSEx:WSASHCI22H2
服务器类型:域控制器、域成员、工作组成员
组策略路径:不适用
合规性标准映射:
= 1
(OsConfig)
严重
启用系统防护
(AZ-WIN-202247)
说明:System Guard 使用对动态可信度量根 (DRTM) 技术的处理器支持,它将固件置于基于硬件的沙盒中,这有助于限制数百万行高特权固件代码中漏洞的影响。
注册表项路径:SystemGuardStatus
OSEx:WSASHCI22H2
服务器类型:域控制器、域成员、工作组成员
组策略路径:不适用
合规性标准映射:
= 0
(OsConfig)
严重
启用基于虚拟化的安全性
(AZ-WIN-202245)
说明:基于虚拟化的安全性(即 VBS)使用硬件虚拟化功能来创建安全的内存区域并将其与正常操作系统隔离。 这有助于确保服务器始终致力于运行关键工作负载,并有助于保护相关应用程序和数据免受攻击和外泄。 默认情况下,在 Azure Stack HCI 上启用并锁定 VBS。
注册表项路径:VirtualizationBasedSecurityStatus
OSEx:WSASHCI22H2
服务器类型:域控制器、域成员、工作组成员
组策略路径:不适用
合规性标准映射:
= 0
(OsConfig)
严重
设置 TPM 版本
(AZ-WIN-202249)
说明:受信任的平台模块 (TPM) 技术旨在提供基于硬件的安全性相关功能。 安全核心功能需要 TPM2.0。
注册表项路径:TPMVersion
OSEx:WSASHCI22H2
服务器类型:域控制器、域成员、工作组成员
组策略路径:不适用
合规性标准映射:
包含 2.0
(OsConfig)
严重

安全选项 - 帐户

名称
(ID)
详细信息 预期值
(类型)
严重性
帐户:阻止 Microsoft 帐户
(AZ-WIN-202201)
说明:此策略设置阻止用户在此计算机上添加新的 Microsoft 帐户。 此设置的建议状态为:Users can't add or log on with Microsoft accounts
注册表项路径:Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\帐户: 阻止 Microsoft 帐户
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.1.2
        CIS WS2019 2.3.1.2
= 3
(注册表)
警告
帐户:来宾帐户状态
(CCE-37432-2)
说明:此策略设置确定是启用还是禁用来宾帐户。 来宾帐户允许未经身份验证的网络用户获取对系统的访问权限。 此设置的建议状态为:Disabled注意: 当通过组策略应用于域控制器组织单元时,此设置不会产生任何影响,因为域控制器没有本地帐户数据库。 与帐户锁定和密码策略设置类似,可以通过组策略在域级别配置此设置。
注册表项路径:[System Access]EnableGuestAccount
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\帐户: 来宾帐户状态
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93497
        STIG WS2016 V-73809
        CIS WS2019 2.3.1.3
        CIS WS2022 2.3.1.3
= 0
(策略)
严重
帐户:限制使用空白密码的本地帐户仅可进行控制台登录
(CCE-37615-2)
说明:此策略设置确定没有密码保护的本地帐户是否可用于从物理计算机控制台以外的位置登录。 如果启用此策略设置,则具有空密码的本地帐户将不能从远程客户端计算机登录到网络。 此类帐户只能从计算机的键盘上登录。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\帐户: 使用空密码的本地帐户只允许进行控制台登录

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93279
        STIG WS2016 V-73621
        CIS WS2019 2.3.1.4
        CIS WS2022 2.3.1.4
不存在或 = 1
(注册表)
严重
帐户:重命名来宾帐户
(AZ-WIN-202255)
说明:内置的本地来宾帐户是攻击者的另一个已知名称。 建议将此帐户重命名为不表示其用途的名称。 即使禁用了此帐户(建议这样做),也请确保重命名该帐户,以提高安全性。 在域控制器上,由于它们没有自己的本地帐户,因此该规则指的是在首次创建域时建立的内置来宾帐户。
密钥路径:[System Access]NewGuestName
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\帐户: 重命名来宾帐户
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.1.6
        CIS WS2019 2.3.1.6
!= Guest
(策略)
警告
网络访问: 允许匿名 SID/名称转换
(CCE-10024-8)
说明:此策略设置确定匿名用户是可以请求其他用户的安全标识符 (SID) 属性,还是使用 SID 来获取其对应的用户名。 此设置的建议状态为:Disabled
注册表项路径:[System Access]LSAAnonymousNameLookup
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络访问: 允许匿名 SID/名称转换
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.10.1
        CIS WS2019 2.3.10.1
= 0
(策略)
警告

安全选项 - 审核

名称
(ID)
详细信息 预期值
(类型)
严重性
审核:强制审核策略子类别设置(Windows Vista 或更高版本)来替代审核策略类别设置
(CCE-37850-5)
说明:使用此策略设置,管理员可以启用 Windows Vista 中提供的更精确的审核功能。 Windows Server 2003 Active Directory 中提供的审核策略设置尚未包含用于管理新的审核子类别的设置。 若要正确应用在此基线中规定的审核策略,需要将“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”设置为“启用”。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.2.1
不存在或 = 1
(注册表)
严重
审核:如果无法记录安全审核则立即关闭系统
(CCE-35907-5)
说明:此策略设置确定无法记录安全事件时系统是否关闭。 可信计算机系统评估准则 (TCSEC)-C2 和通用准则认证的一个要求是,如果审核系统无法记录可审核事件,则阻止可审核事件发生。 Microsoft 选择了通过以下方式来满足这一要求:当审核系统出现故障时,停止系统并显示一条停止消息。 当启用了此策略设置时,如果因任何原因而无法记录安全审核,则会关闭系统。 如果启用了“审核: 如果无法记录安全审核则立即关闭系统”设置,则可能会发生计划外系统故障。 管理负担可能很重,特别是在还将安全日志的保留方法配置为“不覆盖事件(手动清除日志)”的情况下。 此配置会导致某个否认威胁(备份操作员可能会否认他们备份或还原了数据)成为拒绝服务 (DoS) 漏洞,因为如果由于登录事件和写入安全日志的其他安全事件过多而导致服务器负荷过重,则服务器可能会被迫关闭。 另外,因为关闭不是正常进行的,所以可能会对操作系统、应用程序或数据造成无法修复的损害。 尽管 NTFS 文件系统在发生不正常的计算机关闭时可以保证其完整性,但它不能保证在计算机重启时,每个应用程序的每个数据文件仍处于可用状态。 此设置的建议状态为:Disabled
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\审核: 如果无法记录安全审核,则立即关闭系统

合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.2.2
        CIS WS2022 2.3.2.2
不存在或 = 0
(注册表)
严重

安全选项 - 设备

名称
(ID)
详细信息 预期值
(类型)
严重性
设备:允许格式化和弹出可移动媒体
(CCE-37701-0)
说明:此策略设置确定允许哪些用户格式化和弹出可移动媒体。 可以使用此策略设置阻止未经授权的用户在一台计算机上移除数据以便在他们具有本地管理员特权的另一台计算机上进行访问。
注册表项路径:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\设备: 允许格式化和弹出可移动媒体
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.4.1
不存在或 = 0
(注册表)
警告
设备:阻止用户安装打印机驱动程序
(CCE-37942-0)
说明:为了使计算机能够打印到共享打印机,必须在本地计算机上安装该共享打印机的驱动程序。 此安全设置确定允许哪些用户在连接到共享打印机的过程中安装打印机驱动程序。 此设置的建议状态为:Enabled注意: 此设置不影响添加本地打印机的功能。 此设置不会影响管理员。
注册表项路径:SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\设备: 防止用户安装打印机驱动程序

合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.4.2
        CIS WS2022 2.3.4.2
不存在或 = 1
(注册表)
警告
仅限管理员安装打印驱动程序
(AZ_WIN_202202)
说明:此策略设置控制非管理员用户是否可以在系统上安装打印驱动程序。 此设置的建议状态为:Enabled。 注意:2021 年 8 月 10 日,Microsoft 宣布了一项 Point and Print 默认行为更改,它将默认的 Point and Print 驱动程序安装和更新行为修改为需要管理员权限。 KB5005652 - 管理新的 Point and Print 默认驱动程序安装行为 (CVE-2021-34481) 中对此进行了说明。
注册表项路径:Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\管理模板\MS 安全指南\仅限管理员安装打印驱动程序
合规性标准映射:
        名称平台ID
        CIS WS2022 18.3.5
        CIS WS2019 18.3.5
= 1
(注册表)
警告

安全选项 - 域成员

名称
(ID)
详细信息 预期值
(类型)
严重性
确保将“域成员: 对安全通道数据进行数字加密或签名(始终)”设置为“Enabled”
(CCE-36142-8)
说明:此策略设置确定是否必须对由域成员发起的所有安全通道流量进行签名或加密。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\域成员: 对安全通道数据进行数字加密或数字签名(始终)
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.6.1
        CIS WS2019 2.3.6.1
不存在或 = 1
(注册表)
严重
确保将“域成员: 对安全通道数据进行数字加密(如果可能)”设置为“Enabled”
(CCE-37130-2)
说明:此策略设置确定域成员是否应尝试协商对其发起的所有安全通道流量进行加密。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\域成员: 对安全通道数据进行数字加密(如果可能)
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.6.2
        CIS WS2019 2.3.6.2
不存在或 = 1
(注册表)
严重
确保将“域成员: 对安全通道数据进行数字签名(如果可能)”设置为“Enabled”
(CCE-37222-7)
说明

此策略设置确定了域成员是否应尝试协商以下事项:它启动的所有安全通道流量是否必须进行数字签名。 数字签名可防止在流量经过网络时捕获数据的任何人修改流量。 此设置的建议状态为:“启用”。


注册表项路径:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\域成员: 对安全通道数据进行数字签名(如果可能)

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93551
        STIG WS2016 V-73637
        CIS WS2019 2.3.6.3
        CIS WS2022 2.3.6.3
不存在或 = 1
(注册表)
严重
确保将“域成员: 禁用计算机帐户密码更改”设置为“Disabled”
(CCE-37508-9)
说明

此策略设置确定域成员是否可以定期更改其计算机帐户密码。 无法自动更改其帐户密码的计算机可能易受攻击,因为攻击者可能能够确定系统域帐户的密码。 此设置的建议状态为:“禁用”。


注册表项路径:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\域成员: 禁用计算机帐户密码更改

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93273
        STIG WS2016 V-73631
        CIS WS2019 2.3.6.4
        CIS WS2022 2.3.6.4
不存在或 = 0
(注册表)
严重
确保将“域成员: 计算机帐户密码最长使用期限”设置为“最多 30 天,但不得为 0 天”
(CCE-37431-4)
说明:此策略设置确定允许的计算机帐户密码最长使用期限。 默认情况下,域成员每隔 30 天自动更改其域密码一次。 如果显著增加此间隔,使计算机不再更改其密码,攻击者将有更多时间对其中一个计算机帐户进行暴力攻击。 此设置的建议状态为:30 or fewer days, but not 0。 注意:值为 0 不符合基准,因为它禁用了密码最长使用期限。
注册表项路径:System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 30 or fewer days, but not 0
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\域成员: 计算机帐户密码最长期限

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93285
        STIG WS2016 V-73641
        CIS WS2019 2.3.6.5
        CIS WS2022 2.3.6.5
在 1-30 的范围内
(注册表)
严重
确保将“域成员: 需要强(Windows 2000 或更高版本)会话密钥”设置为“Enabled”
(CCE-37614-5)
说明:启用此策略设置后,只能与能够使用强(128 位)会话密钥加密安全通道数据的域控制器建立安全通道。 要启用此策略设置,域中的所有域控制器都必须能够使用强密钥加密安全通道数据,这意味着所有域控制器都必须运行 Microsoft Windows 2000 或更高版本。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\域成员: 需要强(Windows 2000 或更高版本)会话密钥
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.6.6
        CIS WS2019 2.3.6.6
不存在或 = 1
(注册表)
严重

安全选项 - 交互式登录

名称
(ID)
详细信息 预期值
(类型)
严重性
必须限制登录凭据缓存
(AZ-WIN-73651)
说明:此策略设置确定用户是否可以使用缓存的帐户信息登录到 Windows 域。 域帐户的登录信息可以缓存在本地,这样即使无法联系到域控制器,用户也可以登录。 此策略设置确定在本地缓存登录信息的唯一用户数。 如果此值设置为 0,则禁用登录缓存功能。 能够访问服务器文件系统的攻击者可以查找此缓存信息,并使用暴力攻击来确定用户密码。 此设置的建议状态为:4 or fewer logon(s)
注册表项路径:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\交互式登录: 之前登录到缓存的次数(域控制器不可用时)
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.7.6
        CIS WS2019 2.3.7.6
在 1-4 的范围内
(注册表)
信息
交互式登录:不显示上次的用户名
(CCE-36056-0)
说明:此策略设置确定是否在组织的每台客户端计算机的相应 Windows 登录屏幕中显示上次登录到该计算机的用户的帐户名。 启用此策略设置可防止入侵者从组织的台式机或笔记本电脑的屏幕上直观地收集帐户名。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\交互式登录: 不显示上次登录用户
注意:在较旧版本的 Microsoft Windows 中,此设置名为“交互式登录: 不显示最后一个用户名”,但从 Windows Server 2019 开始已重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.7.2
        CIS WS2022 2.3.7.2
= 1
(注册表)
严重
交互式登录:不需要 CTRL+ALT+DEL
(CCE-37637-6)
说明:此策略设置确定用户在登录前是否必须按 CTRL + ALT + DEL。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\交互式登录: 不需要按 CTRL+ALT+DEL

合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.7.1
        CIS WS2022 2.3.7.1
不存在或 = 0
(注册表)
严重
交互式登录:计算机非活动状态限制
(AZ-WIN-73645)
说明:Windows 会注意到登录会话处于非活动状态,如果非活动时间超过非活动限制,则屏幕保护将运行,从而锁定会话。 此设置的建议状态为:900 or fewer second(s), but not 0。 注意:0 的值不符合基准,因为它禁用了计算机非活动限制。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\交互式登录: 计算机不活动限制
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.7.3
        CIS WS2019 2.3.7.3
在 1-900 的范围内
(注册表)
重要
交互式登录:针对试图登录的用户的消息文本
(AZ-WIN-202253)
说明:此策略设置指定在用户登录时向其显示的文本消息。 以与组织的安全性和操作要求一致的方式配置此设置。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\交互式登录: 试图登录的用户的消息文本
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.7.4
        CIS WS2019 2.3.7.4
!=
(注册表)
警告
交互式登录:针对试图登录的用户的消息标题
(AZ-WIN-202254)
说明:此策略设置指定用户在登录到系统时看到的窗口标题栏中显示的文本。 以与组织的安全性和操作要求一致的方式配置此设置。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\交互式登录: 试图登录的用户的消息标题
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.7.5
        CIS WS2019 2.3.7.5
!=
(注册表)
警告
交互式登录:提示用户在密码过期前更改密码
(CCE-10930-6)
说明:此策略设置确定提前多长时间警告用户其密码将过期。 建议将此策略设置配置为至少 5 天但不超过 14 天,以便在用户的密码即将到期时有充足的时间来警告用户。 此设置的建议状态为:between 5 and 14 days
注册表项路径:oftware\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\交互式登录: 提示用户在密码过期前更改密码
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.7.7
        CIS WS2019 2.3.7.7
在 5-14 的范围内
(注册表)
信息

安全选项 - Microsoft 网络客户端

名称
(ID)
详细信息 预期值
(类型)
严重性
Microsoft 网络客户端:对通信进行数字签名(始终)
(CCE-36325-9)
说明

此策略设置确定 SMB 客户端组件是否需要包签名。 注意:如果基于 Windows Vista 的计算机启用了此策略设置,并且它们连接到远程服务器上的文件或打印共享,则必须使此设置与那些服务器上的对应设置“Microsoft 网络服务器: 对通信进行数字签名(始终)”同步。 有关这些设置的详细信息,请参阅“威胁和对策指南”第 5 章中的“Microsoft 网络客户端和服务器:对通信进行数字签名(四个相关设置)”部分。 此设置的建议状态为:“启用”。


注册表项路径:SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\Microsoft 网络客户端: 对通信进行数字签名(始终)

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93555
        STIG WS2016 V-73653
        CIS WS2019 2.3.8.1
        CIS WS2022 2.3.8.1
= 1
(注册表)
严重
Microsoft 网络客户端:对通信进行数字签名(如果服务器允许)
(CCE-36269-9)
说明:此策略设置确定 SMB 客户端是否将尝试协商 SMB 数据包签名。 注意: 在网络中的 SMB 客户端上启用此策略设置,会使其对环境中所有客户端和服务器的数据包签名都完全有效。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\Microsoft 网络客户端: 对通信进行数字签名(如果服务器允许)

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93557
        STIG WS2016 V-73655
        CIS WS2019 2.3.8.2
        CIS WS2022 2.3.8.2
不存在或 = 1
(注册表)
严重
Microsoft 网络客户端:将未加密的密码发送到第三方 SMB 服务器
(CCE-37863-8)
说明

此策略设置确定在向不支持密码加密的第三方 SMB 服务器进行身份验证时,SMB 重定向程序是否将发送明文密码。 建议禁用此策略设置,除非有强大的业务案例来启用它。 如果启用此策略设置,则允许在网络上使用未加密的密码。 此设置的建议状态为:“禁用”。


注册表项路径:SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\Microsoft 网络客户端: 将未加密的密码发送到第三方 SMB 服务器

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93469
        STIG WS2016 V-73657
        CIS WS2019 2.3.8.3
        CIS WS2022 2.3.8.3
不存在或 = 0
(注册表)
严重
Microsoft 网络服务器: 暂停会话前所需的空闲时长
(CCE-38046-9)
说明:使用此策略设置,可以指定 SMB 会话连续空闲多长时间后,该会话才会因不活动而被挂起。 管理员可以使用此策略设置来控制计算机何时挂起非活动 SMB 会话。 如果客户端活动恢复,将自动重新建立会话。 如果值为 0,则允许会话无限期保留。 最大值为 99999,超过 69 天;实际上,此值将禁用此设置。 此设置的建议状态为:15 or fewer minute(s), but not 0
注册表项路径:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 15 or fewer minute(s)
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 暂停会话前所需的空闲时间
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.9.1
在 1-15 范围内
(注册表)
严重
Microsoft 网络服务器: 对通信进行数字签名(始终)
(CCE-37864-6)
说明:此策略设置确定 SMB 服务器组件是否需要包签名。 在混合环境中启用此策略设置将阻止下游客户端使用工作站作为网络服务器。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 对通信进行数字签名(始终)

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93559
        STIG WS2016 V-73661
        CIS WS2019 2.3.9.2
        CIS WS2022 2.3.9.2
= 1
(注册表)
严重
Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许)
(CCE-35988-5)
说明:此策略设置确定 SMB 服务器是否将与请求 SMB 数据包签名的客户端协商签名。 如果没有来自客户端的签名请求,则在未启用“Microsoft 网络服务器: 对通信进行数字签名(始终)”设置的情况下,将允许在无签名的情况下建立连接。 注意: 如果在网络上的 SMB 客户端上启用此策略设置,则此设置对环境中所有客户端和服务器的数据包签名都将生效。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许)

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93561
        STIG WS2016 V-73663
        CIS WS2019 2.3.9.3
        CIS WS2022 2.3.9.3
= 1
(注册表)
严重
Microsoft 网络服务器: 登录时间过期后断开与客户端的连接
(CCE-37972-7)
说明:此安全设置确定是否断开在用户帐户有效登录时间之外连接到本地计算机的用户的连接。 此设置影响服务器消息块 (SMB) 组件。 如果启用此策略设置,则还应启用“网络安全: 在超过登录时间后强制注销”(规则 2.3.11.6)。 如果你的组织为用户配置了登录时间,则需要使用此策略设置来确保它们生效。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 登录小时数过期后断开与客户端的连接

合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.9.4
        CIS WS2022 2.3.9.4
不存在或 = 1
(注册表)
严重
Microsoft 网络服务器:服务器 SPN 目标名称的验证级别
(CCE-10617-9)
说明:此策略设置控制具有共享文件夹或打印机(服务器)的计算机在使用服务器消息块 (SMB) 协议建立会话时,对客户端计算机提供的服务主体名称 (SPN) 执行的验证级别。 服务器消息块 (SMB) 协议为文件和打印共享以及其他网络操作(例如远程 Windows 管理)提供了基础。 SMB 协议支持在 SMB 客户端提供的身份验证 Blob 中验证 SMB 服务器服务主体名称 (SPN),以防止针对 SMB 服务器的一类攻击(称为 SMB 中继攻击)。 此设置将同时影响 SMB1 和 SMB2。 此设置的建议状态为:Accept if provided by client。 将此设置配置为 Required from client 也符合基准。 注意:自 MS KB3161561 安全修补程序发布以来,当与 UNC 路径强化(即规则 18.5.14.1)同时使用时,此设置可能会导致域控制器上出现重大问题(例如复制问题、组策略编辑问题和蓝屏故障)。 因此,CIS 建议不要在域控制器上部署此设置。
注册表项路径:System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 服务器 SPN 目标名称验证级别
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.9.5
        CIS WS2019 2.3.9.5
= 1
(注册表)
警告

