أساس أمان Windows

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توضح هذه المقالة بالتفصيل إعدادات التهيئة للضيوف Windows حسب الاقتضاء في عمليات التنفيذ التالية:

• [معاينة]: يجب أن تفي الأجهزة Windows بمتطلبات تعريف تكوين ضيف Azure Policy الأساسي لأمان Azure compute
• يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك في مركز أمان Azure

لمزيد من المعلومات، راجع تكوين ضيف نهج Azure ونظرة عامة على معيار أمان Azure (V2).

قوالب إدارية - لوحة التحكم

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
السماح بتخصيص الإدخال (AZ-WIN-00168)	الوصف: تمكن هذه السياسة مكون التعلم التلقائي لتخصيص الإدخال الذي يتضمن الكلام والكتابة بالحبر والكتابة. يتيح التعلم التلقائي جمع أنماط الكلام والكتابة اليدوية ومحفوظات الكتابة وجهات الاتصال ومعلومات التقويم الحديثة. مطلوب لاستخدام Cortana. قد يتم تخزين بعض هذه المعلومات التي تم جمعها على OneDrive المستخدم، في حالة الكتابة بالحبر والكتابة؛ وسيتم تحميل بعض المعلومات إلى Microsoft لتخصيص الكلام. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	تحذير
منع تمكين كاميرا شاشة القفل (CCE-38347-1)	الوصف: يعطل مفتاح تبديل كاميرا شاشة القفل في الإعدادات الكمبيوتر ويمنع استدعاء الكاميرا على شاشة القفل. بشكل افتراضي، يمكن للمستخدمين تمكين استدعاء كاميرا متوفرة على شاشة القفل. إذا قمت بتمكين هذا الإعداد، فلن يتمكن المستخدمون بعد ذلك من تمكين الوصول إلى كاميرا شاشة التأمين أو تعطيله في الإعدادات الكمبيوتر، ولا يمكن استدعاء الكاميرا على شاشة القفل. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ التخصيص \\ NoLockScreenCamera نظام التشغيل: WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
منع تمكين عرض شرائح شاشة القفل (CCE-38348-9)	الوصف: يعطل إعدادات عرض شرائح شاشة التأمين في الإعدادات الكمبيوتر ويمنع تشغيل عرض شرائح على شاشة التأمين. بشكل افتراضي، يمكن للمستخدمين تمكين عرض شرائح سيتم تشغيله بعد قفل الجهاز. إذا قمت بتمكين هذا الإعداد، فلن يتمكن المستخدمون بعد ذلك من تعديل إعدادات عرض الشرائح في الإعدادات الكمبيوتر، ولن يبدأ أي عرض شرائح على الإطلاق. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ التخصيص \\ NoLockScreenعرض الشرائح نظام التشغيل: WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير

القوالب الإدارية - الشبكة

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تمكين تسجيل دخول الضيف غير الآمن (من الألف إلى الياء-الفوز-00171)	الوصف: يحدد إعداد النهج هذا ما إذا كان عميل SMB سيسمح بتسجيل دخول الضيف غير الآمن إلى خادم SMB. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows\ محطة عمل لانكسيور \\ السماح ل InsecureGuestAuth نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	= 0 (قلم المحكمة)	هام
تقليل عدد الاتصالات المتزامنة بالإنترنت أو مجال Windows (CCE-38338-0)	الوصف: يمنع إعداد النهج هذا أجهزة الكمبيوتر من الاتصال بكل من شبكة تستند إلى مجال وشبكة غير مستندة إلى مجال في نفس الوقت. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ WcmSvc \\ GroupPolicy \\ fMinimizeConnections نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	تحذير
حظر تثبيت وتكوين Network Bridge على شبكة مجال DNS (CCE-38002-2)	الوصف: يمكنك استخدام هذا الإجراء للتحكم في قدرة المستخدم على تثبيت جسر شبكة وتكوينه. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows\\ اتصالات الشبكة \ NC_AllowNetBridge_NLA نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	تحذير
حظر استخدام "مشاركة اتصال الإنترنت" على شبكة مجال DNS (AZ-WIN-00172)	الوصف: على الرغم من أن هذا الإعداد "القديم" ينطبق تقليديا على استخدام "مشاركة اتصال إنترنت" (ICS) في Windows 2000 Windows XP & Server 2003، ينطبق هذا الإعداد الآن حديثا على ميزة "نقطة اتصال الجوال" في Windows 10 & Server 2016. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ اتصالات الشبكة \ NC_ShowSharedAccessUI نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	تحذير
إيقاف تشغيل تحليل الاسم متعدد الإرسال (AZ-WIN-00145)	الوصف: LLMNR هو بروتوكول حل اسم ثانوي. باستخدام LLMNR، يتم إرسال الاستعلامات باستخدام البث المتعدد عبر ارتباط شبكة محلية على شبكة فرعية واحدة من كمبيوتر عميل إلى كمبيوتر عميل آخر على نفس الشبكة الفرعية التي تم تمكين LLMNR عليها أيضا. لا يتطلب LLMNR تكوين خادم DNS أو عميل DNS، ويوفر دقة الاسم في السيناريوهات التي لا يمكن فيها حل اسم DNS التقليدي. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows NT \\ DNSClient \\ تمكين البث المتعدد نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	= 0 (قلم المحكمة)	تحذير

قوالب إدارية - نظام

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
حظر المستخدم من عرض تفاصيل الحساب عند تسجيل الدخول (AZ-WIN-00138)	الوصف: تمنع هذه السياسة المستخدم من عرض تفاصيل الحساب (عنوان البريد الإلكتروني أو اسم المستخدم) على شاشة تسجيل الدخول. إذا قمت بتمكين إعداد النهج هذا، فلن يتمكن المستخدم من اختيار إظهار تفاصيل الحساب على شاشة تسجيل الدخول. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فقد يختار المستخدم إظهار تفاصيل الحساب على شاشة تسجيل الدخول. المسار الرئيسي: البرامج \\ السياسات \\ مايكروسوفت \ Windows \\ النظام \ حظر المستخدم من عرض الحسابالتفاصيل أون سينجين نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
نهج تهيئة برنامج تشغيل Boot-Start (CCE-37912-3)	الوصف: يسمح لك إعداد النهج هذا بتحديد برامج تشغيل بدء التشغيل والتمهيد التي تتم تهيئتها استنادا إلى تصنيف يحدده برنامج تشغيل بدء التشغيل التمهيدي لمكافحة البرامج الضارة في وقت مبكر. يمكن لبرنامج تشغيل التمهيد وبدء التشغيل لمكافحة البرامج الضارة في مرحلة التشغيل المبكر إرجاع التصنيفات التالية لكل برنامج تشغيل تمهيد وبدء تشغيل: - جيد: تم توقيع برنامج التشغيل ولم يتم العبث به. - سيئة: تم تحديد برنامج التشغيل على أنه برنامج ضار. يوصى بعدم السماح بتهيئة برامج التشغيل السيئة المعروفة. - سيئ ، ولكن مطلوب للتمهيد: تم تحديد برنامج التشغيل على أنه برنامج ضار ، ولكن لا يمكن للكمبيوتر التمهيد بنجاح دون تحميل برنامج التشغيل هذا. - غير معروف: لم يتم التصديق على برنامج التشغيل هذا بواسطة تطبيق اكتشاف البرامج الضارة الخاص بك ولم يتم تصنيفه بواسطة برنامج تشغيل بدء التشغيل المبكر لمكافحة البرامج الضارة. إذا قمت بتمكين إعداد النهج هذا ، فستتمكن من اختيار برامج تشغيل بدء التشغيل والتمهيد التي سيتم تهيئتها في المرة التالية التي يتم فيها بدء تشغيل الكمبيوتر. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، تهيئة برامج تشغيل بدء تشغيل التمهيد التي تم تحديدها على أنها جيدة أو غير معروفة أو سيئة ولكن Boot Critical ويتم تخطي تهيئة برامج التشغيل التي تم تحديدها على أنها سيئة. إذا لم يتضمن تطبيق اكتشاف البرامج الضارة برنامج تشغيل بدء تشغيل تمهيد مكافحة البرامج الضارة في التشغيل المبكر أو إذا تم تعطيل برنامج تشغيل بدء التشغيل المبكر لمكافحة البرامج الضارة، فلن يكون لهذا الإعداد أي تأثير ويتم تهيئة جميع برامج تشغيل التمهيد والتشغيل. المسار الرئيسي: SYSTEM \ CurrentControlSet \ السياسات \ EarlyLaunch \ DriverLoadPolicy نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 3 (قلم المحكمة)	تحذير
تكوين عرض المساعدة عن بعد (CCE-36388-7)	الوصف: يسمح لك إعداد النهج هذا بتشغيل "عرض المساعدة عن بعد" (غير المرغوب فيها) أو إيقاف تشغيله على هذا الكمبيوتر. لن يتمكن مكتب المساعدة وموظفو الدعم من تقديم المساعدة بشكل استباقي ، على الرغم من أنه لا يزال بإمكانهم الاستجابة لطلبات مساعدة المستخدم. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
تكوين المساعدة عن بعد المطلوبة (CCE-37281-3)	الوصف: يسمح لك إعداد النهج هذا بتشغيل "المساعدة عن بعد" المطلوبة (طلب ) أو إيقاف تشغيلها على هذا الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows NT \\ الخدمات الطرفية \\ fAllowToGetHelp نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	هام
عدم عرض واجهة مستخدم تحديد الشبكة (CCE-38353-9)	الوصف: يتيح لك إعداد النهج هذا التحكم فيما إذا كان بإمكان أي شخص التفاعل مع واجهة مستخدم الشبكات المتوفرة على شاشة تسجيل الدخول. إذا قمت بتمكين إعداد النهج هذا، فلا يمكن تغيير حالة اتصال شبكة الكمبيوتر بدون تسجيل الدخول إلى Windows. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فيمكن لأي مستخدم فصل الكمبيوتر عن الشبكة أو توصيل الكمبيوتر بالشبكات الأخرى المتوفرة دون تسجيل الدخول إلى Windows. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ النظام \\ دونت ديسبلاي نتورك اختيار واجهة المستخدم نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
تمكين مصادقة عميل تعيين نقطة النهاية RPC (CCE-37346-4)	الوصف: يتحكم إعداد النهج هذا في ما إذا كان عملاء RPC يقومون بالمصادقة باستخدام خدمة تعيين نقطة النهاية عندما تحتوي المكالمة التي يقومون بها على معلومات مصادقة. يتعذر على خدمة "تعيين نقطة النهاية" على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows NT4 (كافة حزم الخدمات) معالجة معلومات المصادقة المتوفرة بهذه الطريقة. إذا قمت بتعطيل إعداد النهج هذا، فلن يقوم عملاء RPC بالمصادقة على خدمة تعيين نقطة النهاية، ولكنهم سيتمكنون من الاتصال بخدمة مخطط نقطة النهاية على خادم NT4 Windows. إذا قمت بتمكين إعداد النهج هذا، فسيقوم عملاء RPC بالمصادقة إلى خدمة تعيين نقطة النهاية للمكالمات التي تحتوي على معلومات مصادقة. لن يتمكن العملاء الذين يجرون مثل هذه المكالمات من الاتصال بخدمة تعيين نقطة نهاية خادم NT4 Windows. إذا لم تقم بتكوين إعداد النهج هذا، فإنه يظل معطلا. لن يقوم عملاء RPC بالمصادقة على خدمة تعيين نقطة النهاية، ولكنهم سيتمكنون من الاتصال بخدمة مخطط نقطة النهاية لخادم NT4 Windows. ملاحظة: لن يتم تطبيق هذه السياسة حتى تتم إعادة تشغيل النظام. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows NT \\ RPC \ EnableAuthEpResolution نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	= 1 (قلم المحكمة)	هام
تمكين عميل NTP Windows (CCE-37843-0)	الوصف: يحدد إعداد النهج هذا ما إذا كان عميل NTP Windows ممكنا أم لا. يتيح تمكين عميل NTP Windows للكمبيوتر مزامنة ساعة الكمبيوتر الخاصة به مع خوادم NTP الأخرى. قد ترغب في تعطيل هذه الخدمة إذا قررت استخدام موفر وقت تابع لجهة خارجية. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: النظام \\ CurrentControlSet \\ الخدمات \\ W32Time \ TimeProviders \ NtpClient \ تمكين نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجموعة عمل	= 1 (قلم المحكمة)	هام
تأكد من تعيين "متابعة التجارب على هذا الجهاز" إلى "معطل" (من الألف إلى الياء-الفوز-00170)	الوصف: يحدد إعداد السياسة هذا ما إذا كان يسمح للجهاز Windows بالمشاركة في التجارب عبر الأجهزة (متابعة التجارب). الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ النظام \ تمكين Cdp نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
تضمين سطر الأوامر في أحداث إنشاء العملية (CCE-36925-6)	الوصف: يحدد إعداد النهج هذا المعلومات التي يتم تسجيلها في أحداث تدقيق الأمان عند إنشاء عملية جديدة. ينطبق هذا الإعداد فقط عند تمكين نهج إنشاء عملية التدقيق. إذا قمت بتمكين إعداد النهج هذا، تسجيل معلومات سطر الأوامر لكل عملية بنص عادي في سجل أحداث الأمان كجزء من حدث إنشاء عملية التدقيق 4688، تم إنشاء عملية جديدة، على محطات العمل والخوادم التي يتم تطبيق إعداد النهج هذا عليها. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فلن يتم تضمين معلومات سطر الأوامر الخاصة بالعملية في أحداث إنشاء عملية التدقيق. افتراضي: لم يتم تكوينه ملاحظة: عند تمكين إعداد النهج هذا، سيتمكن أي مستخدم لديه حق الوصول لقراءة أحداث الأمان من قراءة وسيطات سطر الأوامر لأي عملية تم إنشاؤها بنجاح. يمكن أن تحتوي وسيطات سطر الأوامر على معلومات حساسة أو خاصة مثل كلمات المرور أو بيانات المستخدم. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows\ الإصدار الحالي \\ السياسات \ النظام \\ التدقيق \\ ProcessCreationIncludeCmdLine_Enabled نظام التشغيل: WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
إيقاف تشغيل إشعارات التطبيق على شاشة القفل (CCE-35893-7)	الوصف: يتيح لك إعداد السياسة هذا منع ظهور إشعارات التطبيق على شاشة القفل. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
إيقاف تنزيل برامج تشغيل الطباعة عبر HTTP (CCE-36625-2)	الوصف: يتحكم إعداد النهج هذا فيما إذا كان بإمكان الكمبيوتر تنزيل حزم برامج تشغيل الطباعة عبر HTTP أم لا. لإعداد طباعة HTTP، قد يلزم تنزيل برامج تشغيل الطابعة غير المتوفرة في تثبيت نظام التشغيل القياسي عبر HTTP. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows NT \\ الطابعات \\ ديسابليب بي إن بي دي فونتحميل نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	تحذير
قم بإيقاف تشغيل "معالج الاتصال بإنترنت" إذا كان اتصال عنوان URL يشير إلى Microsoft.com (CCE-37163-3)	وصف: يحدد إعداد النهج هذا ما إذا كان بإمكان "معالج الاتصال بإنترنت" الاتصال ب Microsoft لتنزيل قائمة بموفري خدمة إنترنت (ISP). الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ معالج اتصال إنترنت \\ ExitOnMSICW نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
تشغيل تسجيل الدخول إلى رمز PIN المريح (CCE-37528-7)	الوصف: يتيح لك إعداد النهج هذا التحكم فيما إذا كان بإمكان مستخدم النطاق تسجيل الدخول باستخدام رمز PIN ملائم أم لا. في Windows 10 ، تم استبدال رقم التعريف الشخصي للراحة بجواز السفر ، الذي يتمتع بخصائص أمان أقوى. لتكوين Passport لمستخدمي المجال، استخدم النهج ضمن تكوين الكمبيوتر\قوالب الإدارة\Windows المكونات\Microsoft Passport for Work. ملاحظه: سيتم تخزين كلمة مرور نطاق المستخدم مؤقتا في قبو النظام عند استخدام هذه الميزة. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ النظام \ السماح المجال PINLogon نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير

خيارات الأمان - الحسابات

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
الحسابات: حالة حساب الضيف (CCE-37432-2)	الوصف: يحدد إعداد النهج هذا ما إذا كان حساب الضيف ممكنا أم معطلا. يسمح حساب Guest لمستخدمي الشبكة غير المصادق عليهم بالوصول إلى النظام. الحالة الموصى بها لهذا الإعداد هي: Disabled. ملاحظه: لن يكون لهذا الإعداد أي تأثير عند تطبيقه على الوحدة التنظيمية لوحدة تحكم المجال عبر نهج المجموعة لأن وحدات تحكم المجال ليس لديها قاعدة بيانات حساب محلية. يمكن تكوينه على مستوى النطاق عبر سياسة المجموعة ، على غرار إعدادات تأمين الحساب وسياسة كلمة المرور. المسار الرئيسي: [الوصول إلى النظام]EnableGuestAccount نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (السياسة)	هام
الحسابات: تقييد استخدام الحساب المحلي لكلمات المرور الفارغة لتسجيل الدخول إلى وحدة التحكم فقط (CCE-37615-2)	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن استخدام الحسابات المحلية غير المحمية بكلمة مرور لتسجيل الدخول من مواقع أخرى غير وحدة تحكم الكمبيوتر الفعلية. إذا قمت بتمكين إعداد النهج هذا، فلن تتمكن الحسابات المحلية التي تحتوي على كلمات مرور فارغة من تسجيل الدخول إلى الشبكة من أجهزة الكمبيوتر العميلة البعيدة. لن تتمكن هذه الحسابات من تسجيل الدخول إلا من لوحة مفاتيح الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \\ Lsa \ LimitBlankPasswordUse نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام

خيارات الأمان - التدقيق

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
التدقيق: فرض إعدادات الفئة الفرعية لنهج التدقيق (Windows Vista أو إصدار أحدث) لتجاوز إعدادات فئة نهج التدقيق (CCE-37850-5)	الوصف: يسمح إعداد النهج هذا للمسؤولين بتمكين إمكانات التدقيق الأكثر دقة الموجودة في Windows Vista. إعدادات "نهج التدقيق" المتوفرة في Windows Server 2003 Active Directory لا تحتوي بعد على إعدادات لإدارة الفئات الفرعية الجديدة للتدقيق. لتطبيق نهج التدقيق الموضحة في هذا الأساس بشكل صحيح، يجب تكوين إعداد الفئة الفرعية للتدقيق: فرض إعدادات الفئة الفرعية لنهج التدقيق (Windows Vista أو أحدث) لتجاوز إعداد إعدادات فئة نهج التدقيق إلى ممكن. المسار الرئيسي: SYSTEM \ CurrentControlSet \ Control \ Lsa \ SCENoApplyLegacyAuditPolicy نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
التدقيق: إيقاف تشغيل النظام فوراً إذا تعذر تسجيل عمليات تدقيق الأمان (CCE-35907-5)	الوصف: يحدد إعداد النهج هذا ما إذا كان النظام يتم إيقاف تشغيله إذا لم يتمكن من تسجيل أحداث الأمان أم لا. وهو أحد متطلبات شهادة معايير تقييم نظام الكمبيوتر الموثوق به (TCSEC)-C2 والمعايير المشتركة لمنع حدوث الأحداث القابلة للتدقيق إذا كان نظام التدقيق غير قادر على تسجيلها. اختارت Microsoft تلبية هذا المطلب عن طريق إيقاف النظام وعرض رسالة إيقاف إذا واجه نظام التدقيق فشلا. عند تمكين إعداد النهج هذا، سيتم إيقاف تشغيل النظام إذا تعذر تسجيل تدقيق أمان لأي سبب من الأسباب. إذا تم تمكين إعداد التدقيق: إيقاف تشغيل النظام على الفور إذا تعذر تسجيل عمليات تدقيق الأمان، فقد يحدث فشل غير مخطط له في النظام. يمكن أن يكون العبء الإداري كبيرا، خاصة إذا قمت أيضا بتكوين أسلوب الاحتفاظ بسجل الأمان إلى عدم الكتابة فوق الأحداث (مسح السجل يدويا). يتسبب هذا التكوين في تهديد التنصل (يمكن لمشغل النسخ الاحتياطي أن ينكر أنه قام بنسخ البيانات احتياطيا أو استعادتها) ليصبح ثغرة أمنية في رفض الخدمة (DoS)، لأنه قد يضطر الخادم إلى إيقاف التشغيل إذا كان غارقا في أحداث تسجيل الدخول وأحداث الأمان الأخرى المكتوبة إلى سجل الأمان. أيضا ، نظرا لأن إيقاف التشغيل ليس رشيقا ، فمن الممكن أن يؤدي ذلك إلى تلف لا يمكن إصلاحه لنظام التشغيل أو التطبيقات أو البيانات. على الرغم من أن نظام الملفات NTFS يضمن سلامته عند حدوث إيقاف تشغيل غير رشيق للكمبيوتر ، إلا أنه لا يمكنه ضمان أن كل ملف بيانات لكل تطبيق سيظل في شكل قابل للاستخدام عند إعادة تشغيل الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: النظام \\ CurrentControlSet \\ Lta \ CrashOnAuditFail نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام

خيارات الأمان - الأجهزة

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
الأجهزة: السماح بإلغاء الإرساء دون الحاجة إلى تسجيل الدخول (AZ-WIN-00120)	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن إلغاء إرساء كمبيوتر محمول إذا لم يقم المستخدم بتسجيل الدخول إلى النظام. قم بتمكين إعداد النهج هذا لإزالة متطلبات تسجيل الدخول والسماح باستخدام زر إخراج جهاز خارجي لإلغاء إرساء الكمبيوتر. إذا قمت بتعطيل إعداد النهج هذا، يجب على المستخدم تسجيل الدخول وتم تعيين حق المستخدم في إزالة الكمبيوتر من محطة الإرساء لإلغاء إرساء الكمبيوتر. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \\ النظام \\ UndockWithoutLogon نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	= 0 (قلم المحكمة)	معلوماتي
الأجهزة: يسمح بتنسيق الوسائط القابلة للإزالة وإخراجها (CCE-37701-0)	الوصف: يحدد إعداد النهج هذا الأشخاص المسموح لهم بتنسيق الوسائط القابلة للإزالة وإخراجها. يمكنك استخدام إعداد النهج هذا لمنع المستخدمين غير المصرح لهم من إزالة البيانات الموجودة على كمبيوتر واحد للوصول إليها على كمبيوتر آخر لديهم امتيازات المسؤول المحلي عليه. المسار الرئيسي : البرمجيات \\ مايكروسوفت \\ Windows NT \\ CurrentVersion \\ Winlogon \\ AllocateDASD نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
الأجهزة: منع المستخدمين من تثبيت برامج تشغيل الطابعة (CCE-37942-0)	وصف: لكي يقوم جهاز كمبيوتر بالطباعة إلى طابعة مشتركة، يجب تثبيت برنامج تشغيل هذه الطابعة المشتركة على الكمبيوتر المحلي. يحدد إعداد الأمان هذا الأشخاص المسموح لهم بتثبيت برنامج تشغيل طابعة كجزء من الاتصال بطابعة مشتركة. الحالة الموصى بها لهذا الإعداد هي: Enabled. ملاحظه: لا يؤثر هذا الإعداد على القدرة على إضافة طابعة محلية. لا يؤثر هذا الإعداد على المسؤولين. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \ الطباعة \ مقدمي \\ خدمات الطباعة LanMan \\ الخوادم \\ AddPrinterDrivers نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	تحذير

خيارات الأمان - تسجيل الدخول التفاعلي

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تسجيل الدخول التفاعلي: لا تعرض اسم المستخدم الأخير (CCE-36056-0)	الوصف: يحدد إعداد النهج هذا ما إذا كان سيتم عرض اسم حساب آخر مستخدم قام بتسجيل الدخول إلى أجهزة الكمبيوتر العميلة في مؤسستك في شاشة تسجيل الدخول Windows الخاصة بكل كمبيوتر. قم بتمكين إعداد النهج هذا لمنع المتسللين من جمع أسماء الحسابات بشكل مرئي من شاشات أجهزة الكمبيوتر المكتبية أو المحمولة في مؤسستك. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \\ النظام \\ دونت ديسبلاي اسم المستخدم الأخير نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
تسجيل الدخول التفاعلي: لا تتطلب CTRL + ALT + DEL (CCE-37637-6)	وصف: يحدد إعداد النهج هذا ما إذا كان يجب على المستخدمين الضغط على CTRL + ALT + DEL قبل تسجيل الدخول. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \ النظام \ ديسابليكاد نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام

خيارات الأمان - عميل شبكة اتصال Microsoft

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
عميل شبكة Microsoft: توقيع الاتصالات رقميا (دائما) (CCE-36325-9)	الوصف: يحدد إعداد النهج هذا ما إذا كان توقيع الحزمة مطلوبا بواسطة مكون عميل SMB. ملاحظه: عند تمكين إعداد النهج هذا Windows أجهزة الكمبيوتر المستندة إلى Vista، وتوصيلها بمشاركات الملفات أو الطباعة على الخوادم البعيدة، من المهم مزامنة الإعداد مع الإعداد المرافق له، خادم شبكة اتصال Microsoft: توقيع الاتصالات رقميا (دائما)، على تلك الخوادم. لمزيد من المعلومات حول هذه الإعدادات، راجع القسم "عميل شبكة Microsoft والخادم: توقيع الاتصالات رقميا (أربعة إعدادات ذات صلة)" في الفصل 5 من دليل التهديدات والتدابير المضادة. الحالة الموصى بها لهذا الإعداد هي: "ممكن". المسار الرئيسي: النظام \\ CurrentControlSet \ الخدمات \\ محطة عمل Lanman\ المعلمات \ تتطلب الأمن التوقيع نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
عميل شبكة Microsoft: توقيع الاتصالات رقميا (إذا وافق الخادم) (CCE-36269-9)	الوصف: يحدد إعداد النهج هذا ما إذا كان عميل SMB سيحاول التفاوض على توقيع حزم SMB أم لا. ملاحظه: إن تمكين إعداد النهج هذا على عملاء الشركات الصغيرة والمتوسطة على شبكتك يجعلها فعالة تماما لتوقيع الحزم مع جميع العملاء والخوادم في بيئتك. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: النظام \\ CurrentControlSet \\ الخدمات \\ محطة عمل لانمان \\ المعلمات \ تمكين الأمن التوقيع نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
عميل شبكة Microsoft: إرسال كلمة مرور غير مشفرة إلى خوادم SMB التابعة لجهات خارجية (CCE-37863-8)	الوصف: يحدد إعداد النهج هذا ما إذا كان معيد توجيه SMB سيرسل كلمات مرور بنص عادي أثناء المصادقة إلى خوادم SMB التابعة لجهات خارجية والتي لا تدعم تشفير كلمة المرور. يوصى بتعطيل إعداد النهج هذا ما لم تكن هناك حالة عمل قوية لتمكينه. إذا تم تمكين إعداد النهج هذا، السماح بكلمات المرور غير المشفرة عبر الشبكة. الحالة الموصى بها لهذا الإعداد هي: "معطل". المسار الرئيسي: النظام \\ CurrentControlSet \\ الخدمات \\ محطة عمل لانمان \\ المعلمات \ تمكين PlainTextPassword نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
خادم شبكة اتصال Microsoft: مقدار وقت الخمول المطلوب قبل تعليق جلسة العمل (CCE-38046-9)	الوصف: يسمح لك إعداد النهج هذا بتحديد مقدار وقت الخمول المستمر الذي يجب أن يمر في جلسة عمل SMB قبل تعليق الجلسة بسبب عدم النشاط. يمكن للمسؤولين استخدام إعداد النهج هذا للتحكم في وقت قيام الكمبيوتر بتعليق جلسة عمل SMB غير نشطة. إذا استؤنف نشاط العميل، تتم إعادة إنشاء الجلسة تلقائيا. يبدو أن القيمة 0 تسمح باستمرار الجلسات إلى أجل غير مسمى. القيمة القصوى هي 99999 ، أي أكثر من 69 يوما ؛ في الواقع، تقوم هذه القيمة بتعطيل الإعداد. الحالة الموصى بها لهذا الإعداد هي: 15 or fewer minute(s), but not 0. المسار الرئيسي: النظام \\ CurrentControlSet \\ الخدمات \\ LanManServer \ المعلمات \ قطع الاتصال التلقائي نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	في 1-15 (قلم المحكمة)	هام
خادم شبكة Microsoft: توقيع الاتصالات رقميا (دائما) (CCE-37864-6)	الوصف: يحدد إعداد النهج هذا ما إذا كان توقيع الحزمة مطلوبا بواسطة مكون خادم SMB أم لا. قم بتمكين إعداد النهج هذا في بيئة مختلطة لمنع عملاء المصب من استخدام محطة العمل كخادم شبكة. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: SYSTEM \ CurrentControlSet \ الخدمات \\ LanManServer \ المعلمات \ تتطلب الأمن التوقيع نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
خادم شبكة Microsoft: توقيع الاتصالات رقميا (إذا وافق العميل) (CCE-35988-5)	الوصف: يحدد إعداد النهج هذا ما إذا كان خادم SMB سيتفاوض على توقيع حزمة SMB مع العملاء الذين يطلبونها. إذا لم يأت أي طلب توقيع من العميل، السماح بالاتصال بدون توقيع إذا لم يتم تمكين إعداد خادم شبكة Microsoft: توقيع الاتصالات رقميا (دائما ). ملاحظه: قم بتمكين إعداد النهج هذا على عملاء SMB على شبكتك لجعلها فعالة تماما لتوقيع الحزم مع جميع العملاء والخوادم في بيئتك. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: النظام \\ CurrentControlSet \\ الخدمات \\ LanManServer \ المعلمات \ EnableSecuritySignature نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
ملقم شبكة اتصال Microsoft: قطع اتصال العملاء عند انتهاء ساعات تسجيل الدخول (CCE-37972-7)	الوصف: يحدد إعداد الأمان هذا ما إذا كان سيتم قطع اتصال المستخدمين المتصلين بالكمبيوتر المحلي خارج ساعات تسجيل الدخول الصالحة لحساب المستخدم الخاص بهم. يؤثر هذا الإعداد على مكون كتلة رسائل الخادم (SMB). إذا قمت بتمكين إعداد النهج هذا، فيجب عليك أيضا تمكين أمان الشبكة: فرض تسجيل الخروج عند انتهاء صلاحية ساعات تسجيل الدخول (القاعدة 2.3.11.6). إذا قامت مؤسستك بتكوين ساعات تسجيل الدخول للمستخدمين، فسيكون إعداد النهج هذا ضروريا لضمان فعاليتها. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: النظام \\ CurrentControlSet \\ الخدمات \\ LanManServer \\ المعلمات \ EnableForcedLogoff نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام

خيارات الأمان - خادم شبكة Microsoft

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تعطيل خادم SMB v1 (AZ-WIN-00175)	الوصف: يؤدي تعطيل هذا الإعداد إلى تعطيل المعالجة من جانب الخادم لبروتوكول SMBv1. (موصى به.) يتيح تمكين هذا الإعداد المعالجة من جانب الخادم لبروتوكول SMBv1. (افتراضي.) تتطلب التغييرات التي تطرأ على هذا الإعداد إعادة تشغيل لتصبح سارية المفعول. لمزيدٍ من المعلومات، راجع https://support.microsoft.com/kb/2696547 المسار الرئيسي: النظام \\ CurrentControlSet \\ الخدمات \\ LanmanServer \\ المعلمات \\ SMB1 نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام

خيارات الأمان - الوصول إلى الشبكة

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
الوصول إلى الشبكة: لا تسمح بالتعداد المجهول لحسابات SAM (CCE-36316-8)	الوصف: يتحكم إعداد النهج هذا في قدرة المستخدمين المجهولين على تعداد الحسابات في إدارة حسابات الأمان (SAM). إذا قمت بتمكين إعداد النهج هذا، فلن يتمكن المستخدمون الذين لديهم اتصالات مجهولة الهوية من تعداد أسماء مستخدمي حساب المجال على الأنظمة الموجودة في بيئتك. يسمح إعداد السياسة هذا أيضا بفرض قيود إضافية على الاتصالات المجهولة. الحالة الموصى بها لهذا الإعداد هي: Enabled. ملاحظه: هذا النهج ليس له أي تأثير على وحدات تحكم المجال. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \\ Lsa \ تقييد مجهول سام نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	غير موجود أو = 1 (قلم المحكمة)	هام
الوصول إلى الشبكة: لا تسمح بالتعداد المجهول لحسابات SAM ومشاركاتها (CCE-36077-6)	الوصف: يتحكم إعداد النهج هذا في قدرة المستخدمين المجهولين على تعداد حسابات SAM بالإضافة إلى المشاركات. إذا قمت بتمكين إعداد النهج هذا، فلن يتمكن المستخدمون المجهولون من تعداد أسماء مستخدمي حساب المجال وأسماء مشاركة الشبكة على الأنظمة الموجودة في بيئتك. الحالة الموصى بها لهذا الإعداد هي: Enabled. ملاحظه: هذا النهج ليس له أي تأثير على وحدات تحكم المجال. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \\ Lsa \ تقييد مجهول نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	= 1 (قلم المحكمة)	هام
الوصول إلى الشبكة: السماح بتطبيق أذونات الجميع على المستخدمين المجهولين (CCE-36148-5)	الوصف: يحدد إعداد النهج هذا الأذونات الإضافية التي يتم تعيينها للاتصالات المجهولة بالكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \\ Lsa \ الجميع يشملمجهول نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
الوصول إلى الشبكة: مسارات تسجيل يمكن الوصول إليها عن بُعد (CCE-37194-8)	الوصف: يحدد إعداد النهج هذا مسارات التسجيل التي سيتم الوصول إليها بعد الرجوع إلى المفتاح WinReg لتحديد أذونات الوصول إلى المسارات. ملاحظة: هذا الإعداد غير موجود في Windows XP. كان هناك إعداد بهذا الاسم في Windows XP ، ولكنه يسمى "الوصول إلى الشبكة: مسارات التسجيل والمسارات الفرعية التي يمكن الوصول إليها عن بعد" في Windows Server 2003 و Windows Vista و Windows Server 2008. ملاحظة: عند تكوين هذا الإعداد، يمكنك تحديد قائمة بكائن واحد أو أكثر. المحدد المستخدم عند إدخال القائمة هو تغذية سطر أو إرجاع النقل ، أي اكتب الكائن الأول في القائمة ، واضغط على الزر Enter ، واكتب الكائن التالي ، واضغط على Enter مرة أخرى ، وما إلى ذلك. يتم تخزين قيمة الإعداد كقائمة محددة بفواصل في قوالب أمان نهج المجموعة. يتم تقديمه أيضا كقائمة محددة بفواصل في جزء العرض نهج المجموعة المحرر ووحدة تحكم المجموعة الناتجة من السياسة. يتم تسجيله في السجل كقائمة محددة بتغذية الأسطر بقيمة REG_MULTI_SZ. المسار الرئيسي: النظام \\ CurrentControlSet \\ التحكم \\ SecurePipeServers \ Winreg \ AllowedExactPaths \ الجهاز نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = النظام \\ CurrentControlSet\التحكم\خيارات المنتج\0النظام\CurrentControlSet\التحكم\تطبيقات الخادم\0البرمجيات\Microsoft\Windows NT\CurrentVersion\0\0 (قلم المحكمة)	هام
الوصول إلى الشبكة: مسارات التسجيل والمسارات الفرعية التي يمكن الوصول إليها عن بُعد (CCE-36347-3)	الوصف: يحدد إعداد النهج هذا مسارات التسجيل والمسارات الفرعية التي يمكن الوصول إليها عندما يشير تطبيق أو عملية إلى مفتاح WinReg لتحديد أذونات الوصول. ملاحظة: في Windows XP يسمى هذا الإعداد "الوصول إلى الشبكة: مسارات التسجيل التي يمكن الوصول إليها عن بعد" ، الإعداد الذي يحمل نفس الاسم في Windows Vista و Windows Server 2008 و Windows Server 2003 غير موجود في Windows XP. ملاحظة: عند تكوين هذا الإعداد، يمكنك تحديد قائمة بكائن واحد أو أكثر. المحدد المستخدم عند إدخال القائمة هو تغذية سطر أو إرجاع النقل ، أي اكتب الكائن الأول في القائمة ، واضغط على الزر Enter ، واكتب الكائن التالي ، واضغط على Enter مرة أخرى ، وما إلى ذلك. يتم تخزين قيمة الإعداد كقائمة محددة بفواصل في قوالب أمان نهج المجموعة. يتم تقديمه أيضا كقائمة محددة بفواصل في جزء العرض نهج المجموعة المحرر ووحدة تحكم المجموعة الناتجة من السياسة. يتم تسجيله في السجل كقائمة محددة بتغذية الأسطر بقيمة REG_MULTI_SZ. المسار الرئيسي: النظام \\ CurrentControlSet \\ التحكم \\ SecurePipeServers \ Winreg \ AllowedPaths \ الجهاز نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	غير موجود أو = النظام \ CurrentControlSet \ التحكم \\ الطباعة \ الطابعات \ 0 النظام \ CurrentControlSet \ الخدمات \ Eventlog \ 0Software \ Microsoft \ OLAP Server \ 0Software\Microsoft \ Windows NT \ CurrentVersion \ Print \ 0Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows\0System \ CurrentControlSet \ Control\ Control\ Control\0System \ CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (قلم المحكمة)	هام
الوصول إلى الشبكة: تقييد الوصول المجهول إلى الأنابيب والمشاركات المسماة (CCE-36021-4)	الوصف: عند تمكينه، يقيد إعداد النهج هذا الوصول المجهول إلى تلك المشاركات والأنابيب التي تم تسميتها في Network access: Named pipes that can be accessed anonymously الإعدادات والإعدادات Network access: Shares that can be accessed anonymously فقط. يتحكم إعداد النهج هذا في الوصول إلى جلسة عمل فارغة إلى المشاركات على أجهزة الكمبيوتر الخاصة بك عن طريق الإضافة RestrictNullSessAccess مع القيمة 1 الموجودة HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters في مفتاح التسجيل. تقوم قيمة التسجيل هذه بتبديل مشاركات جلسة العمل الخالية أو إيقاف تشغيلها للتحكم فيما إذا كانت خدمة الخادم تقيد وصول العملاء غير المصادق عليهم إلى الموارد المسماة. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: النظام \\ CurrentControlSet \ الخدمات \\ LanManServer \ المعلمات \ تقييد NullSessAccess نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
الوصول إلى الشبكة: تقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM (AZ-WIN-00142)	الوصف: يسمح لك إعداد النهج هذا بتقييد اتصالات RPC البعيدة ب SAM. إذا لم يتم تحديده، استخدام واصف الأمان الافتراضي. يتم دعم هذا النهج على الأقل Windows Server 2016. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \\ Lsa \ تقييد جهاز التحكم عن بعد SAM نظام التشغيل: WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	غير موجود أو = O:BAG:BAD:(A;; RC;;; بكالوريوس) (قلم المحكمة)	هام
الوصول إلى الشبكة: المشاركات التي يمكن الوصول إليها بشكل مجهول (CCE-38095-6)	الوصف: يحدد إعداد النهج هذا مشاركات الشبكة التي يمكن للمستخدمين المجهولين الوصول إليها. التكوين الافتراضي لإعداد النهج هذا له تأثير ضئيل لأنه يجب مصادقة جميع المستخدمين قبل أن يتمكنوا من الوصول إلى الموارد المشتركة على الخادم. ملاحظة: قد يكون من الخطير جدا إضافة مشاركات أخرى إلى إعداد نهج المجموعة هذا. يمكن لأي مستخدم للشبكة الوصول إلى أي مشاركات مدرجة ، والتي يمكن أن تعرض البيانات الحساسة أو تفسدها. ملاحظة: عند تكوين هذا الإعداد، يمكنك تحديد قائمة بكائن واحد أو أكثر. المحدد المستخدم عند إدخال القائمة هو تغذية سطر أو إرجاع النقل ، أي اكتب الكائن الأول في القائمة ، واضغط على الزر Enter ، واكتب الكائن التالي ، واضغط على Enter مرة أخرى ، وما إلى ذلك. يتم تخزين قيمة الإعداد كقائمة محددة بفواصل في قوالب أمان نهج المجموعة. يتم تقديمه أيضا كقائمة محددة بفواصل في جزء العرض نهج المجموعة المحرر ووحدة تحكم المجموعة الناتجة من السياسة. يتم تسجيله في السجل كقائمة محددة بتغذية الأسطر بقيمة REG_MULTI_SZ. المسار الرئيسي: النظام \\ CurrentControlSet \\ الخدمات \\ LanManServer \ المعلمات \ NullSessionShares نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = (قلم المحكمة)	هام
الوصول إلى الشبكة: نموذج المشاركة والأمان للحسابات المحلية (CCE-37623-6)	الوصف: يحدد إعداد النهج هذا كيفية مصادقة عمليات تسجيل الدخول إلى الشبكة التي تستخدم الحسابات المحلية. يسمح الخيار الكلاسيكي بالتحكم الدقيق في الوصول إلى الموارد، بما في ذلك القدرة على تعيين أنواع مختلفة من الوصول إلى مستخدمين مختلفين لنفس المورد. يتيح لك خيار الضيف فقط معاملة جميع المستخدمين على قدم المساواة. في هذا السياق، يقوم جميع المستخدمين بالمصادقة كضيف فقط لتلقي نفس مستوى الوصول إلى مورد معين. الحالة الموصى بها لهذا الإعداد هي: Classic - local users authenticate as themselves. ملاحظه: لا يؤثر هذا الإعداد على عمليات تسجيل الدخول التفاعلية التي يتم تنفيذها عن بعد باستخدام خدمات مثل Telnet أو خدمات سطح المكتب البعيد (التي كانت تسمى سابقا الخدمات الطرفية). المسار الرئيسي: النظام \\ CurrentControlSet \\ التحكم \\ Lsa \ ForceGuest نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام

خيارات الأمان - أمان الشبكة

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
أمان الشبكة: السماح للنظام المحلي باستخدام هوية الكمبيوتر ل NTLM (CCE-38341-4)	وصف: عند تمكينه، يؤدي إعداد النهج هذا إلى استخدام خدمات "التفاوض" لخدمات "التفاوض" هوية الكمبيوتر عند تحديد مصادقة NTLM بواسطة التفاوض. يتم اعتماد هذا النهج على الأقل Windows 7 أو Windows Server 2008 R2. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \\ Lsa \ UseMachineId نظام التشغيل: WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
أمان الشبكة: السماح باحتياطي جلسة عمل NULL للنظام المحلي (CCE-37035-3)	الوصف: يحدد إعداد النهج هذا ما إذا كان يسمح ل NTLM بالعودة إلى جلسة عمل NULL عند استخدامه مع LocalSystem. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: النظام \\ CurrentControlSet \\ التحكم \\ Lsa \ MSV1_0 \\ AllowNullSessionFallback نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
أمان الشبكة: السماح لطلبات مصادقة PKU2U لهذا الكمبيوتر باستخدام الهويات عبر الإنترنت (CCE-38047-7)	الوصف: يحدد هذا الإعداد ما إذا كانت الهويات عبر الإنترنت قادرة على المصادقة على هذا الكمبيوتر. يتم تنفيذ بروتوكول المستخدم إلى المستخدم (PKU2U) المستند إلى تشفير المفتاح العام الذي تم تقديمه في Windows 7 و Windows Server 2008 R2 كموفر دعم أمان (SSP). يتيح SSP مصادقة نظير إلى نظير ، خاصة من خلال ميزة مشاركة الوسائط والملفات Windows 7 التي تسمى مجموعة المشاركة المنزلية ، والتي تسمح بالمشاركة بين أجهزة الكمبيوتر التي ليست أعضاء في مجال. مع PKU2U ، تم تقديم ملحق جديد لحزمة مصادقة التفاوض ، Spnego.dll. في الإصدارات السابقة من Windows، قرر التفاوض ما إذا كان سيتم استخدام Kerberos أو NTLM للمصادقة. يدعم ملحق SSP للتفاوض ، Negoexts.dllوالذي يتم التعامل معه كبروتوكول مصادقة من قبل Windows ، Microsoft SSPs بما في ذلك PKU2U. عند تكوين أجهزة الكمبيوتر لقبول طلبات المصادقة باستخدام معرفات عبر إنترنت، Negoexts.dll استدعاء PKU2U SSP على الكمبيوتر المستخدم لتسجيل الدخول. يحصل PKU2U SSP على شهادة محلية ويتبادل النهج بين أجهزة الكمبيوتر النظيرة. عند التحقق من صحتها على الكمبيوتر النظير، يتم إرسال الشهادة الموجودة داخل بيانات التعريف إلى نظير تسجيل الدخول للتحقق من صحتها وإقران شهادة المستخدم برمز أمان مميز وتكتمل عملية تسجيل الدخول. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: النظام \\ CurrentControlSet \\ التحكم \\ Lsa \ pku2u \ AllowOnlineID نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
أمان الشبكة: تكوين أنواع التشفير المسموح بها لـ Kerberos (CCE-37755-6)	الوصف: يسمح لك إعداد النهج هذا بتعيين أنواع التشفير التي يسمح ل Kerberos باستخدامها. يتم اعتماد هذا النهج على الأقل Windows 7 أو Windows Server 2008 R2. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \ النظام \ Kerberos \ المعلمات \ أنواع التشفير المدعومة نظام التشغيل: WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 2147483644 (قلم المحكمة)	هام
أمان الشبكة: لا تقم بتخزين قيمة تجزئة LAN Manager عند تغيير كلمة المرور التالي (CCE-36326-7)	الوصف: يحدد إعداد النهج هذا ما إذا كانت قيمة تجزئة إدارة الشبكة المحلية (LM) لكلمة المرور الجديدة مخزنة عند تغيير كلمة المرور. تجزئة LM ضعيفة نسبيا وعرضة للهجوم مقارنة بتجزئة Microsoft Windows NT الأقوى من الناحية المشفرة. نظرا لأن تجزئات LM يتم تخزينها على الكمبيوتر المحلي في قاعدة بيانات الأمان ، يمكن بعد ذلك اختراق كلمات المرور بسهولة إذا تعرضت قاعدة البيانات للهجوم. ملاحظه: قد تفشل أنظمة التشغيل القديمة وبعض تطبيقات الجهات الخارجية عند تمكين إعداد النهج هذا. لاحظ أيضا أنه ستحتاج إلى تغيير كلمة المرور على جميع الحسابات بعد تمكين هذا الإعداد للحصول على الفائدة المناسبة. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: النظام \\ CurrentControlSet \\ التحكم \\ Lsa \ NoLMHash نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
أمان الشبكة: مستوى مصادقة LAN Manager (CCE-36173-3)	الوصف: LAN Manager (LM) هي عائلة من برامج العميل/الخادم المبكرة من Microsoft التي تسمح للمستخدمين بربط أجهزة الكمبيوتر الشخصية معا على شبكة واحدة. تتضمن إمكانات الشبكة مشاركة شفافة للملفات والطباعة وميزات أمان المستخدم وأدوات إدارة الشبكة. في مجالات Active Directory، يكون بروتوكول Kerberos هو بروتوكول المصادقة الافتراضي. ومع ذلك، إذا لم يتم التفاوض على بروتوكول Kerberos لسبب ما، سيستخدم Active Directory LM أو NTLM أو NTLMv2. تتضمن مصادقة LAN Manager متغيرات LM وNTLM وNTLM الإصدار 2 (NTLMv2)، وهي البروتوكول المستخدم لمصادقة كافة عملاء Windows عند تنفيذ العمليات التالية: - الانضمام إلى مجال - المصادقة بين تفرعات Active Directory - المصادقة إلى المجالات ذات المستوى الأدنى - المصادقة على أجهزة الكمبيوتر التي لا تعمل Windows 2000 أو Windows Server 2003 أو Windows XP) - المصادقة على أجهزة الكمبيوتر غير الموجودة في المجال القيم المحتملة لأمان الشبكة: إعدادات مستوى مصادقة إدارة الشبكة المحلية هي: - إرسال استجابات LM & NTLM - إرسال LM NTLM - استخدام أمان جلسة عمل NTLMv2 إذا تم التفاوض عليه - إرسال استجابات NTLM فقط - إرسال استجابات NTLMv2 فقط - إرسال استجابات NTLMv2 فقط \ رفض LM - إرسال استجابات NTLMv2 فقط \ رفض LM && NTLM - غير معرف أمان الشبكة: يحدد إعداد مستوى مصادقة LAN Manager بروتوكول مصادقة التحدي/الاستجابة المستخدم لعمليات تسجيل الدخول إلى الشبكة. يؤثر هذا الاختيار على مستوى بروتوكول المصادقة الذي يستخدمه العملاء ومستوى أمان جلسة العمل الذي تتفاوض عليه أجهزة الكمبيوتر ومستوى المصادقة الذي تقبله الملقمات كما يلي: - إرسال استجابات LM & NTLM. يستخدم العملاء مصادقة LM وNTLM ولا يستخدمون أمان جلسة عمل NTLMv2 أبدا. تقبل وحدات تحكم المجال مصادقة LM وNTLM وNTLMv2. - إرسال LM & NTLM - استخدم أمان جلسة NTLMv2 إذا تم التفاوض عليه. يستخدم العملاء مصادقة LM وNTLM ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمه. تقبل وحدات تحكم المجال مصادقة LM وNTLM وNTLMv2. - إرسال استجابة NTLM فقط. يستخدم العملاء مصادقة NTLM فقط ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمها. تقبل وحدات تحكم المجال مصادقة LM وNTLM وNTLMv2. - إرسال استجابة NTLMv2 فقط. يستخدم العملاء مصادقة NTLMv2 فقط ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمه. تقبل وحدات تحكم المجال مصادقة LM وNTLM وNTLMv2. - إرسال استجابة NTLMv2 فقط \ رفض LM. يستخدم العملاء مصادقة NTLMv2 فقط ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمه. ترفض وحدات التحكم بالمجال LM (تقبل مصادقة NTLM وNTLMv2 فقط). - إرسال استجابة NTLMv2 فقط \ رفض LM & NTLM. يستخدم العملاء مصادقة NTLMv2 فقط ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمه. ترفض وحدات التحكم بالمجال LM و NTLM (تقبل مصادقة NTLMv2 فقط). تتوافق هذه الإعدادات مع المستويات التي تمت مناقشتها في مستندات Microsoft الأخرى على النحو التالي: - المستوى 0 - إرسال استجابة LM و NTLM. لا تستخدم أبدا أمان جلسة عمل NTLMv2. يستخدم العملاء مصادقة LM وNTLM، ولا يستخدمون أمان جلسة عمل NTLMv2 أبدا. تقبل وحدات تحكم المجال مصادقة LM وNTLM وNTLMv2. - المستوى 1 - استخدم أمان جلسة NTLMv2 إذا تم التفاوض عليه. يستخدم العملاء مصادقة LM وNTLM ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمه. تقبل وحدات تحكم المجال مصادقة LM وNTLM وNTLMv2. - المستوى 2 - إرسال استجابة NTLM فقط. يستخدم العملاء مصادقة NTLM فقط، ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمه. تقبل وحدات تحكم المجال مصادقة LM وNTLM وNTLMv2. - المستوى 3 - إرسال استجابة NTLMv2 فقط. يستخدم العملاء مصادقة NTLMv2 ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمه. تقبل وحدات تحكم المجال مصادقة LM وNTLM وNTLMv2. - المستوى 4 - ترفض وحدات التحكم في المجال استجابات LM. يستخدم العملاء مصادقة NTLM ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمها. ترفض وحدات تحكم المجال مصادقة LM ، أي أنها تقبل NTLM و NTLMv2. - المستوى 5 - ترفض وحدات التحكم في المجال استجابات LM و NTLM (تقبل NTLMv2 فقط). يستخدم العملاء مصادقة NTLMv2 واستخدامها وأمان جلسة عمل NTLMv2 إذا كان الخادم يدعمها. ترفض وحدات التحكم بالمجال مصادقة NTLM و LM (تقبل NTLMv2 فقط). المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \\ Lsa \ LmCompatibilityLevel نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 5 (قلم المحكمة)	هام
أمان الشبكة: متطلبات توقيع عميل LDAP (CCE-36858-9)	الوصف: يحدد إعداد النهج هذا مستوى توقيع البيانات المطلوب نيابة عن البرامج التي تصدر طلبات LDAP BIND. ملاحظه: لا يؤثر إعداد النهج هذا على ربط LDAP البسيط () أو ربط LDAP البسيط من خلال طبقة المقابس الآمنة (ldap_simple_bindldap_simple_bind_s). لا تستخدم أي برامج Microsoft LDAP المضمنة مع Windows XP Professional ldap_simple_bind أو ldap_simple_bind_s للاتصال بوحدة تحكم مجال. الحالة الموصى بها لهذا الإعداد هي: Negotiate signing. تكوين هذا الإعداد ليتوافق Require signing أيضا مع المعيار. المسار الرئيسي: النظام \\ CurrentControlSet \ الخدمات \ LDAP \ LDAPClientIntegrity نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
أمان الشبكة: الحد الأدنى من أمان الجلسة لعملاء يستندون إلى NTLM SSP (بما في ذلك RPC الآمن) (CCE-37553-5)	الوصف: يحدد إعداد النهج هذا السلوكيات التي يسمح بها العملاء للتطبيقات التي تستخدم موفر دعم أمان NTLM (SSP). يتم استخدام واجهة SSP (SSPI) بواسطة التطبيقات التي تحتاج إلى خدمات المصادقة. لا يقوم الإعداد بتعديل كيفية عمل تسلسل المصادقة ولكنه يتطلب بدلا من ذلك سلوكيات معينة في التطبيقات التي تستخدم SSPI. الحالة الموصى بها لهذا الإعداد هي: Require NTLMv2 session security, Require 128-bit encryption. ملاحظه: تعتمد هذه القيم على أمان الشبكة: قيمة إعداد أمان مستوى مصادقة LAN Manager . المسار الرئيسي: النظام \\ CurrentControlSet \\ التحكم \\ Lsa \ MSV1_0 \\ NTLMMinClientSec نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 537395200 (قلم المحكمة)	هام
أمان الشبكة: الحد الأدنى من أمان الجلسة لخوادم NTLM SSP (بما في ذلك RPC الآمن) (CCE-37835-6)	الوصف: يحدد إعداد النهج هذا السلوكيات التي تسمح بها الخوادم للتطبيقات التي تستخدم موفر دعم أمان NTLM (SSP). يتم استخدام واجهة SSP (SSPI) بواسطة التطبيقات التي تحتاج إلى خدمات المصادقة. لا يقوم الإعداد بتعديل كيفية عمل تسلسل المصادقة ولكنه يتطلب بدلا من ذلك سلوكيات معينة في التطبيقات التي تستخدم SSPI. الحالة الموصى بها لهذا الإعداد هي: Require NTLMv2 session security, Require 128-bit encryption. ملاحظه: تعتمد هذه القيم على أمان الشبكة: قيمة إعداد أمان مستوى مصادقة LAN Manager . المسار الرئيسي: النظام \\ CurrentControlSet \\ التحكم \\ Lsa \ MSV1_0 \\ NTLMMinServerSec نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 537395200 (قلم المحكمة)	هام

خيارات الأمان - وحدة التحكم بالاسترداد

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
وحدة التحكم بالاسترداد: السماح بنسخة مرنة والوصول إلى جميع محركات الأقراص وجميع المجلدات (AZ-WIN-00180)	وصف: يجعل إعداد النهج هذا الأمر Recovery Console SET متوفرا، والذي يسمح لك بتعيين متغيرات بيئة وحدة التحكم بالاسترداد التالية: • AllowWildCards. تمكين دعم أحرف البدل لبعض الأوامر (مثل الأمر DEL). • AllowAllPaths. يسمح بالوصول إلى جميع الملفات والمجلدات الموجودة على الكمبيوتر. • AllowRemovableMedia. يسمح بنسخ الملفات إلى وسائط قابلة للإزالة، مثل قرص مرن. • NoCopyPrompt. لا يطالب عند الكتابة فوق ملف موجود. المسار الرئيسي : البرمجيات \\ مايكروسوفت \\ Windows NT \\ CurrentVersion \\ الإعداد \\ RecoveryConsole \\ setcommand نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	غير موجود أو = 0 (قلم المحكمة)	تحذير

خيارات الأمان - إيقاف التشغيل

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
إيقاف التشغيل: السماح بإيقاف تشغيل النظام دون الحاجة إلى تسجيل الدخول (CCE-36788-8)	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن إيقاف تشغيل جهاز كمبيوتر عند عدم تسجيل دخول المستخدم. إذا تم تمكين إعداد النهج هذا، يتوفر أمر إيقاف التشغيل على شاشة تسجيل الدخول Windows. يوصى بتعطيل إعداد النهج هذا لتقييد القدرة على إيقاف تشغيل الكمبيوتر للمستخدمين الذين لديهم بيانات اعتماد على النظام. الحالة الموصى بها لهذا الإعداد هي: Disabled. ملاحظه: في Server 2008 R2 والإصدارات الأقدم، لم يكن لهذا الإعداد أي تأثير على جلسات عمل سطح المكتب البعيد (RDP)/الخدمات الطرفية - فقد أثر فقط على وحدة التحكم المحلية. ومع ذلك، قامت Microsoft بتغيير السلوك في Windows Server 2012 (غير R2) والإصدارات الأحدث، حيث إذا تم تعيينها إلى ممكن، يسمح أيضا لجلسات عمل RDP بإيقاف تشغيل الخادم أو إعادة تشغيله. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \ النظام \ إيقاف التشغيل بدون تسجيل الدخول نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
إيقاف التشغيل: مسح ملف صفحة الذاكرة الظاهرية (AZ-WIN-00181)	الوصف: يحدد إعداد النهج هذا ما إذا كان يتم مسح ملف صفحة الذاكرة الظاهرية عند إيقاف تشغيل النظام. عند تمكين إعداد النهج هذا، يتم مسح ملف صفحة النظام في كل مرة يتم فيها إيقاف تشغيل النظام بشكل صحيح. إذا قمت بتمكين إعداد الأمان هذا، تصفير ملف الإسبات (Hiberfil.sys) عند تعطيل وضع الإسبات على نظام كمبيوتر محمول. سيستغرق الأمر وقتا أطول لإيقاف تشغيل الكمبيوتر وإعادة تشغيله ، وسيكون ملحوظا بشكل خاص على أجهزة الكمبيوتر التي تحتوي على ملفات ترحيل صفحات كبيرة. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \ إدارة الجلسة \ إدارة الذاكرة \ ClearPageFileAtShutdown نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	غير موجود أو = 0 (قلم المحكمة)	هام

خيارات الأمان - كائنات النظام

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
كائنات النظام: تتطلب عدم حساسية حالة الأحرف للأنظمة الفرعية غير Windows (CCE-37885-1)	الوصف: يحدد إعداد النهج هذا ما إذا كان يتم فرض عدم حساسية حالة الأحرف على جميع الأنظمة الفرعية أم لا. النظام الفرعي Microsoft Win32 غير حساس لحالة الأحرف. ومع ذلك، تدعم النواة حساسية حالة الأحرف للأنظمة الفرعية الأخرى، مثل واجهة نظام التشغيل المحمولة UNIX (POSIX). نظرا لأن Windows غير حساس لحالة الأحرف (ولكن النظام الفرعي POSIX سيدعم حساسية حالة الأحرف)، فإن الفشل في فرض إعداد النهج هذا يجعل من الممكن لمستخدم النظام الفرعي POSIX إنشاء ملف بنفس اسم ملف آخر باستخدام حالة مختلطة لتصنيفه. يمكن أن يؤدي مثل هذا الموقف إلى حظر الوصول إلى هذه الملفات بواسطة مستخدم آخر يستخدم أدوات Win32 النموذجية ، لأن ملفا واحدا فقط سيكون متاحا. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \\ إدارة الجلسة \\ النواة \\ ObCaseInsensitive نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	تحذير
كائنات النظام: تعزيز الأذونات الافتراضية لكائنات النظام الداخلية (مثل الارتباطات الرمزية) (CCE-37644-2)	الوصف: يحدد إعداد النهج هذا قوة قائمة التحكم في الوصول التقديرية الافتراضية (DACL) للكائنات. يحتفظ Active Directory بقائمة عمومية بموارد النظام المشتركة، مثل أسماء أجهزة DOS و mutexes و semaphores. وبهذه الطريقة ، يمكن تحديد موقع الكائنات ومشاركتها بين العمليات. يتم إنشاء كل نوع من الكائنات باستخدام DACL افتراضي يحدد من يمكنه الوصول إلى الكائنات والأذونات الممنوحة. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: النظام \\ CurrentControlSet \ التحكم \\ إدارة الجلسة \\ وضع الحماية نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام

خيارات الأمان - إعدادات النظام

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
إعدادات النظام: استخدام قواعد الشهادة على Windows القابلة للتنفيذ لنهج تقييد البرامج (AZ-WIN-00155)	الوصف: يحدد إعداد النهج هذا ما إذا كانت الشهادات الرقمية تتم معالجتها عند تمكين نهج تقييد البرامج ومحاولة مستخدم أو عملية تشغيل برنامج باستخدام ملحق اسم ملف .exe. يقوم بتمكين قواعد الشهادة أو تعطيلها (نوع من قواعد نهج تقييد البرامج). باستخدام سياسات تقييد البرامج، يمكنك إنشاء قاعدة شهادة تسمح بتنفيذ برنامج موقع من Authenticode ® أو لا تسمح به، استنادا إلى الشهادة الرقمية المقترنة بالبرنامج. لكي تصبح قواعد الشهادة سارية المفعول في نهج تقييد البرامج، يجب تمكين إعداد النهج هذا. المسار الرئيسي: البرامج \\ السياسات \\ مايكروسوفت \ Windows \\ أكثر أمانا \\ CodeIdentifiers \ AuthenticodeEnabled نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	= 1 (قلم المحكمة)	تحذير

خيارات الأمان - التحكم في حساب المستخدم

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
التحكم في حساب المستخدم: وضع موافقة المسؤول لحساب المسؤول المضمن (CCE-36494-3)	الوصف: يتحكم إعداد النهج هذا في سلوك "وضع موافقة المسؤول" لحساب المسؤول المضمن. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \ النظام \ تصفية مسؤول الرمز المميز نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
التحكم في حساب المستخدم: السماح لتطبيقات UIAccess بالمطالبة بالارتفاع دون استخدام سطح المكتب الآمن (CCE-36863-9)	الوصف: يتحكم إعداد النهج هذا فيما إذا كان بإمكان برامج إمكانية الوصول إلى واجهة المستخدم (UIAccess أو UIA) تعطيل سطح المكتب الآمن تلقائيا لمطالبات الارتفاع التي يستخدمها مستخدم قياسي. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \\ النظام \ تمكين UIADesktopToggle نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
التحكم في حساب المستخدم: سلوك مطالبة الارتفاع للمسؤولين في وضع موافقة المسؤول (CCE-37029-6)	الوصف: يتحكم إعداد النهج هذا في سلوك مطالبة الارتفاع للمسؤولين. الحالة الموصى بها لهذا الإعداد هي: Prompt for consent on the secure desktop. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 2 (قلم المحكمة)	هام
التحكم في حساب المستخدم: سلوك مطالبة الارتفاع للمستخدمين القياسيين (CCE-36864-7)	الوصف: يتحكم إعداد النهج هذا في سلوك مطالبة الارتفاع للمستخدمين القياسيين. الحالة الموصى بها لهذا الإعداد هي: Automatically deny elevation requests. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows\ الإصدار الحالي \\ السياسات \ النظام \ الموافقة ، سلوك المستخدم الفوري نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	هام
التحكم في حساب المستخدم: الكشف عن عمليات تثبيت التطبيقات والمطالبة بالارتفاع (CCE-36533-8)	وصف: يتحكم إعداد النهج هذا في سلوك الكشف عن تثبيت التطبيق للكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
التحكم في حساب المستخدم: رفع تطبيقات UIAccess المثبتة في مواقع آمنة فقط (CCE-37057-7)	الوصف: يتحكم إعداد النهج هذا فيما إذا كانت التطبيقات التي تطلب التشغيل بمستوى تكامل إمكانية الوصول إلى واجهة المستخدم (UIAccess) يجب أن تكون موجودة في موقع آمن في نظام الملفات. تقتصر المواقع الآمنة على ما يلي: - ، بما في ذلك المجلدات الفرعية - …\Program Files\…\Program Files (x86)\…\Windows\system32\ - ، بما في ذلك المجلدات الفرعية للإصدارات 64 بت من Windows ملاحظة: تفرض Windows التحقق من توقيع البنية التحتية للمفتاح العام (PKI) على أي تطبيق تفاعلي يطلب التشغيل بمستوى سلامة UIAccess بغض النظر عن حالة إعداد الأمان هذا. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \ النظام \ تمكين SecureUIAPaths نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
التحكم في حساب المستخدم: تشغيل جميع المسؤولين في وضع موافقة المسؤول (CCE-36869-6)	وصف: يتحكم إعداد النهج هذا في سلوك كافة إعدادات نهج التحكم في حساب المستخدم (UAC) للكمبيوتر. إذا قمت بتغيير إعداد النهج هذا، يجب إعادة تشغيل الكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: Enabled. ملاحظه: إذا تم تعطيل إعداد النهج هذا، يقوم مركز الأمان بإعلامك بأنه تم تقليل الأمان العام لنظام التشغيل. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \ النظام \ تمكين LUA نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
التحكم في حساب المستخدم: التبديل إلى سطح المكتب الآمن عند المطالبة بالارتفاع (CCE-36866-2)	الوصف: يتحكم إعداد النهج هذا في ما إذا كان يتم عرض مطالبة طلب الارتفاع على سطح مكتب المستخدم التفاعلي أو سطح المكتب الآمن. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \\ النظام \ PromptOnSecureDesktop نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
التحكم في حساب المستخدم: محاكاة افتراضية لفشل كتابة الملفات والتسجيل إلى المواقع لكل مستخدم (CCE-37064-3)	وصف: يتحكم إعداد النهج هذا في ما إذا كان يتم إعادة توجيه حالات فشل كتابة التطبيق إلى مواقع محددة للتسجيل ونظام الملفات. يعمل إعداد النهج هذا على تخفيف التطبيقات التي تعمل كمسؤول وكتابة بيانات تطبيق وقت التشغيل إلى: - أو - أو - أو - أو - أو - %ProgramFiles%%Windir%\system32%Windir%HKEY_LOCAL_MACHINE\Software. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \ النظام \ تمكين المحاكاة الافتراضية نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام

الإعدادات الأمان - سياسات الحساب

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
فرض محفوظات كلمة المرور (CCE-37166-6)	الوصف: يحدد إعداد النهج هذا عدد كلمات المرور الفريدة المجددة التي يجب إقرانها بحساب مستخدم قبل أن تتمكن من إعادة استخدام كلمة مرور قديمة. يجب أن تكون قيمة إعداد النهج هذا بين 0 و24 كلمة مرور. القيمة الافتراضية ل Windows Vista هي 0 كلمات مرور، ولكن الإعداد الافتراضي في مجال هو 24 كلمة مرور. للحفاظ على فعالية إعداد النهج هذا، استخدم إعداد الحد الأدنى لعمر كلمة المرور لمنع المستخدمين من تغيير كلمة المرور بشكل متكرر. الحالة الموصى بها لهذا الإعداد هي: "24 كلمة مرور (كلمات) مرور أو أكثر". المسار الرئيسي: [الوصول إلى النظام]كلمة المرورالتاريخالحجم نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= 24 (السياسة)	هام
الحد الأقصى لعمر كلمة المرور (CCE-37167-4)	الوصف: يحدد إعداد النهج هذا المدة التي يمكن للمستخدم فيها استخدام كلمة المرور الخاصة به قبل انتهاء صلاحيتها. تتراوح قيم إعداد النهج هذا من 0 إلى 999 يوما. إذا قمت بتعيين القيمة إلى 0، فلن تنتهي صلاحية كلمة المرور أبدا. نظرا لأن المهاجمين يمكنهم اختراق كلمات المرور ، فكلما قمت بتغيير كلمة المرور بشكل متكرر ، قلت فرصة المهاجم لاستخدام كلمة مرور متصدعة. ومع ذلك ، كلما انخفضت هذه القيمة ، زادت احتمالية زيادة المكالمات إلى دعم مكتب المساعدة بسبب اضطرار المستخدمين إلى تغيير كلمة المرور الخاصة بهم أو نسيان كلمة المرور الحالية. الحالة الموصى بها لهذا الإعداد هي 60 or fewer days, but not 0. المسار الرئيسي: [الوصول إلى النظام]MaximumPasswordAge نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	في 1-70 (السياسة)	هام
الحد الأدنى لعمر كلمة المرور (CCE-37073-4)	الوصف: يحدد إعداد النهج هذا عدد الأيام التي يجب عليك فيها استخدام كلمة مرور قبل أن تتمكن من تغييرها. يتراوح نطاق القيم لإعداد النهج هذا بين 1 و999 يوما. (يمكنك أيضا تعيين القيمة إلى 0 للسماح بإجراء تغييرات فورية على كلمة المرور.) القيمة الافتراضية لهذا الإعداد هي 0 أيام. الحالة الموصى بها لهذا الإعداد هي: 1 or more day(s). المسار الرئيسي: [الوصول إلى النظام]الحد الأدنىPasswordAge نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= 1 (السياسة)	هام
الحد الأدنى لطول كلمة المرور (CCE-36534-6)	الوصف: يحدد إعداد النهج هذا أقل عدد من الأحرف التي تشكل كلمة مرور لحساب مستخدم. هناك العديد من النظريات المختلفة حول كيفية تحديد أفضل طول لكلمة المرور للمؤسسة ، ولكن ربما تكون "عبارة المرور" مصطلحا أفضل من "كلمة المرور". في Microsoft Windows 2000 أو أحدث، يمكن أن تكون عبارات المرور طويلة جدا ويمكن أن تتضمن مسافات. لذلك ، فإن عبارة مثل "أريد أن أشرب ميلك شيك بقيمة 5 دولارات" هي عبارة مرور صالحة. إنها كلمة مرور أقوى بكثير من سلسلة مكونة من 8 أو 10 أحرف من الأرقام والحروف العشوائية ، ومع ذلك يسهل تذكرها. يجب تثقيف المستخدمين حول الاختيار السليم لكلمات المرور وصيانتها ، خاصة فيما يتعلق بطول كلمة المرور. في بيئات المؤسسة، تكون القيمة المثالية لإعداد الحد الأدنى لطول كلمة المرور 14 حرفا، ومع ذلك يجب ضبط هذه القيمة لتلبية متطلبات عمل مؤسستك. الحالة الموصى بها لهذا الإعداد هي: 14 or more character(s). المسار الرئيسي: [الوصول إلى النظام]الحد الأدنىكلمة المرورطول نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= 14 (السياسة)	هام
يجب أن تفي كلمة المرور بمتطلبات التعقيد (CCE-37063-5)	الوصف: يتحقق إعداد النهج هذا من جميع كلمات المرور الجديدة للتأكد من أنها تفي بالمتطلبات الأساسية لكلمات المرور القوية. عند تمكين هذه السياسة، يجب أن تستوفي كلمات المرور الحد الأدنى من المتطلبات التالية: - لا تحتوي على اسم حساب المستخدم أو أجزاء من الاسم الكامل للمستخدم تتجاوز حرفين متتاليين - أن يكون طولها ستة أحرف على الأقل - تحتوي على أحرف من ثلاث فئات من الفئات الأربع التالية: - أحرف كبيرة باللغة الإنجليزية (من A إلى Z) - أحرف صغيرة إنجليزية (من a إلى z) - قاعدة 10 أرقام (من 0 إلى 9) - أحرف غير أبجدية (على سبيل المثال، !, $, #, ٪) - فئة شاملة لأي حرف Unicode لا يندرج تحت الفئات الأربع السابقة. ويمكن أن تكون هذه الفئة الخامسة محددة إقليميا. كل حرف إضافي في كلمة المرور يزيد من تعقيده بشكل كبير. على سبيل المثال ، تحتوي كلمة المرور الأبجدية المكونة من سبعة أحرف صغيرة على 267 (حوالي 8 × 109 أو 8 مليارات) مجموعات ممكنة. عند 1,000,000 محاولة في الثانية (وهي قدرة للعديد من الأدوات المساعدة لتكسير كلمة المرور) ، لن يستغرق الأمر سوى 133 دقيقة للكسر. تحتوي كلمة المرور الأبجدية المكونة من سبعة أحرف مع حساسية حالة الأحرف على 527 مجموعة. تحتوي كلمة المرور الأبجدية الرقمية الحساسة لحالة الأحرف المكونة من سبعة أحرف بدون علامات ترقيم على 627 مجموعة. تحتوي كلمة المرور المكونة من ثمانية أحرف على 268 (أو 2 × 1011) مجموعات ممكنة. على الرغم من أن هذا قد يبدو رقما كبيرا ، إلا أنه عند 1,000,000 محاولة في الثانية ، سيستغرق الأمر 59 ساعة فقط لتجربة جميع كلمات المرور الممكنة. تذكر أن هذه الأوقات ستزداد بشكل كبير لكلمات المرور التي تستخدم أحرف ALT وأحرف لوحة المفاتيح الخاصة الأخرى مثل "!" أو "@". يمكن أن يساعد الاستخدام السليم لإعدادات كلمة المرور في جعل من الصعب شن هجوم بالقوة الغاشمة. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: [الوصول إلى النظام]كلمة المرورالتعقيد نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= صحيح (السياسة)	هام
تخزين كلمات المرور باستخدام تشفير عكسي (CCE-36286-3)	الوصف: يحدد إعداد النهج هذا ما إذا كان نظام التشغيل يخزن كلمات المرور بطريقة تستخدم تشفيرا عكسيا، مما يوفر الدعم لبروتوكولات التطبيقات التي تتطلب معرفة كلمة مرور المستخدم لأغراض المصادقة. كلمات المرور التي يتم تخزينها باستخدام تشفير عكسي هي في الأساس نفس إصدارات النص العادي من كلمات المرور. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: [الوصول إلى النظام]ClearTextPassword نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (السياسة)	هام

سياسات تدقيق النظام - تسجيل الدخول إلى الحساب

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تدقيق التحقق من صحة بيانات الاعتماد (CCE-37741-6)	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن نتائج اختبارات التحقق من الصحة على بيانات الاعتماد المرسلة لطلب تسجيل الدخول إلى حساب مستخدم. تحدث هذه الأحداث على الكمبيوتر الموثوق به لبيانات الاعتماد. بالنسبة لحسابات المجال، تكون وحدة تحكم المجال موثوقة، بينما يكون الكمبيوتر المحلي موثوقا به بالنسبة للحسابات المحلية. في بيئات المجال، تحدث معظم أحداث تسجيل الدخول إلى الحساب في سجل الأمان لوحدات تحكم المجال الموثوقة لحسابات المجال. ومع ذلك، يمكن أن تحدث هذه الأحداث على أجهزة كمبيوتر أخرى في المؤسسة عند استخدام الحسابات المحلية لتسجيل الدخول. تتضمن أحداث هذه الفئة الفرعية: - 4774: تم تعيين حساب لتسجيل الدخول. - 4775: تعذر تعيين حساب لتسجيل الدخول. - 4776: حاولت وحدة تحكم المجال التحقق من صحة بيانات الاعتماد لحساب. - 4777: فشل وحدة تحكم المجال في التحقق من صحة بيانات الاعتماد لحساب. الحالة الموصى بها لهذا الإعداد هي: "النجاح والفشل". المسار الرئيسي: {0CCE923F-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	= النجاح والفشل (التدقيق)	هام

سياسات تدقيق النظام - إدارة الحسابات

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تدقيق أحداث إدارة الحسابات الأخرى (CCE-37855-4)	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن أحداث إدارة الحساب الأخرى. تتضمن أحداث هذه الفئة الفرعية ما يلي: — 4782: تجزئة كلمة المرور التي تم الوصول إلى حساب. - 4793: تم استدعاء واجهة برمجة تطبيقات التحقق من سياسة كلمة المرور. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE923A-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	>= النجاح (التدقيق)	هام
تدقيق إدارة مجموعة الأمان (CCE-38034-5)	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن كل حدث من أحداث إدارة مجموعة الأمان، مثل عند إنشاء مجموعة أمان أو تغييرها أو حذفها أو عند إضافة عضو إلى مجموعة أمان أو إزالته منها. إذا قمت بتمكين إعداد نهج التدقيق هذا، يمكن للمسؤولين تعقب الأحداث للكشف عن الإنشاء الضار وغير المقصود والمصرح به لحسابات مجموعة الأمان. تتضمن أحداث هذه الفئة الفرعية: - 4727: تم إنشاء مجموعة عمومية ممكنة للأمان. - 4728: تمت إضافة عضو إلى مجموعة عالمية ممكنة للأمان. - 4729: تمت إزالة عضو من مجموعة عالمية ممكنة للأمان. - 4730: تم حذف مجموعة عالمية ممكنة للأمان. - 4731: تم إنشاء مجموعة محلية ممكنة للأمان. - 4732: تمت إضافة عضو إلى مجموعة محلية ممكنة للأمان. - 4733: تمت إزالة عضو من مجموعة محلية ممكنة للأمان. - 4734: تم حذف مجموعة محلية ممكنة للأمان. - 4735: تم تغيير مجموعة محلية ممكنة أمنيا. - 4737: تم تغيير مجموعة عالمية مدعومة بالأمان. - 4754: تم إنشاء مجموعة عالمية ممكنة للأمان. - 4755: تم تغيير مجموعة عالمية ممكنة للأمان. - 4756: تمت إضافة عضو إلى مجموعة عالمية ممكنة للأمان. - 4757: تمت إزالة عضو من مجموعة عالمية ممكنة للأمان. - 4758: تم حذف مجموعة عالمية ممكنة للأمان. - 4764: تم تغيير نوع المجموعة. الحالة الموصى بها لهذا الإعداد هي: Success and Failure. المسار الرئيسي: {0CCE9237-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام
تدقيق إدارة حساب المستخدم (CCE-37856-2)	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن كل حدث من أحداث إدارة حساب المستخدم، مثل عند إنشاء حساب مستخدم أو تغييره أو حذفه؛ إعادة تسمية حساب مستخدم أو تعطيله أو تمكينه؛ أو تم تعيين كلمة مرور أو تغييرها. إذا قمت بتمكين إعداد نهج التدقيق هذا، يمكن للمسؤولين تعقب الأحداث للكشف عن الإنشاء الضار وغير المقصود والمصرح به لحسابات المستخدمين. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4720: تم إنشاء حساب مستخدم. - 4722: تم تمكين حساب مستخدم. - 4723: جرت محاولة لتغيير كلمة مرور الحساب. - 4724: جرت محاولة لإعادة تعيين كلمة مرور الحساب. - 4725: تم تعطيل حساب مستخدم. - 4726: تم حذف حساب مستخدم. - 4738: تم تغيير حساب مستخدم. - 4740: تم قفل حساب مستخدم. - 4765: تمت إضافة سجل SID إلى حساب. - 4766: فشلت محاولة لإضافة محفوظات SID إلى حساب. - 4767: تم إلغاء قفل حساب مستخدم. - 4780: تم تعيين ACL على الحسابات التي هي أعضاء في مجموعات المسؤولين. - 4781: تم تغيير اسم الحساب: - 4794: تم إجراء محاولة لتعيين وضع استعادة خدمات الدليل. - 5376: تم نسخ بيانات اعتماد إدارة بيانات الاعتماد احتياطيا. - 5377: تمت استعادة بيانات اعتماد إدارة بيانات الاعتماد من نسخة احتياطية. الحالة الموصى بها لهذا الإعداد هي: Success and Failure. المسار الرئيسي: {0CCE9235-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= النجاح والفشل (التدقيق)	هام

سياسات تدقيق النظام - تتبع مفصل

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
مراجعة نشاط PNP (AZ-WIN-00182)	الوصف: يسمح لك إعداد النهج هذا بالتدقيق عندما يكتشف التوصيل والتشغيل جهازا خارجيا. الحالة الموصى بها لهذا الإعداد هي: Success. ملاحظه: يلزم وجود نظام تشغيل Windows 10 أو Server 2016 أو إصدار أحدث للوصول إلى هذه القيمة وتعيينها في نهج المجموعة. المسار الرئيسي: {0CCE9248-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام
تدقيق إنشاء العمليات (CCE-36059-4)	الوصف: تبلغ هذه الفئة الفرعية عن إنشاء عملية واسم البرنامج أو المستخدم الذي قام بإنشائها. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4688: تم إنشاء عملية جديدة. - 4696: تم تعيين رمز مميز أساسي للمعالجة. راجع مقالة "قاعدة معارف Microsoft" 947226: وصف أحداث الأمان في Windows Vista وفي Windows Server 2008 للحصول على أحدث المعلومات حول هذا الإعداد. الحالة الموصى بها لهذا الإعداد هي: Success. المسار الرئيسي: {0CCE922B-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام

سياسات تدقيق النظام - Logon-Logoff

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تدقيق تأمين الحساب (CCE-37133-6)	الوصف: تبلغ هذه الفئة الفرعية عند تأمين حساب المستخدم نتيجة لعدد كبير جدا من محاولات تسجيل الدخول الفاشلة. تتضمن أحداث هذه الفئة الفرعية: — 4625: فشل حساب في تسجيل الدخول. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9217-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= النجاح والفشل (التدقيق)	هام
تدقيق عضوية المجموعة (AZ-WIN-00026)	الوصف: تمكنك عضوية مجموعة التدقيق من تدقيق عضويات المجموعة عند تعدادها على الكمبيوتر العميل. تسمح لك هذه السياسة بتدقيق معلومات عضوية المجموعة في الرمز المميز لتسجيل الدخول الخاص بالمستخدم. يتم إنشاء الأحداث في هذه الفئة الفرعية على الكمبيوتر الذي يتم إنشاء جلسة عمل تسجيل الدخول عليه. لتسجيل دخول تفاعلي، يتم إنشاء حدث تدقيق الأمان على الكمبيوتر الذي قام المستخدم بتسجيل الدخول إليه. لتسجيل دخول شبكة، مثل الوصول إلى مجلد مشترك على الشبكة، يتم إنشاء حدث تدقيق الأمان على الكمبيوتر الذي يستضيف المورد. يجب عليك أيضا تمكين الفئة الفرعية تسجيل الدخول إلى التدقيق. يتم إنشاء أحداث متعددة إذا تعذر احتواء معلومات عضوية المجموعة في حدث تدقيق أمان واحد. تتضمن الأحداث التي يتم تدقيقها ما يلي: - 4627 (S): معلومات عضوية المجموعة. المسار الرئيسي: {0CCE9249-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام
تدقيق تسجيل الخروج (CCE-38237-4)	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عند قيام مستخدم بتسجيل الخروج من النظام. تحدث هذه الأحداث على الكمبيوتر الذي تم الوصول إليه. بالنسبة لعمليات تسجيل الدخول التفاعلية، يحدث إنشاء هذه الأحداث على الكمبيوتر الذي تم تسجيل الدخول إليه. في حالة إجراء تسجيل دخول شبكة للوصول إلى مشاركة، يتم إنشاء هذه الأحداث على الكمبيوتر الذي يستضيف المورد الذي تم الوصول إليه. إذا قمت بتكوين هذا الإعداد إلى بدون تدقيق، فمن الصعب أو المستحيل تحديد المستخدم الذي قام بالوصول إلى أجهزة كمبيوتر المؤسسة أو حاول الوصول إليها. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4634: تم تسجيل الخروج من حساب. - 4647: بدأ المستخدم تسجيل الخروج. الحالة الموصى بها لهذا الإعداد هي: "النجاح". المسار الرئيسي: {0CCE9216-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام
تدقيق تسجيل الدخول (CCE-38036-0)	الوصف: تقارير هذه الفئة الفرعية عندما يحاول مستخدم تسجيل الدخول إلى النظام. تحدث هذه الأحداث على الكمبيوتر الذي تم الوصول إليه. بالنسبة لعمليات تسجيل الدخول التفاعلية، يحدث إنشاء هذه الأحداث على الكمبيوتر الذي تم تسجيل الدخول إليه. في حالة إجراء تسجيل دخول شبكة للوصول إلى مشاركة، يتم إنشاء هذه الأحداث على الكمبيوتر الذي يستضيف المورد الذي تم الوصول إليه. إذا قمت بتكوين هذا الإعداد إلى بدون تدقيق، فمن الصعب أو المستحيل تحديد المستخدم الذي قام بالوصول إلى أجهزة كمبيوتر المؤسسة أو حاول الوصول إليها. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4624: تم تسجيل الدخول إلى حساب بنجاح. - 4625: فشل حساب في تسجيل الدخول. - 4648: تمت محاولة تسجيل الدخول باستخدام بيانات اعتماد صريحة. - 4675: تمت تصفية SIDs. الحالة الموصى بها لهذا الإعداد هي: "النجاح والفشل". المسار الرئيسي: {0CCE9215-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= النجاح والفشل (التدقيق)	هام
تدقيق أحداث تسجيل الدخول/تسجيل الخروج الأخرى (CCE-36322-6)	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن الأحداث الأخرى المتعلقة بتسجيل الدخول/تسجيل الخروج، مثل قطع اتصال جلسة عمل "الخدمات الطرفية" وإعادة الاتصال بها، واستخدام RunAs لتشغيل العمليات ضمن حساب مختلف، وتأمين محطة عمل وإلغاء تأمينها. تتضمن أحداث هذه الفئة الفرعية ما يلي: — 4649: تم اكتشاف هجوم إعادة. - 4778: تمت إعادة توصيل جلسة عمل بمحطة نافذة. - 4779: تم فصل جلسة من محطة نافذة. - 4800: تم قفل محطة العمل. - 4801: تم إلغاء قفل محطة العمل. - 4802: تم استدعاء شاشة التوقف. - 4803: تم رفض شاشة التوقف. - 5378: لم تسمح السياسة العامة بتفويض وثائق التفويض المطلوبة. - 5632: تم تقديم طلب للمصادقة على شبكة لاسلكية. - 5633: تم تقديم طلب للمصادقة على شبكة سلكية. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE921C-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= النجاح والفشل (التدقيق)	هام
تدقيق تسجيل الدخول الخاص (CCE-36266-5)	الوصف: تقارير هذه الفئة الفرعية عند استخدام تسجيل دخول خاص. تسجيل الدخول الخاص هو تسجيل دخول له امتيازات مكافئة للمسؤول ويمكن استخدامه لرفع عملية إلى مستوى أعلى. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4964: تم تعيين مجموعات خاصة لتسجيل دخول جديد. الحالة الموصى بها لهذا الإعداد هي: Success. المسار الرئيسي: {0CCE921B-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام

سياسات تدقيق النظام - الوصول إلى الكائنات

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تدقيق أحداث وصول عناصر أخرى (من الألف إلى الياء-الفوز-00113)	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن الأحداث الأخرى المتعلقة بالوصول إلى الكائنات مثل مهام "جدولة المهام" وكائنات +COM. تتضمن أحداث هذه الفئة الفرعية ما يلي: — 4671: حاول تطبيق الوصول إلى ترتيبي محظور من خلال TBS. - 4691: طلب الوصول غير المباشر إلى كائن ما. - 4698: تم إنشاء مهمة مجدولة. - 4699: تم حذف مهمة مجدولة. - 4700: تم تمكين مهمة مجدولة. - 4701: تم تعطيل مهمة مجدولة. - 4702: تم تحديث مهمة مجدولة. - 5888: تم تعديل كائن في كتالوج COM +. - 5889: تم حذف كائن من كتالوج COM +. - 5890: تمت إضافة كائن إلى كتالوج COM +. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9227-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= النجاح والفشل (التدقيق)	هام
تدقيق مساحات التخزين القابلة للإزالة (CCE-37617-8)	الوصف: يسمح لك إعداد النهج هذا بتدقيق محاولات المستخدم للوصول إلى كائنات نظام الملفات على جهاز تخزين قابل للإزالة. يتم إنشاء حدث تدقيق أمان فقط لجميع الكائنات لكافة أنواع الوصول المطلوبة. إذا قمت بتكوين إعداد النهج هذا، إنشاء حدث تدقيق في كل مرة يصل فيها حساب إلى كائن نظام ملفات على وحدة تخزين قابلة للإزالة. تسجل عمليات تدقيق النجاح المحاولات الناجحة وتسجل عمليات تدقيق الفشل المحاولات غير الناجحة. إذا لم تقم بتكوين إعداد النهج هذا، فلن يتم إنشاء أي حدث تدقيق عندما يصل حساب إلى كائن نظام ملفات على وحدة تخزين قابلة للإزالة. الحالة الموصى بها لهذا الإعداد هي: Success and Failure. ملاحظه: يلزم وجود نظام تشغيل Windows 8 أو Server 2012 (غير R2) أو إصدار أحدث للوصول إلى هذه القيمة وتعيينها في نهج المجموعة. المسار الرئيسي: {0CCE9245-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= النجاح والفشل (التدقيق)	هام

سياسات تدقيق النظام - تغيير السياسة

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تغيير سياسة مصادقة التدقيق (CCE-38327-3)	الوصف: تبلغ هذه الفئة الفرعية عن التغييرات في سياسة المصادقة. تتضمن أحداث هذه الفئة الفرعية ما يلي: — 4706: تم إنشاء ثقة جديدة لمجال. - 4707: تمت إزالة ثقة إلى مجال. - 4713: تم تغيير سياسة كيربيروس. - 4716: تم تعديل معلومات المجال الموثوق بها. - 4717: تم منح حق الوصول إلى أمان النظام إلى حساب. - 4718: تمت إزالة الوصول إلى أمان النظام من حساب. - 4739: تم تغيير سياسة المجال. - 4864: تم اكتشاف تصادم مساحة الاسم. - 4865: تمت إضافة إدخال معلومات الغابات الموثوق بها. - 4866: تمت إزالة إدخال معلومات غابة موثوق به. - 4867: تم تعديل إدخال معلومات الغابات الموثوق بها. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9230-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام
تدقيق تغيير النهج على مستوى القاعدة MPSSVC (AZ-WIN-00111)	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن التغييرات في قواعد النهج المستخدمة من قبل خدمة حماية Microsoft (MPSSVC.exe). يتم استخدام هذه الخدمة بواسطة جدار الحماية Windows وMicrosoft OneCare. تتضمن أحداث هذه الفئة الفرعية: — 4944: كان النهج التالي نشطا عند بدء تشغيل جدار الحماية Windows. - 4945: تم إدراج قاعدة عند بدء تشغيل جدار حماية Windows. - 4946: تم إجراء تغيير على Windows قائمة استثناءات جدار الحماية. وأضيفت قاعدة. - 4947: تم إجراء تغيير على Windows قائمة استثناءات جدار الحماية. وعدلت قاعدة. - 4948: تم إجراء تغيير على Windows قائمة استثناءات جدار الحماية. وحذفت قاعدة. - 4949: تمت استعادة إعدادات جدار الحماية Windows إلى القيم الافتراضية. - 4950: تم تغيير إعداد جدار حماية Windows. - 4951: تم تجاهل قاعدة لأنه لم يتم التعرف على رقم الإصدار الرئيسي الخاص بها بواسطة جدار الحماية Windows. - 4952: تم تجاهل أجزاء من قاعدة لأنه لم يتم التعرف على رقم الإصدار الثانوي الخاص بها بواسطة جدار الحماية Windows. سيتم تنفيذ الأجزاء الأخرى من القاعدة. - 4953: تم تجاهل قاعدة من قبل جدار الحماية Windows لأنه لم يتمكن من تحليل القاعدة. - 4954: Windows تم تغيير إعدادات نهج المجموعة جدار الحماية. تم تطبيق الإعدادات الجديدة. - 4956: Windows قام جدار الحماية بتغيير ملف التعريف النشط. - 4957: لم يطبق جدار الحماية Windows القاعدة التالية: - 4958: لم يطبق جدار الحماية Windows القاعدة التالية لأن القاعدة تشير إلى العناصر التي لم يتم تكوينها على هذا الكمبيوتر: راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9232-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= النجاح والفشل (التدقيق)	هام
تغيير سياسة التدقيق (CCE-38028-7)	الوصف: تبلغ هذه الفئة الفرعية عن التغييرات في سياسة التدقيق بما في ذلك تغييرات SACL. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4715: تم تغيير سياسة التدقيق (SACL) على كائن. - 4719: تم تغيير سياسة تدقيق النظام. - 4902: تم إنشاء جدول نهج التدقيق لكل مستخدم. - 4904: جرت محاولة لتسجيل مصدر حدث أمني. - 4905: جرت محاولة لإلغاء تسجيل مصدر حدث أمني. - 4906: تم تغيير قيمة CrashOnAuditFail. - 4907: تم تغيير إعدادات التدقيق على الكائن. - 4908: تم تعديل جدول تسجيل الدخول إلى المجموعات الخاصة. - 4912: تم تغيير سياسة التدقيق لكل مستخدم. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE922F-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام

سياسات تدقيق النظام - استخدام الامتيازات

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تدقيق استخدام الامتيازات الحساسة (CCE-36267-3)	الوصف: تبلغ هذه الفئة الفرعية عندما يستخدم حساب مستخدم أو خدمة امتيازا حساسا. يتضمن الامتياز الحساس حقوق المستخدم التالية: العمل كجزء من نظام التشغيل، النسخ الاحتياطي للملفات والدلائل، إنشاء كائن رمزي، تصحيح البرامج، تمكين حسابات الكمبيوتر والمستخدمين من الوثوق بها للتفويض، إنشاء عمليات تدقيق أمنية، انتحال شخصية عميل بعد المصادقة، تحميل برامج تشغيل الأجهزة وإلغاء تحميلها، إدارة التدقيق وسجل الأمان، تعديل قيم بيئة البرامج الثابتة، استبدل رمزا مميزا على مستوى العملية، واستعادة الملفات والدلائل، واحصل على ملكية الملفات أو الكائنات الأخرى. سيؤدي تدقيق هذه الفئة الفرعية إلى إنشاء عدد كبير من الأحداث. تتضمن أحداث هذه الفئة الفرعية: — 4672: امتيازات خاصة تم تعيينها لتسجيل الدخول الجديد. - 4673: تم استدعاء خدمة متميزة. - 4674: تمت محاولة إجراء عملية على كائن مميز. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9228-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= النجاح والفشل (التدقيق)	هام

سياسات تدقيق النظام - النظام

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
تدقيق تغيير حالة الأمان (CCE-38114-5)	الوصف: تقوم هذه الفئة الفرعية بالإبلاغ عن التغييرات في حالة الأمان للنظام، مثل وقت بدء تشغيل النظام الفرعي للأمان وتوقفه. تتضمن أحداث هذه الفئة الفرعية ما يلي: - 4608: Windows قيد التشغيل. - 4609: Windows يغلق أبوابه. - 4616: تم تغيير وقت النظام. - 4621: استعاد المسؤول النظام من CrashOnAuditFail. سيسمح الآن للمستخدمين الذين ليسوا مسؤولين بتسجيل الدخول. ربما لم يتم تسجيل بعض الأنشطة القابلة للتدقيق. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9210-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام
تدقيق ملحق نظام الأمان (CCE-36144-4)	الوصف: تبلغ هذه الفئة الفرعية عن تحميل التعليمات البرمجية للملحق مثل حزم المصادقة بواسطة النظام الفرعي للأمان. تتضمن أحداث هذه الفئة الفرعية: — 4610: تم تحميل حزمة مصادقة بواسطة "سلطة الأمن المحلية". - 4611: تم تسجيل عملية تسجيل دخول موثوق بها لدى سلطة الأمن المحلية. - 4614: تم تحميل حزمة إعلام بواسطة مدير حساب الأمان. - 4622: تم تحميل حزمة أمنية من قبل سلطة الأمن المحلية. - 4697: تم تثبيت خدمة في النظام. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9211-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= النجاح (التدقيق)	هام
تدقيق سلامة النظام (CCE-37132-8)	الوصف: تقدم هذه الفئة الفرعية تقارير عن انتهاكات سلامة النظام الفرعي للأمان. وتشمل الأحداث الخاصة بهذه الفئة الفرعية ما يلي: - 4612: استنفدت الموارد الداخلية المخصصة لوضع رسائل مراجعة الحسابات في طوابير، مما أدى إلى فقدان بعض عمليات مراجعة الحسابات. - 4615: استخدام غير صالح لمنفذ LPC. - 4618: حدث نمط حدث أمان مراقب. - 4816 : اكتشف RPC انتهاكا للسلامة أثناء فك تشفير رسالة واردة. - 5038: تم تحديد تكامل التعليمات البرمجية بأن تجزئة الصورة لملف غير صالحة. قد يكون الملف تالفا بسبب التعديل غير المصرح به أو قد يشير التجزئة غير الصالح إلى خطأ محتمل في جهاز القرص. - 5056: تم إجراء اختبار ذاتي للتشفير. - 5057: فشلت عملية بدائية مشفرة. — 5060: فشلت عملية التحقق. - 5061: عملية التشفير. - 5062: تم إجراء اختبار ذاتي للتشفير في وضع kernel. راجع مقالة قاعدة معارف Microsoft "وصف أحداث الأمان في Windows Vista وفي Windows Server 2008" للحصول على أحدث المعلومات حول هذا الإعداد: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. المسار الرئيسي: {0CCE9212-69AE-11D9-BED3-505054503030} نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= النجاح والفشل (التدقيق)	هام