安全选项 - Microsoft 网络服务器

名称
(ID)
详细信息 预期值
(类型)
严重性
禁用 SMB v1 服务器
(AZ-WIN-00175)
说明:禁用此设置将禁用 SMBv1 协议的服务器端处理。 (建议)启用此设置后,系统将在服务器端处理 SMBv1 协议。 (默认)对此设置的更改需要重启才会生效。 有关详细信息,请参阅 https://support.microsoft.com/kb/2696547
注册表项路径:SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:不适用
合规性标准映射:
        名称平台ID
        CIS WS2019 18.3.3
不存在或 = 0
(注册表)
严重

安全选项 - 网络访问

名称
(ID)
详细信息 预期值
(类型)
严重性
帐户:重命名管理员帐户
(CCE-10976-9)
说明:内置的本地管理员帐户是攻击者所针对的已知帐户名称。 建议为此帐户选择其他名称,并避免使用表示管理或提升访问权限帐户的名称。 请务必更改本地管理员的默认说明(通过“计算机管理”控制台)。 在域控制器上,由于它们没有自己的本地帐户,因此该规则指的是在首次创建域时建立的内置管理员帐户。
注册表项路径:[System Access]NewAdministratorName
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\帐户: 重命名管理员帐户
合规性标准映射:
        名称平台ID
        CIS WS2022 2.3.1.5
        CIS WS2019 2.3.1.5
!= Administrator
(策略)
警告
网络访问:不允许 SAM 帐户的匿名枚举
(CCE-36316-8)
说明:此策略设置控制匿名用户在安全帐户管理器 (SAM) 中枚举帐户的能力。 如果启用此策略设置,则采用匿名连接的用户将无法枚举你的环境中系统上的域帐户用户名。 此策略设置还允许对匿名连接施加其他限制。 此设置的建议状态为:Enabled注意: 此策略对域控制器没有影响。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项
网络访问: 不允许 SAM 帐户的匿名枚举
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.10.2
不存在或 = 1
(注册表)
严重
网络访问:不允许 SAM 帐户和共享的匿名枚举
(CCE-36077-6)
说明:此策略设置控制匿名用户枚举 SAM 帐户和共享的能力。 如果启用此策略设置,则匿名用户将无法枚举你的环境中系统上的域帐户用户名和网络共享名称。 此设置的建议状态为:Enabled注意: 此策略对域控制器没有影响。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项
网络访问: 不允许 SAM 帐户和共享的匿名枚举
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.10.3
= 1
(注册表)
严重
网络访问:将 Everyone 权限应用于匿名用户
(CCE-36148-5)
说明:此策略设置确定为到计算机的匿名连接分配哪些附加权限。 此设置的建议状态为:Disabled
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络访问: 将 Everyone 权限应用于匿名用户

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93293
        STIG WS2016 V-73673
        CIS WS2019 2.3.10.5
        CIS WS2022 2.3.10.5
不存在或 = 0
(注册表)
严重
网络访问:可远程访问的注册表路径
(CCE-37194-8)
说明:在引用 WinReg 项来确定对路径的访问权限之后,此策略设置确定哪些注册表路径将可供访问。 注意:Windows XP 中现不存在此设置。 以前,Windows XP 中有一个具有该名称的设置,但它在 Windows Server 2003、Windows Vista 和 Windows Server 2008 中称为“网络访问: 可远程访问的注册表路径和子路径”。 注意:配置此设置时,需要指定包含一个或多个对象的列表。 输入列表时使用的分隔符是换行符或回车符,即,键入列表中的第一个对象,按 Enter 键,键入下一个对象,然后再按 Enter 键,以此类推。该设置值会以逗号分隔的列表形式,存储在组策略安全模板中。 它还以逗号分隔的列表形式呈现在组策略编辑器的显示窗格和“策略的结果集”控制台中。 它以换行符分隔的列表形式记录在注册表中的 REG_MULTI_SZ 值中。
注册表项路径:SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为:
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络访问: 可远程访问的注册表路径
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.10.8
不存在或 = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0
(注册表)
严重
网络访问:可远程访问的注册表路径和子路径
(CCE-36347-3)
说明:当应用程序或进程引用 WinReg 项来确定访问权限时,此策略设置确定哪些注册表路径和子路径将可供访问。 注意:在 Windows XP 中,此设置称为“网络访问: 可远程访问的注册表路径”,Windows Vista、Windows Server 2008 和 Windows Server 2003 中具有该相同名称的设置在 Windows XP 中不存在。 注意:配置此设置时,需要指定包含一个或多个对象的列表。 输入列表时使用的分隔符是换行符或回车符,即,键入列表中的第一个对象,按 Enter 键,键入下一个对象,然后再按 Enter 键,以此类推。该设置值会以逗号分隔的列表形式,存储在组策略安全模板中。 它还以逗号分隔的列表形式呈现在组策略编辑器的显示窗格和“策略的结果集”控制台中。 它以换行符分隔的列表形式记录在注册表中的 REG_MULTI_SZ 值中。
注册表项路径:SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog

计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项
网络访问: 可远程访问的注册表路径和子路径

当服务器包含“Active Directory 证书服务”角色和“证书颁发机构”角色服务时,上述列表还应包括:“System\CurrentControlSet\Services\CertSvc”。

当服务器上安装了“WINS 服务器”功能时,上述列表还应包括:
“System\CurrentControlSet\Services\WINS”
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.10.9
不存在或 = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0
(注册表)
严重
网络访问:限制匿名访问命名管道和共享
(CCE-36021-4)
说明:此策略设置仅限制对在 Network access: Named pipes that can be accessed anonymouslyNetwork access: Shares that can be accessed anonymously 设置中指定的那些共享和管道的匿名访问。 此策略设置通过在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters 注册表项中添加值为 1RestrictNullSessAccess 来控制对计算机上的共享的空会话访问。 此注册表值将开启或关闭空会话共享,以控制服务器服务是否限制未经身份验证的客户端访问指定的资源。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络访问: 限制匿名访问命名管道和共享

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93539
        STIG WS2016 V-73675
        CIS WS2019 2.3.10.10
        CIS WS2022 2.3.10.10
不存在或 = 1
(注册表)
严重
网络访问:限制允许远程调用 SAM 的客户端
(AZ-WIN-00142)
说明:使用此策略设置,可以限制到 SAM 的远程 RPC 连接。 如果未选中该设置,将使用默认安全描述符。 至少在 Windows Server 2016 上才能支持此策略。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM
OS:WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators: Remote Access: Allow
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项
网络访问: 限制允许远程调用 SAM 的客户端
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.10.11
不存在或 = O:BAG:BAD:(A;;RC;;;BA)
(注册表)
严重
网络访问:可匿名访问的共享
(CCE-38095-6)
说明:此策略设置确定匿名用户可以访问哪些网络共享。 此策略设置的默认配置影响不大,因为必须先对所有用户进行身份验证,然后才能访问服务器上的共享资源。 注意:向此组策略设置中添加其他共享可能非常危险。 任何网络用户都可以访问列出的任何共享,这可能会暴露或损坏敏感数据。 注意:配置此设置时,需要指定包含一个或多个对象的列表。 输入列表时使用的分隔符是换行符或回车符,即,键入列表中的第一个对象,按 Enter 键,键入下一个对象,然后再按 Enter 键,以此类推。该设置值会以逗号分隔的列表形式,存储在组策略安全模板中。 它还以逗号分隔的列表形式呈现在组策略编辑器的显示窗格和“策略的结果集”控制台中。 它以换行符分隔的列表形式记录在注册表中的 REG_MULTI_SZ 值中。
注册表项路径:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 <blank>(即“无”):
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项
网络访问: 可被匿名访问的共享
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.10.12
不存在或 =
(注册表)
严重
网络访问:本地帐户的共享和安全模式
(CCE-37623-6)
说明:此策略设置确定如何对使用本地帐户的网络登录进行身份验证。 使用“经典”选项可以精确控制对资源的访问权限,包括针对同一资源为不同用户分配不同类型的访问权限的能力。 使用“仅限来宾”选项可以平等对待所有用户。 在这种情况下,所有用户都以“仅限来宾”方式进行身份验证,对给定资源享有相同的访问级别。 此设置的建议状态为:Classic - local users authenticate as themselves注意: 此设置不影响使用 Telnet 或远程桌面服务(以前称为终端服务)等服务远程执行的交互式登录。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Classic - local users authenticate as themselves
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络访问: 本地帐户的共享和安全模型

合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.10.13
        CIS WS2022 2.3.10.13
不存在或 = 0
(注册表)
严重

安全选项 - 网络安全性

名称
(ID)
详细信息 预期值
(类型)
严重性
网络安全:允许本地系统将计算机标识用于 NTLM
(CCE-38341-4)
说明:启用此策略设置后,当协商选择了 NTLM 身份验证时,使用协商的本地系统服务将使用计算机标识。 至少在 Windows 7 或 Windows Server 2008 R2 上才能支持此策略。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId
OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项
网络安全: 允许本地系统将计算机标识用于 NTLM
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.11.1
= 1
(注册表)
严重
网络安全:允许 LocalSystem NULL 会话回退
(CCE-37035-3)
说明:此策略设置确定在与 LocalSystem 一起使用时,是否允许 NTLM 回退到空会话。 此设置的建议状态为:Disabled
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络安全: 允许 LocalSystem NULL 会话回退

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93297
        STIG WS2016 V-73681
        CIS WS2019 2.3.11.2
        CIS WS2022 2.3.11.2
不存在或 = 0
(注册表)
严重
网络安全:允许对该计算机的 PKU2U 身份验证请求使用联机标识
(CCE-38047-7)
说明:此设置确定联机标识是否能够向此计算机进行身份验证。 Windows 7 和 Windows Server 2008 R2 中引入的基于公钥加密的用户到用户 (PKU2U) 协议是作为安全支持提供程序 (SSP) 实现的。 SSP 支持对等身份验证,特别是通过称为“家庭组”的 Windows 7 媒体和文件共享功能,该功能允许在不是域成员的计算机之间进行共享。 使用 PKU2U 时,“协商”身份验证程序包中引入了一个新的扩展:Spnego.dll。 在以前的 Windows 版本中,“协商”决定是使用 Kerberos 还是使用 NTLM 进行身份验证。 用于协商的扩展 SSP (Negoexts.dll) 被 Windows 视为一种身份验证协议,它支持包括 PKU2U 在内的 Microsoft SSP。 如果将计算机配置为使用联机 ID 接受身份验证请求,则 Negoexts.dll 会在用于登录的计算机上调用 PKU2U SSP。 PKU2U SSP 获取本地证书,并在对等计算机之间交换策略。 在对等计算机上验证后,元数据中的证书将被发送到登录对等方进行验证,并将用户的证书关联到某个安全令牌,然后登录过程完成。 此设置的建议状态为:Disabled
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络安全: 允许对此计算机的 PKU2U 身份验证请求使用联机标识

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93299
        STIG WS2016 V-73683
        CIS WS2019 2.3.11.3
        CIS WS2022 2.3.11.3
不存在或 = 0
(注册表)
警告
网络安全: 配置允许 Kerberos 使用的加密类型
(CCE-37755-6)
说明:使用此策略设置,可以设置允许 Kerberos 使用的加密类型。 至少在 Windows 7 或 Windows Server 2008 R2 上才能支持此策略。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络安全: 配置 Kerberos 允许的加密类型
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.11.4
不存在或 = 2147483640
(注册表)
严重
网络安全:在下一次更改密码时不存储 LAN 管理器哈希值
(CCE-36326-7)
说明:此策略设置确定当密码被更改时是否存储新密码的 LAN Manager (LM) 哈希值。 与加密功能更强的 Microsoft Windows NT 哈希相比,LM 哈希相对较弱,容易受到攻击。 由于 LM 散列存储在本地计算机的安全数据库中,因此如果该数据库受到攻击,密码很容易被泄露。 注意: 如果启用此策略设置,则较早的操作系统和某些第三方应用程序可能会失败。 另请注意,在启用此设置后,需要在所有帐户上更改密码才能获得正确的权益。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络安全: 下次更改密码时不存储 LAN Manager 哈希值

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93467
        STIG WS2016 V-73687
        CIS WS2019 2.3.11.5
        CIS WS2022 2.3.11.5
不存在或 = 1
(注册表)
严重
网络安全:LAN 管理器身份验证级别
(CCE-36173-3)
说明:LAN Manager (LM) 是一个早期的 Microsoft 客户端/服务器软件系列,它允许用户将个人计算机在单个网络上链接在一起。 网络功能包括透明的文件和打印共享、用户安全功能以及网络管理工具。 在 Active Directory 域中,Kerberos 协议是默认的身份验证协议。 但是,如果由于某种原因而未协商 Kerberos 协议,则 Active Directory 将使用 LM、NTLM 或 NTLMv2。 LAN 管理器身份验证包括 LM、 NTLM 和 NTLM 版本 2 (NTLMv2) 变体,是用于对所有 Windows 客户端执行以下操作时进行身份验证的协议:- 加入域 - 在 Active Directory 林之间进行身份验证 - 向下级域进行身份验证 - 向不运行 Windows 2000、Windows Server 2003 或 Windows XP 的计算机进行身份验证 - 向不在域中的计算机进行身份验证网络安全的可能值: LAN 管理器身份验证级别设置包括:- 发送 LM 和 NTLM 响应 - 发送 LM 和 NTLM — 如果协商使用 NTLMv2 会话安全性 - 仅发送 NTLM 响应 - 仅发送 NTLMv2 响应 - 发送 NTL 仅Mv2 响应\拒绝 LM - 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM - 未定义网络安全:LAN 管理器身份验证级别设置确定用于网络登录的质询/响应身份验证协议。 此选择会影响客户端使用的身份验证协议级别、计算机协商的会话安全级别以及服务器接受的身份验证级别,如下所示:- 发送 LM 和 NTLM 响应。 客户端使用 LM 和 NTLM 身份验证,从不使用 NTLMv2 会话安全性。 控制器接受 LM、NTLM 和 NTLMv2 身份验证。 - 发送 LM 和 NTLM — 如果协商使用 NTLMv2 会话安全性。 客户端使用 LM 和 NTLM 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 控制器接受 LM、NTLM 和 NTLMv2 身份验证。 - 仅发送 NTLM 响应。 客户端仅使用 NTLM 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 控制器接受 LM、NTLM 和 NTLMv2 身份验证。 - 仅发送 NTLMv2 响应。 客户端仅使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 控制器接受 LM、NTLM 和 NTLMv2 身份验证。 - 仅发送 NTLMv2 响应\拒绝 LM。 客户端仅使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 域控制器拒绝 LM(接受 NTLM 和 NTLMv2 身份验证)。 - 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM。 客户端仅使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 域控制器拒绝 LM 和 NTLM(仅接受 NTLMv2 身份验证)。 这些设置对应于其他 Microsoft 文档中讨论的级别,如下所示:- 级别 0 — 发送 LM 和 NTLM 响应;从不使用 NTLMv2 会话安全性。 客户端使用 LM 和 NTLM 身份验证,从不使用 NTLMv2 会话安全性。 控制器接受 LM、NTLM 和 NTLMv2 身份验证。 - 级别 1 — 如果已协商,则使用 NTLMv2 会话安全性。 客户端使用 LM 和 NTLM 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 控制器接受 LM、NTLM 和 NTLMv2 身份验证。 - 级别 2 — 仅发送 NTLM 响应。 客户端仅使用 NTLM 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 控制器接受 LM、NTLM 和 NTLMv2 身份验证。 - 级别 3 — 仅发送 NTLMv2 响应。 客户端使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 控制器接受 LM、NTLM 和 NTLMv2 身份验证。 - 级别 4 — 域控制器拒绝 LM 响应。 客户端使用 NTLM 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 域控制器拒绝 LM 身份验证,也就是说,它们接受 NTLM 和 NTLMv2。 - 级别 5 — 域控制器拒绝 LM 和 NTLM 响应(仅接受 NTLMv2)。 客户端使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。 域控制器拒绝 NTLM 和 LM 身份验证(它们仅接受 NTLMv2)。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为:“仅发送 NTLMv2 响应。 拒绝 LM 和 NTLM':
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项
网络安全: LAN Manager 身份验证级别
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.11.7
= 5
(注册表)
严重
网络安全:LDAP 客户端签名要求
(CCE-36858-9)
说明:此策略设置确定代表发出 LDAP 绑定请求的客户端所请求的数据签名级别。 注意: 此策略设置对 LDAP 简单绑定 (ldap_simple_bind) 或通过 SSL 的 LDAP 简单绑定 (ldap_simple_bind_s) 没有任何影响。 Windows XP Professional 附带的任何 Microsoft LDAP 客户端都不使用 ldap_simple_bind 或 ldap_simple_bind_s 与域控制器进行通信。 此设置的建议状态为:Negotiate signing。 将此设置配置为 Require signing 也符合基准。
注册表项路径:SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Negotiate signing(配置为 Require signing 也符合基准):
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络安全: LDAP 客户端签名要求

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93303
        STIG WS2016 V-73693
        CIS WS2019 2.3.11.8
        CIS WS2022 2.3.11.8
不存在或 = 1
(注册表)
严重
网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全
(CCE-37553-5)
说明:此策略设置确定对于使用 NTLM 安全支持提供程序 (SSP) 的应用程序,客户端允许哪些行为。 SSP 接口 (SSPI) 由需要身份验证服务的应用程序使用。 此设置不会修改身份验证序列的工作方式,但是在使用 SSPI 的应用程序中需要某些行为。 此设置的建议状态为:Require NTLMv2 session security, Require 128-bit encryption注意: 这些值依赖于“网络安全: LAN Manager 身份验证级别”安全设置值。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Require NTLMv2 session security, Require 128-bit encryption:计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\网络安全: 基于 NTLM SSP 的(包括安全 RPC)客户端的最低会话安全性
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.11.9
= 537395200
(注册表)
严重
网络安全:基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全
(CCE-37835-6)
说明:此策略设置确定对于使用 NTLM 安全支持提供程序 (SSP) 的应用程序,服务器允许哪些行为。 SSP 接口 (SSPI) 由需要身份验证服务的应用程序使用。 此设置不会修改身份验证序列的工作方式,但是在使用 SSPI 的应用程序中需要某些行为。 此设置的建议状态为:Require NTLMv2 session security, Require 128-bit encryption注意: 这些值依赖于“网络安全: LAN Manager 身份验证级别”安全设置值。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:将“计算机配置\Windows 设置\安全设置\本地策略\安全选项\网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最低会话安全性”的策略值配置为“要求 NTLMv2 会话安全”和“要求 128 位加密”(选择所有选项)。
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.11.10
= 537395200
(注册表)
严重

安全选项 - 关机

名称
(ID)
详细信息 预期值
(类型)
严重性
关机:允许系统在未登录的情况下关闭
(CCE-36788-8)
说明:此策略设置确定在用户未登录时是否可以关闭计算机。 如果启用此策略设置,则 Windows 登录屏幕上将提供“关机”命令。 建议禁用此策略设置,以便仅允许在系统上具有凭据的用户关闭计算机。 此设置的建议状态为:Disabled注意: 在 Server 2008 R2 和更早版本中,此设置对远程桌面 (RDP) /终端服务会话没有影响,它仅影响本地控制台。 但是,在 Windows Server 2012(非 R2)及更高版本中,Microsoft 更改了此行为,如果设置为“启用”,则还允许 RDP 会话关闭或重启服务器。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\关机: 允许系统在未登录的情况下关机

合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.13.1
        CIS WS2022 2.3.13.1
不存在或 = 0
(注册表)
警告
关机:清除虚拟内存页面文件
(AZ-WIN-00181)
说明:此策略设置确定在系统关闭时是否清除虚拟内存页面文件。 如果启用此策略设置,则在系统每次正常关闭时将清除系统页面文件。 如果启用此安全设置,则当便携式计算机系统上禁用了休眠时,休眠文件 (Hiberfil.sys) 将归零。 关闭和重启计算机需要更长的时间,在具有大的分页文件的计算机上尤其明显。
注册表项路径:System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:将“计算机配置\Windows 设置\安全设置\本地策略\安全选项\关机: 清除虚拟内存页面文件”的策略值配置为 Disabled
合规性标准映射:
不存在或 = 0
(注册表)
严重

安全选项 - 系统加密

名称
(ID)
详细信息 预期值
(类型)
严重性
必须要求用户输入密码才能访问计算机上存储的私钥。
(AZ-WIN-73699)
说明:如果发现私钥,则攻击者可使用该密钥以授权用户身份进行身份验证并获得对网络基础设施的访问权限。 PKI 的基石是用于加密或对信息进行数字签名的私钥。 如果私钥被盗,这将导致通过 PKI 获得的身份验证和不可否认性受到攻击,因为攻击者可以使用私钥对文档进行数字签名并伪装成授权用户。 数字证书的持有者和颁发机构都必须保护计算机、存储设备或他们用来保存私钥的任何容器。
注册表项路径:SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\Windows 设置\安全设置\本地策略\安全选项\系统加密: 为计算机上存储的用户密钥强制强密钥保护
合规性标准映射:
= 2
(注册表)
重要
必须将 Windows Server 配置为使用符合 FIPS 标准的算法进行加密、哈希和签名操作。
(AZ-WIN-73701)
说明:此设置确保系统使用符合 FIPS 的算法进行加密、哈希和签名。 符合 FIPS 的算法符合美国政府制定的特定标准,并且必须是用于所有 OS 加密功能的算法。
注册表项路径:SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
OS:WS2016、WS2019、WS2022
服务器类型:域成员
组策略路径:计算机配置\Windows 设置\安全设置\本地策略\安全选项\系统加密: 将 FIPS 兼容算法用于加密、哈希和签名
合规性标准映射:
= 1
(注册表)
重要

安全选项 - 系统对象

名称
(ID)
详细信息 预期值
(类型)
严重性
系统对象:非 Windows 子系统不要求区分大小写
(CCE-37885-1)
说明:此策略设置确定是否对所有子系统都强制不区分大小写。 Microsoft Win32 子系统不区分大小写。 但是,对于其他子系统(例如适用于 UNIX 的可移植操作系统接口 (POSIX)),内核支持区分大小写。 因为 Windows 不区分大小写(但 POSIX 子系统将支持区分大小写),如果不强制实施此策略设置,则 POSIX 子系统的用户可以使用混合大小写来标记文件,从而可能会创建与另一个文件同名的文件。 这种情况可能会阻止使用典型 Win32 工具的其他用户访问这些文件,因为这些文件中只有一个文件可用。 此设置的建议状态为:Enabled
注册表项路径:System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\系统对象: 非 Windows 子系统不要求区分大小写

合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.15.1
        CIS WS2022 2.3.15.1
不存在或 = 1
(注册表)
警告
系统对象:加强内部系统对象(如符号链接)的默认权限
(CCE-37644-2)
说明:此策略设置确定对象的默认自定义访问控制列表 (DACL) 的强度。 Active Directory 维护共享系统资源(例如 DOS 设备名称、互斥体和信号灯)的全局列表。 通过这种方式,可以在进程之间定位和共享对象。 每种类型的对象都创建有一个默认的 DACL,该 DACL 指定谁可以访问这些对象以及将授予哪些权限。 此设置的建议状态为:Enabled
注册表项路径:SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:将“计算机配置\Windows 设置\安全设置\本地策略\安全选项\系统对象: 加强内部系统对象的默认权限(例如,符号链接)”的策略值配置为 Enabled
合规性标准映射:
        名称平台ID
        CIS WS2019 2.3.15.2
= 1
(注册表)
严重

安全选项 - 系统设置

名称
(ID)
详细信息 预期值
(类型)
严重性
系统设置:将 Windows 可执行文件中的证书规则用于软件限制策略
(AZ-WIN-00155)
说明:此策略设置确定当启用了软件限制策略并且用户或进程尝试运行扩展名为 .exe 的软件时是否处理数字证书。 它启用或禁用证书规则(一种类型的软件限制策略规则)。 使用软件限制策略,你可以创建证书规则,以根据与软件关联的数字证书,允许或禁止执行 Authenticode® 签名的软件。 要使证书规则在软件限制策略中生效,必须启用此策略设置。
注册表项路径:Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:计算机配置\Windows 设置\安全设置\本地策略\安全选项\系统设置: 将 Windows 可执行文件中的证书规则用于软件限制策略
合规性标准映射:
= 1
(注册表)
警告

安全选项 - 用户帐户控制

名称
(ID)
详细信息 预期值
(类型)
严重性
用户帐户控制:用于内置管理员帐户的管理员批准模式
(CCE-36494-3)
说明:此策略设置控制内置管理员帐户的管理员批准模式的行为。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\用户帐户控制: 用于内置管理员帐户的管理员批准模式

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93431
        STIG WS2016 V-73707
        CIS WS2019 2.3.17.1
        CIS WS2022 2.3.17.1
= 1
(注册表)
严重
用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升
(CCE-36863-9)
说明:此策略设置控制用户界面辅助功能(UIAccess 或 UIA)程序是否可以自动禁止标准用户的安全桌面显示提升权限提示。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\Windows 设置\安全设置\本地策略\安全选项\用户帐户控制: 允许 UIAccess 应用程序在提升时进行提示,而无需使用安全桌面
合规性标准映射:
= 0
(注册表)
严重
用户帐户控制: 管理员批准模式中管理员的提升提示行为
(CCE-37029-6)
说明:此策略设置控制针对管理员的提升权限提示的行为。 此设置的建议状态为:Prompt for consent on the secure desktop
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Prompt for consent on the secure desktop
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\用户帐户控制: 管理员批准模式中管理员的提升提示的行为

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93523
        STIG WS2016 V-73711
        CIS WS2019 2.3.17.2
        CIS WS2022 2.3.17.2
= 2
(注册表)
严重
用户帐户控制: 标准用户的提升提示行为
(CCE-36864-7)
说明:此策略设置控制针对标准用户的提升权限提示的行为。 此设置的建议状态为:Automatically deny elevation requests
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Automatically deny elevation requests:
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\用户帐户控制: 标准用户的提升提示行为

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93433
        STIG WS2016 V-73713
        CIS WS2019 2.3.17.3
        CIS WS2022 2.3.17.3
= 0
(注册表)
严重
用户帐户控制: 检测应用程序安装并提示提升
(CCE-36533-8)
说明:此策略设置控制计算机的应用程序安装检测行为。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\用户帐户控制: 检测应用程序安装并在提升时进行提示

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93525
        STIG WS2016 V-73715
        CIS WS2019 2.3.17.4
        CIS WS2022 2.3.17.4
= 1
(注册表)
严重
用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序
(CCE-37057-7)
说明:此策略设置控制请求以用户界面辅助功能 (UIAccess) 完整性级别运行的应用程序是否必须驻留在文件系统中的安全位置。 安全位置限于以下位置:- …\Program Files\,包括子文件夹 - …\Windows\system32\ - …\Program Files (x86)\,包括 64 位版本 Windows 的子文件夹 注意: Windows 对请求以 UIAccess 完整性级别运行的任何交互式应用程序都将强制执行公钥基础结构 (PKI) 签名检查,而不管此安全设置的状态如何。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\用户帐户控制: 仅提升在安全位置中安装的 UIAccess 应用程序

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93527
        STIG WS2016 V-73717
        CIS WS2019 2.3.17.5
        CIS WS2022 2.3.17.5
= 1
(注册表)
严重
用户帐户控制: 以管理员批准模式运行所有管理员
(CCE-36869-6)
说明:此策略设置控制计算机的所有用户帐户控制 (UAC) 策略设置的行为。 如果你更改此策略设置,则必须重启计算机。 此设置的建议状态为:Enabled注意: 如果禁用此策略设置,则安全中心将通知你操作系统的整体安全性已降低。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\用户帐户控制: 在管理员批准模式下运行所有管理员

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93435
        STIG WS2016 V-73719
        CIS WS2019 2.3.17.6
        CIS WS2022 2.3.17.6
= 1
(注册表)
严重
用户帐户控制: 提示提升时切换到安全桌面
(CCE-36866-2)
说明:此策略设置控制是在交互式用户的桌面上还是在安全桌面上显示提升请求提示。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\用户帐户控制: 提示提升时切换到安全桌面

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93521
        STIG WS2016 V-73709
        CIS WS2019 2.3.17.7
        CIS WS2022 2.3.17.7
= 1
(注册表)
严重
用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置
(CCE-37064-3)
说明:此策略设置控制应用程序写入失败是否重定向到定义的注册表和文件系统位置。 此策略设置可缓解以管理员身份运行的应用程序,并将运行时应用程序数据写入到以下位置:- %ProgramFiles%、- %Windir%、- %Windir%\system32 或 - HKEY_LOCAL_MACHINE\Software。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\用户帐户控制: 虚拟化文件和注册表无法写入每个用户的位置

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93529
        STIG WS2016 V-73721
        CIS WS2019 2.3.17.8
        CIS WS2022 2.3.17.8
= 1
(注册表)
严重

安全设置 - 帐户策略

名称
(ID)
详细信息 预期值
(类型)
严重性
帐户锁定阈值
(AZ-WIN-73311)
说明:此策略设置确定帐户被锁定之前登录尝试失败的次数。 将此政策设置为 0 不符合基准,因为这样做会禁用帐户锁定阈值。 此设置的建议状态为:5 or fewer invalid logon attempt(s), but not 0。 注意:“密码策略”设置(第 1.1 节)和“帐户锁定策略”设置(第 1.2 节)必须通过“默认域策略”GPO 应用,才能作为默认行为在域用户帐户上全局生效。 如果这些设置是在另一个 GPO 中配置的,则只影响接收该 GPO 的计算机上的本地用户帐户。 但是,可以使用密码设置对象 (PSO) 定义针对特定域用户和/或组的默认密码策略和帐户锁定策略规则的自定义例外,这些对象与组策略完全分开,并且最容易使用 Active Directory 管理中心进行配置。
注册表项路径:[System Access]LockoutBadCount
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\帐户策略\帐户锁定策略\帐户锁定阈值
合规性标准映射:
        名称平台ID
        CIS WS2022 1.2.2
        CIS WS2019 1.2.2
在 1-3 的范围内
(策略)
重要
强制密码历史
(CCE-37166-6)
说明

此策略设置确定在可以重新使用旧密码之前必须与用户帐户关联的续订的、唯一密码的数目。 此策略设置的值必须介于 0 到 24 个密码之间。 适用于 Windows Vista 的默认值为 0 个密码,但域中的默认设置为 24 个密码。 若要使此策略设置保持生效,请使用“最短密码期限”设置来防止用户重复更改其密码。 此设置的建议状态为:“24 个或更多密码”。


注册表项路径:[System Access]PasswordHistorySize
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 24 or more password(s)
计算机配置\策略\Windows 设置\安全设置\帐户策略\密码策略\强制密码历史记录
合规性标准映射:
        名称平台ID
        CIS WS2019 1.1.1
>= 24
(策略)
严重
最长密码期限
(CCE-37167-4)
说明:此策略设置定义用户在密码过期之前可以使用密码的时长。 此策略设置的值范围为 0 到 999 天。 如果将值设置为 0,则密码永不过期。 因为攻击者可以破解密码,所以更改密码的频率越高,攻击者能够使用破解的密码的机会就越少。 但是,此值设置得越低,用户由于必须更改其密码或忘记哪个密码是当前密码而呼叫技术支持的可能性就越高。 此设置的建议状态为:60 or fewer days, but not 0
注册表项路径:[System Access]MaximumPasswordAge
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 365 or fewer days, but not 0
计算机配置\策略\Windows 设置\安全设置\帐户策略\密码策略\密码最长期限
合规性标准映射:
        名称平台ID
        CIS WS2019 1.1.2
在 1-70 范围内
(策略)
严重
最短密码期限
(CCE-37073-4)
说明:此策略设置确定在更改密码之前必须使用密码的天数。 此策略设置的值范围介于 1 到 999 天之间。 (你也可以将该值设置为 0 以允许立即更改密码。)此设置的默认值为 0 天。 此设置的建议状态为:1 or more day(s)
注册表项路径:[System Access]MinimumPasswordAge
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 1 or more day(s)
计算机配置\策略\Windows 设置\安全设置\帐户策略\密码策略\密码最短期限
合规性标准映射:
        名称平台ID
        CIS WS2019 1.1.3
>= 1
(策略)
严重
最短密码长度
(CCE-36534-6)
说明:此策略设置确定构成用户帐户密码的最少字符数。 关于如何确定一个组织的最佳密码长度,有许多不同的理论,但也许“通行短语”是一个比“密码”更好的术语。在 Microsoft Windows 2000 或更高版本中,通行短语可以非常长并且可以包含空格。 因此,诸如“I want to drink a $5 milkshake”的短语是一个有效的通行短语;它比随机数字和字母组成的 8 或 10 字符的字符串强得多,而且更容易记住。 必须为用户提供有关正确选择和维护密码的信息,尤其是与密码长度有关的信息。 在企业环境中,最小密码长度设置的理想值是 14 个字符,但是你应该调整此值以满足组织的业务需求。 此设置的建议状态为:14 or more character(s)
注册表项路径:[System Access]MinimumPasswordLength
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 14 or more character(s)
计算机配置\策略\Windows 设置\安全设置\帐户策略\密码策略\最小密码长度
合规性标准映射:
        名称平台ID
        CIS WS2019 1.1.4
>= 14
(策略)
严重
密码必须符合复杂性要求
(CCE-37063-5)
说明:此策略设置会检查所有新密码,以确保它们满足强密码的基本要求。 如果启用此策略,则密码必须满足以下最低要求:- 不包含用户的帐户名或用户的全名中两个以上的连续字符 - 长度至少为六个字符 - 包含以下四个类别中的三个:- 英语大写字母(A 到 Z)- 英语小写字母(a 到 z)- 10 个基本数字(0 到 9)- 非字母字符(例如 !、$、#、%)- 不属于前四个类别的任何 Unicode 字符的一种全包类别。 第五个类别可能是区域性的。 密码中每增加一个字符,其复杂度就会以指数方式增加。 例如,七个字符的全小写字母密码将具有 267(大约 8 x 109 或 80 亿)种可能的组合。 如果每秒尝试 1,000,000 次(许多密码破解实用程序的能力),只需 133 分钟即可破解。 区分大小写的七字符字母密码具有 527 种组合。 不含标点的七字符区分大小写的字母数字密码具有 627 种组合。 8 个字符的密码具有 268(或 2 x 1011)种可能的组合。 虽然这看起来是一个很大的数字,但如果以每秒 1,000,000 次的速度进行尝试,尝试所有可能的密码只需 59 小时。 请记住,对于使用 ALT 字符和其他特殊键盘字符(例如“!”或“@”)的密码,这些时间将会显著增大。 正确使用密码设置有助于增加暴力攻击的难度。 此设置的建议状态为:Enabled
注册表项路径:[System Access]PasswordComplexity
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\帐户策略\密码策略\密码必须符合复杂性要求

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93459
        STIG WS2016 V-73323
        CIS WS2019 1.1.5
        CIS WS2022 1.1.5
= 1
(策略)
严重
在此后重置帐户锁定计数器
(AZ-WIN-73309)
说明:此策略设置确定“帐户锁定阈值”重置为零之前的时间长度。 此策略设置的默认值为“未定义”。 如果定义了“帐户锁定阈值”,则此重置时间必须小于或等于“帐户锁定持续时间”设置的值。 如果将此策略设置保留为其默认值,或将该值配置为过长的时间间隔,则环境可能容易受到 DoS 攻击。 攻击者可能会针对组织中的所有用户恶意执行多次失败的登录尝试,这将锁定他们的帐户。 如果没有确定任何策略来重置帐户锁定,则此任务将由管理员手动完成。 相反,如果为此策略设置配置了合理的时间值,则用户将被锁定一段时间,直到所有帐户自动解锁。 此设置的建议状态为:15 or more minute(s)。 注意:“密码策略”设置(第 1.1 节)和“帐户锁定策略”设置(第 1.2 节)必须通过“默认域策略”GPO 应用,才能作为默认行为在域用户帐户上全局生效。 如果这些设置是在另一个 GPO 中配置的,则只影响接收该 GPO 的计算机上的本地用户帐户。 但是,可以使用密码设置对象 (PSO) 定义针对特定域用户和/或组的默认密码策略和帐户锁定策略规则的自定义例外,这些对象与组策略完全分开,并且最容易使用 Active Directory 管理中心进行配置。
注册表项路径:[System Access]ResetLockoutCount
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\帐户策略\帐户锁定策略\在此后重置帐户锁定计数器
合规性标准映射:
        名称平台ID
        CIS WS2022 1.2.3
        CIS WS2019 1.2.3
>= 15
(策略)
重要
用可还原的加密来存储密码
(CCE-36286-3)
说明:此策略设置确定操作系统是否以使用可逆加密的方式存储密码,可逆加密为需要知道用户密码以进行身份验证的应用程序协议提供支持。 以可逆加密方式存储的密码实质上与密码的明文版本相同。 此设置的建议状态为:Disabled
注册表项路径:[System Access]ClearTextPassword
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\Windows 设置\安全设置\帐户策略\密码策略\用可还原的加密来存储密码

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93465
        STIG WS2016 V-73325
        CIS WS2019 1.1.7
        CIS WS2022 1.1.7
= 0
(策略)
严重

安全设置 - Windows 防火墙

名称
(ID)
详细信息 预期值
(类型)
严重性
Windows 防火墙:域:允许单播响应
(AZ-WIN-00088)
说明

在需要控制此计算机是否接收其传出的多播或广播消息的单播响应时,此选项非常有用。  

对于专用和域配置文件,我们建议将此设置配置为“是”,这会将注册表值设置为 0。


注册表项路径:Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:将“计算机配置\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性(此链接显示在右侧窗格中)\域配置文件选项卡\设置(选择‘自定义’)\单播响应”的策略值配置为“允许单播响应”
合规性标准映射:
= 0
(注册表)
警告
Windows 防火墙:域:防火墙状态
(CCE-36062-8)
说明:如果选择“启用(推荐)”,具有高级安全性的 Windows 防火墙将使用此配置文件的设置来筛选网络通信。 如果选择“关闭”,具有高级安全性的 Windows 防火墙将不使用任何防火墙规则或此配置文件的连接安全规则。
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 On (recommended)
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\域配置文件\防火墙状态
合规性标准映射:
        名称平台ID
        CIS WS2019 9.1.1
= 1
(注册表)
严重
Windows 防火墙:域:入站连接
(AZ-WIN-202252)
说明:此设置用于确定与入站防火墙规则不匹配的入站连接行为。 此设置的建议状态为:Block (default)
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\域配置文件\入站连接
合规性标准映射:
        名称平台ID
        CIS WS2022 9.1.2
        CIS WS2019 9.1.2
= 1
(注册表)
严重
Windows 防火墙:域:日志记录:记录丢弃的数据包
(AZ-WIN-202226)
说明:使用此选项记录高级安全 Windows 防火墙由于任何原因丢弃入站数据包的时间。 日志记录了丢弃数据包的原因和时间。 在日志的操作列中查找带有单词 DROP 的条目。 此设置的建议状态为:Yes
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\域配置文件\日志记录自定义\记录丢弃的数据包
合规性标准映射:
        名称平台ID
        CIS WS2022 9.1.7
        CIS WS2019 9.1.7
= 1
(注册表)
信息
Windows 防火墙:域:日志记录:记录成功的连接
(AZ-WIN-202227)
说明:使用此选项记录高级安全 Windows 防火墙允许入站连接的时间。 日志记录了形成连接的原因和时间。 在日志的操作列中查找带有单词 ALLOW 的条目。 此设置的建议状态为:Yes
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\域配置文件\日志记录自定义\记录成功的连接
合规性标准映射:
        名称平台ID
        CIS WS2022 9.1.8
        CIS WS2019 9.1.8
= 1
(注册表)
警告
Windows 防火墙:域:日志记录:名称
(AZ-WIN-202224)
说明:使用此选项指定 Windows 防火墙将在其中写入其日志信息的文件的路径和名称。 此设置的建议状态为:%SystemRoot%\System32\logfiles\firewall\domainfw.log
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\域配置文件\日志记录自定义\名称
合规性标准映射:
        名称平台ID
        CIS WS2022 9.1.5
        CIS WS2019 9.1.5
= %SystemRoot%\System32\logfiles\firewall\domainfw.log
(注册表)
信息
Windows 防火墙:域:日志记录:大小限制 (KB)
(AZ-WIN-202225)
说明:使用此选项指定 Windows 防火墙将在其中写入其日志信息的文件的大小限制。 此设置的建议状态为:16,384 KB or greater
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\域配置文件\日志记录自定义\大小限制(KB)
合规性标准映射:
        名称平台ID
        CIS WS2022 9.1.6
        CIS WS2019 9.1.6
>= 16384
(注册表)
警告
Windows 防火墙:域:出站连接
(CCE-36146-9)
说明:此设置用于确定与出站防火墙规则不匹配的出站连接行为。 在 Windows Vista 中,默认行为是允许连接,除非存在阻止连接的防火墙规则。
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Allow (default)
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\域配置文件\出站连接
合规性标准映射:
        名称平台ID
        CIS WS2019 9.1.3
= 0
(注册表)
严重
Windows 防火墙:域:设置:应用本地连接安全规则
(CCE-38040-2)
说明

此设置控制是否允许本地管理员创建本地连接规则,这些规则与组策略配置的防火墙规则一起应用。 此设置的建议状态为“是”,这会将注册表值设置为 1。


注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:将“计算机配置\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性(此链接显示在右侧窗格中)\域配置文件选项卡\设置(选择‘自定义’)\规则合并”的策略值配置为“应用本地连接安全规则”
合规性标准映射:
        名称平台ID
        CIS WS2019 9.3.6
= 1
(注册表)
严重
Windows 防火墙:域:设置:应用本地防火墙规则
(CCE-37860-4)
说明

此设置控制是否允许本地管理员创建本地防火墙规则,这些规则与组策略配置的防火墙规则一起应用。

此设置的建议状态为“是”,这会将注册表值设置为 1。


注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性(此链接显示在右侧窗格中)\域配置文件选项卡\设置(选择“自定义”)\规则合并,应用本地防火墙规则
合规性标准映射:
        名称平台ID
        CIS WS2019 9.3.5
不存在或 = 1
(注册表)
严重
Windows 防火墙:域:设置:显示通知
(CCE-38041-0)
说明