التنازل عن حقوق المستخدم

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
إدارة بيانات اعتماد الوصول كمتصل موثوق به (CCE-37056-9)	الوصف: يتم استخدام إعداد الأمان هذا بواسطة "إدارة بيانات الاعتماد" أثناء النسخ الاحتياطي والاستعادة. يجب ألا يكون لأي حسابات حق المستخدم هذا ، حيث يتم تعيينه فقط إلى Winlogon. قد يتم اختراق بيانات الاعتماد المحفوظة للمستخدمين إذا تم تعيين حق المستخدم هذا إلى كيانات أخرى. الحالة الموصى بها لهذا الإعداد هي: No One. المسار الرئيسي: [حقوق الامتياز]SeTrustedCredManAccessPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= لا أحد (السياسة)	تحذير
الوصول إلى هذا الكمبيوتر من الشبكة (CCE-35818-4)	الوصف: يسمح إعداد النهج هذا للمستخدمين الآخرين على الشبكة بالاتصال بالكمبيوتر وهو مطلوب بواسطة بروتوكولات الشبكة المختلفة التي تتضمن البروتوكولات المستندة إلى كتلة رسالة الخادم (SMB) و NetBIOS ونظام ملفات إنترنت المشترك (CIFS) و Component Object Model Plus (COM+). - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: "المسؤولون، المستخدمون المصادق عليهم، وحدات تحكم مجال المؤسسة". - المستوى 1 - خادم الأعضاء. الحالة الموصى بها لهذا الإعداد هي: "المسؤولون، المستخدمون المصادق عليهم". المسار الرئيسي: [حقوق الامتياز]SeNetworkLogonRight نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	المسؤولون، المستخدمون المصادق عليهم (السياسة)	هام
العمل كجزء من نظام التشغيل (CCE-36876-1)	الوصف: يسمح إعداد النهج هذا للعملية بافتراض هوية أي مستخدم وبالتالي الوصول إلى الموارد التي يحق للمستخدم الوصول إليها. الحالة الموصى بها لهذا الإعداد هي: No One. المسار الرئيسي: [حقوق الامتياز] SeTcbPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= لا أحد (السياسة)	هام
السماح بتسجيل الدخول محليا (CCE-37659-0)	الوصف: يحدد إعداد النهج هذا المستخدمين الذين يمكنهم تسجيل الدخول بشكل تفاعلي إلى أجهزة الكمبيوتر في بيئتك. تتطلب عمليات تسجيل الدخول التي يتم بدؤها بالضغط على تسلسل المفاتيح CTRL + ALT + DEL على لوحة مفاتيح الكمبيوتر العميل حق المستخدم هذا. يحتاج المستخدمون الذين يحاولون تسجيل الدخول من خلال "الخدمات الطرفية" أو IIS أيضا إلى حق المستخدم هذا. يتم تعيين حساب الضيف لهذا المستخدم بشكل افتراضي. على الرغم من تعطيل هذا الحساب بشكل افتراضي، توصي Microsoft بتمكين هذا الإعداد من خلال نهج المجموعة. ومع ذلك، يجب أن يقتصر حق المستخدم هذا بشكل عام على مجموعات المسؤولين والمستخدمين. قم بتعيين حق المستخدم هذا إلى مجموعة مشغلي النسخ الاحتياطي إذا كانت مؤسستك تتطلب أن يكون لديهم هذه الإمكانية. عند تكوين حق مستخدم في SCM ، أدخل قائمة حسابات محددة بفواصل. يمكن أن تكون الحسابات إما محلية أو موجودة في Active Directory ، ويمكن أن تكون مجموعات أو مستخدمين أو أجهزة كمبيوتر. المسار الرئيسي: [حقوق الامتياز]SeInteractiveLogonRight نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	= الإداريون (السياسة)	هام
السماح بتسجيل الدخول من خلال خدمات سطح المكتب البعيد (CCE-37072-6)	الوصف: يحدد إعداد النهج هذا المستخدمين أو المجموعات التي يحق لها تسجيل الدخول كعميل "الخدمات الطرفية". يحتاج مستخدمو سطح المكتب البعيد إلى حق المستخدم هذا. إذا كانت مؤسستك تستخدم "المساعدة عن بعد" كجزء من استراتيجية مكتب المساعدة الخاصة بها، فقم بإنشاء مجموعة وتعيينها لهذا المستخدم مباشرة من خلال نهج المجموعة. إذا كان مكتب المساعدة في مؤسستك لا يستخدم "المساعدة عن بعد"، فقم بتعيين حق المستخدم هذا فقط إلى مجموعة المسؤولين أو استخدم ميزة المجموعات المقيدة لضمان عدم وجود حسابات مستخدمين جزءا من مجموعة "مستخدمو سطح المكتب البعيد". تقييد حق المستخدم هذا إلى مجموعة المسؤولين، وربما مجموعة مستخدمي سطح المكتب البعيد، لمنع المستخدمين غير المرغوب فيهم من الوصول إلى أجهزة الكمبيوتر الموجودة على الشبكة عن طريق ميزة "المساعدة عن بعد". - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: "المسؤولون". - المستوى 1 - خادم الأعضاء. الحالة الموصى بها لهذا الإعداد هي: "المسؤولون، مستخدمو سطح المكتب البعيد". ملاحظه: سيتطلب خادم العضو الذي يحمل دور خدمات سطح المكتب البعيد مع خدمة دور وسيط اتصال سطح المكتب البعيد استثناء خاصا لهذه التوصية، للسماح لمجموعة "المستخدمين المصادق عليهم" بمنح حق المستخدم هذا. الملاحظة 2: وينبغي معاملة القوائم المذكورة أعلاه على أنها قوائم مسموح بها، مما يعني ضمنا أنه لا يلزم أن يكون الرؤساء المذكورون أعلاه حاضرين لكي يتم إقرار تقييم هذه التوصية. المسار الرئيسي: [حقوق الامتياز]SeRemoteInteractiveLogonRight نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	المسؤولون، مستخدمو سطح المكتب البعيد (السياسة)	هام
إنشاء ملفات ودلائل (CCE-35912-5)	الوصف: يسمح إعداد النهج هذا للمستخدمين بالتحايل على أذونات الملفات والدليل لإجراء نسخ احتياطي للنظام. يتم تمكين حق المستخدم هذا فقط عندما يحاول تطبيق (مثل NTBACKUP) الوصول إلى ملف أو دليل من خلال واجهة برمجة تطبيقات النسخ الاحتياطي لنظام الملفات NTFS (API). وإلا، يتم تطبيق أذونات الملف والدليل المعينة. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeBackupPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	المسؤولون، مشغلو النسخ الاحتياطي، مشغلو الخوادم (السياسة)	هام
تجاوز فحص الاجتياز (AZ-WIN-00184)	الوصف: يسمح إعداد النهج هذا للمستخدمين الذين ليس لديهم إذن الوصول إلى مجلد Traverse بالمرور عبر المجلدات عند استعراض مسار كائن في نظام ملفات NTFS أو التسجيل. لا يسمح حق المستخدم هذا للمستخدمين بسرد محتويات مجلد. عند تكوين حق مستخدم في SCM ، أدخل قائمة حسابات محددة بفواصل. يمكن أن تكون الحسابات إما محلية أو موجودة في Active Directory ، ويمكن أن تكون مجموعات أو مستخدمين أو أجهزة كمبيوتر. المسار الرئيسي: [حقوق الامتياز]SeChangeNotifyPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	المسؤولون، المستخدمون المصادق عليهم، مشغلو النسخ الاحتياطي، الخدمة المحلية، خدمة الشبكة (السياسة)	هام
تغيير وقت النظام (CCE-37452-0)	الوصف: يحدد إعداد النهج هذا المستخدمين والمجموعات الذين يمكنهم تغيير الوقت والتاريخ على مدار الساعة الداخلية لأجهزة الكمبيوتر في بيئتك. يمكن للمستخدمين الذين تم تعيين حق المستخدم هذا لهم التأثير على مظهر سجلات الأحداث. عند تغيير إعداد وقت الكمبيوتر، تعكس الأحداث المسجلة الوقت الجديد، وليس الوقت الفعلي الذي وقعت فيه الأحداث. عند تكوين حق مستخدم في SCM ، أدخل قائمة حسابات محددة بفواصل. يمكن أن تكون الحسابات إما محلية أو موجودة في Active Directory ، ويمكن أن تكون مجموعات أو مستخدمين أو أجهزة كمبيوتر. ملاحظه: قد تتسبب التناقضات بين الوقت على الكمبيوتر المحلي وعلى وحدات تحكم المجال في البيئة الخاصة بك في حدوث مشكلات في بروتوكول مصادقة Kerberos، مما قد يجعل من المستحيل على المستخدمين تسجيل الدخول إلى المجال أو الحصول على إذن للوصول إلى موارد المجال بعد تسجيل الدخول. أيضا، ستحدث مشكلات عند تطبيق نهج المجموعة على أجهزة الكمبيوتر العميلة إذا لم تتم مزامنة وقت النظام مع وحدات تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: Administrators, LOCAL SERVICE. المسار الرئيسي: [حقوق الامتياز]SeSystemtimePrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	المسؤولون، مشغلو الخوادم، الخدمة المحلية (السياسة)	هام
تغيير المنطقة الزمنية (CCE-37700-2)	الوصف: يحدد هذا الإعداد المستخدمين الذين يمكنهم تغيير المنطقة الزمنية للكمبيوتر. هذه القدرة لا تحمل خطرا كبيرا على الكمبيوتر وقد تكون مفيدة للعمال المتنقلين. الحالة الموصى بها لهذا الإعداد هي: Administrators, LOCAL SERVICE. المسار الرئيسي: [حقوق الامتياز]SeTimeZonePrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	المسؤولون، الخدمة المحلية (السياسة)	هام
إنشاء ملف صفحة (CCE-35821-8)	الوصف: يسمح إعداد النهج هذا للمستخدمين بتغيير حجم ملف الصفحة. من خلال جعل ملف الصفحة كبيرا للغاية أو صغيرا للغاية ، يمكن للمهاجم التأثير بسهولة على أداء جهاز كمبيوتر مخترق. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeCreatePagefilePrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= الإداريون (السياسة)	هام
إنشاء عنصر رمز مميز (CCE-36861-3)	الوصف: يسمح إعداد السياسة هذا للعملية بإنشاء رمز مميز للوصول، والذي قد يوفر حقوقا مرتفعة للوصول إلى البيانات الحساسة. الحالة الموصى بها لهذا الإعداد هي: No One. المسار الرئيسي: [حقوق الامتياز]SeCreateTokenPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= لا أحد (السياسة)	تحذير
إنشاء عناصر عمومية (CCE-37453-8)	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن للمستخدمين إنشاء كائنات عمومية متوفرة لجميع الجلسات. لا يزال بإمكان المستخدمين إنشاء كائنات خاصة بجلسة العمل الخاصة بهم إذا لم يكن لديهم حق المستخدم هذا. يمكن للمستخدمين الذين يمكنهم إنشاء كائنات عمومية التأثير على العمليات التي يتم تشغيلها ضمن جلسات عمل المستخدمين الآخرين. يمكن أن تؤدي هذه القدرة إلى مجموعة متنوعة من المشكلات ، مثل فشل التطبيق أو تلف البيانات. الحالة الموصى بها لهذا الإعداد هي: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. ملاحظه: سيتطلب خادم العضو الذي يحتوي على Microsoft SQL Server ومكون "خدمات التكامل" الاختياري المثبت استثناء خاصا لهذه التوصية لإدخال إدخالات إضافية تم إنشاؤها بواسطة SQL ليتم منحها حق المستخدم هذا. المسار الرئيسي: [حقوق الامتياز]SeCreateGlobalPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	المسؤولون، الخدمة، الخدمة المحلية، خدمة الشبكة (السياسة)	تحذير
إنشاء عناصر مشتركة دائمة (CCE-36532-0)	الوصف: حق المستخدم هذا مفيد لمكونات وضع kernel التي تعمل على توسيع مساحة اسم الكائن. ومع ذلك، المكونات التي تعمل في وضع kernel لها حق المستخدم هذا بطبيعته. لذلك ، ليس من الضروري عادة تعيين حق المستخدم هذا على وجه التحديد. الحالة الموصى بها لهذا الإعداد هي: No One. المسار الرئيسي: [حقوق الامتياز]SeCreatePermanentPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= لا أحد (السياسة)	تحذير
إنشاء ارتباطات رمزية (CCE-35823-4)	الوصف: يحدد إعداد النهج هذا المستخدمين الذين يمكنهم إنشاء روابط رمزية. في Windows Vista، يمكن الوصول إلى كائنات نظام ملفات NTFS الموجودة، مثل الملفات والمجلدات، عن طريق الرجوع إلى نوع جديد من كائن نظام الملفات يسمى الارتباط الرمزي. الارتباط الرمزي هو مؤشر (يشبه إلى حد كبير اختصارا أو ملف .lnk) إلى كائن نظام ملفات آخر ، والذي يمكن أن يكون ملفا أو مجلدا أو اختصارا أو رابطا رمزيا آخر. الفرق بين الاختصار والرابط الرمزي هو أن الاختصار يعمل فقط من داخل الغلاف Windows. بالنسبة للبرامج والتطبيقات الأخرى ، تعد الاختصارات مجرد ملف آخر ، بينما مع الروابط الرمزية ، يتم تنفيذ مفهوم الاختصار كميزة لنظام ملفات NTFS. يمكن أن تعرض الارتباطات الرمزية ثغرات أمنية في التطبيقات غير المصممة لاستخدامها. لهذا السبب، يجب تعيين امتياز إنشاء روابط رمزية للمستخدمين الموثوق بهم فقط. بشكل افتراضي، يمكن للمسؤولين فقط إنشاء روابط رمزية. - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: "المسؤولون". - المستوى 1 - خادم الأعضاء. الحالة الموصى بها لهذا الإعداد هي: "المسؤولون" و (عند تثبيت دور Hyper-V ) "NT VIRTUAL MACHINE\Virtual Machines". المسار الرئيسي: [حقوق الامتياز]SeCreateSymbolicLinkPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	المسؤولون، NT VIRTUAL MACHINE\ VIRTUAL MACHINES (السياسة)	هام
رفض الوصول إلى هذا الكمبيوتر من الشبكة (CCE-37954-5)	الوصف: يحظر إعداد النهج هذا على المستخدمين الاتصال بجهاز كمبيوتر من جميع أنحاء الشبكة، مما يسمح للمستخدمين بالوصول إلى البيانات وتعديلها عن بعد. في البيئات عالية الأمان ، يجب ألا تكون هناك حاجة للمستخدمين عن بعد للوصول إلى البيانات الموجودة على جهاز كمبيوتر. بدلا من ذلك ، يجب تحقيق مشاركة الملفات من خلال استخدام خوادم الشبكة. - المستوى 1 - وحدة تحكم المجال. تتضمن الحالة الموصى بها لهذا الإعداد ما يلي: "الضيوف، الحساب المحلي". - المستوى 1 - خادم الأعضاء. تتضمن الحالة الموصى بها لهذا الإعداد ما يلي: "الضيوف والحساب المحلي وعضو مجموعة المسؤولين". أنذر: قد يؤدي تكوين خادم مستقل (غير مرتبط بالمجال) كما هو موضح أعلاه إلى عدم القدرة على إدارة الخادم عن بعد. ملاحظه: قد يؤثر تكوين خادم عضو أو خادم مستقل كما هو موضح أعلاه سلبا على التطبيقات التي تنشئ حساب خدمة محلي وتضعه في مجموعة المسؤولين - وفي هذه الحالة يجب عليك إما تحويل التطبيق لاستخدام حساب خدمة مستضاف على المجال، أو إزالة الحساب المحلي وعضو مجموعة المسؤولين من تعيين حق المستخدم هذا. يفضل بشدة استخدام حساب خدمة مستضاف على النطاق على إجراء استثناء لهذه القاعدة، حيثما أمكن ذلك. المسار الرئيسي: [حقوق الامتياز]SeDenyNetworkLogonRight نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= الضيوف (السياسة)	هام
رفض تسجيل الدخول كمهمة دفعية (CCE-36923-1)	وصف: يحدد إعداد النهج هذا الحسابات التي لن تتمكن من تسجيل الدخول إلى الكمبيوتر كمهمة دفعية. المهمة الدفعية ليست ملف دفعي (.bat) ، بل هي منشأة قائمة انتظار الدفعات. تحتاج الحسابات التي تستخدم "جدولة المهام" لجدولة المهام إلى حق المستخدم هذا. يتجاوز حق رفض تسجيل الدخول كمستخدم مهمة دفعية حق تسجيل الدخول كمستخدم مهمة دفعية، والذي يمكن استخدامه للسماح للحسابات بجدولة المهام التي تستهلك موارد النظام المفرطة. مثل هذا الحدوث يمكن أن يسبب حالة DoS. يمكن أن يشكل الفشل في تعيين حق المستخدم هذا للحسابات الموصى بها خطرا أمنيا. الحالة الموصى بها لهذا الإعداد هي أن تشمل: Guests. المسار الرئيسي: [حقوق الامتياز]SeDenyBatchLogonRight نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= الضيوف (السياسة)	هام
رفض تسجيل الدخول كخدمة (CCE-36877-9)	الوصف: يحدد إعداد الأمان هذا حسابات الخدمة التي يتم منعها من تسجيل عملية كخدمة. يحل إعداد النهج هذا محل إعداد تسجيل الدخول كنهج خدمة إذا كان الحساب خاضعا لكلا الاتجاهين. الحالة الموصى بها لهذا الإعداد هي أن تشمل: Guests. ملاحظه: لا ينطبق إعداد الأمان هذا على حسابات النظام أو الخدمة المحلية أو خدمة الشبكة. المسار الرئيسي: [حقوق الامتياز]SeDenyServiceLogonRight نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= الضيوف (السياسة)	هام
رفض تسجيل الدخول محليا (CCE-37146-8)	الوصف: يحدد إعداد الأمان هذا المستخدمين الذين يتم منعهم من تسجيل الدخول على الكمبيوتر. يحل إعداد النهج هذا محل إعداد النهج المحلي السماح بتسجيل الدخول إذا كان الحساب خاضعا لكلا الاتجاهين. مهم: إذا قمت بتطبيق نهج الأمان هذا على المجموعة الكل، فلن يتمكن أحد من تسجيل الدخول محليا. الحالة الموصى بها لهذا الإعداد هي أن تشمل: Guests. المسار الرئيسي: [حقوق الامتياز]SeDenyInteractiveLogonRight نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= الضيوف (السياسة)	هام
رفض تسجيل الدخول من خلال "خدمات سطح المكتب البعيد" (CCE-36867-0)	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن للمستخدمين تسجيل الدخول كعملاء "الخدمات الطرفية". بعد انضمام خادم العضو الأساسي إلى بيئة مجال، ليست هناك حاجة لاستخدام الحسابات المحلية للوصول إلى الخادم من الشبكة. يمكن لحسابات المجال الوصول إلى الخادم للإدارة ومعالجة المستخدم النهائي. الحالة الموصى بها لهذا الإعداد هي أن تشمل: Guests, Local account. أنذر: قد يؤدي تكوين خادم مستقل (غير مرتبط بالمجال) كما هو موضح أعلاه إلى عدم القدرة على إدارة الخادم عن بعد. المسار الرئيسي: [حقوق الامتياز]SeDenyRemoteInteractiveLogonRight نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجموعة عمل	>= الضيوف (السياسة)	هام
تمكين حسابات الكمبيوتر والمستخدم للثقة للتفويض (CCE-36860-5)	الوصف: يسمح إعداد النهج هذا للمستخدمين بتغيير إعداد "موثوق به للتفويض" على كائن كمبيوتر في Active Directory. قد تسمح إساءة استخدام هذا الامتياز للمستخدمين غير المصرح لهم بانتحال شخصية مستخدمين آخرين على الشبكة. - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: "المسؤولون" - المستوى 1 - خادم الأعضاء. الحالة الموصى بها لهذا الإعداد هي: "لا أحد". المسار الرئيسي: [حقوق الامتياز]SeEnableDelegationPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	= لا أحد (السياسة)	هام
فرض إيقاف التشغيل من نظام بعيد (CCE-37877-8)	الوصف: يسمح إعداد النهج هذا للمستخدمين بإيقاف تشغيل أجهزة الكمبيوتر Windows المستندة إلى Vista من مواقع بعيدة على الشبكة. يمكن لأي شخص تم تعيين حق المستخدم هذا أن يتسبب في حالة رفض الخدمة (DoS) ، مما يجعل الكمبيوتر غير متاح لطلبات مستخدم الخدمة. لذلك، يوصى بتعيين حق المستخدم هذا للمسؤولين الموثوق بهم للغاية فقط. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeRemoteShutdownPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= الإداريون (السياسة)	هام
إنشاء عمليات تدقيق الأمان (CCE-37639-2)	الوصف: يحدد إعداد النهج هذا المستخدمين أو العمليات التي يمكنها إنشاء سجلات تدقيق في سجل الأمان. الحالة الموصى بها لهذا الإعداد هي: LOCAL SERVICE, NETWORK SERVICE. ملاحظه: سيتطلب خادم العضو الذي يحمل دور خادم ويب (IIS) مع خدمة دور خادم ويب استثناء خاصا لهذه التوصية، للسماح بمنح تجمع (تجمعات) تطبيقات IIS حق المستخدم هذا. الملاحظة رقم 2: سيتطلب خادم العضو الذي يحمل دور خدمات الأمان المشترك لـ Active Directory استثناء خاصا لهذه التوصية، للسماح بمنح NT SERVICE\ADFSSrvNT SERVICE\DRS حق المستخدم هذا والخدمات، بالإضافة إلى حساب خدمة خدمات الأمان المشترك لـ Active Directory المقترن. المسار الرئيسي: [حقوق الامتياز]SeAuditPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	الخدمة المحلية، خدمة الشبكة، IIS APPPOOL\DefaultAppPool (السياسة)	هام
زيادة مجموعة عمل عملية (AZ-WIN-00185)	الوصف: يحدد هذا الامتياز حسابات المستخدمين التي يمكنها زيادة أو تقليل حجم مجموعة عمل العملية. مجموعة عمل العملية هي مجموعة صفحات الذاكرة المرئية حاليا للعملية في ذاكرة الوصول العشوائي الفعلية. هذه الصفحات مقيمة ومتاحة لاستخدام التطبيق دون تشغيل خطأ في الصفحة. يؤثر الحد الأدنى والحد الأقصى لأحجام مجموعة العمل على سلوك ترحيل صفحات الذاكرة الظاهرية للعملية. عند تكوين حق مستخدم في SCM ، أدخل قائمة حسابات محددة بفواصل. يمكن أن تكون الحسابات إما محلية أو موجودة في Active Directory ، ويمكن أن تكون مجموعات أو مستخدمين أو أجهزة كمبيوتر. المسار الرئيسي: [حقوق الامتياز]SeRiseWorkingSetPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	المسؤولون، الخدمة المحلية (السياسة)	تحذير
زيادة أولوية الجدولة (CCE-38326-5)	الوصف: يحدد إعداد النهج هذا ما إذا كان يمكن للمستخدمين زيادة فئة الأولوية الأساسية للعملية. (ليست عملية مميزة لزيادة الأولوية النسبية ضمن فئة الأولوية.) حق المستخدم هذا غير مطلوب من قبل الأدوات الإدارية التي يتم توفيرها مع نظام التشغيل ولكن قد تكون مطلوبة من قبل أدوات تطوير البرامج. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeRiseBasePriorityPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= الإداريون (السياسة)	تحذير
تحميل برامج تشغيل الأجهزة وتفريغها (CCE-36318-4)	الوصف: يسمح إعداد النهج هذا للمستخدمين بتحميل برنامج تشغيل جهاز جديد ديناميكيا على نظام. من المحتمل أن يستخدم المهاجم هذه الإمكانية لتثبيت تعليمات برمجية ضارة يبدو أنها برنامج تشغيل جهاز. حق المستخدم هذا مطلوب للمستخدمين لإضافة طابعات محلية أو برامج تشغيل طابعات في Windows Vista. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeLoadDriverPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	المسؤولون، مشغلو الطباعة (السياسة)	تحذير
تأمين الصفحات في الذاكرة (CCE-36495-0)	الوصف: يسمح إعداد النهج هذا لعملية بالاحتفاظ بالبيانات في الذاكرة الفعلية، مما يمنع النظام من ترحيل البيانات إلى الذاكرة الظاهرية على القرص. إذا تم تعيين حق المستخدم هذا ، فقد يحدث تدهور كبير في أداء النظام. الحالة الموصى بها لهذا الإعداد هي: No One. المسار الرئيسي: [حقوق الامتياز]SeLockMemoryPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= لا أحد (السياسة)	تحذير
إدارة التدقيق وسجل الأمان (CCE-35906-7)	الوصف: يحدد إعداد النهج هذا المستخدمين الذين يمكنهم تغيير خيارات التدقيق للملفات والدلائل ومسح سجل الأمان. بالنسبة للبيئات التي تعمل Microsoft Exchange Server، يجب أن تمتلك مجموعة "خوادم Exchange" هذا الامتياز على "وحدات تحكم المجال" لتعمل بشكل صحيح. وبالنظر إلى ذلك، فإن الاعتمادات المستندية التي تمنح مجموعة "خوادم Exchange" هذا الامتياز تتوافق مع هذا المعيار. إذا كانت البيئة لا تستخدم Microsoft Exchange Server، فيجب أن يقتصر هذا الامتياز على "المسؤولين" فقط على DCs. - المستوى 1 - وحدة تحكم المجال. الحالة الموصى بها لهذا الإعداد هي: "المسؤولون و (عند تشغيل Exchange في البيئة) "Exchange خوادم". - المستوى 1 - خادم الأعضاء. الحالة الموصى بها لهذا الإعداد هي: "المسؤولون" المسار الرئيسي: [حقوق الامتياز]SeSecurityPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= الإداريون (السياسة)	هام
تعديل تسمية عنصر (CCE-36054-5)	الوصف: يحدد هذا الامتياز حسابات المستخدمين التي يمكنها تعديل تسمية تكامل الكائنات، مثل الملفات أو مفاتيح التسجيل أو العمليات التي يملكها مستخدمون آخرون. يمكن للعمليات التي تعمل ضمن حساب مستخدم تعديل تسمية كائن يملكه هذا المستخدم إلى مستوى أقل بدون هذا الامتياز. الحالة الموصى بها لهذا الإعداد هي: No One. المسار الرئيسي: [حقوق الامتياز]SeRelabelPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= لا أحد (السياسة)	تحذير
تعديل قيم بيئة البرامج الثابتة (CCE-38113-7)	الوصف: يسمح إعداد النهج هذا للمستخدمين بتكوين متغيرات البيئة على مستوى النظام التي تؤثر على تكوين الأجهزة. عادة ما يتم تخزين هذه المعلومات في آخر تكوين جيد معروف. تعديل هذه القيم ويمكن أن يؤدي إلى فشل الأجهزة التي من شأنها أن تؤدي إلى حالة رفض الخدمة. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeSystemEnvironmentPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= الإداريون (السياسة)	تحذير
تنفيذ مهام صيانة مستوى وحدة التخزين (CCE-36143-6)	الوصف: يسمح إعداد النهج هذا للمستخدمين بإدارة وحدة التخزين أو تكوين القرص الخاص بالنظام، مما قد يسمح للمستخدم بحذف وحدة تخزين والتسبب في فقدان البيانات بالإضافة إلى حالة رفض الخدمة. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeManageVolumePrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= الإداريون (السياسة)	تحذير
عملية واحدة لملف التعريف (CCE-37131-0)	الوصف: يحدد إعداد النهج هذا المستخدمين الذين يمكنهم استخدام الأدوات لمراقبة أداء العمليات غير التابعة للنظام. عادة، لا تحتاج إلى تكوين حق المستخدم هذا لاستخدام الأداة الإضافية أداء وحدة التحكم بالإدارة ل Microsoft (MMC). ومع ذلك، فأنت بحاجة إلى حق المستخدم هذا إذا تم تكوين "مراقب النظام" لجمع البيانات باستخدام أجهزة إدارة Windows (WMI). يؤدي تقييد حق مستخدم العملية الواحدة في ملف التعريف إلى منع المتسللين من الحصول على معلومات إضافية يمكن استخدامها لشن هجوم على النظام. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeProfileSingleProcessPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= الإداريون (السياسة)	تحذير
أداء نظام ملف التعريف (CCE-36052-9)	الوصف: يسمح إعداد النهج هذا للمستخدمين باستخدام أدوات لعرض أداء عمليات النظام المختلفة، والتي يمكن إساءة استخدامها للسماح للمهاجمين بتحديد العمليات النشطة للنظام وتوفير نظرة ثاقبة على سطح الهجوم المحتمل للكمبيوتر. الحالة الموصى بها لهذا الإعداد هي: Administrators, NT SERVICE\WdiServiceHost. المسار الرئيسي: [حقوق الامتياز]SeSystemProfilePrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	المسؤولون، NT SERVICE\WdiServiceHost (السياسة)	تحذير
استبدال رمز مميز على مستوى العملية (CCE-37430-6)	الوصف: يسمح إعداد النهج هذا لعملية أو خدمة ببدء خدمة أو عملية أخرى باستخدام رمز مميز مختلف للوصول إلى الأمان، والذي يمكن استخدامه لتعديل الرمز المميز للوصول إلى الأمان لتلك العملية الفرعية ويؤدي إلى تصعيد الامتيازات. الحالة الموصى بها لهذا الإعداد هي: LOCAL SERVICE, NETWORK SERVICE. ملاحظه: سيتطلب خادم العضو الذي يحمل دور خادم ويب (IIS) مع خدمة دور خادم ويب استثناء خاصا لهذه التوصية، للسماح بمنح تجمع (تجمعات) تطبيقات IIS حق المستخدم هذا. الملاحظة رقم 2: سيتطلب خادم العضو الذي تم تثبيته Microsoft SQL Server استثناء خاصا لهذه التوصية لمنح حقوق المستخدم الإضافية التي تم إنشاؤها بواسطة SQL. المسار الرئيسي: [حقوق الامتياز]SeAssignPrimaryTokenPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	الخدمة المحلية، خدمة الشبكة (السياسة)	تحذير
استعادة الملفات والدلائل (CCE-37613-7)	الوصف: يحدد إعداد النهج هذا المستخدمين الذين يمكنهم تجاوز أذونات الملفات والدليل والتسجيل والكائنات الثابتة الأخرى عند استعادة الملفات والدلائل التي تم نسخها احتياطيا على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows Vista في بيئتك. يحدد حق المستخدم هذا أيضا المستخدمين الذين يمكنهم تعيين مبادئ أمان صالحة كمالكي كائنات ؛ إنه مشابه لملفات النسخ الاحتياطي والدلائل حق المستخدم. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeRestorePrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	المسؤولون، مشغلو النسخ الاحتياطي (السياسة)	تحذير
إيقاف تشغيل النظام (CCE-38328-1)	الوصف: يحدد إعداد النهج هذا المستخدمين الذين قاموا بتسجيل الدخول محليا إلى أجهزة الكمبيوتر الموجودة في بيئتك الذين يمكنهم إيقاف تشغيل نظام التشغيل باستخدام الأمر إيقاف التشغيل. يمكن أن تؤدي إساءة استخدام حق المستخدم هذا إلى حالة رفض الخدمة. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeShutdownPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= الإداريون (السياسة)	تحذير
الحصول على ملكية الملفات أو العناصر الأخرى (CCE-38325-7)	الوصف: يسمح إعداد النهج هذا للمستخدمين بامتلاك الملفات أو المجلدات أو مفاتيح التسجيل أو العمليات أو سلاسل الرسائل. يتجاوز حق المستخدم هذا أي أذونات موجودة لحماية الكائنات لمنح الملكية للمستخدم المحدد. الحالة الموصى بها لهذا الإعداد هي: Administrators. المسار الرئيسي: [حقوق الامتياز]SeTakePropertyPrivilege نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= الإداريون (السياسة)	هام