选择此选项后,当程序被阻止接收入站连接时,不会向用户显示任何通知。 在服务器环境中,弹出窗口没有用处,因为用户没有登录,所以弹出窗口不是必需的,并且会给管理员添乱。  

请将此策略设置配置为“否”,这会将注册表值设置为 1。  当程序被阻止接收入站连接时,Windows 防火墙不会显示通知。


注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\域配置文件\设置自定义\显示通知
合规性标准映射:
        名称平台ID
        CIS WS2019 9.1.4
= 1
(注册表)
警告
Windows 防火墙:专用:允许单播响应
(AZ-WIN-00089)
说明

在需要控制此计算机是否接收其传出的多播或广播消息的单播响应时,此选项非常有用。  

对于专用和域配置文件,我们建议将此设置配置为“是”,这会将注册表值设置为 0。


注册表项路径:Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性(此链接显示在右侧窗格中)\专用配置文件选项卡\设置(选择“自定义”)\单播响应,允许单播响应
合规性标准映射:
= 0
(注册表)
警告
Windows 防火墙:专用:防火墙状态
(CCE-38239-0)
说明:如果选择“启用(推荐)”,具有高级安全性的 Windows 防火墙将使用此配置文件的设置来筛选网络通信。 如果选择“关闭”,具有高级安全性的 Windows 防火墙将不使用任何防火墙规则或此配置文件的连接安全规则。
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 On (recommended)
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\专用配置文件\防火墙状态
合规性标准映射:
        名称平台ID
        CIS WS2019 9.2.1
= 1
(注册表)
严重
Windows 防火墙:专用:入站连接
(AZ-WIN-202228)
说明:此设置用于确定与入站防火墙规则不匹配的入站连接行为。 此设置的建议状态为:Block (default)
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\专用配置文件\入站连接
合规性标准映射:
        名称平台ID
        CIS WS2022 9.2.2
        CIS WS2019 9.2.2
= 1
(注册表)
严重
Windows 防火墙:专用:日志记录:记录丢弃的数据包
(AZ-WIN-202231)
说明:使用此选项记录高级安全 Windows 防火墙由于任何原因丢弃入站数据包的时间。 日志记录了丢弃数据包的原因和时间。 在日志的操作列中查找带有单词 DROP 的条目。 此设置的建议状态为:Yes
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\专用配置文件\日志记录自定义\记录丢弃的数据包
合规性标准映射:
        名称平台ID
        CIS WS2022 9.2.7
        CIS WS2019 9.2.7
= 1
(注册表)
信息
Windows 防火墙:专用:日志记录:记录成功的连接
(AZ-WIN-202232)
说明:使用此选项记录高级安全 Windows 防火墙允许入站连接的时间。 日志记录了形成连接的原因和时间。 在日志的操作列中查找带有单词 ALLOW 的条目。 此设置的建议状态为:Yes
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\专用配置文件\日志记录自定义\记录成功的连接
合规性标准映射:
        名称平台ID
        CIS WS2022 9.2.8
        CIS WS2019 9.2.8
= 1
(注册表)
警告
Windows 防火墙:专用:日志记录:名称
(AZ-WIN-202229)
说明:使用此选项指定 Windows 防火墙将在其中写入其日志信息的文件的路径和名称。 此设置的建议状态为:%SystemRoot%\System32\logfiles\firewall\privatefw.log
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\专用配置文件\日志记录自定义\名称
合规性标准映射:
        名称平台ID
        CIS WS2022 9.2.5
        CIS WS2019 9.2.5
= %SystemRoot%\System32\logfiles\firewall\privatefw.log
(注册表)
信息
Windows 防火墙:专用:日志记录:大小限制 (KB)
(AZ-WIN-202230)
说明:使用此选项指定 Windows 防火墙将在其中写入其日志信息的文件的大小限制。 此设置的建议状态为:16,384 KB or greater
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\专用配置文件\日志记录自定义\大小限制(KB)
合规性标准映射:
        名称平台ID
        CIS WS2022 9.2.6
        CIS WS2019 9.2.6
>= 16384
(注册表)
警告
Windows 防火墙:专用:出站连接
(CCE-38332-3)
说明:此设置用于确定与出站防火墙规则不匹配的出站连接行为。 默认行为是允许连接,除非存在阻止连接的防火墙规则。 重要说明:如果在计算机上将“出站连接”设置为“阻止”,然后使用 GPO 部署防火墙策略,则除非创建并部署一个使组策略可以工作的出站规则,否则,接收 GPO 设置的计算机将无法接收到后续的组策略更新。 核心网络的预定义规则包括使组策略可以工作的出站规则。 在部署之前,请确保这些出站规则处于活动状态,并全面测试防火墙配置文件。
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Allow (default)
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\专用配置文件\出站连接
合规性标准映射:
        名称平台ID
        CIS WS2019 9.2.3
= 0
(注册表)
严重
Windows 防火墙:专用:设置:应用本地连接安全规则
(CCE-36063-6)
说明

此设置控制是否允许本地管理员创建本地连接规则,这些规则与组策略配置的防火墙规则一起应用。 此设置的建议状态为“是”,这会将注册表值设置为 1。


注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性(此链接显示在右侧窗格中)\专用配置文件选项卡\设置(选择“自定义”)\规则合并,应用本地连接安全规则
合规性标准映射:
= 1
(注册表)
严重
Windows 防火墙:专用:设置:应用本地防火墙规则
(CCE-37438-9)
说明

此设置控制是否允许本地管理员创建本地防火墙规则,这些规则与组策略配置的防火墙规则一起应用。

此设置的建议状态为“是”,这会将注册表值设置为 1。


注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:将“计算机配置\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性(此链接显示在右侧窗格中)\专用配置文件选项卡\设置(选择‘自定义’)\规则合并”的策略值配置为“应用本地防火墙规则”
合规性标准映射:
不存在或 = 1
(注册表)
严重
Windows 防火墙:专用:设置:显示通知
(CCE-37621-0)
说明

选择此选项后,当程序被阻止接收入站连接时,不会向用户显示任何通知。 在服务器环境中,弹出窗口没有用处,因为用户没有登录,所以弹出窗口不是必需的,并且会给管理员添乱。  

 请将此策略设置配置为“否”,这会将注册表值设置为 1。  当程序被阻止接收入站连接时,Windows 防火墙不会显示通知。


注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\专用配置文件\设置自定义\显示通知
合规性标准映射:
        名称平台ID
        CIS WS2019 9.2.4
= 1
(注册表)
警告
Windows 防火墙:公共:允许单播响应
(AZ-WIN-00090)
说明

在需要控制此计算机是否接收其传出的多播或广播消息的单播响应时,此选项非常有用。 这可以通过将此设置的状态更改为“否”来执行,这会将注册表值设置为 1。


注册表项路径:Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:将“计算机配置\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性(此链接显示在右侧窗格中)\公共配置文件选项卡\设置(选择‘自定义’)\单播响应”的策略值配置为“允许单播响应”
合规性标准映射:
= 1
(注册表)
警告
Windows 防火墙:公用:防火墙状态
(CCE-37862-0)
说明:如果选择“启用(推荐)”,具有高级安全性的 Windows 防火墙将使用此配置文件的设置来筛选网络通信。 如果选择“关闭”,具有高级安全性的 Windows 防火墙将不使用任何防火墙规则或此配置文件的连接安全规则。
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 On (recommended)
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\防火墙状态
合规性标准映射:
        名称平台ID
        CIS WS2019 9.3.1
= 1
(注册表)
严重
Windows 防火墙:公用:入站连接
(AZ-WIN-202234)
说明:此设置用于确定与入站防火墙规则不匹配的入站连接行为。 此设置的建议状态为:Block (default)
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\入站连接
合规性标准映射:
        名称平台ID
        CIS WS2022 9.3.2
        CIS WS2019 9.3.2
= 1
(注册表)
严重
Windows 防火墙:公共:日志记录:记录丢弃的数据包
(AZ-WIN-202237)
说明:使用此选项记录高级安全 Windows 防火墙由于任何原因丢弃入站数据包的时间。 日志记录了丢弃数据包的原因和时间。 在日志的操作列中查找带有单词 DROP 的条目。 此设置的建议状态为:Yes
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\日志记录自定义\记录丢弃的数据包
合规性标准映射:
        名称平台ID
        CIS WS2022 9.3.9
        CIS WS2019 9.3.9
= 1
(注册表)
信息
Windows 防火墙:公共:日志记录:记录成功的连接
(AZ-WIN-202233)
说明:使用此选项记录高级安全 Windows 防火墙允许入站连接的时间。 日志记录了形成连接的原因和时间。 在日志的操作列中查找带有单词 ALLOW 的条目。 此设置的建议状态为:Yes
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\日志记录自定义\记录成功的连接
合规性标准映射:
        名称平台ID
        CIS WS2022 9.3.10
        CIS WS2019 9.3.10
= 1
(注册表)
警告
Windows 防火墙:公共:日志记录:名称
(AZ-WIN-202235)
说明:使用此选项指定 Windows 防火墙将在其中写入其日志信息的文件的路径和名称。 此设置的建议状态为:%SystemRoot%\System32\logfiles\firewall\publicfw.log
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\日志记录自定义\名称
合规性标准映射:
        名称平台ID
        CIS WS2022 9.3.7
        CIS WS2019 9.3.7
= %SystemRoot%\System32\logfiles\firewall\publicfw.log
(注册表)
信息
Windows 防火墙:公共:日志记录:大小限制 (KB)
(AZ-WIN-202236)
说明:使用此选项指定 Windows 防火墙将在其中写入其日志信息的文件的大小限制。 此设置的建议状态为:16,384 KB or greater
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\日志记录自定义\大小限制(KB)
合规性标准映射:
        名称平台ID
        CIS WS2022 9.3.8
        CIS WS2019 9.3.8
>= 16384
(注册表)
信息
Windows 防火墙:公用:出站连接
(CCE-37434-8)
说明:此设置用于确定与出站防火墙规则不匹配的出站连接行为。 默认行为是允许连接,除非存在阻止连接的防火墙规则。 重要说明:如果在计算机上将“出站连接”设置为“阻止”,然后使用 GPO 部署防火墙策略,则除非创建并部署一个使组策略可以工作的出站规则,否则,接收 GPO 设置的计算机将无法接收到后续的组策略更新。 核心网络的预定义规则包括使组策略可以工作的出站规则。 在部署之前,请确保这些出站规则处于活动状态,并全面测试防火墙配置文件。
注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Allow (default)
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\出站连接
合规性标准映射:
        名称平台ID
        CIS WS2019 9.3.3
= 0
(注册表)
严重
Windows 防火墙:公用:设置:应用本地连接安全规则
(CCE-36268-1)
说明

此设置控制是否允许本地管理员创建本地连接规则,这些规则与组策略配置的防火墙规则一起应用。 此设置的建议状态为“是”,这会将注册表值设置为 1。


注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\设置自定义\应用本地连接安全规则
合规性标准映射:
        名称平台ID
        CIS WS2019 9.3.6
= 1
(注册表)
严重
Windows 防火墙:公用:设置:应用本地防火墙规则
(CCE-37861-2)
说明

此设置控制是否允许本地管理员创建本地防火墙规则,这些规则与组策略配置的防火墙规则一起应用。

此设置的建议状态为“是”,这会将注册表值设置为 1。


注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\设置自定义\应用本地防火墙规则
合规性标准映射:
        名称平台ID
        CIS WS2019 9.3.5
不存在或 = 1
(注册表)
严重
Windows 防火墙:公用:设置:显示通知
(CCE-38043-6)
说明

选择此选项后,当程序被阻止接收入站连接时,不会向用户显示任何通知。 在服务器环境中,弹出窗口没有用处,因为用户没有登录,所以弹出窗口不是必需的,并且会给管理员添乱。  

请将此策略设置配置为“否”,这会将注册表值设置为 1。  当程序被阻止接收入站连接时,Windows 防火墙不会显示通知。


注册表项路径:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙\Windows 防火墙属性\公共配置文件\设置自定义\显示通知
合规性标准映射:
        名称平台ID
        CIS WS2019 9.3.4
= 1
(注册表)
警告

系统审核策略 - 帐户登录

名称
(ID)
详细信息 预期值
(类型)
严重性
审核凭据验证
(CCE-37741-6)
说明

此子类别报告为用户帐户登录请求提交的凭据的验证测试结果。 这些事件发生在对凭据具有权威性的计算机上。 对于域帐户,域控制器具有权威性,而对于本地帐户,本地计算机具有权威性。 在域环境中,大多数帐户登录事件发生在对域帐户具有权威性的域控制器的安全日志中。 但是,当使用本地帐户登录时,这些事件可能发生在组织中的其他计算机上。 此子类别的事件包括:- 4774:已映射帐户进行登录。 - 4775:无法映射帐户进行登录。 - 4776:域控制器试图验证账户的凭据。 - 4777:域控制器未能验证账户的凭据。 此设置的建议状态为:“成功和失败”。


注册表项路径:{0CCE923F-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Success and Failure
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\帐户登录\审核凭据验证

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93153
        STIG WS2016 V-73413
        CIS WS2019 17.1.1
        CIS WS2022 17.1.1
= 成功和失败
(审核)
严重
审核 Kerberos 身份验证服务
(AZ-WIN-00004)
说明:此子类别报告 Kerberos 身份验证 TGT 请求后生成的事件结果。 Kerberos 是一种分布式身份验证服务,它允许以用户身份运行的客户端向服务器证明其身份,而无需通过网络发送数据。 这有助于缓解攻击者或服务器冒充用户的风险。 - 4768:请求了 Kerberos 身份验证票证 (TGT)。 - 4771:Kerberos 预身份验证失败。 - 4772:Kerberos 身份验证票证请求失败。 此设置的建议状态为:Success and Failure
注册表项路径:{0CCE9242-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\帐户登录\审核 Kerberos 身份验证服务
合规性标准映射:
        名称平台ID
        CIS WS2022 17.1.2
        CIS WS2019 17.1.2
>= 成功和失败
(审核)
严重

系统审核策略 - 帐户管理

名称
(ID)
详细信息 预期值
(类型)
严重性
审核分发组管理
(CCE-36265-7)
说明:此子类别报告通讯组管理的每个事件,例如何时创建、更改或删除通讯组,或者何时向通讯组添加成员或从通讯组中删除成员。 如果启用此“审核策略”设置,则管理员可以跟踪事件,以检测恶意、意外和未经授权创建组帐户。 此子类别的事件包括:- 4744:创建了禁用了安全性的全局组。 - 4745:更改了禁用了安全性的本地组。 - 4746:向禁用了安全性的本地组中添加了成员。 - 4747:从禁用了安全性的本地组中删除了成员。 - 4748:删除了禁用了安全性的本地组。 - 4749:创建了禁用了安全性的全局组。 - 4750:更改了禁用了安全性的全局组。 - 4751:向禁用了安全性的全局组中添加了成员。 - 4752:从禁用了安全性的全局组中删除了成员。 - 4753:删除了禁用了安全性的全局组。 - 4759:创建了禁用了安全性的通用组。 - 4760:更改了禁用了安全性的通用组。 - 4761:向禁用了安全性的通用组中添加了成员。 - 4762:从禁用了安全性的通用组中删除了成员。 - 4763:删除了禁用了安全性的通用组。 此设置的建议状态包括:Success
注册表项路径:{0CCE9238-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\帐户管理\审核通讯组管理
合规性标准映射:
        名称平台ID
        CIS WS2022 17.2.3
        CIS WS2019 17.2.3
>= 成功
(审核)
严重
审核其他帐户管理事件
(CCE-37855-4)
说明:此子类别报告其他帐户管理事件。 此子类别的事件包括:— 4782:访问了帐户的密码哈希。 \- 4793:调用了密码策略检查 API。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE923A-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Success
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\帐户管理\审核其他帐户管理事件
合规性标准映射:
        名称平台ID
        CIS WS2019 17.2.4
>= 成功
(审核)
严重
审核安全组管理
(CCE-38034-5)
说明:此子类别报告安全组管理的每个事件,例如创建、更改或删除安全组,或者向安全组添加成员或从安全组中删除成员。 如果启用此审核策略设置,则管理员可以跟踪事件,以检测恶意、意外和未经授权创建安全组帐户。 此子类别的事件包括:- 4727:创建了启用了安全性的全局组。 - 4728:向启用了安全性的全局组中添加了成员。 - 4729:从启用了安全性的全局组中删除了成员。 - 4730:删除了启用了安全性的全局组。 - 4731:创建了启用了安全性的本地组。 - 4732:向启用了安全性的本地组中添加了成员。 - 4733:从启用了安全性的本地组中删除了成员。 - 4734:删除了启用了安全性的本地组。 - 4735:更改了启用了安全性的本地组。 - 4737:更改了启用了安全性的全局组。 - 4754:创建了启用了安全性的通用组。 - 4755:更改了启用了安全性的通用组。 - 4756:向启用了安全性的通用组中添加了成员。 - 4757:从启用了安全性的通用组中删除了成员。 - 4758:删除了启用了安全性的通用组。 - 4764:更改了组的类型。 此设置的建议状态为:Success and Failure
注册表项路径:{0CCE9237-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Success
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\帐户管理\审核安全组管理
合规性标准映射:
        名称平台ID
        CIS WS2019 17.2.5
>= 成功
(审核)
严重
审核用户帐户管理
(CCE-37856-2)
说明:此子类别报告用户帐户管理的每个事件,例如创建、更改或删除用户帐户;重命名、禁用或启用用户帐户;设置或更改密码。 如果启用此审核策略设置,则管理员可以跟踪事件,以检测恶意、意外和未经授权创建用户帐户。 此子类别的事件包括:- 4720:创建了用户帐户。 - 4722:启用了用户帐户。 - 4723:尝试更改帐户的密码。 - 4724:尝试重置帐户的密码。 - 4725:禁用了用户帐户。 - 4726:删除了用户帐户。 - 4738:更改了用户帐户。 - 4740:用户帐户被锁定。- 4765:向帐户中添加了 SID 历史记录。 - 4766:尝试向帐户中添加 SID 历史记录失败。 - 4767:已解锁用户帐户。 - 4780:在作为管理员组成员的帐户上设置了 ACL。 - 4781:更改了帐户的名称:- 4794:尝试设置目录服务还原模式。 - 5376:备份了凭据管理器凭据。 - 5377:从备份中还原了凭据管理器凭据。 此设置的建议状态为:Success and Failure
注册表项路径:{0CCE9235-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Success and Failure
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\帐户管理\审核用户帐户管理

合规性标准映射:
        名称平台ID
        STIG WS2019 V-92981
        STIG WS2016 V-73427
        CIS WS2019 17.2.6
        CIS WS2022 17.2.6
= 成功和失败
(审核)
严重

系统审核策略 - 详细跟踪

名称
(ID)
详细信息 预期值
(类型)
严重性
审核 PNP 活动
(AZ-WIN-00182)
说明:使用此策略设置,可以在即插即用检测到外部设备时进行审核。 此设置的建议状态为:Success注意: 若要在组策略中访问和设置此值,需要 Windows 10、Server 2016 或更高版本的 OS。
注册表项路径:{0CCE9248-69AE-11D9-BED3-505054503030}
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项\审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置

合规性标准映射:
        名称平台ID
        CIS WS2019 17.3.1
        CIS WS2022 17.3.1
>= 成功
(审核)
严重
审核进程创建
(CCE-36059-4)
说明:此子类别报告进程的创建以及创建了该进程的程序或用户的名称。 此子类别的事件包括:- 4688:创建了新进程。 - 4696:向进程分配了主要令牌。 有关此设置的最新信息,请参阅 Microsoft 知识库文章 947226。 此设置的建议状态为:Success
注册表项路径:{0CCE922B-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Success
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\详细跟踪\审核进程创建

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93173
        STIG WS2016 V-73433
        CIS WS2019 17.3.2
        CIS WS2022 17.3.2
>= 成功
(审核)
严重

系统审核策略 - DS 访问

名称
(ID)
详细信息 预期值
(类型)
严重性
审核目录服务访问
(CCE-37433-0)
说明:此子类别报告何时访问 AD DS 对象。 只有具有 SACL 的对象才会导致生成审核事件,并且仅当以与其 SACL 匹配的方式访问这些事件时。 这些事件类似于早期版本的 Windows Server 中的目录服务访问事件。 此子类别仅适用于域控制器。 此子类别的事件包括:- 4662:针对某个对象执行了操作。 此设置的建议状态包括:Failure
注册表项路径:{0CCE923B-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\DS 访问\审核目录服务访问
合规性标准映射:
        名称平台ID
        CIS WS2022 17.4.1
        CIS WS2019 17.4.1
>= 失败
(审核)
严重
审核目录服务更改
(CCE-37616-0)
说明:此子类别报告 Active Directory 域服务 (AD DS) 中对象的更改。 报告的更改类型包括针对某个对象执行的创建、修改、移动和取消删除操作。 DS 更改审核(如果适用)指示已更改对象的已更改属性的旧值和新值。 只有具有 SACL 的对象才会导致生成审核事件,并且仅当以与其 SACL 匹配的方式访问这些事件时。 由于架构中对象类的设置,因此某些对象和属性不会导致生成审核事件。 此子类别仅适用于域控制器。 此子类别的事件包括:- 5136:修改了目录服务对象。 - 5137:创建了目录服务对象。 - 5138:取消删除了目录服务对象。 - 5139:删除了目录服务对象。 此设置的建议状态包括:Success
注册表项路径:{0CCE923C-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\DS 访问\审核目录服务更改
合规性标准映射:
        名称平台ID
        CIS WS2022 17.4.2
        CIS WS2019 17.4.2
>= 成功
(审核)
严重
审核目录服务复制
(AZ-WIN-00093)
说明:此子类别报告两个域控制器之间的复制开始时间和结束时间。 此子类别的事件包括:- 4932:Active Directory 命名上下文的副本同步已开始。 - 4933:Active Directory 命名上下文的副本同步已结束。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件说明”:http:--support.microsoft.com-default.aspx-kb-947226
注册表项路径:{0CCE923D-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\DS 访问\审核目录服务复制
合规性标准映射:
>= 无审核
(审核)
严重

系统审核策略 - 登录-注销

名称
(ID)
详细信息 预期值
(类型)
严重性
审核帐户锁定
(CCE-37133-6)
说明:此子类别报告用户帐户由于登录尝试失败次数过多而被锁定的情况。 此子类别的事件包括:— 4625:帐户登录失败。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE9217-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Failure
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\登录/注销\审核帐户锁定
合规性标准映射:
        名称平台ID
        CIS WS2019 17.5.1
>= 失败
(审核)
严重
审核组成员身份
(AZ-WIN-00026)
说明:使用“审核组成员身份”,你可以在客户端计算机上枚举了组成员身份时审核它们。 此策略允许你审核用户登录令牌中的组成员身份信息。 此子类别中的事件在创建登录会话的计算机上生成。 对于交互式登录,会在用户登录到的计算机上生成安全审核事件。 对于网络登录,如访问网络上的共享文件夹,将在承载资源的计算机上生成安全审核事件。 还必须启用“审核登录”子类别。 如果组成员身份信息无法容纳于单个安全审核事件中,将会生成多个事件。 审核的事件包括以下各项:- 4627 (S):组成员身份信息。
注册表项路径:{0CCE9249-69AE-11D9-BED3-505054503030}
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Success
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\登录/注销\审核组成员身份
合规性标准映射:
        名称平台ID
        CIS WS2019 17.5.2
>= 成功
(审核)
严重
审核注销
(CCE-38237-4)
说明

此子类别报告用户何时从系统注销。 这些事件发生在被访问的计算机上。 对于交互式登录,这些事件的生成发生在登录到的计算机上。 如果进行网络登录来访问共享,则这些事件将在承载被访问资源的计算机上生成。 如果将此设置配置为“不审核”,则很难或无法确定哪个用户已访问或尝试访问组织的计算机。 此子类别的事件包括:- 4634:帐户已注销。 - 4647:用户启动的注销。 此设置的建议状态为:“成功”。


注册表项路径:{0CCE9216-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Success
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\登录/注销\审核注销

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93171
        STIG WS2016 V-73449
        CIS WS2019 17.5.3
        CIS WS2022 17.5.3
>= 成功
(审核)
严重
审核登录
(CCE-38036-0)
说明

此子类别报告用户何时尝试登录到系统。 这些事件发生在被访问的计算机上。 对于交互式登录,这些事件的生成发生在登录到的计算机上。 如果进行网络登录来访问共享,则这些事件将在承载被访问资源的计算机上生成。 如果将此设置配置为“不审核”,则很难或无法确定哪个用户已访问或尝试访问组织的计算机。 此子类别的事件包括:- 4624:帐户已成功登录。 - 4625:无法登录帐户 - 4648:尝试使用显式凭据登录。 - 4675:筛选了 SID。 此设置的建议状态为:“成功和失败”。


注册表项路径:{0CCE9215-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Success and Failure
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\登录/注销\审核登录

合规性标准映射:
        名称平台ID
        STIG WS2019 V-92967
        STIG WS2016 V-73451
        CIS WS2019 17.5.4
        CIS WS2022 17.5.4
= 成功和失败
(审核)
严重
审核其他登录/注销事件
(CCE-36322-6)
说明:此子类别报告其他与登录/注销相关的事件,例如终端服务会话断开连接和重新连接、使用“运行方式”在不同的帐户下运行进程,以及锁定和解锁工作站。 此子类别的事件包括:— 4649:检测到重播攻击。 — 4778:会话已重新连接到窗口工作站。 — 4779:会话已从窗口工作站断开连接。 — 4800:工作站被锁定。 — 4801:工作站已解锁。 — 4802:调用了屏幕保护程序。 — 4803:消除了屏幕保护程序。 — 5378:策略禁止了所请求的凭据委派。 — 5632:请求向无线网络进行身份验证。 — 5633:请求向有线网络进行身份验证。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE921C-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Success and Failure
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\登录/注销\审核其他登录/注销事件
合规性标准映射:
        名称平台ID
        CIS WS2019 17.5.5
= 成功和失败
(审核)
严重
审核特殊登录
(CCE-36266-5)
说明:此子类别报告何时使用特殊登录。 特殊登录是具有管理员等效权限的登录,可用于将进程提升到更高级别。 此子类别的事件包括:- 4964:已为新登录分配了特殊组。 此设置的建议状态为:Success
注册表项路径:{0CCE921B-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Success
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\登录/注销\审核特殊登录

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93161
        STIG WS2016 V-73455
        CIS WS2019 17.5.6
        CIS WS2022 17.5.6
>= 成功
(审核)
严重

系统审核策略 - 对象访问

名称
(ID)
详细信息 预期值
(类型)
严重性
审核详细的文件共享
(AZ-WIN-00100)
说明:此子类别允许你对共享文件夹上的文件和文件夹的访问尝试进行审核。 此子类别的事件包括:- 5145:检查网络共享对象以查看是否可以授予客户端所需的访问权限。 此设置的建议状态包括:Failure
注册表项路径:{0CCE9244-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\对象访问\审核详细的文件共享
合规性标准映射:
        名称平台ID
        CIS WS2022 17.6.1
        CIS WS2019 17.6.1
>= 失败
(审核)
严重
审核文件共享
(AZ-WIN-00102)
说明:此策略设置允许你对共享文件夹的访问尝试进行审核。 此设置的建议状态为:Success and Failure。 注意:共享文件夹没有系统访问控制列表 (SACL)。 如果启用此策略设置,则会审核对系统上所有共享文件夹的访问。
注册表项路径:{0CCE9224-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\对象访问\审核文件共享
合规性标准映射:
        名称平台ID
        CIS WS2022 17.6.2
        CIS WS2019 17.6.2
= 成功和失败
(审核)
严重
审核其他对象访问事件
(AZ-WIN-00113)
说明:此子类别报告其他与对象访问相关的事件,例如任务计划程序作业和 COM+ 对象。 此子类别的事件包括:— 4671:应用程序尝试通过 TBS 访问被阻止的序号。 — 4691:已请求间接访问某个对象。 — 4698:创建了一个计划任务。 — 4699:删除了一个计划任务。 — 4700:启用了一个计划任务。 — 4701:禁用了一个计划任务。 — 4702:更新了一个计划任务。 — 5888:修改了 COM + 目录中的对象。 — 5889:从 COM + 目录中删除了对象。 — 5890:向 COM + 目录中添加了对象。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE9227-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Success and Failure
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\对象访问\审核其他对象访问事件
合规性标准映射:
        名称平台ID
        CIS WS2019 17.6.3
= 成功和失败
(审核)
严重
审核可移动存储
(CCE-37617-8)
说明:此策略设置允许你在用户尝试访问可移动存储设备上的文件系统对象时进行审核。 仅为请求的所有访问类型的所有对象生成安全审核事件。 如果配置此策略设置,则会在帐户访问可移动存储上的文件系统对象时生成审核事件。 成功审核记录成功的尝试,而失败审核记录不成功的尝试。 如果未配置此策略设置,则当帐户访问可移动存储上的文件系统对象时,不会生成审核事件。 此设置的建议状态为:Success and Failure注意: 若要在组策略中访问和设置此值,需要 Windows 8、Server 2012(非 R2)或更高版本的 OS。
注册表项路径:{0CCE9245-69AE-11D9-BED3-505054503030}
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Success and Failure
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\对象访问\审核可移动存储

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93167
        STIG WS2016 V-73457
        CIS WS2019 17.6.4
        CIS WS2022 17.6.4
= 成功和失败
(审核)
严重

系统审核策略 - 策略更改

名称
(ID)
详细信息 预期值
(类型)
严重性
审核身份验证策略更改
(CCE-38327-3)
说明:此子类别报告身份验证策略中的更改。 此子类别的事件包括:— 4706:创建了对域的新信任。 — 4707:删除了对域的信任。 — 4713:更改了 Kerberos 策略。 — 4716:修改了受信任的域信息。 — 4717:向帐户授予了系统安全访问权限。 — 4718:从帐户中删除了系统安全访问权限。 — 4739:更改了域策略。 — 4864:检测到命名空间冲突。 — 4865:添加了受信任的林信息条目。 — 4866:删除了受信任的林信息条目。 — 4867:修改了受信任的林信息条目。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE9230-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Success
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\策略更改\审核身份验证策略更改
合规性标准映射:
        名称平台ID
        CIS WS2019 17.7.2
>= 成功
(审核)
严重
审核授权策略更改
(CCE-36320-0)
说明:此子类别报告授权策略中的更改。 此子类别的事件包括:- 4704:分配了用户权限。 - 4705:删除了用户权限。 - 4706:为域创建了新的信任。 - 4707:删除了对域的信任。 - 4714:更改了加密数据恢复策略。 此设置的建议状态包括:Success
注册表项路径:{0CCE9231-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\策略更改\审核授权策略更改
合规性标准映射:
        名称平台ID
        CIS WS2022 17.7.3
        CIS WS2019 17.7.3
>= 成功
(审核)
严重
审核 MPSSVC 规则级别策略更改
(AZ-WIN-00111)
说明:此子类别报告 Microsoft 保护服务 (MPSSVC.exe) 所使用的策略规则的更改。 Windows 防火墙和 Microsoft OneCare 将使用此服务。 此子类别的事件包括:— 4944:Windows 防火墙启动时以下策略处于活动状态。 — 4945:Windows 防火墙启动时列出了某个规则。 — 4946:对 Windows 防火墙例外列表进行了更改。 已添加规则。 — 4947:对 Windows 防火墙例外列表进行了更改。 已修改规则。 — 4948:对 Windows 防火墙例外列表进行了更改。 已删除规则。 — 4949:Windows 防火墙设置已还原为默认值。 — 4950:Windows 防火墙设置已更改。 — 4951:已忽略了某个规则,因为 Windows 防火墙无法识别其主版本号。 — 4952:已忽略某个规则的某些部分,因为 Windows 防火墙未识别其次要版本号。 将强制实施规则的其他部分。 — 4953:Windows 防火墙忽略了某个规则,因为它无法分析该规则。 — 4954:Windows 防火墙组策略设置已更改。 已应用新设置。 — 4956:Windows 防火墙更改了活动配置文件。 — 4957:Windows 防火墙未应用以下规则:— 4958:Windows 防火墙未应用以下规则,因为此规则引用了此计算机上未配置的项:有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”:https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE9232-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Success and Failure
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\策略更改\审核 MPSSVC 规则级别策略更改
合规性标准映射:
        名称平台ID
        CIS WS2019 17.7.4
= 成功和失败
(审核)
严重
审核其他策略更改事件
(AZ-WIN-00114)
说明:此子类别包含以下事件:EFS 数据恢复代理策略更改、Windows 筛选平台筛选器中的更改、本地“组策略”设置的“安全策略”设置更新状态、中心访问策略更改,以及下一代加密 (CNG) 操作的详细故障排除事件。 - 5063:尝试了加密提供程序操作。 - 5064:尝试了加密上下文操作。 - 5065:尝试了加密上下文修改。 - 5066:尝试了加密函数操作。 - 5067:尝试了加密函数修改。 - 5068:尝试了加密函数提供程序操作。 - 5069:尝试了加密函数属性操作。 - 5070:尝试了加密函数属性修改。 - 6145:处理组策略对象中的安全策略时发生了一个或多个错误。 此设置的建议状态包括:Failure
注册表项路径:{0CCE9234-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\策略更改\审核其他策略更改事件
合规性标准映射:
        名称平台ID
        CIS WS2022 17.7.5
        CIS WS2019 17.7.5
>= 失败
(审核)
严重
审核策略更改
(CCE-38028-7)
说明:此子类别报告审核策略中的更改,包括 SACL 更改。 此子类别的事件包括:— 4715:某个对象上的审核策略 (SACL) 已更改。 — 4719:系统审核策略已更改。 — 4902:已创建每用户审核策略表。 — 4904:尝试注册安全事件源。 — 4905:尝试注销安全事件源。 — 4906:CrashOnAuditFail 值已更改。 — 4907:某个对象上的审核设置已更改。 — 4908:特殊组登录表已修改。 — 4912:每用户审核策略已更改。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE922F-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\策略更改\审核审核策略更改
合规性标准映射:
        名称平台ID
        CIS WS2019 17.7.1
>= 成功
(审核)
严重

系统审核策略 - 特权使用

名称
(ID)
详细信息 预期值
(类型)
严重性
审核敏感权限使用
(CCE-36267-3)
说明:此子类别报告用户帐户或服务何时使用敏感权限。 敏感权限包括以下用户权限:作为操作系统的一部分进行操作,备份文件和目录,创建令牌对象,调试程序,使计算机和用户帐户能够被信任以进行委派,生成安全审核,在身份验证后模拟客户端,加载和卸载设备驱动程序,管理审核和安全日志,修改固件环境值,替换进程级令牌,还原文件和目录,以及获得文件或其他对象的所有权。 审核此子类别将产生大量事件。 此子类别的事件包括:— 4672:为新登录分配了特殊权限。 — 4673:调用了特权服务。 — 4674:尝试对特权对象执行操作。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE9228-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Success and Failure
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\特权使用\审核敏感权限使用
合规性标准映射:
        名称平台ID
        CIS WS2019 17.8.1
= 成功和失败
(审核)
严重

系统审核策略 - 系统

名称
(ID)
详细信息 预期值
(类型)
严重性
审核 IPsec 驱动程序
(CCE-37853-9)
说明:此子类别报告 Internet 协议安全 (IPsec) 驱动程序的活动。 此子类别的事件包括:- 4960:IPsec 丢弃了未通过完整性检查的入站数据包。 如果此问题仍然存在,则可能表明存在网络问题或数据包在传输到此计算机的过程中被修改。 验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。 此错误还可能表示与其他 IPsec 实现的互操作性问题。 - 4961:IPsec 丢弃了未通过重放检查的入站数据包。 如果此问题仍然存在,则可能表示此计算机受到重放攻击。 - 4962:IPsec 丢弃了未通过重放检查的入站数据包。 入站数据包的序列号太低,无法确保它是否通过重放。 - 4963:IPsec 丢弃了本应受到保护的入站明文数据包。 这通常是由于远程计算机在未通知此计算机的情况下更改了其 IPsec 策略。 这也可能是一次欺骗攻击尝试。 - 4965:IPsec 收到来自远程计算机的数据包,该数据包带有错误的安全参数索引 (SPI)。 这通常是由损坏数据包的故障硬件引起的。 如果这些错误仍然存在,请验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。 此错误还可以表示与其他 IPsec 实现的互操作性问题。 在这种情况下,如果连接不受阻碍,则可以忽略这些事件。 - 5478:IPsec Services 已成功启动。 - 5479:IPsec Services 已成功关闭。 关闭 IPsec Services 会使计算机面临更大的网络攻击风险,或使计算机面临潜在的安全风险。 - 5480:IPsec Services 无法获取计算机上网络接口的完整列表。 这会带来潜在的安全风险,因为某些网络接口可能无法获得由应用的 IPsec 筛选器提供的保护。 使用 IP 安全监视器管理单元来诊断问题。 - 5483:IPsec Services 无法初始化 RPC 服务器。 无法启动 IPsec Services。 - 5484:IPsec Services 发生严重故障并已关闭。 关闭 IPsec Services 会使计算机面临更大的网络攻击风险,或使计算机面临潜在的安全风险。 - 5485:IPsec Services 无法针对网络接口的即插即用事件处理某些 IPsec 筛选器。 这会带来潜在的安全风险,因为某些网络接口可能无法获得由应用的 IPsec 筛选器提供的保护。 使用 IP 安全监视器管理单元来诊断问题。 此设置的建议状态为:Success and Failure
注册表项路径:{0CCE9213-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\系统\审核 IPsec 驱动程序
合规性标准映射:
        名称平台ID
        CIS WS2022 17.9.1
        CIS WS2019 17.9.1
>= 成功和失败
(审核)
严重
审核其他系统事件
(CCE-38030-3)
说明:此子类别将报告其他系统事件。 此子类别的事件包括:- 5024:Windows 防火墙服务已成功启动。 - 5025:已停止 Windows 防火墙服务。 - 5027:Windows 防火墙服务无法从本地存储检索安全策略。 该服务将继续强制实施当前策略。 - 5028:Windows 防火墙服务无法分析新的安全策略。 该服务将继续强制实施当前策略。 - 5029:Windows 防火墙服务无法初始化驱动程序。 该服务将继续强制实施当前策略。 - 5030:无法启动 Windows 防火墙服务。 - 5032:Windows 防火墙无法通知用户已禁止应用程序接受网络中的传入连接。 - 5033:已成功启动 Windows 防火墙驱动程序。 - 5034:Windows 防火墙驱动程序已停止。 - 5035:无法启动 Windows 防火墙驱动程序。 - 5037:Windows 防火墙驱动程序检测到严重的运行时错误。 正在终止。 - 5058:密钥文件操作。 - 5059:密钥迁移操作。 此设置的建议状态为:Success and Failure
注册表项路径:{0CCE9214-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\系统\审核其他系统事件
合规性标准映射:
        名称平台ID
        CIS WS2022 17.9.2
        CIS WS2019 17.9.2
= 成功和失败
(审核)
严重
审核安全状态更改
(CCE-38114-5)
说明:此子类别报告系统的安全状态更改,例如安全子系统启动和停止。 此子类别的事件包括:— 4608:Windows 正在启动。 — 4609:Windows 正在关闭。 — 4616:系统时间已更改。 — 4621:管理员已从 CrashOnAuditFail 中恢复了系统。 现在将允许非管理员用户登录。 某个可审核活动可能未记录。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE9210-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Success
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\系统\审核安全状态更改
合规性标准映射:
        名称平台ID
        CIS WS2019 17.9.3
>= 成功
(审核)
严重
审核安全系统扩展
(CCE-36144-4)
说明:此子类别报告由安全子系统执行的扩展代码(例如身份验证包)的加载。 此子类别的事件包括:— 4610:本地安全机构加载了身份验证包。 — 4611:已向本地安全机构注册了可信登录进程。 — 4614:安全帐户管理器加载了通知包。 — 4622:本地安全机构加载了安全包。 — 4697:在系统中安装了服务。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE9211-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Success
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\系统\审核安全系统扩展
合规性标准映射:
        名称平台ID
        CIS WS2019 17.9.4
>= 成功
(审核)
严重
审核系统完整性
(CCE-37132-8)
说明:此子类别报告安全子系统完整性违规。 此子类别的事件包括:— 4612:分配给审核消息队列的内部资源已耗尽,导致某些审核丢失。 — 4615:LPC 端口的使用无效。 — 4618:发生了受监视的安全事件模式。 — 4816:RPC 在解密传入的消息时检测到完整性违规。 — 5038:代码完整性确定文件的图像哈希无效。 文件可能由于未经授权的修改而损坏,或者无效的哈希值可能表示潜在的磁盘设备错误。 — 5056:执行了加密自检。 — 5057:加密基元操作失败。 — 5060:验证操作失败。 — 5061:加密操作。 — 5062:执行了内核模式加密自检。 有关此设置的最新信息,请参阅 Microsoft 知识库文章“Windows Vista 和 Windows Server 2008 中的安全事件的说明”: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd
注册表项路径:{0CCE9212-69AE-11D9-BED3-505054503030}
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为“成功和失败”:
计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\系统\审核系统完整性
合规性标准映射:
        名称平台ID
        CIS WS2019 17.9.5
= 成功和失败
(审核)
严重

用户权限分配

名称
(ID)
详细信息 预期值
(类型)
严重性
作为受信任呼叫方的访问凭据管理器
(CCE-37056-9)
说明:此安全设置由凭据管理器在备份和还原过程中使用。 任何帐户都不应具有此用户权限,因为它只分配给 Winlogon。 如果将此用户权限分配给其他实体,则用户的保存的凭据可能会受到威胁。 此设置的建议状态为:No One
注册表项路径:[Privilege Rights]SeTrustedCredManAccessPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No One
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\作为受信任的呼叫方访问凭据管理器

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93049
        STIG WS2016 V-73729
        CIS WS2019 2.2.1
        CIS WS2022 2.2.1
= 无人
(策略)
警告
从网络访问此计算机
(CCE-35818-4)
说明