المكونات Windows

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
السماح بالمصادقة الأساسية (CCE-36254-1)	الوصف: يتيح لك إعداد النهج هذا إدارة Windows عن بعد (WinRM) يقبل المصادقة الأساسية من عميل بعيد أم لا. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ WinRM \\ العميل \\ AllowBasic نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
السماح Cortana (AZ-WIN-00131)	الوصف: يحدد إعداد السياسة هذا ما إذا كان Cortana مسموحا به على الجهاز أم لا.   إذا قمت بتمكين هذا الإعداد أو لم تقم بتكوينه، السماح Cortana على الجهاز. إذا قمت بتعطيل هذا الإعداد، إيقاف تشغيل Cortana.   عند إيقاف تشغيل Cortana ، سيظل المستخدمون قادرين على استخدام البحث للعثور على الأشياء على الجهاز وعلى الإنترنت. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows\ Windows البحث \\ AllowCortana نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	تحذير
السماح Cortana أعلى شاشة القفل (AZ-WIN-00130)	الوصف: يحدد إعداد النهج هذا ما إذا كان بإمكان المستخدم التفاعل مع Cortana باستخدام الكلام أثناء تأمين النظام أم لا. إذا قمت بتمكين هذا الإعداد أو لم تقم بتكوينه، فيمكن للمستخدم التفاعل مع Cortana باستخدام الكلام أثناء تأمين النظام. إذا قمت بتعطيل هذا الإعداد، فستحتاج إلى إلغاء قفل النظام حتى يتمكن المستخدم من التفاعل مع Cortana باستخدام الكلام. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCortanaAboveLock نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	تحذير
السماح بفهرسة الملفات المشفرة (CCE-38277-0)	الوصف: يتحكم إعداد النهج هذا في ما إذا كان يسمح بفهرسة العناصر المشفرة أم لا. عند تغيير هذا الإعداد، يتم إعادة إنشاء الفهرس بالكامل. يجب استخدام تشفير وحدة التخزين الكاملة (مثل تشفير محرك BitLocker أو حل غير تابع ل Microsoft) لموقع الفهرس للحفاظ على الأمان للملفات المشفرة. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
السماح لحسابات Microsoft بأن تكون اختيارية (CCE-38354-7)	الوصف: يتيح لك إعداد النهج هذا التحكم فيما إذا كانت حسابات Microsoft اختيارية لتطبيقات "متجر Windows" التي تتطلب حسابا لتسجيل الدخول. تؤثر هذه السياسة فقط على تطبيقات "متجر Windows" التي تدعمها. إذا قمت بتمكين إعداد النهج هذا، فستسمح تطبيقات Windows Store التي تتطلب عادة حساب Microsoft لتسجيل الدخول للمستخدمين بتسجيل الدخول باستخدام حساب مؤسسي بدلا من ذلك. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فسيحتاج المستخدمون إلى تسجيل الدخول باستخدام حساب Microsoft. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \\ النظام \\ MSAOptional نظام التشغيل: WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
السماح بالبحث Cortana باستخدام الموقع الجغرافي (AZ-WIN-00133)	الوصف: يحدد إعداد السياسة هذا ما إذا كان يمكن للبحث Cortana توفير نتائج بحث واعية بالموقع Cortana.   إذا تم تمكين ذلك، يمكن للبحث Cortana الوصول إلى معلومات الموقع. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \ Windows البحث \\ السماح للبحثToUseLocation نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	تحذير
السماح بالقياس عن بعد (AZ-WIN-00169)	الوصف: يحدد إعداد النهج هذا مقدار بيانات التشخيص والاستخدام التي تم الإبلاغ عنها إلى Microsoft. سترسل القيمة 0 الحد الأدنى من البيانات إلى Microsoft. تتضمن هذه البيانات أداة إزالة البرامج الضارة (MSRT) & Windows بيانات Defender، إذا تم تمكينها، وإعدادات عميل القياس عن بعد. ينطبق تعيين قيمة 0 على أجهزة المؤسسة و EDU و IoT والخادم فقط. تعيين قيمة 0 للأجهزة الأخرى يعادل اختيار قيمة 1. ترسل القيمة 1 كمية أساسية فقط من بيانات التشخيص والاستخدام. لاحظ أن تعيين قيم 0 أو 1 سيؤدي إلى تدهور تجارب معينة على الجهاز. ترسل القيمة 2 بيانات تشخيص واستخدام محسنة. ترسل القيمة 3 نفس البيانات كقيمة 2، بالإضافة إلى بيانات تشخيصية إضافية، بما في ذلك الملفات والمحتوى الذي قد يكون سبب المشكلة. تنطبق إعدادات القياس عن بعد Windows 10 على نظام التشغيل Windows وبعض تطبيقات الطرف الأول. لا ينطبق هذا الإعداد على تطبيقات الجهات الخارجية التي تعمل على Windows 10. الحالة الموصى بها لهذا الإعداد هي: Enabled: 0 - Security [Enterprise Only]. ملاحظه: إذا تم تكوين إعداد "السماح بالقياس عن بعد" إلى "0 - الأمان [المؤسسة فقط]"، فلن يكون للخيارات الموجودة في Windows Update لتأجيل الترقيات والتحديثات أي تأثير. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ جمع البيانات \\ السماح عن بعد نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= 0 (قلم المحكمة)	تحذير
السماح بحركة المرور غير المشفرة (CCE-38223-4)	الوصف: يسمح لك إعداد النهج هذا بإدارة ما إذا كانت خدمة الإدارة Windows عن بعد (WinRM) ترسل رسائل غير مشفرة وتتلقاها عبر الشبكة أم لا. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
السماح للمستخدم بالتحكم في عمليات التثبيت (CCE-36400-0)	الوصف: يسمح للمستخدمين بتغيير خيارات التثبيت التي عادة ما تكون متاحة فقط لمسؤولي النظام. تمنع ميزات الأمان الخاصة ب Windows Installer المستخدمين من تغيير خيارات التثبيت المحجوزة عادة لمسؤولي النظام، مثل تحديد الدليل الذي يتم تثبيت الملفات عليه. إذا اكتشف Windows Installer أن حزمة تثبيت قد سمحت للمستخدم بتغيير خيار محمي، فإنه يوقف التثبيت ويعرض رسالة. تعمل ميزات الأمان هذه فقط عند تشغيل برنامج التثبيت في سياق أمان متميز حيث يكون لديه حق الوصول إلى الدلائل المرفوضة للمستخدم. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
تثبيت دائما مع امتيازات مرتفعة (CCE-37490-0)	الوصف: يتحكم هذا الإعداد فيما إذا كان يجب على Windows Installer استخدام أذونات النظام عند تثبيت أي برنامج على النظام أم لا. ملاحظه: يظهر هذا الإعداد في كل من مجلدي تكوين الكمبيوتر وتكوين المستخدم. لجعل هذا الإعداد فعالا، يجب تمكين الإعداد في كلا المجلدين. أنذر: إذا تم تمكينه، يمكن للمستخدمين المهرة الاستفادة من الأذونات التي يمنحها هذا الإعداد لتغيير امتيازاتهم والحصول على وصول دائم إلى الملفات والمجلدات المقيدة. لاحظ أن إصدار تكوين المستخدم من هذا الإعداد غير مضمون أن يكون آمنا. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: عضو مجال، عضو مجموعة عمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
المطالبة دائما بكلمة المرور عند الاتصال (CCE-37929-7)	وصف: يحدد إعداد النهج هذا ما إذا كانت "الخدمات الطرفية" تطالب الكمبيوتر العميل دائما بكلمة مرور عند الاتصال. يمكنك استخدام إعداد النهج هذا لفرض مطالبة بكلمة مرور للمستخدمين الذين يقومون بتسجيل الدخول إلى "الخدمات الطرفية"، حتى إذا قاموا بالفعل بتوفير كلمة المرور في عميل "الاتصال بسطح المكتب البعيد". بشكل افتراضي، تسمح "الخدمات الطرفية" للمستخدمين بتسجيل الدخول تلقائيا إذا قاموا بإدخال كلمة مرور في عميل "الاتصال بسطح المكتب البعيد". ملاحظة إذا لم تقم بتكوين إعداد النهج هذا، يمكن لمسؤول الكمبيوتر المحلي استخدام أداة تكوين الخدمات الطرفية للسماح بإرسال كلمات المرور تلقائيا أو منعها. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows NT \\ الخدمات الطرفية \\ fPromptForPassword نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
التطبيق: التحكم في سلوك سجل الأحداث عندما يصل ملف السجل إلى الحد الأقصى لحجمه (CCE-37775-4)	وصف: يتحكم إعداد النهج هذا في سلوك سجل الأحداث عندما يصل ملف السجل إلى الحد الأقصى لحجمه. إذا قمت بتمكين إعداد النهج هذا ووصل ملف سجل إلى الحد الأقصى لحجمه، فلن تتم كتابة الأحداث الجديدة إلى السجل ويتم فقدانها. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه ووصل ملف سجل إلى الحد الأقصى لحجمه، فإن الأحداث الجديدة تحل محل الأحداث القديمة. ملاحظة: قد يتم أو لا يتم الاحتفاظ بالأحداث القديمة وفقا لإعداد نهج "سجل النسخ الاحتياطي تلقائيا عند الامتلاء". المسار الرئيسي: البرنامج \\ السياسات \\ مايكروسوفت \ Windows \\ سجل الأحداث \ التطبيق \ الاحتفاظ نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
التطبيق: تحديد الحد الأقصى لحجم ملف السجل (KB) (CCE-37948-7)	الوصف: يحدد إعداد النهج هذا الحد الأقصى لحجم ملف السجل بالكيلوبايت. إذا قمت بتمكين إعداد النهج هذا، فيمكنك تكوين الحد الأقصى لحجم ملف السجل ليكون بين 1 ميغابايت (1024 كيلوبايت) و2 تيرابايت (2147483647 كيلوبايت) بزيادات كيلوبايت. إذا قمت بتعطيل أو لم تقم بتكوين إعداد النهج هذا، تعيين الحد الأقصى لحجم ملف السجل إلى القيمة التي تم تكوينها محليا. يمكن تغيير هذه القيمة بواسطة المسؤول المحلي باستخدام مربع الحوار خصائص السجل ويتم تعيينها افتراضيا إلى 20 ميغابايت. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ EventLog \ التطبيق \\ MaxSize نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= 32768 (قلم المحكمة)	هام
تكوين تجاوز الإعداد المحلي لإعداد التقارير إلى Microsoft MAPS (AZ-WIN-00173)	الوصف: يقوم إعداد النهج هذا بتكوين تجاوز محلي للتكوين للانضمام إلى Microsoft MAPS. لا يمكن تعيين هذا الإعداد إلا من خلال نهج المجموعة. إذا قمت بتمكين هذا الإعداد، فسيحظى إعداد التفضيلات المحلية بالأولوية على نهج المجموعة. إذا قمت بتعطيل هذا الإعداد أو لم تقم بتكوينه، فستأخذ نهج المجموعة الأولوية على إعداد التفضيلات المحلية. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows المدافع \\ SpyNet \\ LocalSettingOverrideSpynetReporting نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
تكوين Windows SmartScreen (CCE-35859-8)	الوصف: يتيح لك إعداد النهج هذا إدارة سلوك Windows SmartScreen. Windows تساعد SmartScreen في الحفاظ على أمان أجهزة الكمبيوتر من خلال تحذير المستخدمين قبل تشغيل البرامج غير المعروفة التي تم تنزيلها من الإنترنت. يتم إرسال بعض المعلومات إلى Microsoft حول الملفات والبرامج التي يتم تشغيلها على أجهزة الكمبيوتر الشخصية مع تمكين هذه الميزة. إذا قمت بتمكين إعداد النهج هذا، فقد يتم التحكم في سلوك SmartScreen Windows عن طريق تعيين أحد الخيارات التالية: • إعطاء المستخدم تحذيرا قبل تشغيل برنامج غير معروف تم تنزيله • إيقاف تشغيل SmartScreen إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، Windows تتم إدارة سلوك SmartScreen بواسطة المسؤولين على الكمبيوتر باستخدام Windows SmartScreen الإعدادات في الأمن والصيانة. الخيارات: • إعطاء المستخدم تحذيرا قبل تشغيل برنامج غير معروف تم تنزيله • إيقاف تشغيل SmartScreen المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ النظام \ تمكين سمارت سكرين نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	في 1-2 (قلم المحكمة)	تحذير
الكشف عن التغيير من منفذ RDP الافتراضي (AZ-WIN-00156)	الوصف: يحدد هذا الإعداد ما إذا كان قد تم تغيير منفذ الشبكة الذي يستمع إلى "اتصالات سطح المكتب البعيد" من الإصدار 3389 الافتراضي المسار الرئيسي: النظام \\ CurrentControlSet \\ التحكم \\ الخادم الطرفي \\ WinStation \ RDP - Tcp \\ PortNumber نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 3389 (قلم المحكمة)	هام
تعطيل خدمة البحث Windows (AZ-WIN-00176)	وصف: إعداد التسجيل هذا تعطيل خدمة البحث Windows المسار الرئيسي: النظام \\ CurrentControlSet \ الخدمات \\ البحث \\ ابدأ نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 4 (قلم المحكمة)	هام
عدم السماح بالتشغيل التلقائي للأجهزة التي لا تعمل بوحدات التخزين (CCE-37636-8)	الوصف: لا يسمح إعداد النهج هذا بالتشغيل التلقائي لأجهزة MTP مثل الكاميرات أو الهواتف. إذا قمت بتمكين إعداد النهج هذا، فلن يسمح بالتشغيل التلقائي لأجهزة MTP مثل الكاميرات أو الهواتف. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، تمكين التشغيل التلقائي للأجهزة التي لا تعمل بوحدات تخزين. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ مستكشف \\ NoAutoplayfornonVolume نظام التشغيل: WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
عدم السماح بمصادقة الملخص (CCE-38318-2)	الوصف: يسمح لك إعداد النهج هذا بإدارة ما إذا كان عميل Windows "الإدارة عن بعد" (WinRM) لن يستخدم مصادقة "الملخص". الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows\\ WinRM \\ العميل \\ AllowDigest نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	هام
عدم السماح ل WinRM بتخزين بيانات اعتماد RunAs (CCE-36000-8)	الوصف: يسمح لك إعداد النهج هذا بإدارة ما إذا كانت خدمة Windows الإدارة عن بعد (WinRM) لن تسمح بتخزين بيانات اعتماد RunAs لأي مكونات إضافية. إذا قمت بتمكين إعداد النهج هذا، فلن تسمح خدمة WinRM بتعيين قيم تكوين RunAsUser أو RunAsPassword لأي مكونات إضافية. إذا قام مكون إضافي بالفعل بتعيين قيم تكوين RunAsUser و RunAsPassword، مسح قيمة تكوين RunAsPassword من مخزن بيانات الاعتماد على هذا الكمبيوتر. إذا قمت بتعطيل أو عدم تكوين إعداد النهج هذا، فستسمح خدمة WinRM بتعيين قيم تكوين RunAsUser وRunAsPassword للمكونات الإضافية وسيتم تخزين قيمة RunAsPassword بشكل آمن. إذا قمت بتمكين إعداد النهج هذا ثم تعطيله، فستحتاج إلى إعادة تعيين أي قيم تم تكوينها مسبقا ل RunAsPassword. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ WinRM \\ الخدمة \\ ديسابليروناس نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
لا تسمح بحفظ كلمات المرور (CCE-36223-6)	وصف: يساعد إعداد النهج هذا على منع عملاء "الخدمات الطرفية" من حفظ كلمات المرور على جهاز كمبيوتر. ملاحظة إذا تم تكوين إعداد النهج هذا مسبقا كمعطل أو غير مكون، حذف أي كلمات مرور محفوظة مسبقا في المرة الأولى التي يتم فيها قطع اتصال عميل الخدمات الطرفية بأي خادم. المسار الرئيسي: البرنامج \\ السياسات \\ مايكروسوفت \\ Windows NT \\ الخدمات الطرفية \ DisablePasswordSaving نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
لا تحذف المجلدات المؤقتة عند الخروج (CCE-37946-1)	الوصف: يحدد إعداد النهج هذا ما إذا كانت "خدمات سطح المكتب البعيد" تحتفظ بالمجلدات المؤقتة لكل جلسة عمل للمستخدم عند تسجيل الخروج. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows NT \\ الخدمات الطرفية \\ DeleteTempDirsOnExit نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	تحذير
لا تعرض زر الكشف عن كلمة المرور (CCE-37534-5)	الوصف: يسمح لك إعداد النهج هذا بتكوين عرض الزر "كشف كلمة المرور" في تجارب مستخدم إدخال كلمة المرور. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ CredUI \ ديسابل كلمة المروركشف نظام التشغيل: WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
لا تعرض إشعارات الملاحظات (AZ-WIN-00140)	الوصف: يسمح إعداد النهج هذا للمؤسسة بمنع أجهزتها من عرض أسئلة الملاحظات من Microsoft. إذا مكنت إعداد السياسة هذا، فلن يتمكن المستخدمون من رؤية إشعارات التعليقات من خلال تطبيق "التعليقات Windows". إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فقد يرى المستخدمون إشعارات من خلال تطبيق "ملاحظات Windows" تطلب من المستخدمين تقديم تعليقات. ملاحظة: إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، يمكن للمستخدمين التحكم في عدد المرات التي يتلقون فيها أسئلة الملاحظات. المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
لا تستخدم المجلدات المؤقتة لكل جلسة عمل (CCE-38180-6)	الوصف: بشكل افتراضي، تقوم "خدمات سطح المكتب البعيد" بإنشاء مجلد مؤقت منفصل على خادم "مضيف جلسة عمل RD" لكل جلسة عمل نشطة يحتفظ بها مستخدم على خادم "مضيف جلسة عمل RD". يتم إنشاء المجلد المؤقت على خادم مضيف جلسة عمل RD في مجلد Temp ضمن مجلد ملف تعريف المستخدم ويتم تسميته ب "sessionid". يستخدم هذا المجلد المؤقت لتخزين الملفات المؤقتة الفردية. لاستعادة مساحة القرص، يتم حذف المجلد المؤقت عند تسجيل خروج المستخدم من جلسة عمل. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows NT \\ الخدمات الطرفية \\ PerSessionTempDir نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
تعداد حسابات المسؤولين عند الارتفاع (CCE-36512-2)	الوصف: يتحكم إعداد النهج هذا في ما إذا كان يتم عرض حسابات المسؤول عند محاولة مستخدم ترقية تطبيق قيد التشغيل. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \ CredUI \ تعداد المسؤولين نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
منع تنزيل المرفقات (CCE-37126-0)	الوصف: يمنع إعداد النهج هذا المستخدم من تنزيل الحاويات (مرفقات الملفات) من موجز ويب إلى كمبيوتر المستخدم. الحالة الموصى بها لهذا الإعداد هي: Enabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ إنترنت إكسبلورر \\ موجز \\ تعطيل الضميمةتحميل نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
تتطلب اتصال RPC آمن (CCE-37567-5)	الوصف: يحدد ما إذا كان خادم مضيف جلسة عمل سطح المكتب البعيد يتطلب اتصال RPC آمن مع كافة العملاء أو يسمح بالاتصال غير الآمن. يمكنك استخدام هذا الإعداد لتعزيز أمان اتصال RPC مع العملاء من خلال السماح فقط بالطلبات المصادق عليها والمشفرة. إذا تم تعيين الحالة إلى ممكن، تقبل "خدمات سطح المكتب البعيد" الطلبات الواردة من عملاء RPC الذين يدعمون الطلبات الآمنة، ولا تسمح بالاتصال غير الآمن مع العملاء غير الموثوق بهم. إذا تم تعيين الحالة إلى معطل، فإن "خدمات سطح المكتب البعيد" تطلب دائما الأمان لكافة حركة مرور RPC. ومع ذلك، يسمح بالاتصال غير الآمن لعملاء RPC الذين لا يستجيبون للطلب. إذا تم تعيين الحالة إلى غير مكون، يسمح بالاتصال غير الآمن. ملاحظة: يتم استخدام واجهة RPC لإدارة خدمات سطح المكتب البعيد وتكوينها. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows NT \\ الخدمات الطرفية \\ fEncryptRPCTraffic نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
طلب مصادقة المستخدم للاتصالات البعيدة باستخدام مصادقة مستوى الشبكة (AZ-WIN-00149)	الوصف: طلب مصادقة المستخدم للاتصالات البعيدة باستخدام مصادقة مستوى الشبكة المسار الرئيسي: البرامج \\ السياسات \\ مايكروسوفت \ Windows NT \ الخدمات الطرفية \\ مصادقة المستخدم نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
مسح محركات الأقراص القابلة للإزالة ضوئيا (AZ-WIN-00177)	الوصف: يتيح لك إعداد النهج هذا إدارة ما إذا كنت تريد البحث عن البرامج الضارة والبرامج غير المرغوب فيها في محتويات محركات الأقراص القابلة للإزالة مثل محركات أقراص USB المحمولة عند إجراء فحص كامل أم لا. إذا قمت بتمكين هذا الإعداد ، فحص محركات الأقراص القابلة للإزالة أثناء أي نوع من أنواع الفحص. إذا قمت بتعطيل أو عدم تكوين هذا الإعداد لن يتم فحص محركات الأقراص القابلة للإزالة أثناء الفحص الكامل. قد يستمر فحص محركات الأقراص القابلة للإزالة أثناء الفحص السريع والفحص المخصص. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows المدافع \\ المسح الضوئي \\ تعطيل الإزالةDriveScanning نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	هام
الأمان: التحكم في سلوك سجل الأحداث عندما يصل ملف السجل إلى الحد الأقصى لحجمه (CCE-37145-0)	وصف: يتحكم إعداد النهج هذا في سلوك سجل الأحداث عندما يصل ملف السجل إلى الحد الأقصى لحجمه. إذا قمت بتمكين إعداد النهج هذا ووصل ملف سجل إلى الحد الأقصى لحجمه، فلن تتم كتابة الأحداث الجديدة إلى السجل ويتم فقدانها. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه ووصل ملف سجل إلى الحد الأقصى لحجمه، فإن الأحداث الجديدة تحل محل الأحداث القديمة. ملاحظة: قد يتم أو لا يتم الاحتفاظ بالأحداث القديمة وفقا لإعداد نهج "سجل النسخ الاحتياطي تلقائيا عند الامتلاء". المسار الرئيسي: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
الأمان: حدد الحد الأقصى لحجم ملف السجل (KB) (CCE-37695-4)	الوصف: يحدد إعداد النهج هذا الحد الأقصى لحجم ملف السجل بالكيلوبايت. إذا قمت بتمكين إعداد النهج هذا، فيمكنك تكوين الحد الأقصى لحجم ملف السجل ليكون بين 1 ميغابايت (1024 كيلوبايت) و2 تيرابايت (2,147,483,647 كيلوبايت) بزيادات كيلوبايت. إذا قمت بتعطيل أو لم تقم بتكوين إعداد النهج هذا، تعيين الحد الأقصى لحجم ملف السجل إلى القيمة التي تم تكوينها محليا. يمكن تغيير هذه القيمة بواسطة المسؤول المحلي باستخدام مربع الحوار خصائص السجل ويتم تعيينها افتراضيا إلى 20 ميغابايت. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ EventLog \ الأمن \\ MaxSize نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= 196608 (قلم المحكمة)	هام
إرسال عينات من الملفات عند الحاجة إلى مزيد من التحليل (AZ-WIN-00126)	الوصف: يقوم إعداد النهج هذا بتكوين سلوك إرسال العينات عند تعيين الاشتراك في القياس عن بعد ل MAPS. الخيارات الممكنة هي: (0x0) المطالبة دائما (0x1) إرسال عينات آمنة تلقائيا (0x2) عدم إرسال (0x3) إرسال جميع العينات تلقائيا المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows المدافع \\ SpyNet \\ إرسال العينات الموافقة نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
تعيين مستوى تشفير اتصال العميل (CCE-36627-8)	الوصف: يحدد إعداد النهج هذا ما إذا كان الكمبيوتر الذي على وشك استضافة الاتصال البعيد سيفرض مستوى تشفير لكافة البيانات المرسلة بينه وبين الكمبيوتر العميل لجلسة العمل البعيدة. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows NT \\ الخدمات الطرفية \\ MinEncryptionLevel نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 3 (قلم المحكمة)	هام
تعيين السلوك الافتراضي للتشغيل التلقائي (CCE-38217-6)	الوصف: يقوم إعداد النهج هذا بتعيين السلوك الافتراضي لأوامر التشغيل التلقائي. يتم تخزين أوامر التشغيل التلقائي بشكل عام في ملفات autorun.inf. غالبا ما يقومون بتشغيل برنامج التثبيت أو الإجراءات الروتينية الأخرى. قبل Windows Vista ، عند إدراج وسائط تحتوي على أمر تشغيل تلقائي ، سيقوم النظام تلقائيا بتنفيذ البرنامج دون تدخل المستخدم. هذا يخلق مصدر قلق أمني كبير حيث يمكن تنفيذ التعليمات البرمجية دون علم المستخدم. السلوك الافتراضي الذي يبدأ ب Windows Vista هو مطالبة المستخدم بما إذا كان سيتم تشغيل أمر التشغيل التلقائي. يتم تمثيل أمر التشغيل التلقائي كمعالج في مربع حوار التشغيل التلقائي. إذا قمت بتمكين إعداد النهج هذا، يمكن للمسؤول تغيير السلوك الافتراضي Windows Vista أو الأحدث للتشغيل التلقائي إلى: أ) تعطيل أوامر التشغيل التلقائي تماما، أو ب) العودة إلى سلوك Vista Windows مسبقا لتنفيذ أمر التشغيل التلقائي تلقائيا. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، Windows Vista أو إصدار أحدث سيطالب المستخدم بما إذا كان سيتم تشغيل أمر التشغيل التلقائي. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows\\ الإصدار الحالي \\ السياسات \\ مستكشف \\ لا تلقائي نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
الإعداد: التحكم في سلوك سجل الأحداث عندما يصل ملف السجل إلى الحد الأقصى لحجمه (CCE-38276-2)	وصف: يتحكم إعداد النهج هذا في سلوك سجل الأحداث عندما يصل ملف السجل إلى الحد الأقصى لحجمه. إذا قمت بتمكين إعداد النهج هذا ووصل ملف سجل إلى الحد الأقصى لحجمه، فلن تتم كتابة الأحداث الجديدة إلى السجل ويتم فقدانها. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه ووصل ملف سجل إلى الحد الأقصى لحجمه، فإن الأحداث الجديدة تحل محل الأحداث القديمة. ملاحظة: قد يتم أو لا يتم الاحتفاظ بالأحداث القديمة وفقا لإعداد نهج "سجل النسخ الاحتياطي تلقائيا عند الامتلاء". المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ EventLog \ الإعداد \ الاحتفاظ نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
الإعداد: تحديد الحد الأقصى لحجم ملف السجل (KB) (CCE-37526-1)	الوصف: يحدد إعداد النهج هذا الحد الأقصى لحجم ملف السجل بالكيلوبايت. إذا قمت بتمكين إعداد النهج هذا، فيمكنك تكوين الحد الأقصى لحجم ملف السجل ليكون بين 1 ميغابايت (1024 كيلوبايت) و2 تيرابايت (2,147,483,647 كيلوبايت) بزيادات كيلوبايت. إذا قمت بتعطيل أو لم تقم بتكوين إعداد النهج هذا، تعيين الحد الأقصى لحجم ملف السجل إلى القيمة التي تم تكوينها محليا. يمكن تغيير هذه القيمة بواسطة المسؤول المحلي باستخدام مربع الحوار خصائص السجل ويتم تعيينها افتراضيا إلى 20 ميغابايت. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ EventLog \ الإعداد \ MaxSize نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= 32768 (قلم المحكمة)	هام
تسجيل الدخول إلى آخر مستخدم تفاعلي تلقائيا بعد إعادة التشغيل التي بدأها النظام (CCE-36977-7)	الوصف: يتحكم إعداد النهج هذا فيما إذا كان الجهاز سيقوم تلقائيا بتسجيل الدخول إلى آخر مستخدم تفاعلي بعد Windows Update إعادة تشغيل النظام. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \\ النظام \ تعطيل تلقائي إعادة تشغيل التوقيع نظام التشغيل: WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
تحديد الفاصل الزمني للتحقق من وجود تحديثات للتعريف (AZ-WIN-00152)	الوصف: يسمح لك إعداد النهج هذا بتحديد فاصل زمني يمكنك من خلاله التحقق من وجود تحديثات للتعريف. يتم تمثيل القيمة الزمنية كعدد الساعات بين عمليات التحقق من التحديث. تتراوح القيم الصالحة من 1 (كل ساعة) إلى 24 (مرة واحدة في اليوم). إذا قمت بتمكين هذا الإعداد، التحقق من وجود تحديثات للتعريف في الفاصل الزمني المحدد. إذا قمت بتعطيل هذا الإعداد أو لم تقم بتكوينه، التحقق من وجود تحديثات للتعريف في الفاصل الزمني الافتراضي. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ مايكروسوفت مكافحة البرامج الضارة \\ تحديثات التوقيع \\ SignatureUpdateInterval نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 8 (قلم المحكمة)	هام
النظام: التحكم في سلوك سجل الأحداث عندما يصل ملف السجل إلى الحد الأقصى لحجمه (CCE-36160-0)	وصف: يتحكم إعداد النهج هذا في سلوك سجل الأحداث عندما يصل ملف السجل إلى الحد الأقصى لحجمه. إذا قمت بتمكين إعداد النهج هذا ووصل ملف سجل إلى الحد الأقصى لحجمه، فلن تتم كتابة الأحداث الجديدة إلى السجل ويتم فقدانها. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه ووصل ملف سجل إلى الحد الأقصى لحجمه، فإن الأحداث الجديدة تحل محل الأحداث القديمة. ملاحظة: قد يتم أو لا يتم الاحتفاظ بالأحداث القديمة وفقا لإعداد نهج "سجل النسخ الاحتياطي تلقائيا عند الامتلاء". المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ سجل الأحداث \ النظام \ الاحتفاظ نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
النظام: تحديد الحد الأقصى لحجم ملف السجل (KB) (CCE-36092-5)	الوصف: يحدد إعداد النهج هذا الحد الأقصى لحجم ملف السجل بالكيلوبايت. إذا قمت بتمكين إعداد النهج هذا، فيمكنك تكوين الحد الأقصى لحجم ملف السجل ليكون بين 1 ميغابايت (1024 كيلوبايت) و2 تيرابايت (2,147,483,647 كيلوبايت) بزيادات كيلوبايت. إذا قمت بتعطيل أو لم تقم بتكوين إعداد النهج هذا، تعيين الحد الأقصى لحجم ملف السجل إلى القيمة التي تم تكوينها محليا. يمكن تغيير هذه القيمة بواسطة المسؤول المحلي باستخدام مربع الحوار خصائص السجل ويتم تعيينها افتراضيا إلى 20 ميغابايت. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows\ EventLog \ النظام \\ MaxSize نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	>= 32768 (قلم المحكمة)	هام
إيقاف تشغيل "التشغيل التلقائي" (CCE-36875-3)	الوصف: يبدأ التشغيل التلقائي في القراءة من محرك أقراص بمجرد إدراج وسائط في محرك الأقراص، مما يؤدي إلى بدء تشغيل ملف الإعداد للبرامج أو الوسائط الصوتية على الفور. يمكن للمهاجم استخدام هذه الميزة لتشغيل برنامج لإتلاف الكمبيوتر أو البيانات الموجودة عليه. يمكنك تمكين إعداد إيقاف التشغيل التلقائي لتعطيل ميزة التشغيل التلقائي. يتم تعطيل التشغيل التلقائي افتراضيا على بعض أنواع محركات الأقراص القابلة للإزالة، مثل الأقراص المرنة ومحركات أقراص الشبكة، ولكن ليس على محركات الأقراص المضغوطة. ملاحظة لا يمكنك استخدام إعداد النهج هذا لتمكين التشغيل التلقائي على محركات أقراص الكمبيوتر التي يتم تعطيلها افتراضيا، مثل القرص المرن ومحركات أقراص الشبكة. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \\ مستكشف \\ NoDriveTypeAutoRun نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 255 (قلم المحكمة)	هام
إيقاف تشغيل "منع تنفيذ التعليمات البرمجية" ل Explorer (CCE-37809-1)	الوصف: يمكن أن يسمح تعطيل منع تنفيذ البيانات لبعض تطبيقات المكونات الإضافية القديمة بالعمل دون إنهاء Explorer. الحالة الموصى بها لهذا الإعداد هي: Disabled. ملاحظه: قد لا تعمل بعض تطبيقات المكونات الإضافية القديمة والبرامج الأخرى مع "منع تنفيذ البيانات" وستتطلب تحديد استثناء لهذا المكون الإضافي/البرنامج المحدد. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \ Windows \\ مستكشف \\ NoDataExecutionمنع نظام التشغيل: WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
إيقاف تشغيل إنهاء كومة الذاكرة المؤقتة على الفساد (CCE-36660-9)	الوصف: بدون إنهاء كومة الذاكرة المؤقتة على التلف، قد تستمر تطبيقات المكونات الإضافية القديمة في العمل عندما تصبح جلسة مستكشف الملفات تالفة. إن ضمان أن يكون إنهاء كومة الفساد نشطا سيمنع ذلك. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ مستكشف \\ NoHeapTerminationOnCorruption نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	هام
إيقاف تشغيل تجارب مستهلكي Microsoft (AZ-WIN-00144)	الوصف: يؤدي إعداد النهج هذا إلى إيقاف تشغيل التجارب التي تساعد المستهلكين على تحقيق أقصى استفادة من أجهزتهم وحساب Microsoft. إذا قمت بتمكين إعداد النهج هذا، فلن يتمكن المستخدمون بعد ذلك من رؤية توصيات مخصصة من Microsoft وإعلامات حول حساب Microsoft الخاص بهم. إذا قمت بتعطيل إعداد النهج هذا أو لم تقم بتكوينه، فقد يرى المستخدمون اقتراحات من Microsoft وإعلامات حول حساب Microsoft الخاص بهم. ملاحظة: لا ينطبق هذا الإعداد إلا على وحدات SKU للمؤسسات والتعليم. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ Windows \\ CloudContent \ تعطيل WindowsConsumerFeatures نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	تحذير
إيقاف تشغيل الوضع المحمي لبروتوكول shell (CCE-36809-2)	الوصف: يسمح لك إعداد النهج هذا بتكوين مقدار الوظائف التي يمكن أن يمتلكها بروتوكول shell. عند استخدام الوظائف الكاملة لهذا البروتوكول ، يمكن لتطبيقات فتح المجلدات وتشغيل الملفات. يقلل الوضع المحمي من وظائف هذا البروتوكول مما يسمح للتطبيقات بفتح مجموعة محدودة فقط من المجلدات. لا تستطيع التطبيقات فتح الملفات باستخدام هذا البروتوكول عندما تكون في الوضع المحمي. يوصى بترك هذا البروتوكول في الوضع المحمي لزيادة أمان Windows. الحالة الموصى بها لهذا الإعداد هي: Disabled. المسار الرئيسي: البرمجيات \\ مايكروسوفت \\ Windows \\ الإصدار الحالي \\ السياسات \\ مستكشف \\ PreXPSP2ShellProtocolBehavior نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير
تفعيل مراقبة السلوك (AZ-WIN-00178)	الوصف: يسمح لك إعداد النهج هذا بتكوين مراقبة السلوك. إذا قمت بتمكين أو لم تقم بتكوين هذا الإعداد سيتم تمكين مراقبة سلوك الإعداد. إذا قمت بتعطيل هذا الإعداد سيتم تعطيل مراقبة السلوك. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ المدافع Windows \\ الحماية في الوقت الحقيقي \\ DisableBehaviorMonitoring نظام التشغيل: WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 0 (قلم المحكمة)	تحذير

خصائص جدار الحماية Windows

الاسم (الهوية)	التفاصيل	القيمة المتوقعة (النوع)	الخطورة
جدار الحماية في نظام التشغيل Windows: المجال: السماح باستجابة أحادية الإرسال (AZ-WIN-00088)	الوصف: يكون هذا الخيار مفيدا إذا كنت بحاجة إلى التحكم فيما إذا كان هذا الكمبيوتر يتلقى استجابات أحادية البث لرسائل البث المتعدد أو البث الصادرة.   نوصي بهذا الإعداد إلى "نعم" لملفات التعريف الخاصة والمجال، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 0. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ جدار الحماية \\ ملف تعريف المجال \ DisableUnicastResponsesToMulticastBroadcast نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم المجال، عضو المجال	= 0 (قلم المحكمة)	تحذير
جدار الحماية Windows: المجال: حالة جدار الحماية (CCE-36062-8)	الوصف: حدد تشغيل (مستحسن) لجعل جدار الحماية Windows مع الأمان المتقدم يستخدم إعدادات ملف التعريف هذا لتصفية حركة مرور الشبكة. إذا قمت بتحديد إيقاف تشغيل، لن يستخدم جدار حماية في نظام Windows مع الأمان المتقدم أي من قواعد جدار الحماية أو قواعد أمان الاتصال لهذا التشكيل الجانبي. المسار الرئيسي: البرنامج \\ السياسات \\ مايكروسوفت \\ جدار الحماية ويندوز \\ ملف تعريف المجال \ تمكين جدار الحماية نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
جدار حماية Windows: المجال: الاتصالات الصادرة (CCE-36146-9)	الوصف: يحدد هذا الإعداد سلوك الاتصالات الصادرة التي لا تتطابق مع قاعدة جدار حماية صادر. في Windows Vista، السلوك الافتراضي هو السماح بالاتصالات ما لم تكن هناك قواعد جدار حماية تمنع الاتصال. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم المجال، عضو المجال	= 0 (قلم المحكمة)	هام
جدار حماية Windows: المجال: الإعدادات: تطبيق قواعد أمان الاتصال المحلي (CCE-38040-2)	الوصف: يتحكم هذا الإعداد فيما إذا كان يسمح للمسؤولين المحليين بإنشاء قواعد اتصال محلية تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة. الحالة الموصى بها لهذا الإعداد هي "نعم" ، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم المجال، عضو المجال	= 1 (قلم المحكمة)	هام
جدار حماية Windows: المجال: الإعدادات: تطبيق قواعد جدار الحماية المحلي (CCE-37860-4)	الوصف: يتحكم هذا الإعداد فيما إذا كان يسمح للمسؤولين المحليين بإنشاء قواعد جدار حماية محلية تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة. الحالة الموصى بها لهذا الإعداد هي نعم، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم المجال، عضو المجال	غير موجود أو = 1 (قلم المحكمة)	هام
جدار حماية Windows: المجال: الإعدادات: عرض إشعار (CCE-38041-0)	الوصف: بتحديد هذا الخيار، لا يتم عرض أي إعلام للمستخدم عند حظر برنامج من تلقي الاتصالات الواردة. في بيئة الخادم ، لا تكون النوافذ المنبثقة مفيدة نظرا لعدم تسجيل دخول المستخدمين ، والنوافذ المنبثقة ليست ضرورية ويمكن أن تضيف ارتباكا للمسؤول.   قم بتكوين إعداد النهج هذا إلى "لا" ، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1.  لن يعرض جدار الحماية Windows إعلاما عند حظر برنامج من تلقي الاتصالات الواردة. المسار الرئيسي: البرنامج \\ السياسات \\ مايكروسوفت \\ جدار الحماية \\ ملف تعريف المجال \ تعطيل الإخطارات نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الخادم: وحدة تحكم المجال، عضو المجال	= 1 (قلم المحكمة)	تحذير
جدار الحماية في نظام التشغيل Windows: خاص: السماح باستجابة أحادية الإرسال (AZ-WIN-00089)	الوصف: يكون هذا الخيار مفيدا إذا كنت بحاجة إلى التحكم فيما إذا كان هذا الكمبيوتر يتلقى استجابات أحادية البث لرسائل البث المتعدد أو البث الصادرة.   نوصي بهذا الإعداد إلى "نعم" لملفات التعريف الخاصة والمجال، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 0. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ جدار الحماية \\ الملف الشخصي الخاص \\ ديسابليكاست الاستجابات إلىالبث المتعدد نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	تحذير
جدار الحماية Windows: خاص: حالة جدار الحماية (CCE-38239-0)	الوصف: حدد تشغيل (مستحسن) لجعل جدار الحماية Windows مع الأمان المتقدم يستخدم إعدادات ملف التعريف هذا لتصفية حركة مرور الشبكة. إذا قمت بتحديد إيقاف تشغيل، لن يستخدم جدار حماية في نظام Windows مع الأمان المتقدم أي من قواعد جدار الحماية أو قواعد أمان الاتصال لهذا التشكيل الجانبي. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ جدار الحماية ويندوز \\ الملف الشخصي الخاص \\ تمكين جدار الحماية نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
جدار الحماية Windows: خاص: الاتصالات الصادرة (CCE-38332-3)	الوصف: يحدد هذا الإعداد سلوك الاتصالات الصادرة التي لا تتطابق مع قاعدة جدار حماية صادر. السلوك الافتراضي هو السماح بالاتصالات ما لم تكن هناك قواعد جدار حماية تمنع الاتصال. هام إذا قمت بتعيين الاتصالات الصادرة إلى حظر ثم نشر نهج جدار الحماية باستخدام كائن نهج المجموعة، لا يمكن لأجهزة الكمبيوتر التي تتلقى إعدادات كائن نهج المجموعة تلقي تحديثات نهج المجموعة اللاحقة إلا إذا قمت بإنشاء ونشر قاعدة صادرة تمكن نهج المجموعة من العمل. تتضمن القواعد المحددة مسبقا ل Core Networking القواعد الصادرة التي تمكن نهج المجموعة من العمل. تأكد من أن هذه القواعد الصادرة نشطة، واختبر ملفات تعريف جدار الحماية بدقة قبل النشر. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	هام
جدار حماية Windows: خاص: الإعدادات: تطبيق قواعد أمان الاتصال المحلي (CCE-36063-6)	الوصف: يتحكم هذا الإعداد فيما إذا كان يسمح للمسؤولين المحليين بإنشاء قواعد اتصال محلية تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة. الحالة الموصى بها لهذا الإعداد هي "نعم" ، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
جدار الحماية Windows: خاص: الإعدادات: تطبيق قواعد جدار الحماية المحلي (CCE-37438-9)	الوصف: يتحكم هذا الإعداد فيما إذا كان يسمح للمسؤولين المحليين بإنشاء قواعد جدار حماية محلية تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة. الحالة الموصى بها لهذا الإعداد هي نعم، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
جدار حماية Windows: خاص: الإعدادات: عرض إشعار (CCE-37621-0)	الوصف: بتحديد هذا الخيار، لا يتم عرض أي إعلام للمستخدم عند حظر برنامج من تلقي الاتصالات الواردة. في بيئة الخادم ، لا تكون النوافذ المنبثقة مفيدة نظرا لعدم تسجيل دخول المستخدمين ، والنوافذ المنبثقة ليست ضرورية ويمكن أن تضيف ارتباكا للمسؤول.    قم بتكوين إعداد النهج هذا إلى "لا" ، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1.  لن يعرض جدار الحماية Windows إعلاما عند حظر برنامج من تلقي الاتصالات الواردة. المسار الرئيسي: البرنامج \\ السياسات \\ مايكروسوفت \\ جدار الحماية \\ الملف الشخصي الخاص \\ تعطيل الإخطارات نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
جدار الحماية في نظام التشغيل Windows: عام: السماح باستجابة أحادية الإرسال (من الألف إلى الياء-الفوز-00090)	الوصف: يكون هذا الخيار مفيدا إذا كنت بحاجة إلى التحكم فيما إذا كان هذا الكمبيوتر يتلقى استجابات أحادية البث لرسائل البث المتعدد أو البث الصادرة. يمكن القيام بذلك عن طريق تغيير حالة هذا الإعداد إلى "لا" ، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ جدار الحماية ويندوز \\ الملف الشخصي العام \\ ديسابليكاست الاستجابات إلىالبث المتعدد نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير
جدار الحماية Windows: عام: حالة جدار الحماية (CCE-37862-0)	الوصف: حدد تشغيل (مستحسن) لجعل جدار الحماية Windows مع الأمان المتقدم يستخدم إعدادات ملف التعريف هذا لتصفية حركة مرور الشبكة. إذا قمت بتحديد إيقاف تشغيل، لن يستخدم جدار حماية في نظام Windows مع الأمان المتقدم أي من قواعد جدار الحماية أو قواعد أمان الاتصال لهذا التشكيل الجانبي. المسار الرئيسي: البرمجيات \\ السياسات \\ مايكروسوفت \\ جدار الحماية ويندوز \\ الملف الشخصي العام \\ تمكين جدار الحماية نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
جدار حماية Windows: عام: الاتصالات الصادرة (CCE-37434-8)	الوصف: يحدد هذا الإعداد سلوك الاتصالات الصادرة التي لا تتطابق مع قاعدة جدار حماية صادر. السلوك الافتراضي هو السماح بالاتصالات ما لم تكن هناك قواعد جدار حماية تمنع الاتصال. هام إذا قمت بتعيين الاتصالات الصادرة إلى حظر ثم نشر نهج جدار الحماية باستخدام كائن نهج المجموعة، لا يمكن لأجهزة الكمبيوتر التي تتلقى إعدادات كائن نهج المجموعة تلقي تحديثات نهج المجموعة اللاحقة إلا إذا قمت بإنشاء ونشر قاعدة صادرة تمكن نهج المجموعة من العمل. تتضمن القواعد المحددة مسبقا ل Core Networking القواعد الصادرة التي تمكن نهج المجموعة من العمل. تأكد من أن هذه القواعد الصادرة نشطة، واختبر ملفات تعريف جدار الحماية بدقة قبل النشر. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 0 (قلم المحكمة)	هام
جدار حماية Windows: عام: الإعدادات: تطبيق قواعد أمان الاتصال المحلي (CCE-36268-1)	الوصف: يتحكم هذا الإعداد فيما إذا كان يسمح للمسؤولين المحليين بإنشاء قواعد اتصال محلية تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة. الحالة الموصى بها لهذا الإعداد هي "نعم" ، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	هام
جدار الحماية Windows: عام: الإعدادات: تطبيق قواعد جدار الحماية المحلي (CCE-37861-2)	الوصف: يتحكم هذا الإعداد فيما إذا كان يسمح للمسؤولين المحليين بإنشاء قواعد جدار حماية محلية تنطبق مع قواعد جدار الحماية التي تم تكوينها بواسطة نهج المجموعة. الحالة الموصى بها لهذا الإعداد هي نعم، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	غير موجود أو = 1 (قلم المحكمة)	هام
جدار حماية Windows: عام: الإعدادات: عرض إشعار (CCE-38043-6)	الوصف: بتحديد هذا الخيار، لا يتم عرض أي إعلام للمستخدم عند حظر برنامج من تلقي الاتصالات الواردة. في بيئة الخادم ، لا تكون النوافذ المنبثقة مفيدة نظرا لعدم تسجيل دخول المستخدمين ، والنوافذ المنبثقة ليست ضرورية ويمكن أن تضيف ارتباكا للمسؤول.   قم بتكوين إعداد النهج هذا إلى "لا" ، سيؤدي ذلك إلى تعيين قيمة التسجيل إلى 1.  لن يعرض جدار الحماية Windows إعلاما عند حظر برنامج من تلقي الاتصالات الواردة. المسار الرئيسي: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications نظام التشغيل: WS2008، WS2008R2، WS2012، WS2012R2، WS2016، WS2019، WS2022 نوع الملقم: وحدة تحكم المجال، عضو المجال، عضو مجموعة العمل	= 1 (قلم المحكمة)	تحذير

ملاحظة

قد يختلف توفر إعدادات تكوين ضيف Azure Policy محددة في Azure Government والسحب الوطنية الأخرى.

الخطوات التالية

مقالات إضافية حول سياسة Azure وتكوين الضيف:

• Azure Policy guest configuration.
• نظرة عامة على الامتثال الرقابي.
• اعرض أمثلة أخرى في نماذج نهج Azure.
• اطلع على ⁧⁩فهم تأثيرات النهج⁧⁩.
• تعرّف على كيفية معالجة الموارد غير الممتثلة.