此策略设置允许网络上的其他用户连接到计算机,并且是各种网络协议所必需的,这些协议包括基于服务器消息块 (SMB) 的协议、NetBIOS、公用 Internet 文件系统 (CIFS) 和组件对象模型增强版 (COM+)。 - 级别 1 - 域控制器。此设置的建议状态为:“Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS”。 - 级别 1 - 成员服务器。此设置的建议状态为:“Administrators、Authenticated Users”。


注册表项路径:[Privilege Rights]SeNetworkLogonRight
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请配置以下 UI 路径:
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\从网络访问这台计算机

合规性标准映射:
        名称平台ID
        STIG WS2019 V-92995
        STIG WS2016 V-73731
        CIS WS2019 2.2.3
        CIS WS2022 2.2.3
<= Administrators、Authenticated Users
(策略)
严重
以操作系统方式操作
(CCE-36876-1)
说明:此策略设置允许进程采用任何用户的身份,从而获得对该用户有权访问的资源的访问权限。 此设置的建议状态为:No One
注册表项路径:[Privilege Rights]SeTcbPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No One
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\以操作系统方式执行

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93051
        STIG WS2016 V-73735
        CIS WS2019 2.2.4
        CIS WS2022 2.2.4
= 无人
(策略)
严重
允许本地登录
(CCE-37659-0)
说明:此策略设置确定哪些用户可采用交互方式登录到你的环境中的计算机。 通过在客户端计算机键盘上按 CTRL + ALT + DEL 键序列启动的登录需要此用户权限。 尝试通过终端服务或 IIS 登录的用户也需要此用户权限。 默认情况下,将为来宾帐户分配此用户权限。 尽管默认情况下禁用此帐户,但 Microsoft 建议你通过组策略启用此设置。 但是,通常应当仅为 Administrators 和 Users 组分配此用户权限。 如果你的组织要求 Backup Operators 组具有此功能,请将此用户权限分配给该组。 在 SCM 中配置用户权限时,请输入以逗号分隔的帐户列表。 帐户可以是本地帐户,也可以位于 Active Directory 中,它们可以是组、用户或计算机。
注册表项路径:[Privilege Rights]SeInteractiveLogonRight
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请配置以下 UI 路径:
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\允许本地登录
合规性标准映射:
        名称平台ID
        CIS WS2019 2.2.7
= 管理员
(策略)
严重
允许通过远程桌面服务登录
(CCE-37072-6)
说明

此策略设置确定哪些用户或组有权作为终端服务客户端登录。 远程桌面用户需要此用户权限。 如果你的组织使用远程协助作为其技术支持策略的一部分,请创建一个组并通过组策略将此用户权限分配给它。 如果你的组织的技术支持不使用远程协助,请仅将此用户权限分配给 Administrators 组,或使用“受限制的组”功能确保“Remote Desktop Users”组中没有用户帐户。 请仅为 Administrators 组(可能还有 Remote Desktop Users 组)分配此用户权限,以防止无关用户通过远程协助功能访问网络上的计算机。 - 级别 1 - 域控制器。此设置的建议状态为:“Administrators”。 - 级别 1 - 成员服务器。此设置的建议状态为:“Administrators、Remote Desktop Users”。 注意:如果成员服务器拥有“远程桌面连接代理”角色服务的“远程桌面服务”角色,那么,该服务器所需的设置状态会特别地例外于此建议,以允许向“Authenticated Users”组授予此用户权限。 注意 2:上述列表将被视为允许列表,这意味着上述主体无需存在,此建议的评估也可通过。


注册表项路径:[Privilege Rights]SeRemoteInteractiveLogonRight
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请配置以下 UI 路径:
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\允许通过远程桌面服务登录

合规性标准映射:
        名称平台ID
        STIG WS2019 V-92997
        STIG WS2016 V-73741
        CIS WS2019 2.2.8
        CIS WS2022 2.2.8
        CIS WS2019 2.2.9
        CIS WS2022 2.2.9
<= Administrators、Remote Desktop Users
(策略)
严重
备份文件和目录
(CCE-35912-5)
说明:此策略设置允许用户绕过文件和目录权限来备份系统。 仅当应用程序(例如 NTBACKUP)尝试通过 NTFS 文件系统备份应用程序编程接口 (API) 访问文件或目录时,才启用此用户权限。 否则,将应用分配的文件和目录权限。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeBackupPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\备份文件和目录

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93053
        STIG WS2016 V-73743
        CIS WS2019 2.2.10
        CIS WS2022 2.2.10
<= Administrators、Backup Operators、Server Operators
(策略)
严重
跳过遍历检查
(AZ-WIN-00184)
说明:此策略设置允许没有“遍历文件夹”访问权限的用户在浏览 NTFS 文件系统或注册表中的对象路径时越过文件夹。 此用户权限不允许用户列出文件夹的内容。 在 SCM 中配置用户权限时,请输入以逗号分隔的帐户列表。 帐户可以是本地帐户,也可以位于 Active Directory 中,它们可以是组、用户或计算机。
注册表项路径:[Privilege Rights]SeChangeNotifyPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:将“计算机配置\Windows 设置\安全设置\本地策略\用户权限分配\绕过遍历检查”的策略值配置为仅包括以下帐户或组:Administrators, Authenticated Users, Backup Operators, Local Service, Network Service
合规性标准映射:
<= Administrators、Authenticated Users、Backup Operators、Local Service、Network Service
(策略)
严重
更改系统时间
(CCE-37452-0)
说明:此策略设置确定哪些用户和组可以更改环境中计算机的内部时钟的时间和日期。 分配有此用户权限的用户可能会影响事件日志的外观。 更改计算机的时间设置后,所记录的事件将反映新时间,而不是事件的实际发生时间。 在 SCM 中配置用户权限时,请输入以逗号分隔的帐户列表。 帐户可以是本地帐户,也可以位于 Active Directory 中,它们可以是组、用户或计算机。 注意: 本地计算机上的时间与环境中域控制器上的时间之间的差异可能会导致 Kerberos 身份验证协议出现问题,这可能导致用户无法登录到域,或者在登录后无法获得授权来访问域资源。 此外,如果系统时间与域控制器不同步,则当组策略应用于客户端计算机时,将会出现问题。 此设置的建议状态为:Administrators, LOCAL SERVICE
注册表项路径:[Privilege Rights]SeSystemtimePrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators, LOCAL SERVICE
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\更改系统时间

合规性标准映射:
        名称平台ID
        CIS WS2019 2.2.11
        CIS WS2022 2.2.11
<= Administrators、Server Operators、LOCAL SERVICE
(策略)
严重
更改时区
(CCE-37700-2)
说明:此设置确定哪些用户可以更改计算机的时区。 此功能不会为计算机带来很大的风险,并且对于移动工作人员可能会很有用。 此设置的建议状态为:Administrators, LOCAL SERVICE
注册表项路径:[Privilege Rights]SeTimeZonePrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators, LOCAL SERVICE
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\更改时区

合规性标准映射:
        名称平台ID
        CIS WS2019 2.2.12
        CIS WS2022 2.2.12
<= Administrators、LOCAL SERVICE
(策略)
严重
创建页面文件
(CCE-35821-8)
说明:此策略设置允许更改页面文件的大小。 通过使页面文件极大或极小,攻击者可以轻松地影响被入侵的计算机的性能。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeCreatePagefilePrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\创建页面文件

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93055
        STIG WS2016 V-73745
        CIS WS2019 2.2.13
        CIS WS2022 2.2.13
= 管理员
(策略)
严重
创建令牌对象
(CCE-36861-3)
说明:此策略设置允许进程创建访问令牌,该令牌可以提供提升的权限来访问敏感数据。 此设置的建议状态为:No One
注册表项路径:[Privilege Rights]SeCreateTokenPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No One
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\创建令牌对象

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93057
        STIG WS2016 V-73747
        CIS WS2019 2.2.14
        CIS WS2022 2.2.14
= 无人
(策略)
警告
创建全局对象
(CCE-37453-8)
说明:此策略设置确定用户是否可以创建可供所有会话使用的全局对象。 如果用户不具有此用户权限,则用户仍然可以创建特定于其自己的会话的对象。 可以创建全局对象的用户可能会影响在其他用户的会话下运行的进程。 此功能可能会导致各种问题,例如应用程序故障或数据损坏。 此设置的建议状态为:Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE注意: 如果成员服务器安装了 Microsoft SQL Server 及其可选的“Integration Services”组件,那么,该服务器所需的设置状态会特别地例外于此建议,以允许向 SQL 生成的其他条目授予此用户权限。
注册表项路径:[Privilege Rights]SeCreateGlobalPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\创建全局对象

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93059
        STIG WS2016 V-73749
        CIS WS2019 2.2.15
        CIS WS2022 2.2.15
<= Administrators、SERVICE、LOCAL SERVICE、NETWORK SERVICE
(策略)
警告
创建永久共享对象
(CCE-36532-0)
说明:对于扩展了对象命名空间的内核模式组件,此用户权限非常有用。 但是,在内核模式下运行的组件本身就具有此用户权限。 因此,通常不需要专门分配此用户权限。 此设置的建议状态为:No One
注册表项路径:[Privilege Rights]SeCreatePermanentPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No One
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\创建永久共享对象

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93061
        STIG WS2016 V-73751
        CIS WS2019 2.2.16
        CIS WS2022 2.2.16
= 无人
(策略)
警告
创建符号链接
(CCE-35823-4)
说明

此策略设置确定哪些用户可以创建符号链接。 在 Windows Vista 中,可以通过引用一种称为符号链接的新文件系统对象来访问现有的 NTFS 文件系统对象,例如文件和文件夹。 符号链接是指向另一个文件系统对象(可以是文件、文件夹、快捷方式或其他符号链接)的指针(很像快捷方式或 .lnk 文件)。 快捷方式与符号链接之间的区别在于,快捷方式只能在 Windows Shell 中工作。 对于其他程序和应用程序,快捷方式只是另一个文件,而对于符号链接,快捷方式的概念是作为 NTFS 文件系统的一项功能实现的。 在未设计为使用符号链接的应用程序中,符号链接可能会带来安全漏洞。 因此,创建符号链接的权限只应分配给受信任的用户。 默认情况下,只有管理员可以创建符号链接。 - 级别 1 - 域控制器。此设置的建议状态为:“Administrators”。 - 级别 1 - 成员服务器。此设置的建议状态为:“Administrators”和(当安装了 Hyper-V 角色时)“NT VIRTUAL MACHINE\Virtual Machines”。


注册表项路径:[Privilege Rights]SeCreateSymbolicLinkPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要实现建议的配置状态,请配置以下 UI 路径:
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\创建符号链接

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93063
        STIG WS2016 V-73753
        CIS WS2019 2.2.17
        CIS WS2022 2.2.17
        CIS WS2019 2.2.18
        CIS WS2022 2.2.18
<= Administrators、NT VIRTUAL MACHINE\Virtual Machines
(策略)
严重
调试程序
(AZ-WIN-73755)
说明:此策略设置确定哪些用户帐户有权将调试程序附加到任何进程或内核,从而提供对敏感和关键操作系统组件的完全访问权限。 要调试自己应用程序的开发人员不需要拥有此用户权限;但是,要调试新系统组件的开发人员将需要该权限。 此设置的建议状态为:Administrators。 注意:出于审核目的,此用户权限被视为“敏感权限”。
注册表项路径:[Privilege Rights]SeDebugPrivilege
OS:WS2016、WS2019
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\调试程序
合规性标准映射:
        名称平台ID
        CIS WS2022 2.2.19
        CIS WS2019 2.2.19
= 管理员
(策略)
严重
拒绝通过网络访问该计算机
(CCE-37954-5)
说明

此策略设置禁止用户通过网络连接到计算机,这将允许用户远程访问并可能修改数据。 在高安全性环境中,远程用户不应当需要访问计算机上的数据。 相反,应当通过使用网络服务器来实现文件共享。 - 级别 1 - 域控制器。此设置的建议状态包括:“Guests、Local account”。 - 级别 1 - 成员服务器。此设置的建议状态包括:“Guests、Local account 以及 Administrators 组的成员”。 警告: 如上所述,配置独立(未加入域的)服务器可能会导致无法远程管理服务器。 注意:如上所述配置成员服务器或独立服务器可能会对创建本地服务帐户并将其放入 Administrators 组的应用程序产生不利影响 - 在这种情况下,你必须将应用程序转换为使用域托管服务帐户,或者从此用户权限分配中删除本地帐户和 Administrators 组的成员。 在可能的情况下,强烈建议使用域托管服务帐户,而不是创建此规则的例外。


注册表项路径:[Privilege Rights]SeDenyNetworkLogonRight
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请配置以下 UI 路径:
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝从网络访问这台计算机

合规性标准映射:
        名称平台ID
        STIG WS2019 V-92999
        STIG WS2016 V-73757
        CIS WS2019 2.2.20
        CIS WS2022 2.2.20
        CIS WS2019 2.2.21
        CIS WS2022 2.2.21
>= 来宾
(策略)
严重
拒绝以批处理作业登录
(CCE-36923-1)
说明:此策略设置确定哪些帐户将无法以批处理作业的身份登录到计算机。 批处理作业不是批处理 ( bat) 文件,而是批处理队列工具。 使用任务计划程序来计划作业的帐户需要此用户权限。 “拒绝作为批处理作业登录”用户权限优先于“作为批处理作业登录”用户权限,后者可能会被用来允许帐户安排消耗过多系统资源的作业。 这可能会导致 DoS 情况。 不将此用户权限分配给建议的帐户可能是一个安全风险。 此设置的建议状态包括:Guests
注册表项路径:[Privilege Rights]SeDenyBatchLogonRight
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Guests
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝作为批处理作业登录

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93001
        STIG WS2016 V-73761
        CIS WS2019 2.2.22
        CIS WS2022 2.2.22
>= 来宾
(策略)
严重
拒绝以服务登录
(CCE-36877-9)
说明:此安全设置确定阻止哪些服务帐户将进程注册为服务。 如果帐户同时受这两个策略的约束,则此策略设置将取代“作为服务登录”策略设置。 此设置的建议状态包括:Guests注意: 此安全设置不适用于 System、Local Service 或 Network Service 帐户。
注册表项路径:[Privilege Rights]SeDenyServiceLogonRight
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Guests
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝作为服务登录

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93003
        STIG WS2016 V-73765
        CIS WS2019 2.2.23
        CIS WS2022 2.2.23
>= 来宾
(策略)
严重
拒绝本地登录
(CCE-37146-8)
说明:此安全设置确定阻止哪些用户在计算机上登录。 如果帐户同时受这两个策略的约束,则此策略设置将取代“允许本地登录”策略设置。 重要说明: 如果将此安全策略应用于 Everyone 组,则任何人都将无法在本地登录。 此设置的建议状态包括:Guests
注册表项路径:[Privilege Rights]SeDenyInteractiveLogonRight
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为包含 Guests
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝本地登录

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93017
        STIG WS2016 V-73739
        CIS WS2019 2.2.24
        CIS WS2022 2.2.24
>= 来宾
(策略)
严重
拒绝通过远程桌面服务登录
(CCE-36867-0)
说明:此策略设置确定用户是否可以作为“终端服务”客户端登录。 将基线成员服务器加入域环境后,无需使用本地帐户从网络访问服务器。 域帐户可以访问服务器来进行管理和最终用户处理。 此设置的建议状态包括:Guests, Local account警告: 如上所述,配置独立(未加入域的)服务器可能会导致无法远程管理服务器。
注册表项路径:[Privilege Rights]SeDenyRemoteInteractiveLogonRight
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:工作组成员
组策略路径:若要通过 GP 建立建议的配置,请配置以下 UI 路径:
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝通过远程桌面服务登录
合规性标准映射:
        名称平台ID
        CIS WS2019 2.2.26
>= 来宾
(策略)
严重
信任计算机和用户帐户可以执行委派
(CCE-36860-5)
说明

此策略设置允许用户在 Active Directory 中更改计算机对象的“信任委派”设置。 滥用此权限可能会允许未经授权的用户冒充网络上的其他用户。 - 级别 1 - 域控制器。此设置的建议状态为:“Administrators”- 级别 1 - 成员服务器。此设置的建议状态为:“No One”。


注册表项路径:[Privilege Rights]SeEnableDelegationPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请配置以下 UI 路径:
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\信任计算机和用户帐户可以执行委派

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93041
        STIG WS2016 V-73777
        CIS WS2019 2.2.28
        CIS WS2022 2.2.28
= 无人
(策略)
严重
从远程系统强制关机
(CCE-37877-8)
说明:此策略设置允许用户从网络上的远程位置关闭基于 Windows Vista 的计算机。 分配有此用户权限的任何人都可能会导致拒绝服务 (DoS) 情况,这会使计算机不可用来为用户请求提供服务。 因此,建议仅向高度可信的管理员分配此用户权限。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeRemoteShutdownPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\从远程系统强制关机

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93067
        STIG WS2016 V-73781
        CIS WS2019 2.2.29
        CIS WS2022 2.2.29
= 管理员
(策略)
严重
生成安全审核
(CCE-37639-2)
说明:此策略设置确定哪些用户或进程可以在安全日志中生成审核记录。 此设置的建议状态为:LOCAL SERVICE, NETWORK SERVICE注意: 如果成员服务器拥有“Web 服务器”角色服务的“Web 服务器 (IIS)”角色,那么,该服务器所需的设置状态会特别地例外于此建议,以允许向 IIS 应用程序池授予此用户权限。 注意 #2: 如果成员服务器拥有“Active Directory 联合身份验证服务”角色,那么,该服务器所需的设置状态会特别地例外于此建议,以允许向 NT SERVICE\ADFSSrvNT SERVICE\DRS 服务以及关联的“Active Directory 联合身份验证服务”服务帐户授予此用户权限。
注册表项路径:[Privilege Rights]SeAuditPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 LOCAL SERVICE, NETWORK SERVICE
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\生成安全审核

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93069
        STIG WS2016 V-73783
        CIS WS2019 2.2.30
        CIS WS2022 2.2.30
<= Local Service、Network Service、IIS APPPOOL\DefaultAppPool
(策略)
严重
增加进程工作集
(AZ-WIN-00185)
说明:此权限确定哪些用户帐户可以增大或减小进程的工作集的大小。 进程的工作集是物理 RAM 内存中的进程当前可见的内存页的集合。 这些页是常驻的,可供应用程序使用,而不会触发页面错误。 最小和最大工作集大小会影响进程的虚拟内存分页行为。 在 SCM 中配置用户权限时,请输入以逗号分隔的帐户列表。 帐户可以是本地帐户,也可以位于 Active Directory 中,它们可以是组、用户或计算机。
注册表项路径:[Privilege Rights]SeIncreaseWorkingSetPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:计算机配置\Windows 设置\安全设置\本地策略\用户权限分配\增加进程工作集
合规性标准映射:
<= Administrators、Local Service
(策略)
警告
提高日程安排的优先级
(CCE-38326-5)
说明:此策略设置确定用户是否可以增大进程的基本优先级类。 (这不是提高优先级类中相对优先级的特权操作。)随附于操作系统的管理工具不需要此用户权限,但软件开发工具可能需要。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeIncreaseBasePriorityPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators, Window Manager\Window Manager Group
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\提高计划优先级

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93073
        STIG WS2016 V-73787
        CIS WS2019 2.2.33
        CIS WS2022 2.2.33
= 管理员
(策略)
警告
加载和卸载设备驱动程序
(CCE-36318-4)
说明:此策略设置允许用户在系统上动态加载新的设备驱动程序。 攻击者可能会使用此功能来安装看似是设备驱动程序的恶意代码。 用户在 Windows Vista 中添加本地打印机或打印机驱动程序时需要此用户权限。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeLoadDriverPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\加载和卸载设备驱动程序

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93075
        STIG WS2016 V-73789
        CIS WS2019 2.2.34
        CIS WS2022 2.2.34
<= Administrators、Print Operators
(策略)
警告
在内存中锁定页面
(CCE-36495-0)
说明:此策略设置允许进程将数据保留在物理内存中,这将阻止系统将数据分页到磁盘的虚拟内存中。 如果分配了此用户权限,系统性能可能会显著降低。 此设置的建议状态为:No One
注册表项路径:[Privilege Rights]SeLockMemoryPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No One
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\锁定内存页

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93077
        STIG WS2016 V-73791
        CIS WS2019 2.2.35
        CIS WS2022 2.2.35
= 无人
(策略)
警告
管理审核和安全日志
(CCE-35906-7)
说明

此策略设置确定哪些用户可以更改文件和目录的审核选项以及清除安全日志。 对于运行 Microsoft Exchange Server 的环境,Exchange Servers 组必须在域控制器上拥有此权限才能正常工作。 因此,向 Exchange Servers 组授予此权限的 DC 确实符合此基准。 如果环境未使用 Microsoft Exchange Server,则仅应向 DC 上的“Administrators”授予此权限。 - 级别 1 - 域控制器。此设置的建议状态为:“Administrators”和(当 Exchange 在环境中运行时)“Exchange Servers”。 - 级别 1 - 成员服务器。此设置的建议状态为:“Administrators”


注册表项路径:[Privilege Rights]SeSecurityPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请配置以下 UI 路径:
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\管理审核和安全日志

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93197
        STIG WS2016 V-73793
        CIS WS2019 2.2.37
        CIS WS2022 2.2.37
        CIS WS2019 2.2.38
        CIS WS2022 2.2.38
= 管理员
(策略)
严重
修改对象标签
(CCE-36054-5)
说明:此权限决定哪些用户帐户可以修改对象(例如文件、注册表项或其他用户拥有的进程)的完整性标签。 在某个用户帐户下运行的进程可以在没有此权限的情况下将该用户拥有的对象的标签修改为较低级别。 此设置的建议状态为:No One
注册表项路径:[Privilege Rights]SeRelabelPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 No One
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\修改对象标签

合规性标准映射:
        名称平台ID
        CIS WS2019 2.2.39
        CIS WS2022 2.2.39
= 无人
(策略)
警告
修改固件环境值
(CCE-38113-7)
说明:此策略设置允许用户配置影响硬件配置的系统范围的环境变量。 此信息通常存储在最近一次的正确配置中。 修改这些值可能会导致硬件故障,并进而导致拒绝服务情况。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeSystemEnvironmentPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\修改固件环境值

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93079
        STIG WS2016 V-73795
        CIS WS2019 2.2.40
        CIS WS2022 2.2.40
= 管理员
(策略)
警告
执行卷维护任务
(CCE-36143-6)
说明:此策略设置允许用户管理系统的卷或磁盘配置,这可能允许用户删除卷并导致数据丢失以及拒绝服务情况。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeManageVolumePrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\执行卷维护任务

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93081
        STIG WS2016 V-73797
        CIS WS2019 2.2.41
        CIS WS2022 2.2.41
= 管理员
(策略)
警告
配置单一进程
(CCE-37131-0)
说明:此策略设置确定哪些用户可以使用工具监视非系统进程的性能。 通常,你无需将此用户权限配置为使用“Microsoft 管理控制台 (MMC) 性能”管理单元。 但是,如果系统监视器配置为使用 Windows Management Instrumentation (WMI) 收集数据,则你需要此用户权限。 限制“配置文件单一进程”用户权限可阻止入侵者获取可用于在系统上发动攻击的其他信息。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeProfileSingleProcessPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\配置文件单一进程

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93083
        STIG WS2016 V-73799
        CIS WS2019 2.2.42
        CIS WS2022 2.2.42
= 管理员
(策略)
警告
配置系统性能
(CCE-36052-9)
说明:此策略设置允许用户使用工具查看各种系统进程的性能,攻击者可能会滥用这些工具来确定系统的活动进程,并深入了解计算机的潜在攻击面。 此设置的建议状态为:Administrators, NT SERVICE\WdiServiceHost
注册表项路径:[Privilege Rights]SeSystemProfilePrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators, NT SERVICE\WdiServiceHost
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\配置文件系统性能

合规性标准映射:
        名称平台ID
        CIS WS2019 2.2.43
        CIS WS2022 2.2.43
<= Administrators、NT SERVICE\WdiServiceHost
(策略)
警告
替换进程级令牌
(CCE-37430-6)
说明:此策略设置允许一个进程或服务使用不同的安全访问令牌启动另一个服务或进程,该令牌可用于修改该子进程的安全访问令牌并导致权限提升。 此设置的建议状态为:LOCAL SERVICE, NETWORK SERVICE注意: 如果成员服务器拥有“Web 服务器”角色服务的“Web 服务器 (IIS)”角色,那么,该服务器所需的设置状态会特别地例外于此建议,以允许向 IIS 应用程序池授予此用户权限。 注意 #2: 如果成员服务器安装了 Microsoft SQL Server,那么,该服务器所需的设置状态会特别地例外于此建议,以允许向 SQL 生成的其他条目授予此用户权限。
注册表项路径:[Privilege Rights]SeAssignPrimaryTokenPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 LOCAL SERVICE, NETWORK SERVICE
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\替换一个进程级令牌

合规性标准映射:
        名称平台ID
        CIS WS2019 2.2.44
        CIS WS2022 2.2.44
<= LOCAL SERVICE、NETWORK SERVICE
(策略)
警告
还原文件和目录
(CCE-37613-7)
说明:此策略设置确定在你的环境中运行 Windows Vista 的计算机上还原已备份的文件和目录时,哪些用户可以绕过文件、目录、注册表和其他持久对象权限。 此用户权限还确定哪些用户可以将有效的安全主体设置为对象所有者;它类似于“备份文件和目录”用户权限。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeRestorePrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\还原文件和目录
合规性标准映射:
        名称平台ID
        CIS WS2019 2.2.45
<= Administrators、Backup Operators
(策略)
警告
关闭系统
(CCE-38328-1)
说明:此策略设置确定哪些在本地登录到环境中的计算机的用户可以通过“关机”命令关闭操作系统。 滥用此用户权限可能会导致拒绝服务情况。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeShutdownPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\关闭系统

合规性标准映射:
        名称平台ID
        CIS WS2019 2.2.46
        CIS WS2022 2.2.46
<= Administrators、Backup Operators
(策略)
警告
获得文件或其他对象的所有权
(CCE-38325-7)
说明:此策略设置允许用户取得文件、文件夹、注册表项、进程或线程的所有权。 此用户权限将绕过为保护对象而实施的任何权限,以将所有权授予指定的用户。 此设置的建议状态为:Administrators
注册表项路径:[Privilege Rights]SeTakeOwnershipPrivilege
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Administrators
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\取得文件或其他对象的所有权

合规性标准映射:
        名称平台ID
        STIG WS2019 V-93087
        STIG WS2016 V-73803
        CIS WS2019 2.2.48
        CIS WS2022 2.2.48
= 管理员
(策略)
严重
“在身份验证后模拟客户端”用户权限只能分配给管理员、服务、本地服务和网络服务。
(AZ-WIN-73785)
说明:策略设置允许以用户身份运行的程序模拟该用户(或其他指定帐户),这样它们就可以用户身份执行操作。 如果此类模拟需要该用户权限,则未经授权的用户将无法说服客户端连接(例如,通过远程过程调用 (RPC) 或命名管道)到他们为模拟该客户端而创建的服务,这可能会将未经授权的用户的权限提升到管理或系统级别。 由服务控制管理器启动的服务默认将内置服务组添加到其访问令牌中。 由 COM 基础结构启动并配置为在特定帐户下运行的 COM 服务器也会将服务组添加到其访问令牌中。 因此,在启动这些进程时,系统会向其分配此用户权限。 此外,如果存在以下任何条件,用户也可以模拟访问令牌:- 被模拟的访问令牌是针对该用户的。 - 在此登录会话中,用户使用显式凭据登录到网络以创建访问令牌。 - 请求的级别低于模拟级别,例如“匿名”或“标识”。 具有“在身份验证后模拟客户端”用户权限的攻击者可以创建服务,欺骗客户端使其连接到该服务,然后模拟该客户端以将攻击者的访问级别提升到客户端的访问级别。 此设置的建议状态为:Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE。 注意:出于审核目的,此用户权限被视为“敏感权限”。 注意 #2:如果成员服务器安装了 Microsoft SQL Server 及其可选的“Integration Services”组件,那么,该服务器所需的设置状态会特别地例外于此建议,以允许向 SQL 生成的其他条目授予此用户权限。
注册表项路径:[Privilege Rights]SeImpersonatePrivilege
OS:WS2016、WS2019
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\身份验证后模拟客户端
合规性标准映射:
        名称平台ID
        CIS WS2022 2.2.31
        CIS WS2019 2.2.31
<= Administrators、Service、Local Service、Network Service
(策略)
重要

Windows 组件

名称
(ID)
详细信息 预期值
(类型)
严重性
允许基本身份验证
(CCE-36254-1)
说明:使用此策略设置,可以控制 Windows 远程管理 (WinRM) 服务是否接受来自远程客户端的基本身份验证。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\Windows 远程管理(WinRM)\WinRM 服务\允许基本身份验证
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 WindowsRemoteManagement.admx/adml 提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93507
        STIG WS2016 V-73599
        CIS WS2019 18.9.102.1.1
        CIS WS2022 18.9.102.2.1
不存在或 = 0
(注册表)
严重
允许诊断数据
(AZ-WIN-00169)
说明:此策略设置确定报告给 Microsoft 的诊断和使用情况数据量。 值为 0 时将向 Microsoft 发送最少数据。 此数据包括恶意软件删除工具 (MSRT) 和 Windows Defender 数据(如果已启用)以及遥测客户端设置。 将值设置为 0 仅适用于企业、EDU、IoT 和服务器设备。 对于其他设备,将值设置为 0 相当于选择值 1。 如果值为 1,则仅发送基本的诊断和使用情况数据量。 请注意,将值设置为 0 或 1 会降低设备上的某些体验。 值为 2 将发送增强的诊断和使用情况数据。 值为 3 时除了发送与值为 2 时相同的数据之外,还会发送其他诊断数据,包括可能导致问题的文件和内容。 Windows 10 遥测设置应用于 Windows 操作系统和某些第一方应用。 此设置不应用于 Windows 10 上运行的第三方应用。 此设置的建议状态为:Enabled: 0 - Security [Enterprise Only]注意: 如果将“允许遥测”设置配置为“0 - 安全性 [仅企业]”,则 Windows 更新中用于推迟升级和更新的选项将不起作用。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled: Diagnostic data off (not recommended)Enabled: Send required diagnostic data
计算机配置\策略\管理模板\Windows 组件\数据收集和预览版本\允许提交诊断数据
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 11 版本 21H2 管理模板(或更新模板)随附的组策略模板“DataCollection.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理模板中,此设置最初名为“允许遥测”,但从 Windows 11 版本 21H2 管理模板开始,它已重命名为“允许提交诊断数据”。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93257
        STIG WS2016 V-73551
        CIS WS2019 18.9.17.1
        CIS WS2022 18.9.17.1
>= 1
(注册表)
警告
允许加密文件的索引
(CCE-38277-0)
说明:此策略设置控制是否允许为加密项编制索引。 更改此设置后,将完全重新生成索引。 索引位置必须使用完整卷加密(例如 BitLocker 驱动器加密或非 Microsoft 解决方案),以维护加密文件的安全性。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\搜索\允许加密文件的索引
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 Search.admx/adml 提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93415
        STIG WS2016 V-73581
        CIS WS2019 18.9.67.3
        CIS WS2022 18.9.67.3
不存在或 = 0
(注册表)
警告
允许 Microsoft 帐户为可选
(CCE-38354-7)
说明:使用此策略设置,可以控制以下事项:对于需要使用帐户进行登录的 Windows 应用商店应用,Microsoft 帐户是否可选。 此策略仅影响支持它的 Windows 应用商店应用。 如果启用此策略设置,则通常需要 Microsoft 帐户登录的 Windows 应用商店应用将允许用户改为使用企业帐户登录。 如果禁用或不配置此策略设置,则用户需要使用 Microsoft 帐户登录。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional
OS:WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\应用运行时\允许 Microsoft 帐户为可选
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“AppXRuntime.admx/adml”提供,该模板包含在 Microsoft Windows 8.1 和 Server 2012 R2 管理员istrative Templates(或更高版本)。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.6.1
= 1
(注册表)
警告
允许未加密的流量
(CCE-38223-4)
说明:此策略设置允许你管理 Windows 远程管理 (WinRM) 服务是否通过网络发送和接收未加密的消息。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\Windows 远程管理(WinRM)\WinRM 服务\允许未加密的流量
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 WindowsRemoteManagement.admx/adml 提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93499
        STIG WS2016 V-73601
        CIS WS2019 18.9.102.1.2
        CIS WS2022 18.9.102.1.2
        CIS WS2019 18.9.102.2.3
        CIS WS2022 18.9.102.2.3
不存在或 = 0
(注册表)
严重
允许用户对安装进行控制
(CCE-36400-0)
说明:允许用户更改通常仅供系统管理员使用的安装选项。 Windows Installer 的安全功能会阻止用户更改通常为系统管理员保留的安装选项,例如指定安装文件的目录。 如果 Windows Installer 检测到安装程序包允许用户更改受保护的选项,它会停止安装并显示一条消息。 仅当安装程序在特权安全上下文中运行(它在该上下文中有权访问拒绝用户访问的目录)时,这些安全功能才起作用。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\Windows Installer\允许用户对安装进行控制
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 MSI.admx/adml 提供。 注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置名为“启用用户控制安装”,但从 Windows 8.0 和 Server 2012(非 R2)管理员istrative Templates 开始重命名。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93199
        STIG WS2016 V-73583
        CIS WS2019 18.9.90.1
        CIS WS2022 18.9.90.1
不存在或 = 0
(注册表)
严重
始终以提升的权限进行安装
(CCE-37490-0)
说明:此设置控制 Windows Installer 在系统上安装任何程序时是否应该使用系统权限。 注意: 此设置同时显示在“计算机配置”和“用户配置”文件夹中。 若要使此设置生效,在这两个文件夹中都必须启用此设置。 警告: 如果启用,则熟练的用户可利用此设置授予的权限来更改其权限,并获得对受限文件和文件夹的永久访问权限。 请注意,此设置的“用户配置”版本不一定是安全的。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
用户配置\策略\管理模板\Windows 组件\Windows Installer\始终以提升的权限进行安装
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 MSI.admx/adml 提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93201
        STIG WS2016 V-73585
        CIS WS2019 18.9.90.2
        CIS WS2022 18.9.90.2
不存在或 = 0
(注册表)
警告
始终在连接时提示输入密码
(CCE-37929-7)
说明:此策略设置指定终端服务在连接时是否始终提示输入客户端计算机密码。 你可以使用此策略设置对登录到终端服务的用户强制实施密码提示,即使用户已经在远程桌面连接客户端中提供了密码。 默认情况下,如果用户在远程桌面连接客户端中输入了密码,则终端服务允许用户自动登录。 请注意,如果不配置此策略设置,则本地计算机管理员可以使用终端服务配置工具来允许或阻止自动发送密码。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\安全性\始终在连接时提示输入密码
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“TerminalServer.admx/adml”提供。
注意 #2:在 Microsoft Windows Vista 管理模板中,此设置名为“连接时总是提示客户端提供密码”,但从 Windows Server 2008(非 R2)管理模板开始已重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.65.3.9.1
= 1
(注册表)
严重
应用程序:控制事件日志在日志文件达到最大大小时的行为
(CCE-37775-4)
说明:此策略设置控制事件日志在日志文件达到最大大小时的行为。 如果启用此策略设置,则当日志文件达到其最大大小,新事件不会写入到日志中且会丢失。 如果禁用或不配置此策略设置,并且日志文件达到其最大大小,则新事件将覆盖旧事件。 注意:旧事件可能保留也可能不保留,具体取决于“日志文件写满后自动备份”策略设置。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\事件日志服务\应用程序\控制事件日志在日志文件达到最大大小时的行为
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“EventLog.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初命名为“保留旧事件”,但从 Windows 8.0 和 Server 2012(非 R2)管理员istrative Templates 开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.27.1.1
不存在或 = 0
(注册表)
严重
应用程序: 指定最大日志文件大小(KB)
(CCE-37948-7)
说明:此策略设置指定日志文件的最大大小(KB)。 如果启用此策略设置,则可将最大日志文件大小配置为 1 MB (1024 KB) 至 2 TB (2147483647 KB) 之间(以千字节递增)。 如果禁用或未配置此策略设置,则日志文件的最大大小将设置为本地配置的值。 本地管理员可以使用“日志属性”对话框更改此值(默认值为 20 MB)。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled: 32,768 or greater
计算机配置\策略\管理模板\Windows 组件\事件日志服务\应用程序\指定最大日志文件大小(KB)
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“EventLog.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初命名为最大日志大小(知识库(KB)),但从 Windows 8.0 和 Server 2012(非 R2)管理员主义模板开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.27.1.2
>= 32768
(注册表)
严重
阻止所有消费者 Microsoft 帐户的用户身份验证
(AZ-WIN-20198)
说明:此设置确定设备上的应用程序和服务是否可以通过 Windows OnlineIDWebAccountManager API 使用新的使用者 Microsoft 帐户身份验证。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth
OS:WS2016、WS2019
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Microsoft 帐户\阻止所有使用者进行 Microsoft 帐户用户身份验证
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.46.1
        CIS WS2019 18.9.46.1
= 1
(注册表)
严重
为向 Microsoft MAPS 报告配置本地设置替代
(AZ-WIN-00173)
说明:此策略设置配置将局部替换配置以加入 Microsoft MAPS。 此设置仅可由组策略设置。 如果启用此设置,则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\Windows Defender 防病毒\MAPS\配置局部设置替换以便向 Microsoft MAPS 报告
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.1 和 Server 2012 R2 随附的组策略模板 WindowsDefender.admx/adml 管理员(或更新模板)提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.47.4.1
        CIS WS2022 18.9.47.4.1
不存在或 = 0
(注册表)
警告
配置 Windows SmartScreen
(CCE-35859-8)
说明:使用此策略设置,可以管理 Windows SmartScreen 筛选器的行为。 Windows SmartScreen 筛选器会在用户运行从 Internet 下载的不明程序之前向其提出警告,从而提高电脑的安全性。 启用此功能后,会将在电脑上运行的文件和程序的某些信息发送到 Microsoft。 如果启用此策略设置,则可通过设置下列任一选项控制 Windows SmartScreen 筛选器的行为:* 在用户运行下载的不明软件之前对其进行警告 * 关闭 SmartScreen 筛选器 如果禁用或不配置此策略设置,则 Windows SmartScreen 筛选器的行为将由电脑上的管理员通过“安全和维护”中的“Windows SmartScreen 筛选器设置”进行管理。 选项:* 在用户运行下载的不明软件之前对其进行警告 * 关闭 SmartScreen 筛选器
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled:警告并防止绕过: 计算机配置\策略\管理模板\Windows 组件\Windows Defender SmartScreen\资源管理器\配置 Windows Defender SmartScreen。注意:默认情况下,此组策略路径可能不存在。 它由组策略模板 WindowsExplorer.admx/adml 提供,该模板包含在 Microsoft Windows 8.0 & Server 2012 (非 R2) 管理员istrative Templates(或更新)。 注意 #2:在较旧的 Microsoft Windows 管理模板中,此设置最初名为“配置 Windows SmartScreen 筛选器”,但从 Windows 10 版本 1703 管理模板开始已重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.85.1.1
= 1
(注册表)
警告
检测默认 RDP 端口的更改
(AZ-WIN-00156)
说明:此设置确定侦听远程桌面连接的网络端口是否已从默认值 3389 更改为其他值
注册表项路径:System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:不适用
合规性标准映射:
= 3389
(注册表)
严重
禁用 Windows Search 服务
(AZ-WIN-00176)
说明:此注册表设置禁用 Windows Search 服务
注册表项路径:System\CurrentControlSet\Services\Wsearch\Start
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:不适用
合规性标准映射:
不存在或 = 4
(注册表)
严重
不允许非卷设备的自动播放
(CCE-37636-8)
说明:此策略设置不允许在照相机或手机等 MTP 设备上进行自动播放。 如果启用此策略设置,则照相机或手机等 MTP 设备上将禁止自动播放。 如果禁用或不配置此策略设置,则对非卷设备启用自动播放。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume
OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\自动播放策略\不允许非卷设备的自动播放
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“AutoPlay.admx/adml”提供,该模板包含在 Microsoft Windows 8.0 & Server 2012(非 R2)管理员istrative Templates(或更高版本)。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.8.1
= 1
(注册表)
严重
不允许使用摘要式身份验证
(CCE-38318-2)
说明:通过使用此策略设置,可以管理 Windows 远程管理 (WinRM) 客户端是否使用摘要式身份验证。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\Windows 远程管理(WinRM)\WinRM 客户端\不允许使用摘要式身份验证
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 WindowsRemoteManagement.admx/adml 提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93505
        STIG WS2016 V-73597
        CIS WS2019 18.9.102.1.3
        CIS WS2022 18.9.102.1.3
= 0
(注册表)
严重
不允许 WinRM 存储 RunAs 凭据
(CCE-36000-8)
说明:通过使用此策略设置,可以管理 Windows 远程管理 (WinRM) 服务是否允许为任何插件存储 RunAs 凭据。如果启用此策略设置,则 WinRM 服务不允许为任何插件设置 RunAsUser 或 RunAsPassword 配置值。如果插件已设置 RunAsUser 和 RunAsPassword 配置值,则会从此计算机上的凭据存储中清除 RunAsPassword 配置值。 如果禁用或不配置此策略设置,则 WinRM 服务允许为插件设置 RunAsUser 和 RunAsPassword 配置值并安全地存储 RunAsPassword 值。 如果启用并随后禁用了此策略设置,则需要重置以前为 RunAsPassword 配置的任何值。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\Windows 远程管理(WinRM)\WinRM 服务\不允许 WinRM 存储 RunAs 凭据
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“WindowsRemoteManagement.admx/adml”提供,该模板包含在 Microsoft Windows 8.0 & Server 2012(非 R2)管理员istrative Templates(或更高版本)。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.102.2.4
= 1
(注册表)
严重
不允许保存密码
(CCE-36223-6)
说明:此策略设置可帮助防止终端服务客户端在计算机上保存密码。 请注意,如果此策略设置之前已配置为“已禁用”或“未配置”,则在终端服务客户端第一次与任何服务器断开连接时,将删除以前保存的任何密码。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面连接客户端\不允许保存密码
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“TerminalServer.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.65.2.2
= 1
(注册表)
严重
在退出时不删除临时文件夹
(CCE-37946-1)
说明:此策略设置指定远程桌面服务在注销时是否保留用户的每会话临时文件夹。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\临时文件夹\在退出时不删除临时文件夹
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“TerminalServer.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置在退出时名为“请勿删除临时文件夹”,但从 Windows 8.0 和 Server 2012(非 R2)管理员编辑模板开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.65.3.11.1
不存在或 = 1
(注册表)
警告
不显示“密码显示”按钮
(CCE-37534-5)
说明:使用此策略设置,可以配置密码输入用户体验中“密码显示”按钮的显示。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal
OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\凭据用户界面\不显示“密码显示”按钮
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“CredUI.admx/adml”提供,该模板包含在 Microsoft Windows 8.0 & Server 2012(非 R2)管理员更新模板(或更新)。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.16.1
= 1
(注册表)
警告
请不要显示反馈通知
(AZ-WIN-00140)
说明:使用此策略设置,组织可阻止其设备显示来自 Microsoft 的反馈问题。 如果启用此策略设置,则用户将再也不会看到通过 Windows 反馈应用发出的反馈通知。 如果禁用或不配置此策略设置,则用户可能会看到通过 Windows 反馈应用发出的要求用户提供反馈的通知。 注意:如果禁用或不配置此策略设置,则用户可以控制接收反馈问题的频率。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\数据收集和预览版本\不显示反馈通知
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 10 版本 1511 管理模板(或更新模板)随附的组策略模板“FeedbackNotifications.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.17.4
= 1
(注册表)
严重
不对每个会话使用临时文件夹
(CCE-38180-6)
说明:默认情况下,远程桌面服务在 RD 会话主机服务器上为用户在 RD 会话主机服务器上维护的每个活动会话创建一个单独的临时文件夹。 该临时文件夹创建在 RD 会话主机服务器上该用户的配置文件文件夹下的 Temp 文件夹中,名为“sessionid”。此临时文件夹用于存储各个临时文件。 为了回收磁盘空间,在用户从会话中注销后,将删除该临时文件夹。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\临时文件夹\不对每个会话使用临时文件夹
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“TerminalServer.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.65.3.11.2
不存在或 = 1
(注册表)
严重
提升时枚举管理员帐户
(CCE-36512-2)
说明:此策略设置控制当用户尝试提升正在运行的应用程序时是否会显示管理员帐户。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\凭据用户界面\提升时枚举管理员帐户
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 CredUI.admx/adml 提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93517
        STIG WS2016 V-73487
        CIS WS2019 18.9.16.2
        CIS WS2022 18.9.16.2
不存在或 = 0
(注册表)
警告
阻止下载附件
(CCE-37126-0)
说明:此策略设置可阻止用户将源中的附件(文件附件)下载到用户的计算机。 此设置的建议状态为:Enabled
注册表项路径:SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\RSS 源\阻止下载附件
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“InetRes.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置名为“关闭下载机箱”,但从 Windows 8.0 和 Server 2012(非 R2)管理员模板开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.66.1
= 1
(注册表)
警告
要求安全的 RPC 通信
(CCE-37567-5)
说明:指定远程桌面会话主机服务器是要求与所有客户端建立安全 RPC 通信,还是允许存在不安全的通信。 可以使用此设置,通过仅允许经身份验证和加密的请求,增强与客户端 RPC 通信的安全性。 如果状态设置为“启用”,远程桌面服务会接受来自支持安全请求的 RPC 客户端的请求,且不允许与不受信任的客户端建立不安全通信。 如果状态设置为“禁用”,远程桌面服务将始终要求保障所有 RPC 通信的安全性。 但是,允许不响应请求的 RPC 客户端存在不安全的通信。 如果状态设置为“未配置”,则允许不安全的通信。 注意:RPC 接口用于管理和配置远程桌面服务。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\安全性\要求安全的 RPC 通信
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“TerminalServer.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.65.3.9.2
= 1
(注册表)
严重
要求使用网络级身份验证对远程连接进行用户身份验证
(AZ-WIN-00149)
说明:要求使用网络级别身份验证来完成用户身份验证,以便进行远程连接
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\安全性\要求使用网络级别的身份验证对远程连接的用户进行身份验证
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“TerminalServer.admx/adml”提供。
注意 #2:在 Microsoft Windows Vista 管理模板中,此设置最初名为“要求远程连接使用 RDP 6.0 进行用户身份验证”,但从 Windows Server 2008(非 R2)管理模板开始已重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.65.3.9.4
不存在或 = 1
(注册表)
严重
扫描可移动驱动器
(AZ-WIN-00177)
说明:使用此策略设置,可以管理运行完全扫描时是否扫描可移动驱动器(例如 USB 闪存驱动器)内容中的恶意软件和不需要的软件。 如果启用此设置,则执行任何类型的扫描期间都会扫描可移动驱动器。 如果禁用或未配置此设置,则在完整扫描期间不会扫描可移动驱动器。 快速扫描和自定义扫描期间仍会扫描可移动驱动器。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\Windows Defender 防病毒\扫描\扫描可移动驱动器
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.1 和 Server 2012 R2 随附的组策略模板 WindowsDefender.admx/adml 管理员(或更新模板)提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.47.12.1
        CIS WS2022 18.9.47.12.1
= 0
(注册表)
严重
安全性:控制事件日志在日志文件达到最大大小时的行为
(CCE-37145-0)
说明:此策略设置控制事件日志在日志文件达到最大大小时的行为。 如果启用此策略设置,则当日志文件达到其最大大小,新事件不会写入到日志中且会丢失。 如果禁用或不配置此策略设置,并且日志文件达到其最大大小,则新事件将覆盖旧事件。 注意:旧事件可能保留也可能不保留,具体取决于“日志文件写满后自动备份”策略设置。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\事件日志服务\安全性\控制事件日志在日志文件达到最大大小时的行为
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“EventLog.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初命名为“保留旧事件”,但从 Windows 8.0 和 Server 2012(非 R2)管理员istrative Templates 开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.27.2.1
不存在或 = 0
(注册表)
严重
安全性: 指定最大日志文件大小(KB)
(CCE-37695-4)
说明:此策略设置指定日志文件的最大大小(KB)。 如果启用此策略设置,则可将最大日志文件大小配置为 1 MB (1024 KB) 至 2 TB (2,147,483,647 KB) 之间(以千字节递增)。 如果禁用或未配置此策略设置,则日志文件的最大大小将设置为本地配置的值。 本地管理员可以使用“日志属性”对话框更改此值(默认值为 20 MB)。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled: 196,608 or greater
计算机配置\策略\管理模板\Windows 组件\事件日志服务\安全性\指定最大日志文件大小(KB)
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“EventLog.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初命名为最大日志大小(知识库(KB)),但从 Windows 8.0 和 Server 2012(非 R2)管理员主义模板开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.27.2.2
>= 196608
(注册表)
严重
需要进行进一步分析时发送文件样本
(AZ-WIN-00126)
说明:此策略设置配置在选择加入 MAPS 遥测时提交样本的行为。 可能的选项包括:(0x0) 始终提示 (0x1) 自动发送安全的样本 (0x2) 从不发送 (0x3) 自动发送所有样本
注册表项路径:SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\管理模板\Windows 组件\Microsoft Defender 防病毒\MAPS\需要进一步分析时发送文件示例
合规性标准映射:
= 1
(注册表)
警告
设置客户端连接加密级别
(CCE-36627-8)
说明:此策略设置指定要承载远程连接的计算机是否会对在它与远程会话的客户端计算机之间发送的所有数据强制实施某个加密级别。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled: High Level
计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\安全性\设置客户端连接加密级别
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“TerminalServer.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.65.3.9.5
不存在或 = 3
(注册表)
严重
设置“自动运行”的默认行为
(CCE-38217-6)
说明:此策略设置用于设置自动运行命令的默认行为。 自动运行命令通常存储在 autorun.inf 文件中。 这些命令通常启动安装程序或其他例程。 在 Windows Vista 之前,当插入包含自动运行命令的媒体时,系统将自动执行程序而不受用户干预。 由于在用户不知情的情况下可能会执行代码,因此这样会造成严重的安全问题。 自 Windows Vista 开始,默认行为是提示用户指明是否运行自动运行命令。 自动运行命令在“自动播放”对话框中表示为处理程序。 如果启用此策略设置,则管理员可将 Windows Vista 或之后版本的自动运行默认行为更改为:a) 完全禁用自动运行命令,或 b) 还原为以前 Windows Vista 自动执行自动运行命令的行为。 如果禁用或不配置此策略设置,则 Windows Vista 或之后版本将提示用户指明是否要运行自动运行命令。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled: Do not execute any autorun commands
计算机配置\策略\管理模板\Windows 组件\自动播放策略\设置自动运行的默认行为
注意:默认情况下,此组策略路径可能不存在。 它由组策略模板“AutoPlay.admx/adml”提供,该模板包含在 Microsoft Windows 8.0 & Server 2012(非 R2)管理员istrative Templates(或更高版本)。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.8.2
= 1
(注册表)
严重
设置:控制事件日志在日志文件达到最大大小时的行为
(CCE-38276-2)
说明:此策略设置控制事件日志在日志文件达到最大大小时的行为。 如果启用此策略设置,则当日志文件达到其最大大小,新事件不会写入到日志中且会丢失。 如果禁用或不配置此策略设置,并且日志文件达到其最大大小,则新事件将覆盖旧事件。 注意:旧事件可能保留也可能不保留,具体取决于“日志文件写满后自动备份”策略设置。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\事件日志服务\设置\控制事件日志在日志文件达到最大大小时的行为
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“EventLog.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初命名为“保留旧事件”,但从 Windows 8.0 和 Server 2012(非 R2)管理员istrative Templates 开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.27.3.1
不存在或 = 0
(注册表)
严重
安装: 指定最大日志文件大小(KB)
(CCE-37526-1)
说明:此策略设置指定日志文件的最大大小(KB)。 如果启用此策略设置,则可将最大日志文件大小配置为 1 MB (1024 KB) 至 2 TB (2,147,483,647 KB) 之间(以千字节递增)。 如果禁用或未配置此策略设置,则日志文件的最大大小将设置为本地配置的值。 本地管理员可以使用“日志属性”对话框更改此值(默认值为 20 MB)。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled: 32,768 or greater
计算机配置\策略\管理模板\Windows 组件\事件日志服务\设置\指定最大日志文件大小(KB)
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“EventLog.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初命名为最大日志大小(知识库(KB)),但从 Windows 8.0 和 Server 2012(非 R2)管理员主义模板开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.27.3.2
>= 32768
(注册表)
严重
在系统初始化重新启动之后自动登录上次交互用户
(CCE-36977-7)
说明:此策略设置控制在 Windows 更新重启系统之后,设备是否自动登录上次的交互用户。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn
OS:WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled:
计算机配置\策略\管理模板\Windows 组件\Windows 登录选项\在系统初始化重新启动之后自动登录上次交互用户
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.1 和 Server 2012 R2 随附的组策略模板 WinLogon.admx/adml 管理员(或更新模板)提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93269
        STIG WS2016 V-73589
        CIS WS2019 18.9.86.1
        CIS WS2022 18.9.86.1
= 1
(注册表)
严重
指定检查定义更新的时间间隔
(AZ-WIN-00152)
说明:使用此策略设置,可以指定检查定义更新的时间间隔。 时间值采用两次更新检查之间的小时数表示。 有效值范围介于 1(每小时)和 24(每天一次)之间。 如果启用此设置,则会以指定的时间间隔检查定义更新。 如果禁用或未配置此设置,则会以默认时间间隔检查定义更新。
注册表项路径:SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval
OS:WS2008、WS2008R2、WS2012、WS2012R2
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\管理模板\Windows 组件\Microsoft Defender 防病毒\安全情报更新\指定检查安全情报更新的间隔
合规性标准映射:
= 8
(注册表)
严重
系统:控制事件日志在日志文件达到最大大小时的行为
(CCE-36160-0)
说明:此策略设置控制事件日志在日志文件达到最大大小时的行为。 如果启用此策略设置,则当日志文件达到其最大大小,新事件不会写入到日志中且会丢失。 如果禁用或不配置此策略设置,并且日志文件达到其最大大小,则新事件将覆盖旧事件。 注意:旧事件可能保留也可能不保留,具体取决于“日志文件写满后自动备份”策略设置。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\事件日志服务\系统\控制事件日志在日志文件达到最大大小时的行为
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“EventLog.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初命名为“保留旧事件”,但从 Windows 8.0 和 Server 2012(非 R2)管理员istrative Templates 开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.27.4.1
不存在或 = 0
(注册表)
严重
系统: 指定最大日志文件大小(KB)
(CCE-36092-5)
说明:此策略设置指定日志文件的最大大小(KB)。 如果启用此策略设置,则可将最大日志文件大小配置为 1 MB (1024 KB) 至 2 TB (2,147,483,647 KB) 之间(以千字节递增)。 如果禁用或未配置此策略设置,则日志文件的最大大小将设置为本地配置的值。 本地管理员可以使用“日志属性”对话框更改此值(默认值为 20 MB)。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled: 32,768 or greater
计算机配置\策略\管理模板\Windows 组件\事件日志服务\系统\指定最大日志文件大小(KB)
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“EventLog.admx/adml”提供。
注意 #2:在较旧的 Microsoft Windows 管理员istrative Templates 中,此设置最初命名为最大日志大小(知识库(KB)),但从 Windows 8.0 和 Server 2012(非 R2)管理员主义模板开始重命名。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.27.4.2
>= 32768
(注册表)
严重
必须阻止应用程序兼容性程序清单收集数据并将信息发送到 Microsoft。
(AZ-WIN-73543)
说明:某些功能可以与供应商通信、发送系统信息或下载该功能的数据或组件。 关闭此功能将防止潜在的敏感信息被发送到企业外部,并防止对系统进行不受控制的更新。 此设置将阻止程序清单收集有关系统的数据并将该信息发送给 Microsoft。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory
OS:WS2016、WS2019、WS2022
服务器类型:域成员
组策略路径:计算机配置\管理模板\Windows 组件\应用程序兼容性\禁用清单收集器
合规性标准映射:
= 1
(注册表)
信息
关闭自动播放
(CCE-36875-3)
说明:在驱动器中插入媒体后,“自动播放”功能将开始从驱动器中进行读取,这会导致程序的安装文件或音频媒体立即启动。 攻击者可以使用此功能启动恶意程序,破坏客户端计算机或计算机上的数据。 你可以启用“关闭自动播放”设置以禁用自动播放功能。 自动播放在某些可移动驱动器类型上默认被禁用,例如软盘和网络驱动器,但在 CD-ROM 驱动器上不会默认禁用。 请注意,不能使用此策略设置在默认情况下处于禁用状态的计算机驱动器(例如软盘和网络驱动器)上启用自动播放。
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled: All drives
计算机配置\策略\管理模板\Windows 组件\自动播放策略\关闭自动播放
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板“AutoPlay.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.8.3
= 255
(注册表)
严重
关闭资源管理器的数据执行保护
(CCE-37809-1)
说明:禁用数据执行保护可允许在不终止资源管理器的情况下运行某些旧插件应用程序。 此设置的建议状态为:Disabled注意: 某些旧版插件应用程序和其他软件可能无法与数据执行保护一起工作,并且需要为该特定插件/软件定义例外。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention
OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\文件资源管理器\关闭资源管理器的数据执行保护
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 7 和 Server 2008 R2 管理员istrative Templates(或更高版本)随附的组策略模板Explorer.admx/adml提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93563
        STIG WS2016 V-73561
        CIS WS2019 18.9.31.2
        CIS WS2022 18.9.31.2
不存在或 = 0
(注册表)
严重
关闭损坏时堆终止
(CCE-36660-9)
说明:如果在出现损坏时不终止堆,旧版插件应用程序可能会在文件资源管理器会话损坏时继续运行。 确保“损坏时堆终止”处于活动状态可防止发生此情况。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\文件资源管理器\关闭损坏时堆终止
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 Explorer.admx/adml 提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93261
        STIG WS2016 V-73563
        CIS WS2019 18.9.31.3
        CIS WS2022 18.9.31.3
不存在或 = 0
(注册表)
严重
关闭 Microsoft 消费者体验
(AZ-WIN-00144)
说明:此策略设置关闭可帮助用户充分利用其设备和 Microsoft 帐户的体验。 如果启用此策略设置,用户不再会看到 Microsoft 提供的个性化建议,以及有关其 Microsoft 帐户的通知。 如果禁用或未配置此策略设置,则用户可能会看到 Microsoft 提供的建议以及有关其 Microsoft 帐户的通知。 注意:此设置仅适用于 Enterprise 和 Education SKU。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\云内容\关闭 Microsoft 用户体验
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 10 版本 1511 管理模板(或更新模板)随附的组策略模板“CloudContent.admx/adml”提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.14.2
不存在或 = 1
(注册表)
警告
关闭外壳协议保护模式
(CCE-36809-2)
说明:此策略设置允许你配置外壳协议可以包含的功能数量。 使用此协议的完全功能时,应用程序可以打开文件夹和启动文件。 保护模式减少了此协议的功能,仅允许应用程序打开文件夹的有限集。 应用程序无法用此协议打开处于保护模式的文件。 建议将此协议保留为保护模式以提高 Windows 的安全性。 此设置的建议状态为:Disabled
注册表项路径:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior
OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Disabled
计算机配置\策略\管理模板\Windows 组件\文件资源管理器\关闭外壳协议保护模式
注意:此组策略路径由所有版本的 Microsoft Windows 管理模板随附的组策略模板 WindowsExplorer.admx/adml 提供。
合规性标准映射:
        名称平台ID
        STIG WS2019 V-93263
        STIG WS2016 V-73565
        CIS WS2019 18.9.31.4
        CIS WS2022 18.9.31.4
不存在或 = 0
(注册表)
警告
开启行为监视
(AZ-WIN-00178)
说明:使用此策略设置可以配置行为监视。 如果启用或未配置此设置,则会启用行为监视。 如果禁用此设置,则会禁用行为监视。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:若要通过 GP 建立建议的配置,请将以下 UI 路径设置为 Enabled
计算机配置\策略\管理模板\Windows 组件\Windows Defender 防病毒\实时保护\打开行为监视
注意:默认情况下,此组策略路径可能不存在。 它由 Microsoft Windows 8.1 和 Server 2012 R2 随附的组策略模板 WindowsDefender.admx/adml 管理员(或更新模板)提供。
合规性标准映射:
        名称平台ID
        CIS WS2019 18.9.47.9.3
        CIS WS2022 18.9.47.9.3
不存在或 = 0
(注册表)
警告
启用 PowerShell 脚本块日志记录
(AZ-WIN-73591)
说明:此策略设置允许将所有 PowerShell 脚本输入记录到 Applications and Services Logs\Microsoft\Windows\PowerShell\Operational 事件日志通道。 此设置的建议状态为:Enabled。 注意:如果启用了“脚本块调用启动/停止事件”的日志记录(选中了选项框),则 PowerShell 将在启动或停止调用命令、脚本块、函数或脚本时记录其他事件。 启用此选项将生成大量事件日志。 CIS 有意选择不推荐此选项,因为它会生成大量事件。 如果组织选择启用可选设置(选中),这也符合基准。
注册表项路径:SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging
OS:WS2016、WS2019、WS2022
服务器类型:域控制器、域成员、工作组成员
组策略路径:计算机配置\策略\管理模板\Windows 组件\Windows PowerShell\打开 PowerShell 脚本块日志记录
合规性标准映射:
        名称平台ID
        CIS WS2022 18.9.100.1
        CIS WS2019 18.9.100.1
= 1
(注册表)
重要

Windows 设置 - 安全设置

名称
(ID)
详细信息 预期值
(类型)
严重性
调整进程的内存配额
(CCE-10849-8)
说明:此策略设置允许用户调整进程可用的最大内存量。 对于系统优化而言,调整内存配额的功能很有用,但也可能会被滥用。 在坏人手中,它可能会被用来发起拒绝服务 (DoS) 攻击。 此设置的建议状态为:Administrators, LOCAL SERVICE, NETWORK SERVICE注意: 如果成员服务器拥有“Web 服务器”角色服务的“Web 服务器 (IIS)”角色,那么,该服务器所需的设置状态会特别地例外于此建议,以允许向 IIS 应用程序池授予此用户权限。 注意 #2: 如果成员服务器安装了 Microsoft SQL Server,那么,该服务器所需的设置状态会特别地例外于此建议,以允许向 SQL 生成的其他条目授予此用户权限。
注册表项路径:[Privilege Rights]SeIncreaseQuotaPrivilege
OS:WS2012、WS2012R2、WS2016、WS2019、WS2022
服务器类型:域控制器、域成员
组策略路径:计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\为进程调整内存配额
合规性标准映射:
        名称平台ID
        CIS WS2022 2.2.6
        CIS WS2019 2.2.6
<= Administrators、Local Service、Network Service
(策略)
警告

注意

Azure Policy 来宾配置设置的具体可用情况在 Azure 政府和其他国家云中可能会有所不同。

后续步骤

有关 Azure Policy 和来宾配置的其他文章: