Windows-beveiligingsbasislijn

Artikel
12/08/2023

In dit artikel worden de configuratie-instellingen voor Windows-gasten beschreven zoals van toepassing in de volgende implementaties:

[Preview]: Windows-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn voor azure Policy-gastconfiguratiedefinitie
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld in Azure Security Center

Zie voor meer informatie de configuratie van azure Automanage-machines.

Belangrijk

Gastconfiguratie van Azure Policy is alleen van toepassing op Windows Server SKU en Azure Stack SKU. Het is niet van toepassing op berekeningen van eindgebruikers, zoals Windows 10- en Windows 11-SKU's.

Accountbeleid-wachtwoordbeleid

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Duur van accountvergrendeling _{(AZ-WIN-73312)}	Beschrijving: Deze beleidsinstelling bepaalt de tijdsduur die moet worden doorgegeven voordat een vergrendeld account wordt ontgrendeld en een gebruiker kan proberen zich opnieuw aan te melden. De instelling doet dit door het aantal minuten op te geven dat een vergrendeld account niet beschikbaar blijft. Als de waarde voor deze beleidsinstelling is geconfigureerd op 0, blijven vergrendelde accounts vergrendeld totdat een beheerder deze handmatig ontgrendelt. Hoewel het misschien een goed idee lijkt om de waarde voor deze beleidsinstelling te configureren op een hoge waarde, zal een dergelijke configuratie waarschijnlijk het aantal oproepen verhogen dat de helpdesk ontvangt om accounts te ontgrendelen die per ongeluk zijn vergrendeld. Gebruikers moeten zich bewust zijn van de tijdsduur dat een vergrendeling aanwezig blijft, zodat ze zich realiseren dat ze alleen de helpdesk hoeven te bellen als ze een extreem dringende behoefte hebben om weer toegang te krijgen tot hun computer. De aanbevolen status voor deze instelling is: `15 or more minute(s)`. Opmerking: instellingen voor wachtwoordbeleid (sectie 1.1) en beleidsinstellingen voor accountvergrendeling (sectie 1.2) moeten worden toegepast via het groepsbeleidsobject voor standaarddomeinbeleid om globaal van kracht te zijn op domeingebruikersaccounts als standaardgedrag. Als deze instellingen zijn geconfigureerd in een ander groepsbeleidsobject, hebben ze alleen invloed op lokale gebruikersaccounts op de computers die het groepsbeleidsobject ontvangen. Aangepaste uitzonderingen op het standaardwachtwoordbeleid en accountvergrendelingsbeleidsregels voor specifieke domeingebruikers en/of groepen kunnen echter worden gedefinieerd met behulp van Wachtwoord Instellingen-objecten (PSO's), die volledig gescheiden zijn van Groepsbeleid en het eenvoudigst zijn geconfigureerd met Active Directory Beheer istratief Center. Sleutelpad: [Systeemtoegang]LockoutDuration Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Accountbeleid\Accountvergrendelingsbeleid\Duur van accountvergrendeling Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 1.2.1 CIS WS2019 1.2.1	>= 15 _(Beleid)	Waarschuwing

Beheer istratieve sjabloon - Windows Defender

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Detectie configureren voor mogelijk ongewenste toepassingen _{(AZ-WIN-202219)}	Beschrijving: Deze beleidsinstelling bepaalt detectie en actie voor mogelijk ongewenste toepassingen (PUA), die stiekem ongewenste toepassingsbundels of hun gebundelde toepassingen zijn, die adware of malware kunnen leveren. De aanbevolen status voor deze instelling is: `Enabled: Block`. Zie deze koppeling voor meer informatie: Mogelijk ongewenste toepassingen blokkeren met Microsoft Defender Antivirus \| Microsoft Docs Sleutelpad: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Microsoft Defender Antivirus\Detectie configureren voor mogelijk ongewenste toepassingen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15	= 1 _(Register)	Kritiek
Alle gedownloade bestanden en bijlagen scannen _{(AZ-WIN-202221)}	Beschrijving: Met deze beleidsinstelling wordt scannen geconfigureerd voor alle gedownloade bestanden en bijlagen. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Microsoft Defender Antivirus\Real-Time Protection\Scan alle gedownloade bestanden en bijlagen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1	= 0 _(Register)	Waarschuwing
Microsoft Defender AntiVirus uitschakelen _{(AZ-WIN-202220)}	Beschrijving: Met deze beleidsinstelling wordt Microsoft Defender Antivirus uitgeschakeld. Als de instelling is geconfigureerd voor Uitgeschakeld, worden Microsoft Defender Antivirus-uitvoeringen uitgevoerd en computers gescand op malware en andere mogelijk ongewenste software. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Microsoft Defender Antivirus\Schakel Microsoft Defender AntiVirus uit Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16	= 0 _(Register)	Kritiek
Realtime-beveiliging uitschakelen _{(AZ-WIN-202222)}	Beschrijving: Deze beleidsinstelling configureert realtime-beveiligingsprompts voor bekende malwaredetectie. Microsoft Defender Antivirus waarschuwt u wanneer malware of mogelijk ongewenste software zichzelf probeert te installeren of op uw computer uit te voeren. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Microsoft Defender Antivirus\Realtime-beveiliging\Realtime-beveiliging uitschakelen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2	= 0 _(Register)	Waarschuwing
Scannen op e-mail inschakelen _{(AZ-WIN-202218)}	Beschrijving: Met deze beleidsinstelling kunt u e-mailscans configureren. Wanneer het scannen van e-mail is ingeschakeld, parseert de engine het postvak en de e-mailbestanden, volgens hun specifieke indeling, om de e-mailteksten en bijlagen te analyseren. Er worden momenteel verschillende e-mailindelingen ondersteund, zoals pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Microsoft Defender Antivirus\Scan\E-mail scannen inschakelen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2	= 0 _(Register)	Waarschuwing
Scannen van scripts inschakelen _{(AZ-WIN-202223)}	Beschrijving: Met deze beleidsinstelling kan het scannen van scripts worden ingeschakeld/uitgeschakeld. Met het scannen van scripts worden scripts onderschept en vervolgens gescand voordat ze op het systeem worden uitgevoerd. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Microsoft Defender Antivirus\Real-Time Protection\Turn on script scanning Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4	= 0 _(Register)	Waarschuwing

Beheer istratieve sjablonen - Configuratiescherm

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Persoonlijke invoer toestaan _{(AZ-WIN-00168)}	Beschrijving: Dit beleid maakt het automatische leeronderdeel mogelijk van persoonlijke invoer met spraak, handschrift en typen. Met automatisch leren kunt u spraak- en handschriftpatronen verzamelen, geschiedenis typen, contactpersonen en recente agendagegevens. Dit is vereist voor het gebruik van Cortana. Sommige van deze verzamelde gegevens kunnen worden opgeslagen in OneDrive van de gebruiker, in het geval van inkt en typen; een deel van de informatie wordt geüpload naar Microsoft om spraak aan te passen. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Configuratiescherm\Landinstellingen\Toestaan dat gebruikers online spraakherkenningsservices inschakelen Opmerking: dit pad naar groepsbeleid bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon Globalization.admx/adml die is opgenomen in de Microsoft Windows 10 RTM (release 1507) Beheer istratieve sjablonen (of nieuwer). Opmerking #2: In oudere Microsoft Windows-Beheer istratieve sjablonen werd deze instelling aanvankelijk persoonlijke instellingen voor invoer toestaan genoemd, maar deze is hernoemd naar Toestaan dat gebruikers online spraakherkenningsservices inschakelen vanaf de Windows 10 R1809 & Server 2019 Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.1.2.2	= 0 _(Register)	Waarschuwing

Beheer istratieve sjablonen - MS-beveiligingshandleiding

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
SMB v1-client uitschakelen (afhankelijkheid van LanmanWorkstation verwijderen) _{(AZ-WIN-00122)}	Beschrijving: SMBv1 is een verouderd protocol dat gebruikmaakt van het MD5-algoritme als onderdeel van SMB. MD5 is bekend kwetsbaar voor een aantal aanvallen, zoals botsingen en preimage-aanvallen, en is niet compatibel met FIPS. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService Besturingssysteem: WS2008, WS2008R2, WS2012 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beheer istratieve sjablonen\MS-beveiligingshandleiding\SMBv1-clientstuurprogramma configureren Standaardtoewijzingen voor naleving:	Bestaat niet of = Bowser\0MRxSmb20\0NSI\0\0 _(Register)	Kritiek
WDigest-verificatie _{(AZ-WIN-73497)}	Beschrijving: Wanneer WDigest-verificatie is ingeschakeld, behoudt Lsass.exe een kopie van het wachtwoord voor tekst zonder opmaak van de gebruiker in het geheugen, waar het kan worden gestolen. Als deze instelling niet is geconfigureerd, is WDigest-verificatie uitgeschakeld in Windows 8.1 en in Windows Server 2012 R2; deze functie is standaard ingeschakeld in eerdere versies van Windows en Windows Server. Raadpleeg de documenten 'Pass-the-Hash-aanvallen (PtH) beperken en andere referentiediefstaltechnieken' voor meer informatie over lokale accounts en referentiediefstaltechnieken. Zie het Microsoft Knowledge Base-artikel 2871997: Microsoft Security Advisory Update voor het verbeteren van de beveiliging en het beheer van referenties op 13 mei 2014 voor meer informatie`UseLogonCredential`. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential Besturingssysteem: WS2016, WS2019 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\MS-beveiligingshandleiding\WDigest-verificatie (uitschakelen vereist mogelijk KB2871997) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.3.7 CIS WS2019 18.3.7	= 0 _(Register)	Belangrijk

Beheer istische sjablonen - MSS

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
MSS: (DisableIPSourceRouting IPv6) IP-bronrouteringsniveau (beschermt tegen pakketvervalsing) _{(AZ-WIN-202213)}	Beschrijving: IP-bronroutering is een mechanisme waarmee de afzender de IP-route kan bepalen die een datagram moet volgen via het netwerk. De aanbevolen status voor deze instelling is: `Enabled: Highest protection, source routing is completely disabled`. Sleutelpad: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\MSS (verouderd)\MSS: (DisableIPSourceRouting IPv6) IP-bronrouteringsniveau (beschermt tegen pakketvervalsing) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.4.2 CIS WS2019 18.4.2	= 2 _(Register)	Informatief
MSS: (DisableIPSourceRouting) IP-bronrouteringsniveau (beschermt tegen pakketvervalsing) _{(AZ-WIN-202244)}	Beschrijving: IP-bronroutering is een mechanisme waarmee de afzender de IP-route kan bepalen die een datagram via het netwerk moet nemen. U wordt aangeraden deze instelling te configureren op Niet gedefinieerd voor bedrijfsomgevingen en naar Hoogste beveiliging voor hoge beveiligingsomgevingen om bronroutering volledig uit te schakelen. De aanbevolen status voor deze instelling is: `Enabled: Highest protection, source routing is completely disabled`. Sleutelpad: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\MSS (verouderd)\MSS: (DisableIPSourceRouting) IP-bronrouteringsniveau (beschermt tegen pakketvervalsing) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.4.3 CIS WS2019 18.4.3	= 2 _(Register)	Informatief
MSS: (NoNameReleaseOnDemand) Toestaan dat de computer releaseaanvragen voor NetBIOS-naam negeert, behalve van WINS-servers _{(AZ-WIN-202214)}	Beschrijving: NetBIOS via TCP/IP is een netwerkprotocol dat onder andere een manier biedt om eenvoudig NetBIOS-namen op te lossen die zijn geregistreerd op Windows-systemen naar de IP-adressen die op deze systemen zijn geconfigureerd. Met deze instelling wordt bepaald of de netBIOS-naam van de computer wordt vrijgegeven wanneer er een aanvraag voor de naamrelease wordt ontvangen. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\MSS (verouderd)\MSS: (NoNameReleaseOnDemand) Toestaan dat de computer NetBIOS-naamreleaseaanvragen negeert, behalve van WINS-servers Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.4.6 CIS WS2019 18.4.6	= 1 _(Register)	Informatief
MSS: (SafeDllSearchMode) Veilige DLL-zoekmodus inschakelen (aanbevolen) _{(AZ-WIN-202215)}	Beschrijving: De DLL-zoekvolgorde kan worden geconfigureerd om te zoeken naar DLL's die worden aangevraagd door processen op een van de twee manieren uit te voeren: - Zoekmappen die zijn opgegeven in het systeempad en vervolgens zoeken in de huidige werkmap. - Zoek eerst de huidige werkmap en zoek vervolgens in de mappen die zijn opgegeven in het systeempad. Als deze optie is ingeschakeld, wordt de registerwaarde ingesteld op 1. Met een instelling van 1 doorzoekt het systeem eerst de mappen die zijn opgegeven in het systeempad en zoekt vervolgens in de huidige werkmap. Wanneer de registerwaarde is uitgeschakeld, is ingesteld op 0 en zoekt het systeem eerst in de huidige werkmap en zoekt vervolgens naar de mappen die zijn opgegeven in het systeempad. Toepassingen worden gedwongen om eerst te zoeken naar DLL's in het systeempad. Voor toepassingen waarvoor unieke versies van deze DLL's zijn vereist die zijn opgenomen in de toepassing, kan deze vermelding prestatie- of stabiliteitsproblemen veroorzaken. De aanbevolen status voor deze instelling is: `Enabled`. Opmerking: Meer informatie over de werking van de veilige DLL-zoekmodus vindt u op deze koppeling: Zoekvolgorde van dynamische koppelingsbibliotheek - Windows-toepassingen \| Microsoft Docs Sleutelpad: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\MSS (verouderd)\MSS: (SafeDllSearchMode) Veilige DLL-zoekmodus inschakelen (aanbevolen) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.4.8 CIS WS2019 18.4.8	= 1 _(Register)	Waarschuwing
MSS: (WarningLevel) Percentagedrempel voor het gebeurtenislogboek van de beveiliging waarmee het systeem een waarschuwing genereert _{(AZ-WIN-202212)}	Beschrijving: Met deze instelling kan een beveiligingscontrole worden gegenereerd in het gebeurtenislogboek van de beveiliging wanneer het logboek een door de gebruiker gedefinieerde drempelwaarde bereikt. De aanbevolen status voor deze instelling is: `Enabled: 90% or less`. Opmerking: als logboekinstellingen zijn geconfigureerd voor het overschrijven van gebeurtenissen als dat nodig is of gebeurtenissen overschrijven die ouder zijn dan x dagen, wordt deze gebeurtenis niet gegenereerd. Sleutelpad: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\MSS (verouderd)\MSS: (WarningLevel) Percentagedrempel voor het beveiligingslogboek waarop het systeem een waarschuwing genereert Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.4.12 CIS WS2019 18.4.12	<= 90 _(Register)	Informatief
Windows Server moet worden geconfigureerd om te voorkomen dat ICMP-omleidingen (Internet Control Message Protocol) worden overschreven door door OSPF gegenereerde routes (Open Shortest Path First). _{(AZ-WIN-73503)}	Beschrijving: ICMP-omleidingen (Internet Control Message Protocol) zorgen ervoor dat de IPv4-stack hostroutes loodgiet. Deze routes overschrijven de door OSPF gegenereerde routes (Open Shortest Path First). De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\MSS (verouderd)\MSS: (EnableICMPRedirect) ICMP-omleidingen toestaan om door OSPF gegenereerde routes te overschrijven Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.4.4 CIS WS2019 18.4.4	= 0 _(Register)	Informatief

Beheer istratieve sjablonen - Netwerk

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Onveilige gastaanmeldingen toestaan _{(AZ-WIN-00171)}	Beschrijving: Deze beleidsinstelling bepaalt of de SMB-client onveilige gastaanmeldingen toestaat op een SMB-server. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth Besturingssysteem: WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen etwork\Lanman Workstation\Enable insecure guest logons Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'LanmanWorkstation.admx/adml' die is opgenomen in de Microsoft Windows 10-release 1511 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1	= 0 _(Register)	Kritiek
Vaste UNC-paden - NETLOGON _{(AZ_WIN_202250)}	Beschrijving: Met deze beleidsinstelling wordt beveiligde toegang tot UNC-paden geconfigureerd Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\\NETLOGON Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beheer istratieve sjablonen\Netwerk\Netwerkprovider\Vaste UNC-paden Standaardtoewijzingen voor* naleving: Platform-idvan naam CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1, RequireIntegrity=1 _(Register)	Waarschuwing
Vaste UNC-paden - SYSVOL _{(AZ_WIN_202251)}	Beschrijving: Met deze beleidsinstelling wordt beveiligde toegang tot UNC-paden geconfigureerd Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\\SYSVOL Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beheer istratieve sjablonen\Netwerk\Netwerkprovider\Vaste UNC-paden Standaardtoewijzingen voor* naleving: Platform-idvan naam CIS WS2019 18.5.14.1	= RequireMutualAuthentication=1, RequireIntegrity=1 _(Register)	Waarschuwing
Minimaliseer het aantal gelijktijdige verbindingen met internet of een Windows-domein _{(CCE-38338-0)}	Beschrijving: Met deze beleidsinstelling voorkomt u dat computers verbinding maken met zowel een domeinnetwerk als een netwerk dat niet op een domein is gebaseerd. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimize Verbinding maken ions Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled: 3 = Prevent Wi-Fi when on Ethernet`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen etwork\Windows Verbindingsbeheer\Minimaliseer het aantal gelijktijdige verbindingen met internet of een Windows-domein Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'WCM.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Deze is bijgewerkt met een nieuwe subinstelling Beleidsopties minimaliseren vanaf de Windows 10-release 1903 Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.5.21.1	Bestaat niet of = 1 _(Register)	Waarschuwing
Installatie en configuratie van Network Bridge in uw DNS-domeinnetwerk verbieden _{(CCE-38002-2)}	Beschrijving: U kunt deze procedure gebruiken om de mogelijkheid van gebruikers om een netwerkbrug te installeren en configureren te beheren. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Network Verbinding maken ions\NC_AllowNetBridge_NLA Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Network\Network\Network Verbinding maken ions\Prohibit installation and configuration of Network Bridge on your DNS domain network Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `NetworkConnections.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2	= 0 _(Register)	Waarschuwing
Gebruik van internet Verbinding maken ion Sharing in uw DNS-domeinnetwerk verbieden _{(AZ-WIN-00172)}	Beschrijving: Hoewel deze 'verouderde' instelling traditioneel wordt toegepast op het gebruik van Internet Verbinding maken ion Sharing (ICS) in Windows 2000, Windows XP & Server 2003, is deze instelling nu nieuw van toepassing op de functie Mobile Hotspot in Windows 10 & Server 2016. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Network Verbinding maken ions\NC_ShowSharedAccessUI Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen etwork etwork Verbinding maken ions\Use of Internet Verbinding maken ion Sharing on your DNS domain network Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'Netwerk Verbinding maken ions.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.5.11.3	= 0 _(Register)	Waarschuwing
Multicast-naamomzetting uitschakelen _{(AZ-WIN-00145)}	Beschrijving: LLMNR is een secundair protocol voor naamomzetting. Met LLMNR worden query's verzonden met behulp van multicast via een lokale netwerkkoppeling op één subnet van een clientcomputer naar een andere clientcomputer in hetzelfde subnet waarvoor OOK LLMNR is ingeschakeld. LLMNR vereist geen DNS-server of DNS-clientconfiguratie en biedt naamomzetting in scenario's waarin conventionele DNS-naamomzetting niet mogelijk is. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast Besturingssysteem: WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen etwork\DNS-client\Multicast-naamomzetting uitschakelen Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'DnsClient.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.5.4.2	= 0 _(Register)	Waarschuwing

Beheer istratieve sjablonen - Beveiligingshandleiding

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Structured Exception Handling Overwrite Protection (SEHOP) inschakelen _{(AZ-WIN-202210)}	Beschrijving: Windows bevat ondersteuning voor Structured Exception Handling Overwrite Protection (SEHOP). U wordt aangeraden deze functie in te schakelen om het beveiligingsprofiel van de computer te verbeteren. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\MS Security Guide\Enable Structured Exception Handling Overwrite Protection (SEHOP) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.3.4 CIS WS2019 18.3.4	= 0 _(Register)	Kritiek
NetBT NodeType-configuratie _{(AZ-WIN-202211)}	Beschrijving: Deze instelling bepaalt welke methode NetBIOS via TCP/IP (NetBT) gebruikt om namen te registreren en op te lossen. De beschikbare methoden zijn: - De methode B-node (broadcast) maakt alleen gebruik van broadcasts. - De methode P-node (punt-naar-punt) gebruikt alleen naamquery's naar een naamserver (WINS). - De methode M-node (mixed) wordt eerst uitgezonden en voert vervolgens een query uit op een naamserver (WINS) als de uitzending is mislukt. - De H-node-methode (hybride) voert eerst een query uit op een naamserver (WINS) en wordt vervolgens uitgezonden als de query is mislukt. De aanbevolen status voor deze instelling is: `Enabled: P-node (recommended)` (punt-naar-punt). Opmerking: Oplossing via LMHOSTS of DNS volgt deze methoden. Als de `NodeType` registerwaarde aanwezig is, wordt een `DhcpNodeType` registerwaarde overschreven. Als geen van `DhcpNodeType` beide aanwezig `NodeType` is, gebruikt de computer B-knooppunt (broadcast) als er geen WINS-servers zijn geconfigureerd voor het netwerk, of H-node (hybride) als er ten minste één WINS-server is geconfigureerd. Sleutelpad: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\MS-beveiligingshandleiding\NetBT NodeType-configuratie Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.3.6 CIS WS2019 18.3.6	= 2 _(Register)	Waarschuwing

Beheer istratieve sjablonen - Systeem

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Voorkomen dat de gebruiker accountgegevens weergeeft bij aanmelding _{(AZ-WIN-00138)}	Beschrijving: Dit beleid voorkomt dat de gebruiker accountgegevens (e-mailadres of gebruikersnaam) op het aanmeldingsscherm weergeeft. Als u deze beleidsinstelling inschakelt, kan de gebruiker niet kiezen om accountgegevens weer te geven op het aanmeldingsscherm. Als u deze beleidsinstelling uitschakelt of niet configureert, kan de gebruiker ervoor kiezen om accountgegevens weer te geven op het aanmeldingsscherm. Sleutelpad: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\System\Logon\Block user from showing account details on sign-in Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'Logon.admx/adml' die is opgenomen in de Microsoft Windows 10 Release 1607 & Server 2016 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.28.1	= 1 _(Register)	Waarschuwing
Initialisatiebeleid voor opstartstuurprogramma's _{(CCE-37912-3)}	Beschrijving: Met deze beleidsinstelling kunt u opgeven welke opstartstuurprogramma's worden geïnitialiseerd op basis van een classificatie die wordt bepaald door het opstartstuurprogramma Early Launch Antimalware. Het opstartstuurprogramma Early Launch Antimalware kan de volgende classificaties retourneren voor elk opstartstuurprogramma: - Goed: het stuurprogramma is ondertekend en is niet gemanipuleerd. - Slecht: het stuurprogramma is geïdentificeerd als malware. Het wordt aanbevolen om niet toe te staan dat bekende ongeldige stuurprogramma's worden geïnitialiseerd. - Ongeldig, maar vereist voor opstarten: het stuurprogramma is geïdentificeerd als malware, maar de computer kan niet worden opgestart zonder dit stuurprogramma te laden. - Onbekend: dit stuurprogramma is niet getest door uw toepassing voor malwaredetectie en is niet geclassificeerd door het opstartstuurprogramma Early Launch Antimalware. Als u deze beleidsinstelling inschakelt, kunt u kiezen welke opstartstuurprogramma's moeten worden geïnitialiseerd wanneer de computer de volgende keer wordt gestart. Als u deze beleidsinstelling uitschakelt of niet configureert, worden de opstartstartstuurprogramma's die zijn vastgesteld dat deze goed, onbekend of ongeldig zijn, maar opstartkritiek geïnitialiseerd en wordt de initialisatie van stuurprogramma's overgeslagen. Als uw toepassing voor malwaredetectie geen opstartstuurprogramma Early Launch Antimalware bevat of als het opstartstuurprogramma Early Launch Antimalware is uitgeschakeld, heeft deze instelling geen effect en worden alle opstartstuurprogramma's geïnitialiseerd. Sleutelpad: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled:Good, unknown and bad but critical`in op: Computerconfiguratie\Policies\Beheer istrative Templates\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'EarlyLaunchAM.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.14.1	Bestaat niet of = 3 _(Register)	Waarschuwing
Hulp op afstand voor aanbiedingen configureren _{(CCE-36388-7)}	Beschrijving: Met deze beleidsinstelling kunt u Aanbieding (ongevraagd) Hulp op afstand op deze computer in- of uitschakelen. Helpdesk- en ondersteuningsmedewerkers kunnen niet proactief hulp aanbieden, hoewel ze nog steeds kunnen reageren op verzoeken voor gebruikersondersteuning. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\System\Hulp op afstand\Hulp op afstand configureren\Hulp op afstand configureren Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon `RemoteAssistance.admx/adml` die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1	Bestaat niet of = 0 _(Register)	Waarschuwing
Aangevraagde hulp op afstand configureren _{(CCE-37281-3)}	Beschrijving: Met deze beleidsinstelling kunt u aangevraagde hulp op afstand op deze computer in- of uitschakelen. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\System\Remote Assistance\Configure Solicited Remote Assistance Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon `RemoteAssistance.admx/adml` die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2	= 0 _(Register)	Kritiek
Netwerkselectiegebruikersinterface niet weergeven _{(CCE-38353-9)}	Beschrijving: Met deze beleidsinstelling kunt u bepalen of iedereen kan communiceren met de gebruikersinterface van beschikbare netwerken op het aanmeldingsscherm. Als u deze beleidsinstelling inschakelt, kan de netwerkverbindingsstatus van de pc niet worden gewijzigd zonder u aan te melden bij Windows. Als u deze beleidsinstelling uitschakelt of niet configureert, kan elke gebruiker de pc loskoppelen van het netwerk of de pc verbinden met andere beschikbare netwerken zonder u aan te melden bij Windows. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\System\Logon\Do not display network selection UI Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'Logon.admx/adml' die is opgenomen in de Microsoft Windows 8.1 & Server 2012 R2 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.28.2	= 1 _(Register)	Waarschuwing
Geen verbonden gebruikers opsommen op computers die lid zijn van een domein _{(AZ-WIN-202216)}	Beschrijving: Deze beleidsinstelling voorkomt dat verbonden gebruikers worden geïnventariseerd op computers die lid zijn van een domein. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: Software\Policies\Microsoft\Windows\System\DontEnumerate Verbinding maken edUsers Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\System\Logon\Do not enume connected users on domain-joined computers Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3	= 1 _(Register)	Waarschuwing
RPC Endpoint Mapper-clientverificatie inschakelen _{(CCE-37346-4)}	Beschrijving: Deze beleidsinstelling bepaalt of RPC-clients worden geverifieerd met de Endpoint Mapper-service wanneer de aanroep die ze maken verificatiegegevens bevat. De Endpoint Mapper-service op computers met Windows NT4 (alle servicepacks) kan op deze manier geen verificatiegegevens verwerken. Als u deze beleidsinstelling uitschakelt, worden RPC-clients niet geverifieerd bij de Endpoint Mapper-service, maar kunnen ze wel communiceren met de Endpoint Mapper-service op Windows NT4 Server. Als u deze beleidsinstelling inschakelt, verifiëren RPC-clients zich bij de Endpoint Mapper-service voor aanroepen die verificatiegegevens bevatten. Clients die dergelijke aanroepen doen, kunnen niet communiceren met de Windows NT4 Server Endpoint Mapper-service. Als u deze beleidsinstelling niet configureert, blijft deze uitgeschakeld. RPC-clients worden niet geverifieerd bij de Endpoint Mapper-service, maar ze kunnen wel communiceren met de Windows NT4 Server Endpoint Mapper-service. Opmerking: dit beleid wordt pas toegepast nadat het systeem opnieuw is opgestart. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'RPC.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.37.1	= 1 _(Register)	Kritiek
Windows NTP-client inschakelen _{(CCE-37843-0)}	Beschrijving: Deze beleidsinstelling geeft aan of de Windows NTP-client is ingeschakeld. Als u de Windows NTP-client inschakelt, kan uw computer de computerklok synchroniseren met andere NTP-servers. U kunt deze service uitschakelen als u besluit een externe tijdprovider te gebruiken. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'W32Time.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.53.1.1	= 1 _(Register)	Kritiek
Versleuteling oracle-herstel voor CredSSP-protocol _{(AZ-WIN-201910)}	Beschrijving: Sommige versies van het CredSSP-protocol dat wordt gebruikt door sommige toepassingen (zoals Extern bureaublad Verbinding maken ion) zijn kwetsbaar voor een versleutelingsorakelaanval op de client. Met dit beleid wordt de compatibiliteit met kwetsbare clients en servers bepaald en kunt u het gewenste beveiligingsniveau instellen voor het beveiligingsprobleem met de versleutelingsorakel. De aanbevolen status voor deze instelling is: `Enabled: Force Updated Clients`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle Besturingssysteem: WS2016, WS2019 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\System\Credentials Delegation\Encryption Oracle Remediation Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1	= 0 _(Register)	Kritiek
Zorg ervoor dat 'Registerbeleidsverwerking configureren: Niet van toepassing tijdens periodieke achtergrondverwerking' is ingesteld op 'Ingeschakeld: ONWAAR' _{(CCE-36169-1)}	Beschrijving: Met de optie 'Niet van toepassing tijdens periodieke achtergrondverwerking' voorkomt u dat het systeem het betrokken beleid op de achtergrond bijwerkt terwijl de computer in gebruik is. Wanneer achtergrondupdates zijn uitgeschakeld, worden beleidswijzigingen pas van kracht nadat de volgende gebruiker zich heeft afgemeld of het systeem opnieuw wordt opgestart. De aanbevolen status voor deze instelling is: `Enabled: FALSE` (uitgeschakeld). Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op en stelt u de `Process even if the Group Policy objects have not changed` optie `TRUE` in op (ingeschakeld): Computerconfiguratie\Policies\Beheer istrative Templates\System\Group Policy\Configure registry policy processing Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon `GroupPolicy.admx/adml` die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2	= 0 _(Register)	Kritiek
Zorg ervoor dat 'Verwerking van registerbeleid configureren: proces zelfs als de groepsbeleidsobjecten niet zijn gewijzigd' is ingesteld op 'Ingeschakeld: TRUE' _{(CCE-36169-1a)}	Beschrijving: De optie 'Proces zelfs als de groepsbeleidsobjecten niet zijn gewijzigd' wordt bijgewerkt en beleidsregels opnieuw worden toegepast, zelfs als het beleid niet is gewijzigd. De aanbevolen status voor deze instelling is: `Enabled: TRUE` (ingeschakeld). Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op en stelt u de optie 'Proces zelfs als de groepsbeleidsobjecten niet zijn gewijzigd' in op 'TRUE' (ingeschakeld): Computerconfiguratie\Policies\Beheer istrative Templates\System\Group Policy\Configure registry policy processing Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'GroupPolicy.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.21.3	= 0 _(Register)	Kritiek
Zorg ervoor dat Continue ervaringen op dit apparaat is ingesteld op Uitgeschakeld _{(AZ-WIN-00170)}	Beschrijving: Deze beleidsinstelling bepaalt of het Windows-apparaat mag deelnemen aan ervaringen tussen apparaten (continue ervaringen). De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\System\Groepsbeleid\Ervaringen op dit apparaat voortzetten Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'GroupPolicy.admx/adml' die is opgenomen in de Microsoft Windows 10 Release 1607 & Server 2016 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.21.4	Bestaat niet of = 0 _(Register)	Waarschuwing
Lokale gebruikers opsommen op computers die lid zijn van een domein _{(AZ_WIN_202204)}	Beschrijving: Met deze beleidsinstelling kunnen lokale gebruikers worden geïnventariseerd op computers die lid zijn van een domein. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\System\Logon\Enumerate local users on domain-joined computers Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4	Bestaat niet of = 0 _(Register)	Waarschuwing
Opdrachtregel opnemen in gebeurtenissen voor het maken van processen _{(CCE-36925-6)}	Beschrijving: Deze beleidsinstelling bepaalt welke informatie wordt vastgelegd in beveiligingscontrolegebeurtenissen wanneer er een nieuw proces is gemaakt. Deze instelling is alleen van toepassing wanneer het beleid voor het maken van controleprocessen is ingeschakeld. Als u deze beleidsinstelling inschakelt, worden de opdrachtregelgegevens voor elk proces vastgelegd in tekst zonder opmaak in het gebeurtenislogboek van de beveiligingsgebeurtenis als onderdeel van de gebeurtenis Maken van controleproces 4688, 'er is een nieuw proces gemaakt', op de werkstations en servers waarop deze beleidsinstelling wordt toegepast. Als u deze beleidsinstelling uitschakelt of niet configureert, worden de opdrachtregelgegevens van het proces niet opgenomen in gebeurtenissen voor het maken van controleprocessen. Standaard: Niet geconfigureerd Opmerking: wanneer deze beleidsinstelling is ingeschakeld, kan elke gebruiker met toegang tot het lezen van de beveiligingsgebeurtenissen de opdrachtregelargumenten lezen voor elk proces dat is gemaakt. Opdrachtregelargumenten kunnen gevoelige of persoonlijke gegevens bevatten, zoals wachtwoorden of gebruikersgegevens. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled Besturingssysteem: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\System\Audit Process Creation\Include command line in process creation events Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'Audit Instellingen.admx/adml' die is opgenomen in de Microsoft Windows 8.1 & Server 2012 R2 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.3.1	= 1 _(Register)	Kritiek
Voorkomen dat metagegevens van apparaten worden opgehaald via internet _{(AZ-WIN-202251)}	Beschrijving: Met deze beleidsinstelling kunt u voorkomen dat Windows metagegevens van het apparaat van internet opzoekt. De aanbevolen status voor deze instelling is: `Enabled`. Opmerking: Hiermee wordt de installatie van basishardwarestuurprogramma's niet voorkomen, maar wordt wel voorkomen dat gekoppelde software van derden automatisch wordt geïnstalleerd in de context van het `SYSTEM` account. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\System\Device Installation\Prevent device metadata retrieval from the Internet Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2	= 1 _(Register)	Informatief
Externe host staat overdracht van niet-exportbare referenties toe _{(AZ-WIN-20199)}	Beschrijving: Externe host staat delegatie van niet-exportbare referenties toe. Wanneer u referentiedelegering gebruikt, bieden apparaten een exportbare versie van referenties aan de externe host. Dit stelt gebruikers bloot aan het risico van referentiediefstal van aanvallers op de externe host. De functies beperkte Beheer-modus en Windows Defender Remote Credential Guard zijn twee opties om u te beschermen tegen dit risico. De aanbevolen status voor deze instelling is: `Enabled`. Opmerking: Meer gedetailleerde informatie over Windows Defender Remote Credential Guard en hoe deze zich verhoudt tot de beperkte Beheer-modus vindt u op deze koppeling: Extern bureaublad-referenties beveiligen met Windows Defender Remote Credential Guard (Windows 10) \| Microsoft Docs Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds Besturingssysteem: WS2016, WS2019 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\System\Credentials Delegation\Remote host staat delegatie van niet-exportbare referenties toe Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2	= 1 _(Register)	Kritiek
App-meldingen op het vergrendelingsscherm uitschakelen _{(CCE-35893-7)}	Beschrijving: Met deze beleidsinstelling kunt u voorkomen dat app-meldingen worden weergegeven op het vergrendelingsscherm. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\System\Logon\App-meldingen uitschakelen op het vergrendelingsscherm Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'Logon.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.28.5	= 1 _(Register)	Waarschuwing
Achtergrondvernieuwing van Groepsbeleid uitschakelen _{(CCE-14437-8)}	Beschrijving: Deze beleidsinstelling voorkomt dat Groepsbeleid wordt bijgewerkt terwijl de computer wordt gebruikt. Deze beleidsinstelling is van toepassing op groepsbeleid voor computers, gebruikers en domeincontrollers. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\System\Groepsbeleid\Achtergrondvernieuwing van Groepsbeleid uitschakelen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5	= 0 _(Register)	Waarschuwing
Downloaden van afdrukstuurprogramma's via HTTP uitschakelen _{(CCE-36625-2)}	Beschrijving: Met deze beleidsinstelling bepaalt u of de computer stuurprogrammapakketten voor afdrukken via HTTP kan downloaden. Als u HTTP-afdrukken wilt instellen, moeten printerstuurprogramma's die niet beschikbaar zijn in de standaardinstallatie van het besturingssysteem mogelijk worden gedownload via HTTP. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\System\Internet Communication Management\Instellingen voor internetcommunicatie\Download van afdrukstuurprogramma's uitschakelen via HTTP Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'ICM.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.22.1.1	= 1 _(Register)	Waarschuwing
Schakel de wizard Internet Verbinding maken ion uit als de URL-verbinding verwijst naar Microsoft.com _{(CCE-37163-3)}	Beschrijving: Deze beleidsinstelling geeft aan of de wizard Internet Verbinding maken ion verbinding kan maken met Microsoft om een lijst met internetproviders (ISP's) te downloaden. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Internet Verbinding maken ion Wizard\ExitOnMSICW Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\System\Internet Communication Management\Internet Communication settings\Schakel de wizard Internet Verbinding maken ion uit als de URL-verbinding verwijst naar Microsoft.com Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'ICM.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.22.1.4	= 1 _(Register)	Waarschuwing
Aanmelding via pincode inschakelen _{(CCE-37528-7)}	Beschrijving: Met deze beleidsinstelling kunt u bepalen of een domeingebruiker zich kan aanmelden met behulp van een handige pincode. In Windows 10 is de gemakspincode vervangen door Passport, die sterkere beveiligingseigenschappen heeft. Als u Passport wilt configureren voor domeingebruikers, gebruikt u het beleid onder Computerconfiguratie\Beheer istratieve sjablonen\Windows-onderdelen\Microsoft Passport for Work. Opmerking: het domeinwachtwoord van de gebruiker wordt in de cache opgeslagen in de systeemkluis wanneer u deze functie gebruikt. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\System\Logon\Turn on convenience PIN sign-in Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon `CredentialProviders.admx/adml` die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer).Opmerking 2: In oudere Microsoft Windows Beheer istratieve sjablonen werd deze instelling in eerste instantie de naam Aanmelden voor pincode inschakelen, maar werd de naam gewijzigd vanaf de Windows 10 Release 1511 Beheer istische sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7	Bestaat niet of = 0 _(Register)	Waarschuwing

Beheer istratieve sjablonen - Windows-onderdeel

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Statusinhoud van cloudconsumeraccount uitschakelen _{(AZ-WIN-202217)}	Beschrijving: Deze beleidsinstelling bepaalt of de statusinhoud van cloudgebruikersaccounts is toegestaan in alle Windows-ervaringen. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Cloudinhoud\Inhoud van cloudgebruikersaccount uitschakelen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1	= 1 _(Register)	Waarschuwing

Beheer istratieve sjablonen - Windows-onderdelen

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Stationomleiding niet toestaan _{(AZ-WIN-73569)}	Beschrijving: Deze beleidsinstelling voorkomt dat gebruikers de lokale stations op hun clientcomputers delen naar Extern bureaublad-servers waartoe ze toegang hebben. Toegewezen stations worden weergegeven in de structuur van de sessiemap in Windows Verkenner in de volgende indeling: `\\TSClient\<driveletter>$` Als lokale stations worden gedeeld, blijven ze kwetsbaar voor indringers die de gegevens willen misbruiken die erop zijn opgeslagen. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Extern bureaublad-services\Extern bureaublad-sessiehost\Apparaat- en resourceomleiding\Stationomleiding niet toestaan Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2	= 1 _(Register)	Waarschuwing
PowerShell-transcriptie inschakelen _{(AZ-WIN-202208)}	Beschrijving: Met deze beleidsinstelling kunt u de invoer en uitvoer van Windows PowerShell-opdrachten vastleggen in transcripties op basis van tekst. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Windows PowerShell\Schakel PowerShell-transcriptie in Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2	= 0 _(Register)	Waarschuwing

Beheer istratieve sjablonen - Windows-beveiliging

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Voorkomen dat gebruikers instellingen wijzigen _{(AZ-WIN-202209)}	Beschrijving: Deze beleidsinstelling voorkomt dat gebruikers wijzigingen aanbrengen in het gebied Exploit Protection-instellingen in de Windows-beveiliging-instellingen. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Windows-beveiliging\App- en browserbeveiliging\Voorkomen dat gebruikers instellingen wijzigen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1	= 1 _(Register)	Waarschuwing

Beheer istische sjabloon - Windows Defender

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Regels voor het verminderen van kwetsbaarheid voor aanvallen configureren _{(AZ_WIN_202205)}	Beschrijving: Deze beleidsinstelling bepaalt de status van de ASR-regels (Attack Surface Reduction). De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction\Configure Attack Surface Reduction rules Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1	= 1 _(Register)	Waarschuwing
Voorkomen dat gebruikers en apps toegang hebben tot gevaarlijke websites _{(AZ_WIN_202207)}	Beschrijving: Deze beleidsinstelling bepaalt Microsoft Defender Exploit Guard-netwerkbeveiliging. De aanbevolen status voor deze instelling is: `Enabled: Block`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Network Protection\Voorkomen dat gebruikers en apps toegang hebben tot gevaarlijke websites Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1	= 1 _(Register)	Waarschuwing

Beheer van computeraccounts controleren

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Beheer van computeraccounts controleren _{(CCE-38004-8)}	Beschrijving: Deze subcategorie rapporteert elke gebeurtenis van computeraccountbeheer, zoals wanneer een computeraccount wordt gemaakt, gewijzigd, verwijderd, hernoemd, uitgeschakeld of ingeschakeld. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4741: Er is een computeraccount gemaakt. - 4742: Er is een computeraccount gewijzigd. - 4743: Er is een computeraccount verwijderd. De aanbevolen status voor deze instelling is het volgende: `Success`. Sleutelpad: {0CCE9236-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeincontroller Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Computer Account Management Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.2.2 CIS WS2019 17.2.2	= Geslaagd _(Controle)	Kritiek

Beveiligde kern

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
DMA-beveiliging voor opstarten inschakelen _{(AZ-WIN-202250)}	Beschrijving: beveiligde kernservers ondersteunen systeemfirmware die bescherming biedt tegen schadelijke en onbedoelde DMA-aanvallen (Direct Memory Access) voor alle DMA-compatibele apparaten tijdens het opstartproces. Sleutelpad: BootDMAProtection OSEx: WSASHCI22H2 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: NA Standaardtoewijzingen voor naleving:	= 1 _(OsConfig)	Kritiek
Afgedwongen code-integriteit van hypervisor inschakelen _{(AZ-WIN-202246)}	Beschrijving: HVCI en VBS verbeteren het bedreigingsmodel van Windows en bieden sterkere bescherming tegen malware die de Windows-kernel probeert te misbruiken. HVCI is een essentieel onderdeel dat de geïsoleerde virtuele omgeving die is gemaakt door VBS beveiligt en beveiligt door de integriteit van kernelmoduscode erin uit te voeren en kernelgeheugentoewijzingen te beperken die kunnen worden gebruikt om het systeem te compromitteren. Sleutelpad: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: NA Standaardtoewijzingen voor naleving:	= 0 _(OsConfig)	Kritiek
Beveiligd opstarten inschakelen _{(AZ-WIN-202248)}	Beschrijving: Beveiligd opstarten is een beveiligingsstandaard die is ontwikkeld door leden van de pc-industrie om ervoor te zorgen dat een apparaat wordt opgestart met alleen software die wordt vertrouwd door de Original Equipment Manufacturer (OEM). Sleutelpad: SecureBootState OSEx: WSASHCI22H2 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: NA Standaardtoewijzingen voor naleving:	= 1 _(OsConfig)	Kritiek
Systeembeveiliging inschakelen _{(AZ-WIN-202247)}	Beschrijving: System Guard gebruikt processorondersteuning voor DRTM-technologie (Dynamic Root of Trust of Measurement) en plaatst firmware in een sandbox op basis van hardware om de impact van beveiligingsproblemen in miljoenen regels met zeer bevoegde firmwarecode te beperken. Sleutelpad: SystemGuardStatus OSEx: WSASHCI22H2 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: NA Standaardtoewijzingen voor naleving:	= 0 _(OsConfig)	Kritiek
Beveiliging op basis van virtualisatie inschakelen _{(AZ-WIN-202245)}	Beschrijving: Beveiliging op basis van virtualisatie of VBS maakt gebruik van hardwarevirtualisatiefuncties om een beveiligd geheugengebied te maken en te isoleren van het normale besturingssysteem. Dit helpt ervoor te zorgen dat servers gewijd blijven aan het uitvoeren van kritieke workloads en helpt gerelateerde toepassingen en gegevens te beschermen tegen aanvallen en exfiltratie. VBS is standaard ingeschakeld en vergrendeld in Azure Stack HCI. Sleutelpad: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: NA Standaardtoewijzingen voor naleving:	= 0 _(OsConfig)	Kritiek
TPM-versie instellen _{(AZ-WIN-202249)}	Beschrijving: TPM-technologie (Trusted Platform Module) is ontworpen om hardwaregebaseerde, beveiligingsgerelateerde functies te bieden. TPM2.0 is vereist voor de beveiligde kernfuncties. Sleutelpad: TPMVersion OSEx: WSASHCI22H2 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: NA Standaardtoewijzingen voor naleving:	Bevat 2.0 _(OsConfig)	Kritiek

Beveiligingsopties - Accounts

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Accounts: Microsoft-accounts blokkeren _{(AZ-WIN-202201)}	Beschrijving: Deze beleidsinstelling voorkomt dat gebruikers nieuwe Microsoft-accounts toevoegen op deze computer. De aanbevolen status voor deze instelling is: `Users can't add or log on with Microsoft accounts`. Sleutelpad: Software\Microsoft\Windows\CurrentVersion\Policies\System\No Verbinding maken edUser Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Accounts: Microsoft-accounts blokkeren Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2	= 3 _(Register)	Waarschuwing
Accounts: status van het gastaccount _{(CCE-37432-2)}	Beschrijving: Deze beleidsinstelling bepaalt of het gastaccount is ingeschakeld of uitgeschakeld. Met het gastaccount kunnen niet-geverifieerde netwerkgebruikers toegang krijgen tot het systeem. De aanbevolen status voor deze instelling is: `Disabled`. Opmerking: deze instelling heeft geen invloed wanneer deze wordt toegepast op de organisatie-eenheid van de domeincontroller via groepsbeleid, omdat domeincontrollers geen lokale accountdatabase hebben. Het kan worden geconfigureerd op domeinniveau via groepsbeleid, vergelijkbaar met accountvergrendeling en wachtwoordbeleidsinstellingen. Sleutelpad: [Systeemtoegang]EnableGuestAccount Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Accounts: Status van gastaccount Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3	= 0 _(Beleid)	Kritiek
Accounts: gebruik van blanco wachtwoorden beperken tot aanmelden op de console _{(CCE-37615-2)}	Beschrijving: Deze beleidsinstelling bepaalt of lokale accounts die niet met een wachtwoord zijn beveiligd, kunnen worden gebruikt om zich aan te melden vanaf andere locaties dan de console van de fysieke computer. Als u deze beleidsinstelling inschakelt, kunnen lokale accounts met lege wachtwoorden zich niet aanmelden bij het netwerk vanaf externe clientcomputers. Dergelijke accounts kunnen zich alleen aanmelden op het toetsenbord van de computer. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Accounts: Beperk het gebruik van lege wachtwoorden voor alleen consoleaanmelding Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4	Bestaat niet of = 1 _(Register)	Kritiek
Accounts: de naam van het gastaccount wijzigen _{(AZ-WIN-202255)}	Beschrijving: Het ingebouwde lokale gastaccount is een andere bekende naam voor aanvallers. Het is raadzaam om de naam van dit account te wijzigen in iets dat niet aangeeft wat het doel ervan is. Zelfs als u dit account uitschakelt, wat wordt aanbevolen, moet u ervoor zorgen dat u de naam van het account wijzigt voor extra beveiliging. Op domeincontrollers, omdat ze geen eigen lokale accounts hebben, verwijst deze regel naar het ingebouwde gastaccount dat is ingesteld toen het domein voor het eerst werd gemaakt. Sleutelpad: [Systeemtoegang]NewGuestName Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Accounts: Naam van gastaccount wijzigen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6	!= Gast _(Beleid)	Waarschuwing
Netwerktoegang: anonieme SID/naamomzetting toestaan _{(CCE-10024-8)}	Beschrijving: Met deze beleidsinstelling wordt bepaald of een anonieme gebruiker sid-kenmerken (Security Identifier) voor een andere gebruiker kan aanvragen of een SID kan gebruiken om de bijbehorende gebruikersnaam op te halen. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: [Systeemtoegang]LSAAnonymousNameLookup Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Network access: Allow anonymous SID/Name translation Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1	= 0 _(Beleid)	Waarschuwing

Beveiligingsopties - Controleren

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Controle: instellingen voor controlebeleid met subcategorieën (Windows Vista of nieuwer) bekrachtigen om instellingen voor controlebeleid met categorieën op te heffen _{(CCE-37850-5)}	Beschrijving: Met deze beleidsinstelling kunnen beheerders de nauwkeurigere controlemogelijkheden inschakelen die aanwezig zijn in Windows Vista. De controlebeleidsinstellingen die beschikbaar zijn in Windows Server 2003 Active Directory bevatten nog geen instellingen voor het beheren van de nieuwe subcategorieën voor controle. Als u de controlebeleidsregels die in deze basislijn zijn voorgeschreven, correct wilt toepassen, moet de instelling Controle: Subcategorie-instellingen voor controlebeleid afdwingen (Windows Vista of hoger) om de instelling instellingen voor de controlebeleidscategorie te overschrijven, geconfigureerd op Ingeschakeld. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Audit: Subcategorie-instellingen voor auditbeleid afdwingen (Windows Vista of hoger) om de instellingen voor de controlebeleidscategorie te overschrijven Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.2.1	Bestaat niet of = 1 _(Register)	Kritiek
Controle: systeem onmiddellijk afsluiten als beveiligingscontroles niet in logboek kunnen worden opgeslagen _{(CCE-35907-5)}	Beschrijving: Met deze beleidsinstelling wordt bepaald of het systeem wordt afgesloten als het beveiligings gebeurtenissen niet kan registreren. Het is een vereiste voor TCSEC-certificering (Trusted Computer System Evaluation Criteria) en Common Criteria om te voorkomen dat controlebare gebeurtenissen optreden als het controlesysteem deze niet kan registreren. Microsoft heeft ervoor gekozen om aan deze vereiste te voldoen door het systeem te stoppen en een stopbericht weer te geven als het controlesysteem een fout ondervindt. Wanneer deze beleidsinstelling is ingeschakeld, wordt het systeem afgesloten als een beveiligingscontrole om welke reden dan ook niet kan worden geregistreerd. Als de controle: sluit het systeem onmiddellijk af als de instelling voor beveiligingscontroles niet kan worden geregistreerd, kunnen ongeplande systeemfouten optreden. De administratieve lasten kunnen aanzienlijk zijn, met name als u ook de bewaarmethode voor het beveiligingslogboek configureert om gebeurtenissen niet te overschrijven (handmatig logboek wissen). Deze configuratie veroorzaakt een repudiation-bedreiging (een back-upoperator kan weigeren dat er een back-up van gegevens is gemaakt of hersteld) een DoS-beveiligingsprobleem (Denial of Service) worden, omdat een server kan worden gedwongen om af te sluiten als deze wordt overspoeld met aanmeldingsgebeurtenissen en andere beveiligingsgebeurtenissen die naar het beveiligingslogboek worden geschreven. Omdat het afsluiten niet correct is, is het ook mogelijk dat onherstelbare schade aan het besturingssysteem, toepassingen of gegevens kan leiden. Hoewel het NTFS-bestandssysteem de integriteit garandeert wanneer een onherstelbare computer wordt afgesloten, kan het niet garanderen dat elk gegevensbestand voor elke toepassing nog steeds in een bruikbare vorm zal zijn wanneer de computer opnieuw wordt opgestart. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Audit: Sluit het systeem onmiddellijk af als er geen beveiligingscontroles kunnen worden geregistreerd Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2	Bestaat niet of = 0 _(Register)	Kritiek

Beveiligingsopties - Apparaten

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Apparaten: verwisselbare media mogen worden geformatteerd en uitgeworpen _{(CCE-37701-0)}	Beschrijving: Deze beleidsinstelling bepaalt wie verwisselbare media mag opmaken en uitwerpen. U kunt deze beleidsinstelling gebruiken om te voorkomen dat onbevoegde gebruikers gegevens op de ene computer verwijderen om deze te openen op een andere computer waarop ze lokale beheerdersbevoegdheden hebben. Sleutelpad: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Policies\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Devices: Allowed to format and eject removable media Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.4.1	Bestaat niet of = 0 _(Register)	Waarschuwing
Apparaten: gebruikers mogen geen printerstuurprogramma's installeren _{(CCE-37942-0)}	Beschrijving: Voor een computer om af te drukken op een gedeelde printer, moet het stuurprogramma voor die gedeelde printer op de lokale computer zijn geïnstalleerd. Met deze beveiligingsinstelling bepaalt u wie een printerstuurprogramma mag installeren als onderdeel van het maken van verbinding met een gedeelde printer. De aanbevolen status voor deze instelling is: `Enabled`. Opmerking: deze instelling heeft geen invloed op de mogelijkheid om een lokale printer toe te voegen. Deze instelling heeft geen invloed op Beheer istrators. Sleutelpad: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Apparaten: Voorkomen dat gebruikers printerstuurprogramma's installeren Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2	Bestaat niet of = 1 _(Register)	Waarschuwing
De installatie van het afdrukstuurprogramma wordt beperkt tot Beheer istrators _{(AZ_WIN_202202)}	Beschrijving: Met deze beleidsinstelling bepaalt u of gebruikers die niet Beheer istrators printerstuurprogramma's op het systeem kunnen installeren. De aanbevolen status voor deze instelling is: `Enabled`. Opmerking: Op 10 augustus 2021 heeft Microsoft een wijziging van het standaardgedrag voor punten en afdrukken aangekondigd, waardoor de standaardinstallatie en het gedrag van het afdrukstuurprogramma worden gewijzigd om Beheer foutbevoegdheden te vereisen. Dit wordt beschreven in KB5005652 Het installatiegedrag van het nieuwe punt en het standaardstuurprogramma afdrukken (CVE-2021-34481) beheren. Sleutelpad: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationTo Beheer istrators Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\MS Security Guide\Limits print driver installation to Beheer istrators Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.3.5 CIS WS2019 18.3.5	= 1 _(Register)	Waarschuwing

Beveiligingsopties - Domeinlid

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Zorg ervoor dat domeinlid: gegevens van beveiligde kanalen digitaal versleutelen of ondertekenen (altijd)' is ingesteld op Ingeschakeld _{(CCE-36142-8)}	Beschrijving: Deze beleidsinstelling bepaalt of al het verkeer van beveiligde kanalen dat door het domeinlid wordt geïnitieerd, moet worden ondertekend of versleuteld. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Domeinlid: Gegevens van beveiligde kanalen digitaal versleutelen of ondertekenen (altijd) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1	Bestaat niet of = 1 _(Register)	Kritiek
Zorg ervoor dat domeinlid: gegevens van beveiligde kanalen digitaal versleutelen (indien mogelijk)' is ingesteld op Ingeschakeld _{(CCE-37130-2)}	Beschrijving: Deze beleidsinstelling bepaalt of een domeinlid moet proberen te onderhandelen over versleuteling voor al het beveiligde kanaalverkeer dat wordt gestart. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Domain member: Digitally encrypt secure channel data (indien mogelijk) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2	Bestaat niet of = 1 _(Register)	Kritiek
Zorg ervoor dat domeinlid: gegevens van beveiligde kanalen digitaal ondertekenen (indien mogelijk)' is ingesteld op Ingeschakeld _{(CCE-37222-7)}	Beschrijving: Deze beleidsinstelling bepaalt of een domeinlid moet proberen te onderhandelen of al het beveiligde kanaalverkeer dat wordt gestart, digitaal moet worden ondertekend. Met digitale handtekeningen wordt het verkeer beschermd tegen wijzigingen door iedereen die de gegevens vastlegt terwijl deze het netwerk doorkruist. De aanbevolen status voor deze instelling is: 'Ingeschakeld'. Sleutelpad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Domain member: Digitally sign secure channel data (indien mogelijk) Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3	Bestaat niet of = 1 _(Register)	Kritiek
Zorg ervoor dat domeinlid: wachtwoordwijzigingen voor computeraccount uitschakelen is ingesteld op Uitgeschakeld _{(CCE-37508-9)}	Beschrijving: Met deze beleidsinstelling wordt bepaald of een domeinlid het wachtwoord van het computeraccount periodiek kan wijzigen. Computers die hun accountwachtwoorden niet automatisch kunnen wijzigen, zijn mogelijk kwetsbaar, omdat een aanvaller mogelijk het wachtwoord voor het domeinaccount van het systeem kan bepalen. De aanbevolen status voor deze instelling is: 'Uitgeschakeld'. Sleutelpad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Domeinlid: Wachtwoordwijzigingen voor computeraccount uitschakelen Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4	Bestaat niet of = 0 _(Register)	Kritiek
Zorg ervoor dat domeinlid: maximale wachtwoordduur voor computeraccounts is ingesteld op '30 of minder dagen, maar niet op 0' _{(CCE-37431-4)}	Beschrijving: Deze beleidsinstelling bepaalt de maximale toegestane leeftijd voor een wachtwoord voor een computeraccount. Domeinleden wijzigen standaard elke 30 dagen automatisch hun domeinwachtwoorden. Als u dit interval aanzienlijk verhoogt zodat de computers hun wachtwoorden niet meer wijzigen, zou een aanvaller meer tijd hebben om een beveiligingsaanval uit te voeren op een van de computeraccounts. De aanbevolen status voor deze instelling is: `30 or fewer days, but not 0`. Opmerking: een waarde van `0` deze waarde voldoet niet aan de benchmark omdat de maximale wachtwoordduur wordt uitgeschakeld. Sleutelpad: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `30 or fewer days, but not 0`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Domeinlid: Maximale wachtwoordduur voor computeraccount Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5	In 1-30 _(Register)	Kritiek
Zorg ervoor dat 'Domeinlid: Sterke sessiesleutel vereisen (Windows 2000 of hoger) is ingesteld op Ingeschakeld _{(CCE-37614-5)}	Beschrijving: Wanneer deze beleidsinstelling is ingeschakeld, kan een beveiligd kanaal alleen worden ingesteld met domeincontrollers die beveiligde kanaalgegevens kunnen versleutelen met een sterke sessiesleutel (128-bits). Als u deze beleidsinstelling wilt inschakelen, moeten alle domeincontrollers in het domein beveiligde kanaalgegevens kunnen versleutelen met een sterke sleutel, wat betekent dat alle domeincontrollers Microsoft Windows 2000 of hoger moeten uitvoeren. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Domeinlid: Sterke sessiesleutel vereisen (Windows 2000 of hoger) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6	Bestaat niet of = 1 _(Register)	Kritiek

Beveiligingsopties - Interactieve aanmelding

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Caching van aanmeldingsreferenties moet beperkt zijn _{(AZ-WIN-73651)}	Beschrijving: Deze beleidsinstelling bepaalt of een gebruiker zich bij een Windows-domein kan aanmelden met behulp van accountgegevens in de cache. Aanmeldingsgegevens voor domeinaccounts kunnen lokaal in de cache worden opgeslagen, zodat gebruikers zich kunnen aanmelden, zelfs als er geen contact kan worden gemaakt met een domeincontroller. Deze beleidsinstelling bepaalt het aantal unieke gebruikers voor wie aanmeldingsgegevens lokaal in de cache worden opgeslagen. Als deze waarde is ingesteld op 0, is de functie voor aanmeldingscache uitgeschakeld. Een aanvaller die toegang heeft tot het bestandssysteem van de server, kan deze gegevens in de cache vinden en een beveiligingsaanval gebruiken om gebruikerswachtwoorden te bepalen. De aanbevolen status voor deze instelling is: `4 or fewer logon(s)`. Sleutelpad: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Interactieve aanmelding: Aantal eerdere aanmeldingen voor cache (voor het geval domeincontroller niet beschikbaar is) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6	In 1-4 _(Register)	Informatief
Interactieve logon: laatste gebruikersnaam niet in aanmeldingsvenster weergeven _{(CCE-36056-0)}	Beschrijving: Deze beleidsinstelling bepaalt of de accountnaam van de laatste gebruiker die zich aanmeldt bij de clientcomputers in uw organisatie, wordt weergegeven in het respectieve Windows-aanmeldingsscherm van elke computer. Schakel deze beleidsinstelling in om te voorkomen dat indringers accountnamen visueel verzamelen vanaf de schermen van desktop- of laptopcomputers in uw organisatie. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Interactive logon: Don't display last sign-in Opmerking: In oudere versies van Microsoft Windows heeft deze instelling de naam Interactieve aanmelding gekregen: Geef geen achternaam weer, maar de naam is gewijzigd vanaf Windows Server 2019. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2	= 1 _(Register)	Kritiek
Interactieve logon: Ctrl+Alt+Del voor aanmelden uitschakelen _{(CCE-37637-6)}	Beschrijving: Deze beleidsinstelling bepaalt of gebruikers op Ctrl+Alt+DEL moeten drukken voordat ze zich aanmelden. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Interactieve aanmelding: Ctrl+Alt+DEL is niet vereist Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1	Bestaat niet of = 0 _(Register)	Kritiek
Interactieve logon: limiet voor inactiviteit van computer _{(AZ-WIN-73645)}	Beschrijving: Windows merkt inactiviteit op van een aanmeldingssessie en als de hoeveelheid inactieve tijd de limiet voor inactiviteit overschrijdt, wordt de schermbeveiliging uitgevoerd, waardoor de sessie wordt vergrendeld. De aanbevolen status voor deze instelling is: `900 or fewer second(s), but not 0`. Opmerking: een waarde van `0` het type voldoet niet aan de benchmark omdat de limiet voor inactiviteit van de machine wordt uitgeschakeld. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Interactieve aanmelding: limiet voor inactiviteit van computer Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3	In 1-900 _(Register)	Belangrijk
Interactieve logon: berichttekst voor gebruikers die zich willen aanmelden _{(AZ-WIN-202253)}	Beschrijving: Met deze beleidsinstelling wordt een sms-bericht opgegeven dat wordt weergegeven aan gebruikers wanneer ze zich aanmelden. Configureer deze instelling op een manier die overeenkomt met de beveiligings- en operationele vereisten van uw organisatie. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Interactieve aanmelding: Berichttekst voor gebruikers die zich proberen aan te melden Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4	!= _(Register)	Waarschuwing
Interactieve logon: berichttitel voor gebruikers die zich willen aanmelden _{(AZ-WIN-202254)}	Beschrijving: Deze beleidsinstelling geeft de tekst op die wordt weergegeven in de titelbalk van het venster dat gebruikers zien wanneer ze zich aanmelden bij het systeem. Configureer deze instelling op een manier die overeenkomt met de beveiligings- en operationele vereisten van uw organisatie. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Interactieve aanmelding: berichttitel voor gebruikers die zich proberen aan te melden Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5	!= _(Register)	Waarschuwing
Interactieve logon: gebruiker vragen om het wachtwoord te wijzigen voordat het verloopt _{(CCE-10930-6)}	Beschrijving: Deze beleidsinstelling bepaalt hoe ver van tevoren gebruikers worden gewaarschuwd dat hun wachtwoord verloopt. Het wordt aanbevolen deze beleidsinstelling te configureren op ten minste 5 dagen, maar niet meer dan 14 dagen om gebruikers voldoende te waarschuwen wanneer hun wachtwoorden verlopen. De aanbevolen status voor deze instelling is: `between 5 and 14 days`. Sleutelpad: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Interactieve aanmelding: de gebruiker vragen om het wachtwoord te wijzigen voordat deze verloopt Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7	In 5-14 _(Register)	Informatief

Beveiligingsopties - Microsoft-netwerkclient

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) _{(CCE-36325-9)}	Beschrijving: Met deze beleidsinstelling wordt bepaald of pakketondertekening is vereist voor het SMB-clientonderdeel. Opmerking: Wanneer op Windows Vista gebaseerde computers deze beleidsinstelling hebben ingeschakeld en ze verbinding maken met bestands- of afdrukshares op externe servers, is het belangrijk dat de instelling wordt gesynchroniseerd met de bijbehorende instelling, Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd), op die servers. Zie de sectie 'Microsoft-netwerkclient en -server: Communicatie digitaal ondertekenen (vier gerelateerde instellingen)' in hoofdstuk 5 van de handleiding Bedreigingen en tegenmaatregelen voor meer informatie over deze instellingen. De aanbevolen status voor deze instelling is: 'Ingeschakeld'. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd) Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1	= 1 _(Register)	Kritiek
Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk) _{(CCE-36269-9)}	Beschrijving: Deze beleidsinstelling bepaalt of de SMB-client probeert te onderhandelen over SMB-pakketondertekening. Opmerking: als u deze beleidsinstelling inschakelt op SMB-clients in uw netwerk, zijn deze volledig effectief voor pakketondertekening met alle clients en servers in uw omgeving. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkclient: communicatie digitaal ondertekenen (als de server akkoord gaat) Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2	Bestaat niet of = 1 _(Register)	Kritiek
Microsoft-netwerkclient: niet-versleuteld wachtwoord verzenden om verbinding te kunnen maken met niet-Microsoft SMB-servers _{(CCE-37863-8)}	Beschrijving: Met deze beleidsinstelling wordt bepaald of de SMB-omleiding wachtwoorden zonder opmaak verzendt tijdens verificatie naar SMB-servers van derden die geen ondersteuning bieden voor wachtwoordversleuteling. Het wordt aanbevolen deze beleidsinstelling uit te schakelen, tenzij er een sterke business case is om deze in te schakelen. Als deze beleidsinstelling is ingeschakeld, worden niet-versleutelde wachtwoorden toegestaan in het netwerk. De aanbevolen status voor deze instelling is: 'Uitgeschakeld'. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkclient: Niet-versleuteld wachtwoord verzenden naar externe SMB-servers Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3	Bestaat niet of = 0 _(Register)	Kritiek
Microsoft-netwerkserver: niet-actieve tijd voordat de sessie wordt verbroken _{(CCE-38046-9)}	Beschrijving: Met deze beleidsinstelling kunt u de hoeveelheid continue inactiviteit opgeven die moet worden doorgegeven aan een SMB-sessie voordat de sessie wordt onderbroken vanwege inactiviteit. Beheer istrators kunnen deze beleidsinstelling gebruiken om te bepalen wanneer een computer een inactieve SMB-sessie onderbreekt. Als de clientactiviteit wordt hervat, wordt de sessie automatisch hersteld. Een waarde van 0 lijkt toe te staan dat sessies voor onbepaalde tijd behouden blijven. De maximumwaarde is 99999, dat meer dan 69 dagen is; met deze waarde wordt de instelling uitgeschakeld. De aanbevolen status voor deze instelling is: `15 or fewer minute(s), but not 0`. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `15 or fewer minute(s)`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkserver: Hoeveelheid niet-actieve tijd die is vereist voordat de sessie wordt onderbroken Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.9.1	In 1-15 _(Register)	Kritiek
Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) _{(CCE-37864-6)}	Beschrijving: Deze beleidsinstelling bepaalt of pakketondertekening is vereist voor het SMB-serveronderdeel. Schakel deze beleidsinstelling in een gemengde omgeving in om te voorkomen dat downstreamclients het werkstation als netwerkserver gebruiken. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd) Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2	= 1 _(Register)	Kritiek
Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk) _{(CCE-35988-5)}	Beschrijving: Deze beleidsinstelling bepaalt of de SMB-server onderhandelt over SMB-pakketondertekening met clients die dit aanvragen. Als er geen ondertekeningsaanvraag van de client afkomstig is, wordt een verbinding zonder handtekening toegestaan als de Microsoft-netwerkserver: de instelling Communicatie digitaal ondertekenen (altijd) niet is ingeschakeld. Opmerking: schakel deze beleidsinstelling in op SMB-clients in uw netwerk om ze volledig effectief te maken voor pakketondertekening met alle clients en servers in uw omgeving. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkserver: communicatie digitaal ondertekenen (als de client akkoord gaat) Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3	= 1 _(Register)	Kritiek
Microsoft-netwerkserver: gebruikers automatisch afmelden als aanmeldingstijd verstrijkt (lokaal) _{(CCE-37972-7)}	Beschrijving: Met deze beveiligingsinstelling wordt bepaald of gebruikers die zijn verbonden met de lokale computer, buiten de geldige aanmeldingsuren van hun gebruikersaccount moeten worden verbroken. Deze instelling is van invloed op het SMB-onderdeel (Server Message Block). Als u deze beleidsinstelling inschakelt, moet u ook netwerkbeveiliging inschakelen: afmelden afdwingen wanneer aanmeldingsuren verlopen (regel 2.3.11.6). Als uw organisatie aanmeldingsuren configureert voor gebruikers, is deze beleidsinstelling nodig om ervoor te zorgen dat ze effectief zijn. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkserver: Clients verbreken wanneer aanmeldingsuren verlopen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4	Bestaat niet of = 1 _(Register)	Kritiek
Microsoft-netwerkserver: validatieniveau voor de SPN-doelnaam van de server _{(CCE-10617-9)}	Beschrijving: Deze beleidsinstelling bepaalt het validatieniveau van een computer met gedeelde mappen of printers (de server) die wordt uitgevoerd op de SPN (Service Principal Name) die wordt geleverd door de clientcomputer wanneer er een sessie wordt ingesteld met behulp van het SMB-protocol (Server Message Block). Het SMB-protocol (Server Message Block) biedt de basis voor bestands- en afdrukdeling en andere netwerkbewerkingen, zoals extern Windows-beheer. Het SMB-protocol ondersteunt het valideren van de SMB-serverservice-principalnaam (SPN) binnen de verificatie-blob die wordt geleverd door een SMB-client om een klasse aanvallen tegen SMB-servers te voorkomen die worden aangeduid als SMB Relay-aanvallen. Deze instelling is van invloed op zowel SMB1 als SMB2. De aanbevolen status voor deze instelling is: `Accept if provided by client`. Als u deze instelling configureert om `Required from client` ook te voldoen aan de benchmark. Opmerking: omdat de release van de MS KB3161561-beveiligingspatch kan deze instelling aanzienlijke problemen veroorzaken (zoals replicatieproblemen, problemen met het bewerken van groepsbeleid en vastlopen van blauw scherm) op domeincontrollers wanneer deze gelijktijdig worden gebruikt met UNC-padbeveiliging (dat wil bijvoorbeeld regel 18.5.14.1). CIS raadt daarom aan deze instelling op domeincontrollers te implementeren. Sleutelpad: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Microsoft-netwerkserver: Server SPN-doelnaamvalidatieniveau Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5	= 1 _(Register)	Waarschuwing

Beveiligingsopties - Microsoft Network Server

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
SMB v1-server uitschakelen _{(AZ-WIN-00175)}	Beschrijving: Als u deze instelling uitschakelt, wordt verwerking aan de serverzijde van het SMBv1-protocol uitgeschakeld. (Aanbevolen.) Als u deze instelling inschakelt, wordt verwerking aan de serverzijde van het SMBv1-protocol ingeschakeld. (Standaard.) Voor wijzigingen in deze instelling moet opnieuw worden opgestart. Zie https://support.microsoft.com/kb/2696547 voor meer informatie Sleutelpad: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: niet van toepassing Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.3.3	Bestaat niet of = 0 _(Register)	Kritiek

Beveiligingsopties - Netwerktoegang

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Accounts: de naam van het administratoraccount wijzigen _{(CCE-10976-9)}	Beschrijving: Het ingebouwde lokale beheerdersaccount is een bekende accountnaam waarop aanvallers zich richten. Het wordt aanbevolen om een andere naam voor dit account te kiezen en om namen te voorkomen die beheerders- of verhoogde toegangsaccounts aangeven. Zorg ervoor dat u ook de standaardbeschrijving voor de lokale beheerder wijzigt (via de computerbeheerconsole). Op domeincontrollers, omdat ze geen eigen lokale accounts hebben, verwijst deze regel naar het ingebouwde Beheer istrator-account dat is ingesteld toen het domein voor het eerst werd gemaakt. Sleutelpad: [Systeemtoegang]Nieuw Beheer istratorName Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Accounts: Naam van beheerdersaccount wijzigen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5	!= Beheer istrator _(Beleid)	Waarschuwing
Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan _{(CCE-36316-8)}	Beschrijving: Deze beleidsinstelling bepaalt de mogelijkheid van anonieme gebruikers om de accounts op te sommen in Security Accounts Manager (SAM). Als u deze beleidsinstelling inschakelt, kunnen gebruikers met anonieme verbindingen geen gebruikersnamen van een domeinaccount opsommen op de systemen in uw omgeving. Deze beleidsinstelling staat ook aanvullende beperkingen toe voor anonieme verbindingen. De aanbevolen status voor deze instelling is: `Enabled`. Opmerking: dit beleid heeft geen effect op domeincontrollers. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties etwork-toegang: anonieme inventarisatie van SAM-accounts niet toestaan Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.10.2	Bestaat niet of = 1 _(Register)	Kritiek
Netwerktoegang: geen anonieme inventarisatie van SAM-accounts en shares toestaan _{(CCE-36077-6)}	Beschrijving: Deze beleidsinstelling bepaalt de mogelijkheid van anonieme gebruikers om SAM-accounts en shares op te sommen. Als u deze beleidsinstelling inschakelt, kunnen anonieme gebruikers geen gebruikersnamen en netwerksharenamen opsommen op de systemen in uw omgeving. De aanbevolen status voor deze instelling is: `Enabled`. Opmerking: dit beleid heeft geen effect op domeincontrollers. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties etwork-toegang: anonieme inventarisatie van SAM-accounts en -shares niet toestaan Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.10.3	= 1 _(Register)	Kritiek
Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers _{(CCE-36148-5)}	Beschrijving: Deze beleidsinstelling bepaalt welke extra machtigingen worden toegewezen voor anonieme verbindingen met de computer. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Netwerktoegang: Iedereen machtigingen laten toepassen op anonieme gebruikers Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5	Bestaat niet of = 0 _(Register)	Kritiek
Netwerktoegang: registerpaden die op afstand toegankelijk zijn _{(CCE-37194-8)}	Beschrijving: Deze beleidsinstelling bepaalt welke registerpaden toegankelijk zijn nadat u naar de WinReg-sleutel hebt verwezen om toegangsmachtigingen voor de paden te bepalen. Opmerking: deze instelling bestaat niet in Windows XP. Er is een instelling met die naam in Windows XP, maar het wordt 'Netwerktoegang: extern toegankelijke registerpaden en subpaden' genoemd in Windows Server 2003, Windows Vista en Windows Server 2008. Opmerking: Wanneer u deze instelling configureert, geeft u een lijst met een of meer objecten op. Het scheidingsteken dat wordt gebruikt bij het invoeren van de lijst is een regelinvoer of regelterugloop, dat wil gezegd, typ het eerste object in de lijst, druk op enter, typ het volgende object, druk nogmaals op Enter, enzovoort. De instellingswaarde wordt opgeslagen als een door komma's gescheiden lijst in beveiligingssjablonen voor groepsbeleid. De lijst wordt ook weergegeven als een door komma's gescheiden lijst in het weergavevenster van de groepsbeleidseditor en de resulterende set beleid. Deze wordt vastgelegd in het register als een door regels gescheiden lijst in een REG_MULTI_SZ waarde. Sleutelpad: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Network access: Remotely accessible registry paths Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.10.8	Bestaat niet of = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 _(Register)	Kritiek
Netwerktoegang: extern toegankelijke registerpaden en subpaden _{(CCE-36347-3)}	Beschrijving: Deze beleidsinstelling bepaalt welke registerpaden en subpaden toegankelijk zijn wanneer een toepassing of proces verwijst naar de WinReg-sleutel om toegangsmachtigingen te bepalen. Opmerking: In Windows XP heet deze instelling 'Netwerktoegang: extern toegankelijke registerpaden', de instelling met dezelfde naam in Windows Vista, Windows Server 2008 en Windows Server 2003 bestaat niet in Windows XP. Opmerking: Wanneer u deze instelling configureert, geeft u een lijst met een of meer objecten op. Het scheidingsteken dat wordt gebruikt bij het invoeren van de lijst is een regelinvoer of regelterugloop, dat wil gezegd, typ het eerste object in de lijst, druk op enter, typ het volgende object, druk nogmaals op Enter, enzovoort. De instellingswaarde wordt opgeslagen als een door komma's gescheiden lijst in beveiligingssjablonen voor groepsbeleid. De lijst wordt ook weergegeven als een door komma's gescheiden lijst in het weergavevenster van de groepsbeleidseditor en de resulterende set beleid. Deze wordt vastgelegd in het register als een door regels gescheiden lijst in een REG_MULTI_SZ waarde. Sleutelpad: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: Als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP-server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties etwork-toegang: extern toegankelijke registerpaden en subpaden Wanneer een server de rol Active Directory Certificate Services met de functieservice certificeringsinstantie bevat, moet de bovenstaande lijst ook het volgende bevatten: 'System\CurrentControlSet\Services\CertSvc'. Wanneer op een server de WINS-serverfunctie is geïnstalleerd, moet de bovenstaande lijst ook het volgende bevatten: 'System\CurrentControlSet\Services\WINS' Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.10.9	Bestaat niet of = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 _(Register)	Kritiek
Netwerktoegang: anonieme toegang beperken tot Named Pipes en Shares _{(CCE-36021-4)}	Beschrijving: Wanneer deze beleidsinstelling is ingeschakeld, beperkt deze beleidsinstelling anonieme toegang tot alleen die shares en pijpen die in de `Network access: Named pipes that can be accessed anonymously` en `Network access: Shares that can be accessed anonymously` instellingen worden genoemd. Deze beleidsinstelling bepaalt null-sessietoegang tot shares op uw computers door toe te voegen `RestrictNullSessAccess` met de waarde `1` in de `HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters` registersleutel. Met deze registerwaarde schakelt u null-sessieshares in of uit om te bepalen of de serverservice de toegang van niet-geverifieerde clients tot benoemde resources beperkt. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Network access: Restrict anonymous access to Named Pipes and Shares Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10	Bestaat niet of = 1 _(Register)	Kritiek
Netwerktoegang: beperken welke clients externe aanroepen naar SAM mogen doen _{(AZ-WIN-00142)}	Beschrijving: Met deze beleidsinstelling kunt u externe RPC-verbindingen met SAM beperken. Als deze optie niet is geselecteerd, wordt de standaardbeveiligingsdescriptor gebruikt. Dit beleid wordt ondersteund op ten minste Windows Server 2016. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM Besturingssysteem: WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators: Remote Access: Allow`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties etwork-toegang: Clients beperken die externe aanroepen naar SAM mogen uitvoeren Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.10.11	Bestaat niet of = O:BAG:BAD:(A;; RC;;; BA) _(Register)	Kritiek
Netwerktoegang: shares waarvoor anoniem toegang kan worden verkregen _{(CCE-38095-6)}	Beschrijving: Deze beleidsinstelling bepaalt welke netwerkshares toegankelijk zijn voor anonieme gebruikers. De standaardconfiguratie voor deze beleidsinstelling heeft weinig invloed omdat alle gebruikers moeten worden geverifieerd voordat ze toegang kunnen krijgen tot gedeelde resources op de server. Opmerking: het kan erg gevaarlijk zijn om andere shares toe te voegen aan deze groepsbeleidsinstelling. Elke netwerkgebruiker heeft toegang tot alle shares die worden vermeld, waardoor gevoelige gegevens kunnen worden blootgesteld of beschadigd. Opmerking: Wanneer u deze instelling configureert, geeft u een lijst met een of meer objecten op. Het scheidingsteken dat wordt gebruikt bij het invoeren van de lijst is een regelinvoer of regelterugloop, dat wil gezegd, typ het eerste object in de lijst, druk op enter, typ het volgende object, druk nogmaals op Enter, enzovoort. De instellingswaarde wordt opgeslagen als een door komma's gescheiden lijst in beveiligingssjablonen voor groepsbeleid. De lijst wordt ook weergegeven als een door komma's gescheiden lijst in het weergavevenster van de groepsbeleidseditor en de resulterende set beleid. Deze wordt vastgelegd in het register als een door regels gescheiden lijst in een REG_MULTI_SZ waarde. Sleutelpad: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op `<blank>` (dat wil bijvoorbeeld geen): Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties etwork-toegang: shares die anoniem kunnen worden geopend Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.10.12	Bestaat niet of = _(Register)	Kritiek
Netwerktoegang: model voor delen en beveiliging van lokale accounts _{(CCE-37623-6)}	Beschrijving: Deze beleidsinstelling bepaalt hoe netwerkaanmeldingen die gebruikmaken van lokale accounts worden geverifieerd. De klassieke optie biedt nauwkeurige controle over de toegang tot resources, inclusief de mogelijkheid om verschillende typen toegang toe te wijzen aan verschillende gebruikers voor dezelfde resource. Met de optie Alleen gast kunt u alle gebruikers even behandelen. In deze context verifiëren alle gebruikers alleen als gast om hetzelfde toegangsniveau voor een bepaalde resource te ontvangen. De aanbevolen status voor deze instelling is: `Classic - local users authenticate as themselves`. Opmerking: deze instelling heeft geen invloed op interactieve aanmeldingen die extern worden uitgevoerd met behulp van services zoals Telnet of Extern bureaublad-services (voorheen Terminal Services). Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Classic - local users authenticate as themselves`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Netwerktoegang: Delen en beveiligingsmodel voor lokale accounts Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13	Bestaat niet of = 0 _(Register)	Kritiek

Beveiligingsopties - Netwerkbeveiliging

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Netwerkbeveiliging: het lokale systeem toestaan computeridentiteit te gebruiken voor NTLM _{(CCE-38341-4)}	Beschrijving: Wanneer deze beleidsinstelling is ingeschakeld, zorgt deze beleidsinstelling ervoor dat lokale systeemservices die onderhandelen gebruiken, de computeridentiteit gebruiken wanneer NTLM-verificatie wordt geselecteerd door de onderhandeling. Dit beleid wordt ondersteund op ten minste Windows 7 of Windows Server 2008 R2. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId Besturingssysteem: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties etwork-beveiliging: Lokaal systeem toestaan computeridentiteit te gebruiken voor NTLM Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.11.1	= 1 _(Register)	Kritiek
Netwerkbeveiliging: LocalSystem toestaan om terugvallen op NULL-sessies te gebruiken _{(CCE-37035-3)}	Beschrijving: Deze beleidsinstelling bepaalt of NTLM mag terugvallen op een NULL-sessie wanneer deze wordt gebruikt met LocalSystem. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Network security: Allow LocalSystem NULL session fallback Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2	Bestaat niet of = 0 _(Register)	Kritiek
Netwerkbeveiliging: PKU2U-verificatieaanvragen op deze computer toestaan om online-identiteiten te gebruiken _{(CCE-38047-7)}	Beschrijving: Deze instelling bepaalt of online-identiteiten kunnen worden geverifieerd op deze computer. Het PKU2U-protocol (Public Key Cryptography Based User-to-User) dat is geïntroduceerd in Windows 7 en Windows Server 2008 R2, wordt geïmplementeerd als een SSP (Security Support Provider). De SSP maakt peer-to-peer-verificatie mogelijk, met name via de windows 7-media en de functie voor het delen van bestanden met de naam Homegroup, waarmee het delen tussen computers die geen lid zijn van een domein toestaat. Met PKU2U is er een nieuwe extensie geïntroduceerd in het negotiate authentication package, `Spnego.dll`. In eerdere versies van Windows heeft Negotiate besloten of Kerberos of NTLM moet worden gebruikt voor verificatie. De extensie SSP for Negotiate, `Negoexts.dll`die wordt behandeld als een verificatieprotocol door Windows, ondersteunt Microsoft-SSP's, waaronder PKU2U. Wanneer computers zijn geconfigureerd voor het accepteren van verificatieaanvragen met behulp van online-id's, `Negoexts.dll` roept u de PKU2U SSP aan op de computer die wordt gebruikt om u aan te melden. De PKU2U SSP verkrijgt een lokaal certificaat en wisselt het beleid uit tussen de peercomputers. Wanneer het certificaat op de peercomputer is gevalideerd, wordt het certificaat in de metagegevens verzonden naar de aanmeldingspeer voor validatie en koppelt het certificaat van de gebruiker aan een beveiligingstoken en wordt het aanmeldingsproces voltooid. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Network Security: Allow PKU2U authentication requests to this computer to use online identities Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3	Bestaat niet of = 0 _(Register)	Waarschuwing
Netwerkbeveiliging: Versleutelingstypen configureren die zijn toegestaan voor Kerberos _{(CCE-37755-6)}	Beschrijving: Met deze beleidsinstelling kunt u de versleutelingstypen instellen die Kerberos mag gebruiken. Dit beleid wordt ondersteund op ten minste Windows 7 of Windows Server 2008 R2. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes Besturingssysteem: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Netwerkbeveiliging: Versleutelingstypen configureren die zijn toegestaan voor Kerberos Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.11.4	Bestaat niet of = 2147483640 _(Register)	Kritiek
Netwerkbeveiliging: hashwaarde van LAN Manager niet bewaren bij volgende wachtwoordwijziging _{(CCE-36326-7)}	Beschrijving: Met deze beleidsinstelling wordt bepaald of de HASH-waarde van LAN Manager (LM) voor het nieuwe wachtwoord wordt opgeslagen wanneer het wachtwoord wordt gewijzigd. De LM-hash is relatief zwak en gevoelig voor aanvallen vergeleken met de cryptografisch sterkere Microsoft Windows NT-hash. Omdat LM-hashes worden opgeslagen op de lokale computer in de beveiligingsdatabase, kunnen wachtwoorden eenvoudig worden aangetast als de database wordt aangevallen. Opmerking: oudere besturingssystemen en sommige toepassingen van derden mislukken mogelijk wanneer deze beleidsinstelling is ingeschakeld. Houd er ook rekening mee dat het wachtwoord moet worden gewijzigd voor alle accounts nadat u deze instelling hebt ingeschakeld om het juiste voordeel te krijgen. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Netwerkbeveiliging: Sla de hash-waarde van LAN Manager niet op bij volgende wachtwoordwijziging Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5	Bestaat niet of = 1 _(Register)	Kritiek
Netwerkbeveiliging: LAN Manager-authenticatieniveau _{(CCE-36173-3)}	Beschrijving: LAN Manager (LM) is een familie van vroege Microsoft-client-/serversoftware waarmee gebruikers persoonlijke computers kunnen koppelen aan één netwerk. Netwerkmogelijkheden omvatten transparant delen van bestanden en afdrukken, functies voor gebruikersbeveiliging en hulpprogramma's voor netwerkbeheer. In Active Directory-domeinen is het Kerberos-protocol het standaardverificatieprotocol. Als het Kerberos-protocol om een of andere reden niet wordt onderhandeld, gebruikt Active Directory LM, NTLM of NTLMv2. LAN Manager-verificatie omvat het LM, NTLM- en NTLM versie 2-varianten (NTLMv2) en is het protocol dat wordt gebruikt voor het verifiëren van alle Windows-clients wanneer ze de volgende bewerkingen uitvoeren: - Lid worden van een domein - Verifiëren tussen Active Directory-forests - Verifiëren bij downlevel domeinen - Verifiëren bij computers waarop Windows 2000, Windows Server 2003 of Windows XP niet wordt uitgevoerd: verifieer bij computers die zich niet in het domein bevinden De mogelijke waarden voor de netwerkbeveiliging: Lan Manager-verificatieniveau-instellingen zijn: - LM & NTLM-antwoorden verzenden - LM & NTLM verzenden - gebruik NTLMv2-sessiebeveiliging als onderhandeld - Alleen NTLM-antwoorden verzenden - Alleen NTLMv2-antwoorden verzenden - NTLMv2-antwoorden verzenden\LM - Alleen NTLMv2-antwoorden verzenden\LM & NTLM - Niet gedefinieerd De netwerkbeveiliging: LAN Manager-verificatieniveauinstelling bepaalt welke uitdaging/antwoordverificatieprotocol wordt gebruikt voor netwerkaanmeldingen. Deze keuze is van invloed op het verificatieprotocolniveau dat clients gebruiken, het sessiebeveiligingsniveau dat de computers onderhandelen en het verificatieniveau dat servers als volgt accepteren: - LM & NTLM-antwoorden verzenden. Clients gebruiken LM- en NTLM-verificatie en gebruiken nooit NTLMv2-sessiebeveiliging. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie. - LM & NTLM verzenden : gebruik NTLMv2-sessiebeveiliging indien onderhandeld. Clients gebruiken LM- en NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie. - Alleen NTLM-antwoord verzenden. Clients gebruiken alleen NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie. - Alleen NTLMv2-antwoord verzenden. Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie. - NTLMv2-antwoord alleen verzenden\LM weigeren. Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers weigeren LM (accepteren alleen NTLM- en NTLMv2-verificatie). - NTLMv2-antwoord alleen verzenden\LM & NTLM weigeren. Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers weigeren LM en NTLM (accepteren alleen NTLMv2-verificatie). Deze instellingen komen als volgt overeen met de niveaus die in andere Microsoft-documenten worden besproken: - Niveau 0 — LM en NTLM-antwoord verzenden; gebruik nooit NTLMv2-sessiebeveiliging. Clients gebruiken LM- en NTLM-verificatie en gebruiken nooit NTLMv2-sessiebeveiliging. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie. - Niveau 1 : gebruik NTLMv2-sessiebeveiliging als er wordt onderhandeld. Clients gebruiken LM- en NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie. - Niveau 2 : alleen NTLM-antwoord verzenden. Clients gebruiken alleen NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie. - Niveau 3 — Alleen NTLMv2-antwoord verzenden. Clients gebruiken NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie. - Niveau 4 — Domeincontrollers weigeren LM-antwoorden. Clients gebruiken NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers weigeren LM-verificatie, dat wil zeggen dat ze NTLM en NTLMv2 accepteren. - Niveau 5 : domeincontrollers weigeren LM- en NTLM-antwoorden (accepteren alleen NTLMv2). Clients gebruiken NTLMv2-verificatie, gebruik en NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers weigeren NTLM- en LM-verificatie (ze accepteren alleen NTLMv2). Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op: 'Alleen NTLMv2-antwoord verzenden. LM & NTLM weigeren': Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties etwork-beveiliging: LAN Manager-verificatieniveau Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.11.7	= 5 _(Register)	Kritiek
Netwerkbeveiliging: vereisten voor handtekening van LDAP-client _{(CCE-36858-9)}	Beschrijving: Deze beleidsinstelling bepaalt het niveau van gegevensondertekening dat wordt aangevraagd namens clients die LDAP BIND-aanvragen uitgeven. Opmerking: deze beleidsinstelling heeft geen invloed op eenvoudige LDAP-binding (`ldap_simple_bind`) of eenvoudige LDAP-binding via SSL (`ldap_simple_bind_s`). Geen Microsoft LDAP-clients die deel uitmaken van Windows XP Professional gebruiken ldap_simple_bind of ldap_simple_bind_s om te communiceren met een domeincontroller. De aanbevolen status voor deze instelling is: `Negotiate signing`. Het configureren van deze instelling zodat `Require signing` deze ook voldoet aan de benchmark. Sleutelpad: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Negotiate signing` in op (configureren om `Require signing` ook aan de benchmark te voldoen): Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Netwerkbeveiliging: vereisten voor LDAP-clientondertekening Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8	Bestaat niet of = 1 _(Register)	Kritiek
Netwerkbeveiliging: minimale sessiebeveiliging voor op NTLM SSP-gebaseerde (inclusief beveiligde RPC) clients _{(CCE-37553-5)}	Beschrijving: Deze beleidsinstelling bepaalt welk gedrag wordt toegestaan door clients voor toepassingen die gebruikmaken van de NTLM Security Support Provider (SSP). De SSP Interface (SSPI) wordt gebruikt door toepassingen die verificatieservices nodig hebben. De instelling wijzigt niet hoe de verificatiereeks werkt, maar vereist in plaats daarvan bepaald gedrag in toepassingen die gebruikmaken van de SSPI. De aanbevolen status voor deze instelling is: `Require NTLMv2 session security, Require 128-bit encryption`. Opmerking: deze waarden zijn afhankelijk van de netwerkbeveiliging: de beveiligingsinstellingswaarde voor LAN Manager-verificatieniveau . Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Require NTLMv2 session security, Require 128-bit encryption`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Netwerkbeveiliging: Minimale sessiebeveiliging voor op NTLM SSP gebaseerde clients (inclusief beveiligde RPC)-clients Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.11.9	= 537395200 _(Register)	Kritiek
Netwerkbeveiliging: minimale sessiebeveiliging voor op NTLM SSP-gebaseerde (inclusief beveiligde RPC) servers _{(CCE-37835-6)}	Beschrijving: Deze beleidsinstelling bepaalt welk gedrag wordt toegestaan door servers voor toepassingen die gebruikmaken van de NTLM Security Support Provider (SSP). De SSP Interface (SSPI) wordt gebruikt door toepassingen die verificatieservices nodig hebben. De instelling wijzigt niet hoe de verificatiereeks werkt, maar vereist in plaats daarvan bepaald gedrag in toepassingen die gebruikmaken van de SSPI. De aanbevolen status voor deze instelling is: `Require NTLMv2 session security, Require 128-bit encryption`. Opmerking: deze waarden zijn afhankelijk van de netwerkbeveiliging: de beveiligingsinstellingswaarde voor LAN Manager-verificatieniveau . Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: configureer de beleidswaarde voor Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Netwerkbeveiliging: Minimale sessiebeveiliging voor NTLM SSP-servers (inclusief beveiligde RPC) om NTLMv2-sessiebeveiliging te vereisen en 128-bits versleuteling vereisen (alle opties geselecteerd). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.11.10	= 537395200 _(Register)	Kritiek

Beveiligingsopties - Afsluiten

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Afsluiten: systeem kan zonder aanmelding worden afgesloten _{(CCE-36788-8)}	Beschrijving: Deze beleidsinstelling bepaalt of een computer kan worden afgesloten wanneer een gebruiker niet is aangemeld. Als deze beleidsinstelling is ingeschakeld, is de afsluitopdracht beschikbaar op het Aanmeldingsscherm van Windows. Het is raadzaam deze beleidsinstelling uit te schakelen om de mogelijkheid om de computer af te sluiten voor gebruikers met referenties op het systeem. De aanbevolen status voor deze instelling is: `Disabled`. Opmerking: In Server 2008 R2 en oudere versies heeft deze instelling geen invloed op Extern bureaublad -/Terminal Services-sessies. Dit heeft alleen invloed op de lokale console. Microsoft heeft echter het gedrag in Windows Server 2012 (niet-R2) en hoger gewijzigd, waarbij RDP-sessies, indien ingesteld op Ingeschakeld, ook de server kunnen afsluiten of opnieuw opstarten. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Shutdown: Toestaan dat het systeem wordt afgesloten zonder dat u zich hoeft aan te melden Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1	Bestaat niet of = 0 _(Register)	Waarschuwing
Afsluiten: wisselbestand voor virtueel geheugen wissen _{(AZ-WIN-00181)}	Beschrijving: Deze beleidsinstelling bepaalt of het wisselbestand van het virtuele geheugen wordt gewist wanneer het systeem wordt afgesloten. Wanneer deze beleidsinstelling is ingeschakeld, wordt het systeempaginabestand gewist telkens wanneer het systeem correct wordt afgesloten. Als u deze beveiligingsinstelling inschakelt, wordt het sluimerstandbestand (Hiberfil.sys) uitgeschakeld wanneer de sluimerstand is uitgeschakeld op een draagbaar computersysteem. Het duurt langer om de computer af te sluiten en opnieuw op te starten en zal vooral merkbaar zijn op computers met grote wisselbestanden. Sleutelpad: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: configureer de beleidswaarde voor Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Afsluiten: Wisselbestand voor virtueel geheugen wissen naar `Disabled`. Standaardtoewijzingen voor naleving:	Bestaat niet of = 0 _(Register)	Kritiek

Beveiligingsopties - Systeemcryptografie

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Gebruikers moeten een wachtwoord invoeren om toegang te krijgen tot persoonlijke sleutels die zijn opgeslagen op de computer. _{(AZ-WIN-73699)}	Beschrijving: Als de persoonlijke sleutel wordt gedetecteerd, kan een aanvaller de sleutel gebruiken om te verifiëren als geautoriseerde gebruiker en toegang te krijgen tot de netwerkinfrastructuur. De hoeksteen van de PKI is de persoonlijke sleutel die wordt gebruikt voor het versleutelen of digitaal ondertekenen van gegevens. Als de persoonlijke sleutel wordt gestolen, leidt dit tot inbreuk op de verificatie en niet-afkeer die is verkregen via PKI, omdat de aanvaller de persoonlijke sleutel kan gebruiken om documenten digitaal te ondertekenen en zich voor te doen als de geautoriseerde gebruiker. Zowel de houders van een digitaal certificaat als de uitgevende instantie moeten de computers, opslagapparaten of wat ze gebruiken om de persoonlijke sleutels te bewaren, beschermen. Sleutelpad: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Systeemcryptografie: Sterke sleutelbeveiliging afdwingen voor gebruikerssleutels die zijn opgeslagen op de computer Standaardtoewijzingen voor naleving:	= 2 _(Register)	Belangrijk
Windows Server moet zijn geconfigureerd voor het gebruik van FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening. _{(AZ-WIN-73701)}	Beschrijving: Deze instelling zorgt ervoor dat het systeem gebruikmaakt van algoritmen die compatibel zijn met FIPS voor versleuteling, hashing en ondertekening. FIPS-compatibele algoritmen voldoen aan specifieke standaarden die zijn vastgesteld door de Amerikaanse overheid en moeten de algoritmen zijn die worden gebruikt voor alle besturingssysteemversleutelingsfuncties. Sleutelpad: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled Besturingssysteem: WS2016, WS2019, WS2022 Servertype: Domeinlid Pad naar groepsbeleid: Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Systeemcryptografie: FIPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening Standaardtoewijzingen voor naleving:	= 1 _(Register)	Belangrijk

Beveiligingsopties - Systeemobjecten

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Systeemobjecten: negeren van hoofd- en kleine letters is vereist voor niet-Windows onderliggende systemen _{(CCE-37885-1)}	Beschrijving: Deze beleidsinstelling bepaalt of hoofdlettergevoeligheid wordt afgedwongen voor alle subsystemen. Het Microsoft Win32-subsysteem is niet hoofdlettergevoelig. De kernel ondersteunt echter hoofdlettergevoeligheid voor andere subsystemen, zoals de Portable Operating System Interface voor UNIX (POSIX). Omdat Windows niet hoofdlettergevoelig is (maar het POSIX-subsysteem hoofdlettergevoeligheid ondersteunt), maakt het afdwingen van deze beleidsinstelling het mogelijk voor een gebruiker van het POSIX-subsysteem om een bestand met dezelfde naam als een ander bestand te maken met behulp van gemengde hoofdletters om het te labelen. Een dergelijke situatie kan de toegang tot deze bestanden blokkeren door een andere gebruiker die typische Win32-hulpprogramma's gebruikt, omdat slechts één van de bestanden beschikbaar is. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\System objects: Require case insensitivity for non-Windows subsystemen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1	Bestaat niet of = 1 _(Register)	Waarschuwing
Systeemobjecten: standaardmachtigingen versterken van globale systeemobjecten (bijvoorbeeld symbolische koppelingen) _{(CCE-37644-2)}	Beschrijving: Deze beleidsinstelling bepaalt de sterkte van de standaard dacl (discretionaire toegangsbeheerlijst) voor objecten. Active Directory onderhoudt een globale lijst met gedeelde systeembronnen, zoals DOS-apparaatnamen, mutexes en semaphores. Op deze manier kunnen objecten worden gevonden en gedeeld tussen processen. Elk type object wordt gemaakt met een standaard-DACL die aangeeft wie toegang heeft tot de objecten en welke machtigingen worden verleend. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: configureer de beleidswaarde voor Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Systeemobjecten: Standaardmachtigingen van interne systeemobjecten versterken (bijvoorbeeld Symbolische koppelingen) naar`Enabled` Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.3.15.2	= 1 _(Register)	Kritiek

Beveiligingsopties - Systeeminstellingen

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Systeeminstellingen: gebruik certificaatregels op uitvoerbare Windows-bestanden ten behoeve van softwarerestrictiebeleid _{(AZ-WIN-00155)}	Beschrijving: Deze beleidsinstelling bepaalt of digitale certificaten worden verwerkt wanneer softwarebeperkingsbeleid is ingeschakeld en een gebruiker of proces probeert software uit te voeren met de extensie .exe. Hiermee worden certificaatregels (een type regel voor softwarerestrictiebeleid) ingeschakeld of uitgeschakeld. Met softwarebeperkingsbeleid kunt u een certificaatregel maken die de uitvoering van authenticode-ondertekende ® software toestaat of niet toestaat, op basis van het digitale certificaat dat is gekoppeld aan de software. Als u wilt dat certificaatregels van kracht worden in softwarerestrictiebeleid, moet u deze beleidsinstelling inschakelen. Sleutelpad: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad groepsbeleid: Computerconfiguratie\Windows Instellingen\Security Instellingen\Local Policies\Security Options\System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies Standaardtoewijzingen voor naleving:	= 1 _(Register)	Waarschuwing

Beveiligingsopties - Gebruikersaccountbeheer

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Gebruikersaccountbeheer: modus 'Door administrator goedkeuren' voor het ingebouwde administratoraccount _{(CCE-36494-3)}	Beschrijving: Deze beleidsinstelling bepaalt het gedrag van Beheer goedkeuringsmodus voor het ingebouwde Beheer istrator-account. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Filter Beheer istratorToken Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Gebruikersaccountbeheer: Beheer goedkeuringsmodus voor het ingebouwde Beheer istrator-account Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1	= 1 _(Register)	Kritiek
Gebruikersaccountbeheer: UIAccess-toepassingen toestaan te vragen om benodigde bevoegdheden zonder beveiligde bureaublad te gebruiken _{(CCE-36863-9)}	Beschrijving: Deze beleidsinstelling bepaalt of UIAccess- of UIA-programma's (User Interface Accessibility) het beveiligde bureaublad automatisch kunnen uitschakelen voor vragen om benodigde bevoegdheden die door een standaardgebruiker worden gebruikt. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Gebruikersaccountbeheer: UIAccess-toepassingen toestaan om te vragen om benodigde bevoegdheden zonder het beveiligde bureaublad te gebruiken Standaardtoewijzingen voor naleving:	= 0 _(Register)	Kritiek
Gebruikersaccountbeheer: gedrag bij het vragen om benodigde bevoegdheden voor administrators in modus 'Door administrator goedkeuren' _{(CCE-37029-6)}	Beschrijving: Deze beleidsinstelling bepaalt het gedrag van de vragen om benodigde bevoegdheden voor beheerders. De aanbevolen status voor deze instelling is: `Prompt for consent on the secure desktop`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehavior Beheer Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Prompt for consent on the secure desktop`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Gebruikersaccountbeheer: Gedrag van de vragen om benodigde bevoegdheden voor beheerders in Beheer goedkeuringsmodus Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2	= 2 _(Register)	Kritiek
Gebruikersaccountbeheer: gedrag bij het vragen om benodigde bevoegdheden voor normale gebruikers _{(CCE-36864-7)}	Beschrijving: Deze beleidsinstelling bepaalt het gedrag van de vragen om benodigde bevoegdheden voor standaardgebruikers. De aanbevolen status voor deze instelling is: `Automatically deny elevation requests`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op `Automatically deny elevation requests:` Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Gebruikersaccountbeheer: Gedrag van de vragen om benodigde bevoegdheden voor standaardgebruikers Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3	= 0 _(Register)	Kritiek
Gebruikersaccountbeheer: installatie van toepassingen detecteren en vragen om benodigde bevoegdheden _{(CCE-36533-8)}	Beschrijving: Deze beleidsinstelling bepaalt het gedrag van de detectie van toepassingsinstallatie voor de computer. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Gebruikersaccountbeheer: Toepassingsinstallaties detecteren en vragen om benodigde bevoegdheden Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4	= 1 _(Register)	Kritiek
Gebruikersaccountbeheer: alleen UIAccess-toepassingen die in beveiligde locaties zijn geïnstalleerd, met verhoogde bevoegdheden uitvoeren _{(CCE-37057-7)}	Beschrijving: Met deze beleidsinstelling bepaalt u of toepassingen die een uiAccess-integriteitsniveau (User Interface Accessibility) willen uitvoeren, zich op een veilige locatie in het bestandssysteem moeten bevinden. Beveiligde locaties zijn beperkt tot het volgende: - `…\Program Files\`, inclusief submappen - `…\Windows\system32\…\Program Files (x86)\` - inclusief submappen voor 64-bits versies van Windows Opmerking: Windows dwingt een PKI-handtekeningcontrole (Public Key Infrastructure) af op een interactieve toepassing die wordt aangevraagd voor uitvoering met een UIAccess-integriteitsniveau, ongeacht de status van deze beveiligingsinstelling. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Gebruikersaccountbeheer: alleen UIAccess-toepassingen uitbreiden die zijn geïnstalleerd op beveiligde locaties Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5	= 1 _(Register)	Kritiek
Gebruikersaccountbeheer: alle administrators in modus 'Door administrator goedkeuren' uitvoeren _{(CCE-36869-6)}	Beschrijving: Deze beleidsinstelling bepaalt het gedrag van alle UAC-beleidsinstellingen (User Account Control) voor de computer. Als u deze beleidsinstelling wijzigt, moet u de computer opnieuw opstarten. De aanbevolen status voor deze instelling is: `Enabled`. Opmerking: Als deze beleidsinstelling is uitgeschakeld, meldt Security Center u dat de algehele beveiliging van het besturingssysteem is verminderd. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Gebruikersaccountbeheer: alle beheerders uitvoeren in Beheer goedkeuringsmodus Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6	= 1 _(Register)	Kritiek
Gebruikersaccountbeheer: naar het beveiligd bureaublad overschakelen tijdens het vragen om benodigde bevoegdheden _{(CCE-36866-2)}	Beschrijving: Met deze beleidsinstelling bepaalt u of de vraag om benodigde bevoegdheden wordt weergegeven op het bureaublad van de interactieve gebruiker of op het beveiligde bureaublad. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Beveiligingsopties\Gebruikersaccountbeheer: overschakelen naar het beveiligde bureaublad wanneer u om benodigde bevoegdheden wordt gevraagd Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7	= 1 _(Register)	Kritiek
Gebruikersaccountbeheer: schrijffouten in bestanden en het register in locaties per gebruiker virtualiseren _{(CCE-37064-3)}	Beschrijving: Deze beleidsinstelling bepaalt of schrijffouten van toepassingen worden omgeleid naar gedefinieerde register- en bestandssysteemlocaties. Deze beleidsinstelling beperkt toepassingen die als beheerder worden uitgevoerd en runtimetoepassingsgegevens schrijven naar: - `%ProgramFiles%`, - `%Windir%`, - , - `%Windir%\system32`of - `HKEY_LOCAL_MACHINE\Software`. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\User Account Control: Virtualize file and registry write failures to per user locations Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8	= 1 _(Register)	Kritiek

Beveiligings-Instellingen - Accountbeleid

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Drempelwaarde voor accountvergrendeling _{(AZ-WIN-73311)}	Beschrijving: Deze beleidsinstelling bepaalt het aantal mislukte aanmeldingspogingen voordat het account is vergrendeld. Als u dit beleid instelt om `0` niet aan de benchmark te voldoen, wordt de drempelwaarde voor accountvergrendeling uitgeschakeld. De aanbevolen status voor deze instelling is: `5 or fewer invalid logon attempt(s), but not 0`. Opmerking: instellingen voor wachtwoordbeleid (sectie 1.1) en beleidsinstellingen voor accountvergrendeling (sectie 1.2) moeten worden toegepast via het groepsbeleidsobject voor standaarddomeinbeleid om globaal van kracht te zijn op domeingebruikersaccounts als standaardgedrag. Als deze instellingen zijn geconfigureerd in een ander groepsbeleidsobject, hebben ze alleen invloed op lokale gebruikersaccounts op de computers die het groepsbeleidsobject ontvangen. Aangepaste uitzonderingen op het standaardwachtwoordbeleid en accountvergrendelingsbeleidsregels voor specifieke domeingebruikers en/of groepen kunnen echter worden gedefinieerd met behulp van Wachtwoord Instellingen-objecten (PSO's), die volledig gescheiden zijn van Groepsbeleid en het eenvoudigst zijn geconfigureerd met Active Directory Beheer istratief Center. Sleutelpad: [Systeemtoegang]LockoutBadCount Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Accountbeleid\Accountvergrendelingsbeleid\Drempelwaarde accountvergrendeling Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 1.2.2 CIS WS2019 1.2.2	In 1-3 _(Beleid)	Belangrijk
Wachtwoordhistorie afdwingen _{(CCE-37166-6)}	Beschrijving: Deze beleidsinstelling bepaalt het aantal vernieuwde, unieke wachtwoorden dat moet worden gekoppeld aan een gebruikersaccount voordat u een oud wachtwoord opnieuw kunt gebruiken. De waarde voor deze beleidsinstelling moet tussen 0 en 24 wachtwoorden zijn. De standaardwaarde voor Windows Vista is 0 wachtwoorden, maar de standaardinstelling in een domein is 24 wachtwoorden. Als u de effectiviteit van deze beleidsinstelling wilt behouden, gebruikt u de instelling Minimale wachtwoordduur om te voorkomen dat gebruikers hun wachtwoord herhaaldelijk wijzigen. De aanbevolen status voor deze instelling is: '24 of meer wachtwoorden'. Sleutelpad: [Systeemtoegang]PasswordHistorySize Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `24 or more password(s)`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Accountbeleid\Wachtwoordbeleid\Wachtwoordgeschiedenis afdwingen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 1.1.1	>= 24 _(Beleid)	Kritiek
Maximale gebruiksduur wachtwoord _{(CCE-37167-4)}	Beschrijving: Deze beleidsinstelling bepaalt hoe lang een gebruiker zijn wachtwoord kan gebruiken voordat het verloopt. Waarden voor deze beleidsinstelling variëren van 0 tot 999 dagen. Als u de waarde instelt op 0, verloopt het wachtwoord nooit. Omdat aanvallers wachtwoorden kunnen kraken, hoe vaker u het wachtwoord wijzigt, hoe minder kans een aanvaller heeft om een gekraakt wachtwoord te gebruiken. Hoe lager deze waarde echter is ingesteld, hoe hoger het potentieel voor een toename van oproepen naar helpdeskondersteuning omdat gebruikers hun wachtwoord moeten wijzigen of vergeten welk wachtwoord actueel is. De aanbevolen status voor deze instelling is `60 or fewer days, but not 0`. Sleutelpad: [Systeemtoegang]MaximumPasswordAge Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `365 or fewer days, but not 0`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Accountbeleid\Wachtwoordbeleid\Maximale wachtwoordduur Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 1.1.2	In 1-70 _(Beleid)	Kritiek
Minimale gebruiksduur wachtwoord _{(CCE-37073-4)}	Beschrijving: Deze beleidsinstelling bepaalt het aantal dagen dat u een wachtwoord moet gebruiken voordat u het kunt wijzigen. Het bereik van waarden voor deze beleidsinstelling ligt tussen 1 en 999 dagen. (U kunt de waarde ook instellen op 0 om onmiddellijke wachtwoordwijzigingen toe te staan.) De standaardwaarde voor deze instelling is 0 dagen. De aanbevolen status voor deze instelling is: `1 or more day(s)`. Sleutelpad: [Systeemtoegang]MinimumPasswordAge Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `1 or more day(s)`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Accountbeleid\Wachtwoordbeleid\Minimale wachtwoordduur Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 1.1.3	>= 1 _(Beleid)	Kritiek
Minimale wachtwoordlengte _{(CCE-36534-6)}	Beschrijving: Deze beleidsinstelling bepaalt het minste aantal tekens waaruit een wachtwoord voor een gebruikersaccount bestaat. Er zijn veel verschillende theorieën over het bepalen van de beste wachtwoordlengte voor een organisatie, maar misschien is 'wachtwoordzin' een betere term dan 'wachtwoord'. In Microsoft Windows 2000 of hoger kunnen wachtwoordtermen behoorlijk lang zijn en spaties bevatten. Daarom is een zin als "Ik wil een melkshake van $ 5 drinken" een geldige wachtwoordzin; het is een aanzienlijk sterker wachtwoord dan een tekenreeks van 8 of 10 tekens van willekeurige cijfers en letters, en is nog gemakkelijker te onthouden. Gebruikers moeten worden geïnformeerd over de juiste selectie en het juiste onderhoud van wachtwoorden, met name met betrekking tot de wachtwoordlengte. In bedrijfsomgevingen is de ideale waarde voor de instelling Minimale wachtwoordlengte 14 tekens, maar u moet deze waarde aanpassen om te voldoen aan de bedrijfsvereisten van uw organisatie. De aanbevolen status voor deze instelling is: `14 or more character(s)`. Sleutelpad: [Systeemtoegang]MinimumPasswordLength Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `14 or more character(s)`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Accountbeleid\Wachtwoordbeleid\Minimale wachtwoordlengte Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 1.1.4	>= 14 _(Beleid)	Kritiek
Wachtwoord moet voldoen aan complexiteitsvereisten _{(CCE-37063-5)}	Beschrijving: Met deze beleidsinstelling worden alle nieuwe wachtwoorden gecontroleerd om ervoor te zorgen dat ze voldoen aan de basisvereisten voor sterke wachtwoorden. Wanneer dit beleid is ingeschakeld, moeten wachtwoorden voldoen aan de volgende minimumvereisten: - Bevat geen accountnaam van de gebruiker of delen van de volledige naam van de gebruiker die meer dan twee opeenvolgende tekens bevat - Minimaal zes tekens lang zijn - Bevat tekens uit drie van de volgende vier categorieën: - Engelse hoofdletters (A tot en met Z) - Engelse kleine letters (a tot en met z) - Basis 10 cijfers (0 tot en met 9) - Niet-alfabetische tekens (bijvoorbeeld !, $, #, %) - Een catch-all-categorie van een Unicode-teken dat niet onder de vorige vier categorieën valt. Deze vijfde categorie kan regionaal specifiek zijn. Elk extra teken in een wachtwoord verhoogt de complexiteit exponentieel. Een alfabetisch wachtwoord met zeven tekens zou bijvoorbeeld 267 (ongeveer 8 x 109 of 8 miljard) mogelijke combinaties hebben. Bij 1.000.000 pogingen per seconde (een mogelijkheid van veel hulpprogramma's voor het kraken van wachtwoorden), duurt het slechts 133 minuten om te kraken. Een alfabetisch wachtwoord van zeven tekens met hoofdlettergevoeligheid heeft 527 combinaties. Een hoofdlettergevoelig alfanumerieke wachtwoord zonder interpunctie heeft 627 combinaties. Een wachtwoord met acht tekens heeft 268 (of 2 x 1011) mogelijke combinaties. Hoewel dit misschien een groot aantal lijkt te zijn, duurt het slechts 59 uur om alle mogelijke wachtwoorden te proberen bij 1.000.000 pogingen per seconde. Vergeet niet dat deze tijden aanzienlijk toenemen voor wachtwoorden die alt-tekens en andere speciale toetsenbordtekens gebruiken, zoals '!' of '@'. Het juiste gebruik van de wachtwoordinstellingen kan het lastig maken om een brute force-aanval te koppelen. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: [Systeemtoegang]PasswordComplexity Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Accountbeleid\Wachtwoordbeleid\Wachtwoord moet voldoen aan complexiteitsvereisten Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5	= 1 _(Beleid)	Kritiek
Accountvergrendelingsteller opnieuw instellen na _{(AZ-WIN-73309)}	Beschrijving: Deze beleidsinstelling bepaalt de tijdsduur voordat de drempelwaarde voor accountvergrendeling opnieuw wordt ingesteld op nul. De standaardwaarde voor deze beleidsinstelling is niet gedefinieerd. Als de drempelwaarde voor de vergrendeling van het account is gedefinieerd, moet deze resettijd kleiner zijn dan of gelijk zijn aan de waarde voor de duur van de accountvergrendeling. Als u deze beleidsinstelling op de standaardwaarde laat staan of de waarde configureert voor een interval dat te lang is, kan uw omgeving kwetsbaar zijn voor een DoS-aanval. Een aanvaller kan kwaadwillend een aantal mislukte aanmeldingspogingen uitvoeren voor alle gebruikers in de organisatie, waardoor hun accounts worden vergrendeld. Als er geen beleid is vastgesteld om de accountvergrendeling opnieuw in te stellen, is dit een handmatige taak voor beheerders. Als een redelijke tijdwaarde echter is geconfigureerd voor deze beleidsinstelling, worden gebruikers gedurende een bepaalde periode vergrendeld totdat alle accounts automatisch worden ontgrendeld. De aanbevolen status voor deze instelling is: `15 or more minute(s)`. Opmerking: instellingen voor wachtwoordbeleid (sectie 1.1) en beleidsinstellingen voor accountvergrendeling (sectie 1.2) moeten worden toegepast via het groepsbeleidsobject voor standaarddomeinbeleid om globaal van kracht te zijn op domeingebruikersaccounts als standaardgedrag. Als deze instellingen zijn geconfigureerd in een ander groepsbeleidsobject, hebben ze alleen invloed op lokale gebruikersaccounts op de computers die het groepsbeleidsobject ontvangen. Aangepaste uitzonderingen op het standaardwachtwoordbeleid en accountvergrendelingsbeleidsregels voor specifieke domeingebruikers en/of groepen kunnen echter worden gedefinieerd met behulp van Wachtwoord Instellingen-objecten (PSO's), die volledig gescheiden zijn van Groepsbeleid en het eenvoudigst zijn geconfigureerd met Active Directory Beheer istratief Center. Sleutelpad: [Systeemtoegang]ResetLockoutCount Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Accountbeleid\Accountvergrendelingsbeleid\Accountvergrendelingsbeleid opnieuw instellen na Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 1.2.3 CIS WS2019 1.2.3	>= 15 _(Beleid)	Belangrijk
Wachtwoorden opslaan met omkeerbare versleuteling _{(CCE-36286-3)}	Beschrijving: Deze beleidsinstelling bepaalt of het besturingssysteem wachtwoorden opslaat op een manier die omkeerbare versleuteling gebruikt, die ondersteuning biedt voor toepassingsprotocollen waarvoor kennis van het wachtwoord van de gebruiker is vereist voor verificatiedoeleinden. Wachtwoorden die met omkeerbare versleuteling zijn opgeslagen, zijn in wezen hetzelfde als tekst zonder opmaakversies van de wachtwoorden. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: [Systeemtoegang]ClearTextPassword Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Accountbeleid\Wachtwoordbeleid\Wachtwoorden opslaan met omkeerbare versleuteling Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7	= 0 _(Beleid)	Kritiek

Beveiligings Instellingen - Windows Firewall

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Windows Firewall: Domein: Unicast-antwoord toestaan _{(AZ-WIN-00088)}	Beschrijving: Deze optie is handig als u wilt bepalen of deze computer unicast-antwoorden ontvangt op de uitgaande multicast- of broadcastberichten. We raden deze instelling aan op Ja voor privé- en domeinprofielen. Hiermee wordt de registerwaarde ingesteld op 0. Sleutelpad: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: configureer de beleidswaarde voor Computerconfiguratie\Windows Instellingen\Security Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen (deze koppeling bevindt zich in het rechterdeelvenster)\Tabblad Domeinprofiel\Instellingen (selecteer Aanpassen)\Unicast-antwoord, Unicast-antwoord toestaan Standaardtoewijzingen voor naleving:	= 0 _(Register)	Waarschuwing
Windows Firewall: Domein: Firewallstatus _{(CCE-36062-8)}	Beschrijving: Selecteer Aan (aanbevolen) om Windows Firewall met Geavanceerde beveiliging te laten gebruiken met behulp van de instellingen voor dit profiel om netwerkverkeer te filteren. Als u Uit selecteert, worden in Windows Firewall met geavanceerde beveiliging geen van de firewallregels of verbindingsbeveiligingsregels voor dit profiel gebruikt. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `On (recommended)`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Firewall state Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.1.1	= 1 _(Register)	Kritiek
Windows Firewall: Domein: Binnenkomende verbindingen _{(AZ-WIN-202252)}	Beschrijving: Deze instelling bepaalt het gedrag voor binnenkomende verbindingen die niet overeenkomen met een binnenkomende firewallregel. De aanbevolen status voor deze instelling is: `Block (default)`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met geavanceerde beveiliging\Windows Firewall met geavanceerde beveiliging\Windows Firewall-eigenschappen\Domeinprofiel\Binnenkomende verbindingen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.1.2 CIS WS2019 9.1.2	= 1 _(Register)	Kritiek
Windows Firewall: Domein: Logboekregistratie: verwijderde pakketten in logboeken _{(AZ-WIN-202226)}	Beschrijving: Gebruik deze optie om u aan te melden wanneer Windows Firewall met Geavanceerde beveiliging een binnenkomend pakket om welke reden dan ook negeert. In het logboek wordt vastgelegd waarom en wanneer het pakket is verwijderd. Zoek naar vermeldingen met het woord `DROP` in de actiekolom van het logboek. De aanbevolen status voor deze instelling is: `Yes`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Domeinprofiel\Logboekregistratie aanpassen\Logboek verwijderde pakketten Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.1.7 CIS WS2019 9.1.7	= 1 _(Register)	Informatief
Windows Firewall: Domein: Logboekregistratie: geslaagde verbindingen vastleggen _{(AZ-WIN-202227)}	Beschrijving: Gebruik deze optie om u aan te melden wanneer Windows Firewall met Geavanceerde beveiliging een binnenkomende verbinding toestaat. In het logboek wordt vastgelegd waarom en wanneer de verbinding is gevormd. Zoek naar vermeldingen met het woord `ALLOW` in de actiekolom van het logboek. De aanbevolen status voor deze instelling is: `Yes`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessful Verbinding maken ions Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Domeinprofiel\Logboekregistratie aanpassen\Geslaagde verbindingen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.1.8 CIS WS2019 9.1.8	= 1 _(Register)	Waarschuwing
Windows Firewall: Domein: Logboekregistratie: Naam _{(AZ-WIN-202224)}	Beschrijving: Gebruik deze optie om het pad en de naam op te geven van het bestand waarin Windows Firewall logboekgegevens schrijft. De aanbevolen status voor deze instelling is: `%SystemRoot%\System32\logfiles\firewall\domainfw.log`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Domeinprofiel\Logboekregistratie aanpassen\Naam Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.1.5 CIS WS2019 9.1.5	= %SystemRoot%\System32\logfiles\firewall\domainfw.log _(Register)	Informatief
Windows Firewall: Domein: Logboekregistratie: Groottelimiet (KB) _{(AZ-WIN-202225)}	Beschrijving: Gebruik deze optie om de maximale grootte van het bestand op te geven waarin Windows Firewall logboekgegevens schrijft. De aanbevolen status voor deze instelling is: `16,384 KB or greater`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Domeinprofiel\Logboekregistratie aanpassen\Groottelimiet (KB) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.1.6 CIS WS2019 9.1.6	>= 16384 _(Register)	Waarschuwing
Windows Firewall: Domein: uitgaande verbindingen _{(CCE-36146-9)}	Beschrijving: Deze instelling bepaalt het gedrag voor uitgaande verbindingen die niet overeenkomen met een uitgaande firewallregel. In Windows Vista is het standaardgedrag om verbindingen toe te staan, tenzij er firewallregels zijn die de verbinding blokkeren. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Allow (default)`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Domeinprofiel\Uitgaande verbindingen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.1.3	= 0 _(Register)	Kritiek
Windows Firewall: Domein: Instellingen: Beveiligingsregels voor lokale verbindingen toepassen _{(CCE-38040-2)}	Beschrijving: Met deze instelling bepaalt u of lokale beheerders lokale verbindingsregels mogen maken die van toepassing zijn samen met firewallregels die zijn geconfigureerd door groepsbeleid. De aanbevolen status voor deze instelling is Ja. Hiermee wordt de registerwaarde ingesteld op 1. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad groepsbeleid: configureer de beleidswaarde voor Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen (deze koppeling bevindt zich in het rechterdeelvenster)\Tabblad Domeinprofiel\Instellingen (selecteer Aanpassen)\Regel samenvoegen, Lokale verbindingsbeveiligingsregels toepassen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.3.6	= 1 _(Register)	Kritiek
Windows Firewall: Domein: Instellingen: Lokale firewallregels toepassen _{(CCE-37860-4)}	Beschrijving: Met deze instelling bepaalt u of lokale beheerders lokale firewallregels mogen maken die samen met firewallregels die zijn geconfigureerd door Groepsbeleid. De aanbevolen status voor deze instelling is Ja. Hiermee wordt de registerwaarde ingesteld op 1. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (deze koppeling wordt in het rechterdeelvenster)\Domain Profile Tab\Instellingen (select Customize)\Rule merging, Apply local firewall rules Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.3.5	Bestaat niet of = 1 _(Register)	Kritiek
Windows Firewall: Domein: Instellingen: Een melding weergeven _{(CCE-38041-0)}	Beschrijving: Als u deze optie selecteert, wordt er geen melding weergegeven aan de gebruiker wanneer een programma geen binnenkomende verbindingen kan ontvangen. In een serveromgeving zijn de pop-ups niet nuttig omdat de gebruikers niet zijn aangemeld, pop-ups zijn niet nodig en kunnen verwarring voor de beheerder toevoegen. Configureer deze beleidsinstelling op Nee. Hiermee wordt de registerwaarde ingesteld op 1. Windows Firewall geeft geen melding weer wanneer een programma wordt geblokkeerd voor het ontvangen van binnenkomende verbindingen. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Instellingen Customize\Display a notification Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.1.4	= 1 _(Register)	Waarschuwing
Windows Firewall: Privé: Unicast-antwoord toestaan _{(AZ-WIN-00089)}	Beschrijving: Deze optie is handig als u wilt bepalen of deze computer unicast-antwoorden ontvangt op de uitgaande multicast- of broadcastberichten. We raden deze instelling aan op Ja voor privé- en domeinprofielen. Hiermee wordt de registerwaarde ingesteld op 0. Sleutelpad: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met geavanceerde beveiliging\Windows Firewall met geavanceerde beveiliging\Windows Firewall-eigenschappen (deze koppeling bevindt zich in het rechterdeelvenster)\Tabblad Privéprofiel\Instellingen (selecteer Aanpassen)\Unicast-antwoord, Unicast-antwoord toestaan Standaardtoewijzingen voor naleving:	= 0 _(Register)	Waarschuwing
Windows Firewall: Privé: Firewallstatus _{(CCE-38239-0)}	Beschrijving: Selecteer Aan (aanbevolen) om Windows Firewall met Geavanceerde beveiliging te laten gebruiken met behulp van de instellingen voor dit profiel om netwerkverkeer te filteren. Als u Uit selecteert, worden in Windows Firewall met geavanceerde beveiliging geen van de firewallregels of verbindingsbeveiligingsregels voor dit profiel gebruikt. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `On (recommended)`in op: Computerconfiguratie\Policies\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Firewall state Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.2.1	= 1 _(Register)	Kritiek
Windows Firewall: Privé: Binnenkomende verbindingen _{(AZ-WIN-202228)}	Beschrijving: Deze instelling bepaalt het gedrag voor binnenkomende verbindingen die niet overeenkomen met een binnenkomende firewallregel. De aanbevolen status voor deze instelling is: `Block (default)`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Privéprofiel\Binnenkomende verbindingen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.2.2 CIS WS2019 9.2.2	= 1 _(Register)	Kritiek
Windows Firewall: Privé: Logboekregistratie: verwijderde pakketten in logboeken _{(AZ-WIN-202231)}	Beschrijving: Gebruik deze optie om u aan te melden wanneer Windows Firewall met Geavanceerde beveiliging een binnenkomend pakket om welke reden dan ook negeert. In het logboek wordt vastgelegd waarom en wanneer het pakket is verwijderd. Zoek naar vermeldingen met het woord `DROP` in de actiekolom van het logboek. De aanbevolen status voor deze instelling is: `Yes`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Privéprofiel\Logboekregistratie aanpassen\Verwijderde pakketten in logboeken Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.2.7 CIS WS2019 9.2.7	= 1 _(Register)	Informatief
Windows Firewall: Privé: Logboekregistratie: geslaagde verbindingen vastleggen _{(AZ-WIN-202232)}	Beschrijving: Gebruik deze optie om u aan te melden wanneer Windows Firewall met Geavanceerde beveiliging een binnenkomende verbinding toestaat. In het logboek wordt vastgelegd waarom en wanneer de verbinding is gevormd. Zoek naar vermeldingen met het woord `ALLOW` in de actiekolom van het logboek. De aanbevolen status voor deze instelling is: `Yes`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessful Verbinding maken ions Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Privéprofiel\Logboekregistratie aanpassen\Geslaagde verbindingen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.2.8 CIS WS2019 9.2.8	= 1 _(Register)	Waarschuwing
Windows Firewall: Privé: logboekregistratie: naam _{(AZ-WIN-202229)}	Beschrijving: Gebruik deze optie om het pad en de naam op te geven van het bestand waarin Windows Firewall logboekgegevens schrijft. De aanbevolen status voor deze instelling is: `%SystemRoot%\System32\logfiles\firewall\privatefw.log`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Privéprofiel\Logboekregistratie aanpassen\Naam Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.2.5 CIS WS2019 9.2.5	= %SystemRoot%\System32\logfiles\firewall\privatefw.log _(Register)	Informatief
Windows Firewall: Privé: Logboekregistratie: Groottelimiet (KB) _{(AZ-WIN-202230)}	Beschrijving: Gebruik deze optie om de maximale grootte van het bestand op te geven waarin Windows Firewall logboekgegevens schrijft. De aanbevolen status voor deze instelling is: `16,384 KB or greater`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Privéprofiel\Logboekregistratie aanpassen\Groottelimiet (KB) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.2.6 CIS WS2019 9.2.6	>= 16384 _(Register)	Waarschuwing
Windows Firewall: Privé: uitgaande verbindingen _{(CCE-38332-3)}	Beschrijving: Deze instelling bepaalt het gedrag voor uitgaande verbindingen die niet overeenkomen met een uitgaande firewallregel. Het standaardgedrag is om verbindingen toe te staan, tenzij er firewallregels zijn die de verbinding blokkeren. Belangrijk Als u uitgaande verbindingen instelt op Blokkeren en vervolgens het firewallbeleid implementeert met behulp van een groepsbeleidsobject, kunnen computers die de GPO-instellingen ontvangen geen volgende groepsbeleidsupdates ontvangen, tenzij u een uitgaande regel maakt en implementeert waarmee groepsbeleid kan werken. Vooraf gedefinieerde regels voor basisnetwerken bevatten uitgaande regels waarmee groepsbeleid kan werken. Zorg ervoor dat deze uitgaande regels actief zijn en test de firewallprofielen grondig voordat u implementeert. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Allow (default)`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Outbound connections Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.2.3	= 0 _(Register)	Kritiek
Windows Firewall: Privé: Instellingen: Beveiligingsregels voor lokale verbindingen toepassen _{(CCE-36063-6)}	Beschrijving: Met deze instelling bepaalt u of lokale beheerders lokale verbindingsregels mogen maken die van toepassing zijn samen met firewallregels die zijn geconfigureerd door groepsbeleid. De aanbevolen status voor deze instelling is Ja. Hiermee wordt de registerwaarde ingesteld op 1. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (deze koppeling wordt weergegeven in het rechterdeelvenster)\Private Profile Tab\Instellingen (selecteer Aanpassen)\Regel samenvoegen, Lokale verbindingsbeveiligingsregels toepassen Standaardtoewijzingen voor naleving:	= 1 _(Register)	Kritiek
Windows Firewall: Privé: Instellingen: lokale firewallregels toepassen _{(CCE-37438-9)}	Beschrijving: Met deze instelling bepaalt u of lokale beheerders lokale firewallregels mogen maken die samen met firewallregels die zijn geconfigureerd door Groepsbeleid. De aanbevolen status voor deze instelling is Ja. Hiermee wordt de registerwaarde ingesteld op 1. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad groepsbeleid: configureer de beleidswaarde voor Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen (deze koppeling bevindt zich in het rechterdeelvenster)\Tabblad Privéprofiel\Instellingen (selecteer Aanpassen)\Regel samenvoegen, Lokale firewallregels toepassen Standaardtoewijzingen voor naleving:	Bestaat niet of = 1 _(Register)	Kritiek
Windows Firewall: Privé: Instellingen: Een melding weergeven _{(CCE-37621-0)}	Beschrijving: Als u deze optie selecteert, wordt er geen melding weergegeven aan de gebruiker wanneer een programma geen binnenkomende verbindingen kan ontvangen. In een serveromgeving zijn de pop-ups niet nuttig omdat de gebruikers niet zijn aangemeld, pop-ups zijn niet nodig en kunnen verwarring voor de beheerder toevoegen. Configureer deze beleidsinstelling op Nee. Hiermee wordt de registerwaarde ingesteld op 1. Windows Firewall geeft geen melding weer wanneer een programma wordt geblokkeerd voor het ontvangen van binnenkomende verbindingen. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Instellingen Customize\Display a notification Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.2.4	= 1 _(Register)	Waarschuwing
Windows Firewall: Openbaar: Unicast-antwoord toestaan _{(AZ-WIN-00090)}	Beschrijving: Deze optie is handig als u wilt bepalen of deze computer unicast-antwoorden ontvangt op de uitgaande multicast- of broadcastberichten. U kunt dit doen door de status voor deze instelling te wijzigen in Nee. Hierdoor wordt de registerwaarde ingesteld op 1. Sleutelpad: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad groepsbeleid: configureer de beleidswaarde voor Computerconfiguratie\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen (deze koppeling bevindt zich in het rechterdeelvenster)\Tabblad Openbaar profiel\Instellingen (selecteer Aanpassen)\Unicast-antwoord, Unicast-antwoord toestaan Standaardtoewijzingen voor naleving:	= 1 _(Register)	Waarschuwing
Windows Firewall: Openbaar: Firewallstatus _{(CCE-37862-0)}	Beschrijving: Selecteer Aan (aanbevolen) om Windows Firewall met Geavanceerde beveiliging te laten gebruiken met behulp van de instellingen voor dit profiel om netwerkverkeer te filteren. Als u Uit selecteert, worden in Windows Firewall met geavanceerde beveiliging geen van de firewallregels of verbindingsbeveiligingsregels voor dit profiel gebruikt. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `On (recommended)`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Firewall state Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.3.1	= 1 _(Register)	Kritiek
Windows Firewall: Openbaar: Binnenkomende verbindingen _{(AZ-WIN-202234)}	Beschrijving: Deze instelling bepaalt het gedrag voor binnenkomende verbindingen die niet overeenkomen met een binnenkomende firewallregel. De aanbevolen status voor deze instelling is: `Block (default)`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Openbaar profiel\Binnenkomende verbindingen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.3.2 CIS WS2019 9.3.2	= 1 _(Register)	Kritiek
Windows Firewall: Openbaar: Logboekregistratie: verwijderde pakketten in logboeken _{(AZ-WIN-202237)}	Beschrijving: Gebruik deze optie om u aan te melden wanneer Windows Firewall met Geavanceerde beveiliging een binnenkomend pakket om welke reden dan ook negeert. In het logboek wordt vastgelegd waarom en wanneer het pakket is verwijderd. Zoek naar vermeldingen met het woord `DROP` in de actiekolom van het logboek. De aanbevolen status voor deze instelling is: `Yes`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Openbaar profiel\Aangepaste logboekregistratie\Verwijderde pakketten in logboeken Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.3.9 CIS WS2019 9.3.9	= 1 _(Register)	Informatief
Windows Firewall: Openbaar: Logboekregistratie: geslaagde verbindingen registreren _{(AZ-WIN-202233)}	Beschrijving: Gebruik deze optie om u aan te melden wanneer Windows Firewall met Geavanceerde beveiliging een binnenkomende verbinding toestaat. In het logboek wordt vastgelegd waarom en wanneer de verbinding is gevormd. Zoek naar vermeldingen met het woord `ALLOW` in de actiekolom van het logboek. De aanbevolen status voor deze instelling is: `Yes`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessful Verbinding maken ions Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met Geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Openbaar profiel\Logboekregistratie aanpassen\Geslaagde verbindingen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.3.10 CIS WS2019 9.3.10	= 1 _(Register)	Waarschuwing
Windows Firewall: Openbaar: Logboekregistratie: Naam _{(AZ-WIN-202235)}	Beschrijving: Gebruik deze optie om het pad en de naam op te geven van het bestand waarin Windows Firewall logboekgegevens schrijft. De aanbevolen status voor deze instelling is: `%SystemRoot%\System32\logfiles\firewall\publicfw.log`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Openbaar profiel\Logboekregistratie aanpassen\Naam Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.3.7 CIS WS2019 9.3.7	= %SystemRoot%\System32\logfiles\firewall\publicfw.log _(Register)	Informatief
Windows Firewall: Openbaar: Logboekregistratie: Groottelimiet (KB) _{(AZ-WIN-202236)}	Beschrijving: Gebruik deze optie om de maximale grootte van het bestand op te geven waarin Windows Firewall logboekgegevens schrijft. De aanbevolen status voor deze instelling is: `16,384 KB or greater`. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Windows Firewall met geavanceerde beveiliging\Windows Firewall met Geavanceerde beveiliging\Windows Firewall-eigenschappen\Openbaar profiel\Logboekregistratie aanpassen\Groottelimiet (KB) Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 9.3.8 CIS WS2019 9.3.8	>= 16384 _(Register)	Informatief
Windows Firewall: Openbaar: uitgaande verbindingen _{(CCE-37434-8)}	Beschrijving: Deze instelling bepaalt het gedrag voor uitgaande verbindingen die niet overeenkomen met een uitgaande firewallregel. Het standaardgedrag is om verbindingen toe te staan, tenzij er firewallregels zijn die de verbinding blokkeren. Belangrijk Als u uitgaande verbindingen instelt op Blokkeren en vervolgens het firewallbeleid implementeert met behulp van een groepsbeleidsobject, kunnen computers die de GPO-instellingen ontvangen geen volgende groepsbeleidsupdates ontvangen, tenzij u een uitgaande regel maakt en implementeert waarmee groepsbeleid kan werken. Vooraf gedefinieerde regels voor basisnetwerken bevatten uitgaande regels waarmee groepsbeleid kan werken. Zorg ervoor dat deze uitgaande regels actief zijn en test de firewallprofielen grondig voordat u implementeert. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Allow (default)`in op: Computerconfiguratie\Policies\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Outbound connections Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.3.3	= 0 _(Register)	Kritiek
Windows Firewall: Openbaar: Instellingen: Beveiligingsregels voor lokale verbindingen toepassen _{(CCE-36268-1)}	Beschrijving: Met deze instelling bepaalt u of lokale beheerders lokale verbindingsregels mogen maken die van toepassing zijn samen met firewallregels die zijn geconfigureerd door groepsbeleid. De aanbevolen status voor deze instelling is Ja. Hiermee wordt de registerwaarde ingesteld op 1. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Instellingen Customize\Apply local connection security rules Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.3.6	= 1 _(Register)	Kritiek
Windows Firewall: Openbaar: Instellingen: Lokale firewallregels toepassen _{(CCE-37861-2)}	Beschrijving: Met deze instelling bepaalt u of lokale beheerders lokale firewallregels mogen maken die samen met firewallregels die zijn geconfigureerd door Groepsbeleid. De aanbevolen status voor deze instelling is Ja. Hiermee wordt de registerwaarde ingesteld op 1. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Instellingen Customize\Apply local firewall rules Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.3.5	Bestaat niet of = 1 _(Register)	Kritiek
Windows Firewall: Openbaar: Instellingen: Een melding weergeven _{(CCE-38043-6)}	Beschrijving: Als u deze optie selecteert, wordt er geen melding weergegeven aan de gebruiker wanneer een programma geen binnenkomende verbindingen kan ontvangen. In een serveromgeving zijn de pop-ups niet nuttig omdat de gebruikers niet zijn aangemeld, pop-ups zijn niet nodig en kunnen verwarring voor de beheerder toevoegen. Configureer deze beleidsinstelling op Nee. Hiermee wordt de registerwaarde ingesteld op 1. Windows Firewall geeft geen melding weer wanneer een programma wordt geblokkeerd voor het ontvangen van binnenkomende verbindingen. Sleutelpad: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Instellingen Customize\Display a notification Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 9.3.4	= 1 _(Register)	Waarschuwing

Systeemcontrolebeleid - Accountaanmelding

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Validatie van referenties controleren _{(CCE-37741-6)}	Beschrijving: Deze subcategorie rapporteert de resultaten van validatietests op referenties die zijn ingediend voor een aanmeldingsaanvraag voor een gebruikersaccount. Deze gebeurtenissen vinden plaats op de computer die gezaghebbend is voor de referenties. Voor domeinaccounts is de domeincontroller gezaghebbend, terwijl voor lokale accounts de lokale computer gezaghebbend is. In domeinomgevingen vinden de meeste aanmeldingsactiviteiten van het account plaats in het beveiligingslogboek van de domeincontrollers die gezaghebbend zijn voor de domeinaccounts. Deze gebeurtenissen kunnen echter plaatsvinden op andere computers in de organisatie wanneer lokale accounts worden gebruikt om u aan te melden. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4774: Er is een account toegewezen voor aanmelding. - 4775: Een account kan niet worden toegewezen voor aanmelding. - 4776: De domeincontroller heeft geprobeerd de referenties voor een account te valideren. - 4777: De domeincontroller kan de referenties voor een account niet valideren. De aanbevolen status voor deze instelling is: 'Geslaagd en Mislukt'. Sleutelpad: {0CCE923F-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Success and Failure`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Credential Validation Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1	= Geslaagd en mislukt _(Controle)	Kritiek
De Kerberos-authenticatieservice controleren _{(AZ-WIN-00004)}	Beschrijving: Deze subcategorie rapporteert de resultaten van gebeurtenissen die zijn gegenereerd na een TGT-aanvraag voor Kerberos-verificatie. Kerberos is een gedistribueerde verificatieservice waarmee een client die namens een gebruiker wordt uitgevoerd, de identiteit kan bewijzen aan een server zonder gegevens over het netwerk te verzenden. Dit helpt een aanvaller of server te beperken door een gebruiker te imiteren. - 4768: Er is een Kerberos-verificatieticket (TGT) aangevraagd. - 4771: Kerberos-verificatie is mislukt. - 4772: Een Kerberos-verificatieticketaanvraag is mislukt. De aanbevolen status voor deze instelling is: `Success and Failure`. Sleutelpad: {0CCE9242-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeincontroller Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Kerberos Authentication Service Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.1.2 CIS WS2019 17.1.2	>= Geslaagd en mislukt _(Controle)	Kritiek

Systeemcontrolebeleid - Accountbeheer

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Beheer van distributiegroepen controleren _{(CCE-36265-7)}	Beschrijving: Deze subcategorie rapporteert elke gebeurtenis van distributiegroepbeheer, zoals wanneer een distributiegroep wordt gemaakt, gewijzigd of verwijderd of wanneer een lid wordt toegevoegd aan of verwijderd uit een distributiegroep. Als u deze instelling voor controlebeleid inschakelt, kunnen beheerders gebeurtenissen bijhouden om schadelijke, onbedoelde en geautoriseerde creatie van groepsaccounts te detecteren. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4744: er is een lokale groep met beveiligingsproblemen gemaakt. - 4745: Er is een lokale groep met beveiligingsproblemen gewijzigd. - 4746: Er is een lid toegevoegd aan een lokale groep die is uitgeschakeld voor beveiliging. - 4747: Een lid is verwijderd uit een lokale groep die is uitgeschakeld voor beveiliging. - 4748: Er is een lokale groep met beveiligingsproblemen verwijderd. - 4749: Er is een globale groep met beveiligingsproblemen gemaakt. - 4750: Er is een globale groep met beveiligingsproblemen gewijzigd. - 4751: Er is een lid toegevoegd aan een globale groep die is uitgeschakeld voor beveiliging. - 4752: Een lid is verwijderd uit een globale groep die is uitgeschakeld voor beveiliging. - 4753: Er is een globale groep met beveiligingsproblemen verwijderd. - 4759: Er is een universele groep met beveiligingsproblemen gemaakt. - 4760: Een universele groep met beveiligingsproblemen is gewijzigd. - 4761: Er is een lid toegevoegd aan een universele groep die is uitgeschakeld voor beveiliging. - 4762: Een lid is verwijderd uit een universele groep die is uitgeschakeld voor beveiliging. - 4763: Een universele groep die is uitgeschakeld voor beveiliging is verwijderd. De aanbevolen status voor deze instelling is het volgende: `Success`. Sleutelpad: {0CCE9238-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeincontroller Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policy Policies\Account Management\Audit Distribution Group Management Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.2.3 CIS WS2019 17.2.3	>= Geslaagd _(Controle)	Kritiek
Andere accountbeheergebeurtenissen controleren _{(CCE-37855-4)}	Beschrijving: Deze subcategorie rapporteert andere accountbeheergebeurtenissen. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4782: De wachtwoordhash die een account heeft geopend. — 4793: De API voor wachtwoordbeleidscontrole is aangeroepen. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE923A-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeincontroller Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Success` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Other Account Management Events Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.2.4	>= Geslaagd _(Controle)	Kritiek
Beheer van beveiligingsgroepen controleren _{(CCE-38034-5)}	Beschrijving: Deze subcategorie rapporteert elke gebeurtenis van beveiligingsgroepsbeheer, zoals wanneer een beveiligingsgroep wordt gemaakt, gewijzigd of verwijderd of wanneer een lid wordt toegevoegd aan of verwijderd uit een beveiligingsgroep. Als u deze instelling voor controlebeleid inschakelt, kunnen beheerders gebeurtenissen bijhouden om schadelijke, onopzettelijke en geautoriseerde beveiligingsgroepaccounts te detecteren. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4727: er is een globale groep met beveiligingsfunctionaliteit gemaakt. - 4728: Er is een lid toegevoegd aan een globale groep met beveiligingsfunctionaliteit. - 4729: Een lid is verwijderd uit een globale groep met beveiligingsfunctionaliteit. - 4730: Er is een globale groep met beveiligingsfunctionaliteit verwijderd. - 4731: Er is een lokale groep met beveiligingsfunctionaliteit gemaakt. - 4732: Er is een lid toegevoegd aan een lokale groep met beveiligingsfunctionaliteit. - 4733: Een lid is verwijderd uit een lokale groep met beveiligingsfunctionaliteit. - 4734: Er is een lokale groep met beveiligingsfunctionaliteit verwijderd. - 4735: Er is een lokale groep met beveiligingsfunctionaliteit gewijzigd. - 4737: Er is een globale groep met beveiligingsfunctionaliteit gewijzigd. - 4754: Er is een universele groep met beveiligingsfunctionaliteit gemaakt. - 4755: Een universele groep met beveiligingsfunctionaliteit is gewijzigd. - 4756: Er is een lid toegevoegd aan een universele groep met beveiligingsfunctionaliteit. - 4757: Een lid is verwijderd uit een universele groep met beveiligingsfunctionaliteit. - 4758: Een universele groep met beveiligingsfunctionaliteit is verwijderd. - 4764: Het type van een groep is gewijzigd. De aanbevolen status voor deze instelling is: `Success and Failure`. Sleutelpad: {0CCE9237-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Success` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Security Group Management Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.2.5	>= Geslaagd _(Controle)	Kritiek
Gebruikersaccountbeheer controleren _{(CCE-37856-2)}	Beschrijving: Deze subcategorie rapporteert elke gebeurtenis van gebruikersaccountbeheer, zoals wanneer een gebruikersaccount wordt gemaakt, gewijzigd of verwijderd; een gebruikersaccount wordt hernoemd, uitgeschakeld of ingeschakeld; of een wachtwoord wordt ingesteld of gewijzigd. Als u deze instelling voor controlebeleid inschakelt, kunnen beheerders gebeurtenissen bijhouden om schadelijke, onbedoelde en geautoriseerde gebruikersaccounts te detecteren. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4720: Er is een gebruikersaccount gemaakt. - 4722: Er is een gebruikersaccount ingeschakeld. - 4723: Er is een poging gedaan om het wachtwoord van een account te wijzigen. - 4724: Er is geprobeerd het wachtwoord van een account opnieuw in te stellen. - 4725: Een gebruikersaccount is uitgeschakeld. - 4726: Er is een gebruikersaccount verwijderd. - 4738: Er is een gebruikersaccount gewijzigd. - 4740: Een gebruikersaccount is vergrendeld. - 4765: SID-geschiedenis is toegevoegd aan een account. - 4766: Een poging om SID-geschiedenis toe te voegen aan een account is mislukt. - 4767: Er is een gebruikersaccount ontgrendeld. - 4780: De ACL is ingesteld op accounts die lid zijn van beheerdersgroepen. - 4781: De naam van een account is gewijzigd: - 4794: Er is een poging gedaan om de herstelmodus directoryservices in te stellen. - 5376: Er is een back-up gemaakt van referenties voor referentiebeheer. - 5377: Referenties voor Referentiebeheer zijn hersteld vanuit een back-up. De aanbevolen status voor deze instelling is: `Success and Failure`. Sleutelpad: {0CCE9235-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Success and Failure`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit User Account Management Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6	= Geslaagd en mislukt _(Controle)	Kritiek

Systeemcontrolebeleid - Gedetailleerde tracering

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
PNP-activiteit controleren _{(AZ-WIN-00182)}	Beschrijving: Met deze beleidsinstelling kunt u controleren wanneer plug en play een extern apparaat detecteert. De aanbevolen status voor deze instelling is: `Success`. Opmerking: er is een besturingssysteem van Windows 10, Server 2016 of hoger vereist voor toegang tot en het instellen van deze waarde in Groepsbeleid. Sleutelpad: {0CCE9248-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\Security Options\Audit: Subcategorie-instellingen voor auditbeleid afdwingen (Windows Vista of hoger) om de instellingen voor de controlebeleidscategorie te overschrijven Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.3.1 CIS WS2022 17.3.1	>= Geslaagd _(Controle)	Kritiek
Het maken van processen controleren _{(CCE-36059-4)}	Beschrijving: Deze subcategorie rapporteert het maken van een proces en de naam van het programma of de gebruiker die het heeft gemaakt. Gebeurtenissen voor deze subcategorie omvatten: - 4688: Er is een nieuw proces gemaakt. - 4696: Er is een primair token toegewezen aan het proces. Raadpleeg het Microsoft Knowledge Base-artikel 947226 voor de meest recente informatie over deze instelling. De aanbevolen status voor deze instelling is: `Success`. Sleutelpad: {0CCE922B-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Success` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policy Policies\Detailed Tracking\Audit Process Creation Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2	>= Geslaagd _(Controle)	Kritiek

Systeemcontrolebeleid - DS-toegang

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Directoryservice-toegang controleren _{(CCE-37433-0)}	Beschrijving: Deze subcategorie rapporteert wanneer een AD DS-object wordt geopend. Alleen objecten met SACL's zorgen ervoor dat controlegebeurtenissen worden gegenereerd en alleen wanneer ze worden geopend op een manier die overeenkomt met hun SACL. Deze gebeurtenissen zijn vergelijkbaar met de toegangsevenementen van de adreslijstservice in eerdere versies van Windows Server. Deze subcategorie is alleen van toepassing op domeincontrollers. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4662: er is een bewerking uitgevoerd op een object. De aanbevolen status voor deze instelling is het volgende: `Failure`. Sleutelpad: {0CCE923B-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeincontroller Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Access Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.4.1 CIS WS2019 17.4.1	>= Fout _(Controle)	Kritiek
Directoryservice-wijzigingen controleren _{(CCE-37616-0)}	Beschrijving: Deze subcategorie rapporteert wijzigingen in objecten in Active Directory-domein Services (AD DS). De typen wijzigingen die worden gerapporteerd, zijn bewerkingen maken, wijzigen, verplaatsen en ongedaan maken die op een object worden uitgevoerd. DS Change auditing geeft, indien van toepassing, de oude en nieuwe waarden aan van de gewijzigde eigenschappen van de objecten die zijn gewijzigd. Alleen objecten met SACL's zorgen ervoor dat controlegebeurtenissen worden gegenereerd en alleen wanneer ze worden geopend op een manier die overeenkomt met hun SACL. Sommige objecten en eigenschappen zorgen er niet voor dat controlegebeurtenissen worden gegenereerd vanwege instellingen in de objectklasse in het schema. Deze subcategorie is alleen van toepassing op domeincontrollers. Gebeurtenissen voor deze subcategorie zijn onder andere: - 5136: er is een adreslijstserviceobject gewijzigd. - 5137 : Er is een adreslijstserviceobject gemaakt. - 5138 : Een adreslijstserviceobject is ongedaan gemaakt. - 5139 : Een adreslijstserviceobject is verplaatst. De aanbevolen status voor deze instelling is het volgende: `Success`. Sleutelpad: {0CCE923C-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeincontroller Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Changes Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.4.2 CIS WS2019 17.4.2	>= Geslaagd _(Controle)	Kritiek
Directoryservice-replicatie controleren _{(AZ-WIN-00093)}	Beschrijving: Deze subcategorie rapporteert wanneer replicatie tussen twee domeincontrollers begint en eindigt. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4932: Synchronisatie van een replica van een Active Directory-naamgevingscontext is gestart. – 4933: Synchronisatie van een replica van een Active Directory-naamgevingscontext is beëindigd. Raadpleeg het Microsoft KnowledgeBase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: http:-support.microsoft.com-default.aspx-kb-947226 Sleutelpad: {0CCE923D-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeincontroller Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policy Policies\DS Access\Audit Directory Service Replication Standaardtoewijzingen voor naleving:	>= Geen controle _(Controle)	Kritiek

Systeemcontrolebeleid - Aanmelden-afmelden

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Accountvergrendeling controleren _{(CCE-37133-6)}	Beschrijving: Deze subcategorie rapporteert wanneer het account van een gebruiker is vergrendeld als gevolg van te veel mislukte aanmeldingspogingen. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4625: Een account kan niet worden aangemeld. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE9217-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Failure` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Account Lockout Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.5.1	>= Fout _(Controle)	Kritiek
Groepslidmaatschap controleren _{(AZ-WIN-00026)}	Beschrijving: Met groepslidmaatschap controleren kunt u groepslidmaatschappen controleren wanneer ze op de clientcomputer worden geïnventariseerd. Met dit beleid kunt u de gegevens van het groepslidmaatschap controleren in het aanmeldingstoken van de gebruiker. Gebeurtenissen in deze subcategorie worden gegenereerd op de computer waarop een aanmeldingssessie wordt gemaakt. Voor een interactieve aanmelding wordt de beveiligingscontrolegebeurtenis gegenereerd op de computer waarop de gebruiker zich heeft aangemeld. Voor een netwerkaanmelding, zoals het openen van een gedeelde map in het netwerk, wordt de beveiligingscontrolegebeurtenis gegenereerd op de computer die als host fungeert voor de resource. U moet ook de subcategorie Auditaanmelding inschakelen. Er worden meerdere gebeurtenissen gegenereerd als de gegevens van het groepslidmaatschap niet in één beveiligingscontrolegebeurtenis passen. De gebeurtenissen die worden gecontroleerd, zijn onder andere: - 4627(S): informatie over groepslidmaatschap. Sleutelpad: {0CCE9249-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Success` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Group Membership Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.5.2	>= Geslaagd _(Controle)	Kritiek
Afmelden controleren _{(CCE-38237-4)}	Beschrijving: Deze subcategorie rapporteert wanneer een gebruiker zich afmeldt bij het systeem. Deze gebeurtenissen vinden plaats op de geopende computer. Voor interactieve aanmeldingen vindt de generatie van deze gebeurtenissen plaats op de computer waarop is aangemeld. Als er een netwerkaanmelding plaatsvindt voor toegang tot een share, worden deze gebeurtenissen gegenereerd op de computer die als host fungeert voor de geopende resource. Als u deze instelling configureert op Geen controle, is het moeilijk of onmogelijk om te bepalen welke gebruiker toegang heeft tot of probeert toegang te krijgen tot organisatiecomputers. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4634: Er is een account afgemeld. - 4647: Door gebruiker geïnitieerde afmelding. De aanbevolen status voor deze instelling is: 'Geslaagd'. Sleutelpad: {0CCE9216-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Success` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logoff Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3	>= Geslaagd _(Controle)	Kritiek
Aanmelden controleren _{(CCE-38036-0)}	Beschrijving: Deze subcategorie rapporteert wanneer een gebruiker zich probeert aan te melden bij het systeem. Deze gebeurtenissen vinden plaats op de geopende computer. Voor interactieve aanmeldingen vindt de generatie van deze gebeurtenissen plaats op de computer waarop is aangemeld. Als er een netwerkaanmelding plaatsvindt voor toegang tot een share, worden deze gebeurtenissen gegenereerd op de computer die als host fungeert voor de geopende resource. Als u deze instelling configureert op Geen controle, is het moeilijk of onmogelijk om te bepalen welke gebruiker toegang heeft tot of probeert toegang te krijgen tot organisatiecomputers. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4624: er is een account aangemeld. - 4625: Een account kan niet worden aangemeld. - 4648: Een aanmelding is geprobeerd met behulp van expliciete referenties. - 4675: SID's zijn gefilterd. De aanbevolen status voor deze instelling is: 'Geslaagd en Mislukt'. Sleutelpad: {0CCE9215-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Success and Failure`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4	= Geslaagd en mislukt _(Controle)	Kritiek
Andere aanmeldings-/afmeldingsgebeurtenissen controleren _{(CCE-36322-6)}	Beschrijving: Deze subcategorie rapporteert andere aanmeldings-/afmeldingsgebeurtenissen, zoals Terminal Services-sessie, verbreekt en maakt opnieuw verbinding, met behulp van RunAs voor het uitvoeren van processen onder een ander account en het vergrendelen en ontgrendelen van een werkstation. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4649: Er is een herhalingsaanval gedetecteerd. — 4778: Er is een sessie opnieuw verbonden met een vensterstation. — 4779: Een sessie is losgekoppeld van een vensterstation. — 4800: Het werkstation is vergrendeld. — 4801: Het werkstation is ontgrendeld. — 4802: De schermbeveiliging is aangeroepen. — 4803: De schermbeveiliging is gesloten. — 5378: De aangevraagde delegatie van referenties was niet toegestaan door beleid. — 5632: Er is een verzoek gedaan om te verifiëren bij een draadloos netwerk. — 5633: Er is een verzoek ingediend om te verifiëren bij een bekabeld netwerk. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE921C-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Success and Failure`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Other Logon/Logoff Events Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.5.5	= Geslaagd en mislukt _(Controle)	Kritiek
Speciale aanmelding controleren _{(CCE-36266-5)}	Beschrijving: Deze subcategorie rapporteert wanneer een speciale aanmelding wordt gebruikt. Een speciale aanmelding is een aanmelding met administrator-equivalente bevoegdheden en kan worden gebruikt om een proces naar een hoger niveau te verhogen. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4964: Speciale groepen zijn toegewezen aan een nieuwe aanmelding. De aanbevolen status voor deze instelling is: `Success`. Sleutelpad: {0CCE921B-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Success` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Special Logon Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6	>= Geslaagd _(Controle)	Kritiek

Systeemcontrolebeleid - Objecttoegang

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Gedetailleerde bestandsshare controleren _{(AZ-WIN-00100)}	Beschrijving: Met deze subcategorie kunt u pogingen tot toegang tot bestanden en mappen in een gedeelde map controleren. Gebeurtenissen voor deze subcategorie zijn onder andere: - 5145: het netwerkshareobject is gecontroleerd om te zien of de client de gewenste toegang kan krijgen. De aanbevolen status voor deze instelling is het volgende: `Failure` Sleutelpad: {0CCE9244-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Geavanceerde controlebeleidsconfiguratie\Controlebeleid\Objecttoegang\Gedetailleerde bestandsshare controleren Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.6.1 CIS WS2019 17.6.1	>= Fout _(Controle)	Kritiek
Bestandsshare controleren _{(AZ-WIN-00102)}	Beschrijving: Met deze beleidsinstelling kunt u pogingen controleren om toegang te krijgen tot een gedeelde map. De aanbevolen status voor deze instelling is: `Success and Failure`. Opmerking: er zijn geen systeemtoegangsbeheerlijsten (SACL's) voor gedeelde mappen. Als deze beleidsinstelling is ingeschakeld, wordt de toegang tot alle gedeelde mappen op het systeem gecontroleerd. Sleutelpad: {0CCE9224-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit File Share Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.6.2 CIS WS2019 17.6.2	= Geslaagd en mislukt _(Controle)	Kritiek
Andere gebeurtenissen van objecttoegang controleren _{(AZ-WIN-00113)}	Beschrijving: Deze subcategorie rapporteert andere gebeurtenissen met betrekking tot objecttoegang, zoals Takenplanner-taken en COM+-objecten. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4671: Een toepassing heeft geprobeerd toegang te krijgen tot een geblokkeerd rangtelwoord via de TBS. — 4691: indirecte toegang tot een object is aangevraagd. — 4698: Er is een geplande taak gemaakt. — 4699: Een geplande taak is verwijderd. — 4700: Een geplande taak is ingeschakeld. — 4701: Een geplande taak is uitgeschakeld. — 4702: Een geplande taak is bijgewerkt. — 5888: Een object in de COM+-catalogus is gewijzigd. — 5889: Een object is verwijderd uit de COM+-catalogus. — 5890: Er is een object toegevoegd aan de COM+-catalogus. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE9227-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Success and Failure`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Other Object Access Events Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.6.3	= Geslaagd en mislukt _(Controle)	Kritiek
Verwisselbare opslag controleren _{(CCE-37617-8)}	Beschrijving: Met deze beleidsinstelling kunt u controleren of gebruikers toegang proberen te krijgen tot bestandssysteemobjecten op een verwisselbaar opslagapparaat. Er wordt alleen een beveiligingscontrolegebeurtenis gegenereerd voor alle objecten voor alle aangevraagde typen toegang. Als u deze beleidsinstelling configureert, wordt er telkens een controlegebeurtenis gegenereerd wanneer een account toegang heeft tot een bestandssysteemobject op een verwisselbare opslag. Geslaagde controles registreren geslaagde pogingen en mislukte controles registreren mislukte pogingen. Als u deze beleidsinstelling niet configureert, wordt er geen controlegebeurtenis gegenereerd wanneer een account toegang heeft tot een bestandssysteemobject in een verwisselbare opslag. De aanbevolen status voor deze instelling is: `Success and Failure`. Opmerking: voor toegang tot een besturingssysteem van Windows 8, Server 2012 (niet-R2) of hoger is toegang nodig tot deze waarde in Groepsbeleid. Sleutelpad: {0CCE9245-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Success and Failure`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Verwisselbare opslag controleren Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4	= Geslaagd en mislukt _(Controle)	Kritiek

Systeemcontrolebeleid - Beleidswijziging

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Wijziging in authenticatiebeleid controleren _{(CCE-38327-3)}	Beschrijving: Deze subcategorie rapporteert wijzigingen in verificatiebeleid. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4706: Er is een nieuwe vertrouwensrelatie gemaakt voor een domein. — 4707: Een vertrouwensrelatie met een domein is verwijderd. — 4713: Kerberos-beleid is gewijzigd. — 4716: Informatie over vertrouwde domeinen is gewijzigd. — 4717: Toegang tot systeembeveiliging is verleend aan een account. — 4718: Systeembeveiligingstoegang is verwijderd uit een account. — 4739: Domeinbeleid is gewijzigd. — 4864: Er is een naamruimteconflict gedetecteerd. — 4865: Er is een vermelding voor vertrouwde forestgegevens toegevoegd. — 4866: Er is een vertrouwde forestgegevensvermelding verwijderd. — 4867: Een vertrouwde forestgegevensvermelding is gewijzigd. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE9230-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Success` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policy Policies\Policy Change\Audit Authentication Policy Change Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.7.2	>= Geslaagd _(Controle)	Kritiek
Wijziging in autorisatiebeleid controleren _{(CCE-36320-0)}	Beschrijving: Deze subcategorie rapporteert wijzigingen in autorisatiebeleid. Gebeurtenissen voor deze subcategorie zijn onder andere: - 4704: Er is een gebruikersrecht toegewezen. - 4705: Er is een gebruikersrecht verwijderd. - 4706: Er is een nieuwe vertrouwensrelatie gemaakt voor een domein. - 4707: Een vertrouwensrelatie met een domein is verwijderd. - 4714: Versleuteld beleid voor gegevensherstel is gewijzigd. De aanbevolen status voor deze instelling is het volgende: `Success`. Sleutelpad: {0CCE9231-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policy Policies\Policy Change\Audit Authorization Policy Change Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.7.3 CIS WS2019 17.7.3	>= Geslaagd _(Controle)	Kritiek
Wijziging in beleid MPSSVC op regelniveau controleren _{(AZ-WIN-00111)}	Beschrijving: Deze subcategorie rapporteert wijzigingen in beleidsregels die worden gebruikt door de Microsoft-beveiligingsservice (MPSSVC.exe). Deze service wordt gebruikt door Windows Firewall en Microsoft OneCare. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4944: Het volgende beleid was actief toen Windows Firewall werd gestart. — 4945: Er werd een regel vermeld toen De Windows Firewall werd gestart. — 4946: Er is een wijziging aangebracht in de lijst met Windows Firewall-uitzonderingen. Er is een regel toegevoegd. — 4947: Er is een wijziging aangebracht in de lijst met Windows Firewall-uitzonderingen. Er is een regel gewijzigd. — 4948: Er is een wijziging aangebracht in de lijst met Windows Firewall-uitzonderingen. Er is een regel verwijderd. — 4949: Windows Firewall-instellingen zijn hersteld naar de standaardwaarden. — 4950: Een Windows Firewall-instelling is gewijzigd. — 4951: Een regel is genegeerd omdat het primaire versienummer niet is herkend door Windows Firewall. — 4952: Onderdelen van een regel zijn genegeerd omdat het secundaire versienummer niet is herkend door Windows Firewall. De andere onderdelen van de regel worden afgedwongen. — 4953: Een regel is genegeerd door Windows Firewall omdat deze de regel niet kan parseren. — 4954: Instellingen voor Groepsbeleid van Windows Firewall zijn gewijzigd. De nieuwe instellingen zijn toegepast. — 4956: Windows Firewall heeft het actieve profiel gewijzigd. — 4957: Windows Firewall heeft de volgende regel niet toegepast: — 4958: Windows Firewall heeft de volgende regel niet toegepast omdat de regel verwijst naar items die niet op deze computer zijn geconfigureerd: Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd Sleutelpad: {0CCE9232-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Success and Failure`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit MPSSVC Rule-Level Policy Change Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.7.4	= Geslaagd en mislukt _(Controle)	Kritiek
Gebeurtenissen voor andere beleidswijzigingen controleren _{(AZ-WIN-00114)}	Beschrijving: Deze subcategorie bevat gebeurtenissen over wijzigingen in het EFS Data Recovery Agent-beleid, wijzigingen in het Filterplatformfilter van Windows, de status van instellingen voor beveiligingsbeleid voor lokale groepsbeleidsinstellingen, wijzigingen in centraal toegangsbeleid en gedetailleerde gebeurtenissen voor het oplossen van problemen voor CNG-bewerkingen (Cryptographic Next Generation). - 5063: Er is geprobeerd een cryptografische providerbewerking uit te voeren. - 5064: Er is een cryptografische contextbewerking uitgevoerd. - 5065: Er is geprobeerd een cryptografische contextwijziging uit te proberen. - 5066: Er is geprobeerd een cryptografische functiebewerking uit te voeren. - 5067: Er is geprobeerd een cryptografische functiewijziging uit te voeren. - 5068: Er is geprobeerd een cryptografische functieproviderbewerking uit te voeren. - 5069: Er is geprobeerd een cryptografische functie-eigenschapsbewerking uit te voeren. - 5070: Er is geprobeerd een cryptografische functie-eigenschap te wijzigen. - 6145: Er zijn een of meer fouten opgetreden tijdens het verwerken van beveiligingsbeleid in de groepsbeleidsobjecten. De aanbevolen status voor deze instelling is het volgende: `Failure`. Sleutelpad: {0CCE9234-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Other Policy Change Events Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.7.5 CIS WS2019 17.7.5	>= Fout _(Controle)	Kritiek
Wijziging van controlebeleid _{(CCE-38028-7)}	Beschrijving: Deze subcategorie rapporteert wijzigingen in controlebeleid, inclusief SACL-wijzigingen. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4715: Het auditbeleid (SACL) op een object is gewijzigd. — 4719: Systeemcontrolebeleid is gewijzigd. — 4902: De controlebeleidstabel per gebruiker is gemaakt. — 4904: Er is geprobeerd een bron van een beveiligingsgebeurtenis te registreren. — 4905: Er is geprobeerd de registratie van een beveiligingsgebeurtenisbron ongedaan te maken. — 4906: De waarde CrashOnAuditFail is gewijzigd. — 4907: Controle-instellingen voor het object zijn gewijzigd. — 4908: Aangepaste aanmeldingstabel speciale groepen. — 4912: Controlebeleid per gebruiker is gewijzigd. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE922F-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policy Policies\Policy Change\Audit Policy Change\Audit Policy Change Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.7.1	>= Geslaagd _(Controle)	Kritiek

Systeemcontrolebeleid - Gebruik van bevoegdheden

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Gebruik van gevoelige bevoegdheid controleren _{(CCE-36267-3)}	Beschrijving: Deze subcategorie rapporteert wanneer een gebruikersaccount of service een gevoelige bevoegdheid gebruikt. Een gevoelige bevoegdheid omvat de volgende gebruikersrechten: fungeren als onderdeel van het besturingssysteem, back-upbestanden en mappen, een tokenobject maken, foutopsporingsprogramma's, computer- en gebruikersaccounts inschakelen voor delegering, beveiligingscontroles genereren, een client imiteren na verificatie, apparaatstuurprogramma's laden en verwijderen, controle- en beveiligingslogboeken beheren, firmwareomgevingswaarden wijzigen, Vervang een token op procesniveau, herstel bestanden en mappen en eigenaar worden van bestanden of andere objecten. Als u deze subcategorie controleert, wordt een groot aantal gebeurtenissen gemaakt. Gebeurtenissen voor deze subcategorie omvatten: — 4672: Speciale bevoegdheden die zijn toegewezen aan nieuwe aanmelding. — 4673: Er is een bevoegde service aangeroepen. — 4674: Er is een bewerking uitgevoerd op een bevoegd object. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE9228-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Success and Failure`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Privilege Use\Audit Sensitive Privilege Use Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.8.1	= Geslaagd en mislukt _(Controle)	Kritiek

Systeemcontrolebeleid - Systeem

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
IPsec-stuurprogramma controleren _{(CCE-37853-9)}	Beschrijving: Deze subcategorie rapporteert over de activiteiten van het IPsec-stuurprogramma (Internet Protocol Security). Gebeurtenissen voor deze subcategorie zijn onder andere: - 4960: IPsec heeft een binnenkomend pakket verwijderd waarvoor een integriteitscontrole is mislukt. Als dit probleem zich blijft voordoen, kan dit duiden op een netwerkprobleem of dat pakketten tijdens overdracht naar deze computer worden gewijzigd. Controleer of de pakketten die vanaf de externe computer worden verzonden, hetzelfde zijn als de pakketten die door deze computer zijn ontvangen. Deze fout kan ook duiden op interoperabiliteitsproblemen met andere IPsec-implementaties. - 4961: IPsec heeft een binnenkomend pakket verwijderd dat een controle voor opnieuw afspelen heeft mislukt. Als dit probleem zich blijft voordoen, kan dit duiden op een herhalingsaanval op deze computer. - 4962: IPsec heeft een binnenkomend pakket verwijderd waarvoor een herhalingscontrole is mislukt. Het binnenkomende pakket had te weinig volgnummer om ervoor te zorgen dat het geen herhaling was. - 4963: IPsec heeft een inkomende, duidelijke tekstpakket verwijderd dat moet zijn beveiligd. Dit komt meestal doordat de externe computer het IPsec-beleid wijzigt zonder deze computer te informeren. Dit kan ook een poging tot adresvervalsing zijn. - 4965: IPsec heeft een pakket ontvangen van een externe computer met een onjuiste beveiligingsparameterindex (SPI). Dit wordt meestal veroorzaakt door defecte hardware die beschadigde pakketten is. Als deze fouten zich voordoen, controleert u of de pakketten die vanaf de externe computer worden verzonden, hetzelfde zijn als de pakketten die door deze computer zijn ontvangen. Deze fout kan ook duiden op interoperabiliteitsproblemen met andere IPsec-implementaties. Als de connectiviteit in dat geval niet wordt belemmerd, kunnen deze gebeurtenissen worden genegeerd. - 5478: IPsec Services is gestart. - 5479: IPsec Services is afgesloten. Door het afsluiten van IPsec Services kan de computer een groter risico lopen op netwerkaanvallen of de computer blootstellen aan mogelijke beveiligingsrisico's. - 5480: IPsec Services kan de volledige lijst met netwerkinterfaces op de computer niet ophalen. Dit vormt een mogelijk beveiligingsrisico omdat sommige netwerkinterfaces mogelijk niet de beveiliging krijgen die wordt geboden door de toegepaste IPsec-filters. Gebruik de module IP-beveiligingsmonitor om het probleem vast te stellen. - 5483: IPsec-services kunnen RPC-server niet initialiseren. IPsec-services kunnen niet worden gestart. - 5484: IPsec-services hebben een kritieke fout ondervonden en zijn afgesloten. Door het afsluiten van IPsec Services kan de computer een groter risico lopen op netwerkaanvallen of de computer blootstellen aan mogelijke beveiligingsrisico's. - 5485: IPsec-services kunnen bepaalde IPsec-filters niet verwerken op een plug-and-play-gebeurtenis voor netwerkinterfaces. Dit vormt een mogelijk beveiligingsrisico omdat sommige netwerkinterfaces mogelijk niet de beveiliging krijgen die wordt geboden door de toegepaste IPsec-filters. Gebruik de module IP-beveiligingsmonitor om het probleem vast te stellen. De aanbevolen status voor deze instelling is: `Success and Failure`. Sleutelpad: {0CCE9213-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\System\Audit IPsec Driver Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.9.1 CIS WS2019 17.9.1	>= Geslaagd en mislukt _(Controle)	Kritiek
Andere systeemgebeurtenissen controleren _{(CCE-38030-3)}	Beschrijving: Deze subcategorie rapporteert over andere systeemgebeurtenissen. Gebeurtenissen voor deze subcategorie zijn onder andere: - 5024: De Windows Firewall-service is gestart. - 5025: De Windows Firewall-service is gestopt. - 5027: De Windows Firewall-service kan het beveiligingsbeleid niet ophalen uit de lokale opslag. De service blijft het huidige beleid afdwingen. - 5028: De Windows Firewall-service kan het nieuwe beveiligingsbeleid niet parseren. De service wordt voortgezet met momenteel afgedwongen beleid. - 5029: De Windows Firewall-service kan het stuurprogramma niet initialiseren. De service blijft het huidige beleid afdwingen. - 5030: De Windows Firewall-service kan niet worden gestart. - 5032: Windows Firewall kan de gebruiker niet op de hoogte stellen dat een toepassing geen binnenkomende verbindingen in het netwerk accepteert. - 5033: Het Windows Firewall-stuurprogramma is gestart. - 5034: Het Windows Firewall-stuurprogramma is gestopt. - 5035: Het Windows Firewall-stuurprogramma kan niet worden gestart. - 5037: Het Windows Firewall-stuurprogramma heeft kritieke runtime-fout gedetecteerd. Beëindiging. - 5058: Bewerking van sleutelbestand. - 5059: Sleutelmigratiebewerking. De aanbevolen status voor deze instelling is: `Success and Failure`. Sleutelpad: {0CCE9214-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\System\Audit Other System Events Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 17.9.2 CIS WS2019 17.9.2	= Geslaagd en mislukt _(Controle)	Kritiek
Wijziging in beveiligingsstatus controleren _{(CCE-38114-5)}	Beschrijving: Deze subcategorie rapporteert wijzigingen in de beveiligingsstatus van het systeem, zoals wanneer het beveiligingssubsysteem wordt gestart en gestopt. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4608: Windows wordt gestart. — 4609: Windows wordt afgesloten. — 4616: De systeemtijd is gewijzigd. — 4621: Beheer istrator hersteld systeem van CrashOnAuditFail. Gebruikers die geen beheerders zijn, kunnen zich nu aanmelden. Sommige controleerbare activiteiten zijn mogelijk niet vastgelegd. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE9210-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Success` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security State Change Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.9.3	>= Geslaagd _(Controle)	Kritiek
Uitbreiding van beveiligingssysteem controleren _{(CCE-36144-4)}	Beschrijving: Deze subcategorie rapporteert het laden van extensiecode, zoals verificatiepakketten door het beveiligingssubsysteem. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4610: Er is een verificatiepakket geladen door de lokale beveiligingsinstantie. — 4611: Er is een vertrouwd aanmeldingsproces geregistreerd bij de lokale beveiligingsautoriteit. — 4614: Er is een meldingspakket geladen door security account manager. — 4622: Er is een beveiligingspakket geladen door de lokale beveiligingsautoriteit. — 4697: Er is een service geïnstalleerd in het systeem. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE9211-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Success` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security System Extension Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.9.4	>= Geslaagd _(Controle)	Kritiek
Systeemintegriteit controleren _{(CCE-37132-8)}	Beschrijving: Deze subcategorie rapporteert over schendingen van de integriteit van het beveiligingssubsysteem. Gebeurtenissen voor deze subcategorie zijn onder andere: — 4612: Interne resources die zijn toegewezen voor het in de wachtrij plaatsen van controleberichten zijn uitgeput, wat leidt tot het verlies van sommige audits. — 4615: Ongeldig gebruik van LPC-poort. — 4618: Er is een bewaakt beveiligingsgebeurtenispatroon opgetreden. — 4816: RPC heeft een integriteitsschending gedetecteerd tijdens het ontsleutelen van een binnenkomend bericht. — 5038: Code-integriteit heeft vastgesteld dat de hash van de afbeelding van een bestand ongeldig is. Het bestand kan beschadigd zijn vanwege een niet-geautoriseerde wijziging of de ongeldige hash kan duiden op een mogelijke schijfapparaatfout. — 5056: Er is een cryptografische zelftest uitgevoerd. — 5057: Een cryptografische primitieve bewerking is mislukt. — 5060: Verificatiebewerking is mislukt. — 5061: Cryptografische bewerking. — 5062: Er is een cryptografische zelftest in de kernelmodus uitgevoerd. Raadpleeg het Microsoft Knowledgebase-artikel 'Beschrijving van beveiligingsgebeurtenissen in Windows Vista en in Windows Server 2008' voor de meest recente informatie over deze instelling: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Sleutelpad: {0CCE9212-69AE-11D9-BED3-505054503030} Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op Geslaagd en Mislukt: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\System\Audit System Integrity Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 17.9.5	= Geslaagd en mislukt _(Controle)	Kritiek

Toewijzing van gebruikersrechten

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Toegang tot Referentiebeheer als vertrouwde aanvrager _{(CCE-37056-9)}	Beschrijving: Deze beveiligingsinstelling wordt gebruikt door Credential Manager tijdens het maken en herstellen van back-ups. Geen accounts mogen dit gebruikersrecht hebben, omdat deze alleen is toegewezen aan Winlogon. De opgeslagen referenties van gebruikers kunnen worden aangetast als dit gebruikersrecht is toegewezen aan andere entiteiten. De aanbevolen status voor deze instelling is: `No One`. Sleutelpad: [Privilege Rights]SeTrustedCredManAccessPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No One`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Access Credential Manager as a trusted caller Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1	= Niemand _(Beleid)	Waarschuwing
Toegang tot deze computer vanaf het netwerk _{(CCE-35818-4)}	Beschrijving: Met deze beleidsinstelling kunnen andere gebruikers in het netwerk verbinding maken met de computer en zijn vereist door verschillende netwerkprotocollen die op Server Message Block (SMB) gebaseerde protocollen, NetBIOS, Common Internet File System (CIFS) en Component Object Model Plus (COM+) bevatten. - Niveau 1 - Domeincontroller. De aanbevolen status voor deze instelling is: 'Beheer istrators, geverifieerde gebruikers, ENTERPRISE-domeincontrollers'. - Niveau 1 - Lidserver. De aanbevolen status voor deze instelling is: 'Beheer istrators, geverifieerde gebruikers'. Sleutelpad: [Privilege Rights]SeNetworkLogonRight Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, configureert u het volgende UI-pad: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Access this computer from the network Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3	<= Beheer istrators, geverifieerde gebruikers _(Beleid)	Kritiek
Functioneren als deel van het besturingssysteem _{(CCE-36876-1)}	Beschrijving: Met deze beleidsinstelling kan een proces de identiteit van elke gebruiker aannemen en zo toegang krijgen tot de resources waartoe de gebruiker is gemachtigd. De aanbevolen status voor deze instelling is: `No One`. Sleutelpad: [Privilege Rights]SeTcbPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No One`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Act as part of the operating system Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4	= Niemand _(Beleid)	Kritiek
Lokaal aanmelden toestaan _{(CCE-37659-0)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikers zich interactief kunnen aanmelden bij computers in uw omgeving. Aanmeldingen die worden gestart door op ctrl+Alt+DEL-toetsreeks op het toetsenbord van de clientcomputer te drukken, vereisen dit gebruikersrecht. Gebruikers die zich proberen aan te melden via Terminal Services of IIS hebben ook dit gebruikersrecht nodig. Het gastaccount wordt standaard aan deze gebruiker toegewezen. Hoewel dit account standaard is uitgeschakeld, raadt Microsoft u aan deze instelling in te schakelen via Groepsbeleid. Dit gebruikersrecht moet echter over het algemeen worden beperkt tot de Beheer istrators en gebruikersgroepen. Wijs dit gebruikersrecht toe aan de groep Back-upoperators als uw organisatie deze mogelijkheid vereist. Wanneer u een gebruiker rechtstreeks in de SCM configureert, voert u een door komma's gescheiden lijst met accounts in. Accounts kunnen lokaal zijn of zich in Active Directory bevinden, ze kunnen groepen, gebruikers of computers zijn. Sleutelpad: [Privilege Rights]SeInteractiveLogonRight Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, configureert u het volgende UI-pad: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Lokaal aanmelden toestaan Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.2.7	= Beheer istrators _(Beleid)	Kritiek
Aanmelden toestaan via Extern bureaublad-Services _{(CCE-37072-6)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikers of groepen het recht hebben zich aan te melden als Terminal Services-client. Gebruikers van extern bureaublad hebben dit gebruikersrecht nodig. Als uw organisatie hulp op afstand gebruikt als onderdeel van de helpdeskstrategie, maakt u een groep en wijst u deze gebruiker toe via groepsbeleid. Als de helpdesk in uw organisatie geen hulp op afstand gebruikt, wijst u deze gebruiker alleen toe aan de groep Beheer istrators of gebruikt u de functie voor beperkte groepen om ervoor te zorgen dat er geen gebruikersaccounts deel uitmaken van de groep Extern bureaublad-gebruikers. Beperk dit gebruikersrecht tot de groep Beheer istrators, en mogelijk de groep Gebruikers van extern bureaublad, om te voorkomen dat ongewenste gebruikers toegang krijgen tot computers in uw netwerk via de functie Hulp op afstand. - Niveau 1 - Domeincontroller. De aanbevolen status voor deze instelling is: 'Beheer istrators'. - Niveau 1 - Lidserver. De aanbevolen status voor deze instelling is: 'Beheer istrators, Extern bureaublad-gebruikers'. Opmerking: voor een lidserver met de functie Extern bureaublad-services met extern bureaublad Verbinding maken ion Broker-functieservice is een speciale uitzondering op deze aanbeveling vereist, zodat de groep Geverifieerde gebruikers dit gebruikersrecht kan krijgen. Opmerking 2: De bovenstaande lijsten moeten worden behandeld als acceptatielijsten, wat impliceert dat de bovenstaande principals niet aanwezig hoeven te zijn om deze aanbeveling door te geven. Sleutelpad: [Privilege Rights]SeRemoteInteractiveLogonRight Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, configureert u het volgende UI-pad: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Aanmelden via Extern bureaublad-services toestaan Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9	<= Beheer istrators, Extern bureaublad-gebruikers _(Beleid)	Kritiek
Back-ups van bestanden en mappen maken _{(CCE-35912-5)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers bestands- en mapmachtigingen omzeilen om een back-up van het systeem te maken. Dit gebruikersrecht is alleen ingeschakeld wanneer een toepassing (zoals NTBACKUP) probeert toegang te krijgen tot een bestand of map via de API (Backup Application Programming Interface) van het NTFS-bestandssysteem. Anders zijn de toegewezen bestands- en mapmachtigingen van toepassing. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeBackupPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op `Administrators`. Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Back-ups maken van bestanden en mappen Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10	<= Beheer istrators, back-upoperators, serveroperators _(Beleid)	Kritiek
Controle op bladeren negeren _{(AZ-WIN-00184)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers die niet beschikken over de toegangsmachtigingen voor mappen doorkruisen wanneer ze door een objectpad bladeren in het NTFS-bestandssysteem of het register. Met dit gebruikersrecht kunnen gebruikers de inhoud van een map niet weergeven. Wanneer u een gebruiker rechtstreeks in de SCM configureert, voert u een door komma's gescheiden lijst met accounts in. Accounts kunnen lokaal zijn of zich in Active Directory bevinden, ze kunnen groepen, gebruikers of computers zijn. Sleutelpad: [Privilege Rights]SeChangeNotifyPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: Configureer de beleidswaarde voor Computerconfiguratie\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Bypass traverse check om alleen de volgende accounts of groepen op te nemen:`Administrators, Authenticated Users, Backup Operators, Local Service, Network Service` Standaardtoewijzingen voor naleving:	<= Beheer istrators, geverifieerde gebruikers, back-upoperators, lokale service, netwerkservice _(Beleid)	Kritiek
De systeemtijd wijzigen _{(CCE-37452-0)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikers en groepen de tijd en datum op de interne klok van de computers in uw omgeving kunnen wijzigen. Gebruikers aan wie dit gebruikersrecht is toegewezen, kunnen van invloed zijn op het uiterlijk van gebeurtenislogboeken. Wanneer de tijdinstelling van een computer wordt gewijzigd, weerspiegelen vastgelegde gebeurtenissen de nieuwe tijd, niet de werkelijke tijd waarop de gebeurtenissen plaatsvonden. Wanneer u een gebruiker rechtstreeks in de SCM configureert, voert u een door komma's gescheiden lijst met accounts in. Accounts kunnen lokaal zijn of zich in Active Directory bevinden, ze kunnen groepen, gebruikers of computers zijn. Opmerking: Afwijkingen tussen de tijd op de lokale computer en op de domeincontrollers in uw omgeving kunnen problemen veroorzaken voor het Kerberos-verificatieprotocol, waardoor gebruikers zich mogelijk niet kunnen aanmelden bij het domein of autorisatie kunnen verkrijgen voor toegang tot domeinresources nadat ze zijn aangemeld. Er treden ook problemen op wanneer Groepsbeleid wordt toegepast op clientcomputers als de systeemtijd niet wordt gesynchroniseerd met de domeincontrollers. De aanbevolen status voor deze instelling is: `Administrators, LOCAL SERVICE`. Sleutelpad: [Privilege Rights]SeSystemtimePrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators, LOCAL SERVICE`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Change the system time Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.2.11 CIS WS2022 2.2.11	<= Beheer istrators, serveroperators, LOKALE SERVICE _(Beleid)	Kritiek
De tijdzone wijzigen _{(CCE-37700-2)}	Beschrijving: Deze instelling bepaalt welke gebruikers de tijdzone van de computer kunnen wijzigen. Deze mogelijkheid heeft geen groot gevaar voor de computer en kan nuttig zijn voor mobiele werknemers. De aanbevolen status voor deze instelling is: `Administrators, LOCAL SERVICE`. Sleutelpad: [Privilege Rights]SeTimeZonePrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators, LOCAL SERVICE`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\De tijdzone wijzigen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.2.12 CIS WS2022 2.2.12	<= Beheer istrators, LOCAL SERVICE _(Beleid)	Kritiek
Een wisselbestand maken _{(CCE-35821-8)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers de grootte van het paginabestand wijzigen. Door het paginabestand extreem groot of extreem klein te maken, kan een aanvaller eenvoudig de prestaties van een geïnfecteerde computer beïnvloeden. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeCreatePagefilePrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Create a pagefile Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13	= Beheer istrators _(Beleid)	Kritiek
Een tokenobject maken _{(CCE-36861-3)}	Beschrijving: Met deze beleidsinstelling kan een proces een toegangstoken maken. Dit kan verhoogde rechten bieden voor toegang tot gevoelige gegevens. De aanbevolen status voor deze instelling is: `No One`. Sleutelpad: [Privilege Rights]SeCreateTokenPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No One`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Create a token object Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14	= Niemand _(Beleid)	Waarschuwing
Globale objecten maken _{(CCE-37453-8)}	Beschrijving: Deze beleidsinstelling bepaalt of gebruikers globale objecten kunnen maken die beschikbaar zijn voor alle sessies. Gebruikers kunnen nog steeds objecten maken die specifiek zijn voor hun eigen sessie als ze niet over dit gebruikersrecht beschikken. Gebruikers die globale objecten kunnen maken, kunnen invloed hebben op processen die worden uitgevoerd onder sessies van andere gebruikers. Deze mogelijkheid kan leiden tot verschillende problemen, zoals een toepassingsfout of beschadiging van gegevens. De aanbevolen status voor deze instelling is: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. Opmerking: voor een lidserver met Microsoft SQL Server en het optionele onderdeel Integration Services dat is geïnstalleerd, is een speciale uitzondering op deze aanbeveling vereist voor extra door SQL gegenereerde vermeldingen om dit gebruikersrecht te krijgen. Sleutelpad: [Privilege Rights]SeCreateGlobalPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Create global objects Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15	<= Beheer istrators, SERVICE, LOCAL SERVICE, NETWORK SERVICE _(Beleid)	Waarschuwing
Permanent gedeelde objecten maken _{(CCE-36532-0)}	Beschrijving: Dit gebruikersrecht is handig voor onderdelen in de kernelmodus waarmee de objectnaamruimte wordt uitgebreid. Onderdelen die in de kernelmodus worden uitgevoerd, hebben deze gebruiker echter inherent recht. Daarom is het doorgaans niet nodig om dit gebruikersrecht specifiek toe te wijzen. De aanbevolen status voor deze instelling is: `No One`. Sleutelpad: [Privilege Rights]SeCreatePermanentPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No One`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Permanente gedeelde objecten maken Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16	= Niemand _(Beleid)	Waarschuwing
Symbolische koppelingen maken _{(CCE-35823-4)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikers symbolische koppelingen kunnen maken. In Windows Vista kunnen bestaande NTFS-bestandssysteemobjecten, zoals bestanden en mappen, worden geopend door te verwijzen naar een nieuw type bestandssysteemobject dat een symbolische koppeling wordt genoemd. Een symbolische koppeling is een aanwijzer (net als een snelkoppeling of LNK-bestand) naar een ander bestandssysteemobject, dat een bestand, map, snelkoppeling of een andere symbolische koppeling kan zijn. Het verschil tussen een snelkoppeling en een symbolische koppeling is dat een snelkoppeling alleen vanuit de Windows-shell werkt. Voor andere programma's en toepassingen zijn snelkoppelingen gewoon een ander bestand, terwijl met symbolische koppelingen het concept van een snelkoppeling wordt geïmplementeerd als een functie van het NTFS-bestandssysteem. Symbolische koppelingen kunnen mogelijk beveiligingsproblemen blootstellen in toepassingen die niet zijn ontworpen om ze te gebruiken. Daarom mag de bevoegdheid voor het maken van symbolische koppelingen alleen worden toegewezen aan vertrouwde gebruikers. Standaard kunnen alleen Beheer istrators symbolische koppelingen maken. - Niveau 1 - Domeincontroller. De aanbevolen status voor deze instelling is: 'Beheer istrators'. - Niveau 1 - Lidserver. De aanbevolen status voor deze instelling is: 'Beheer istrators' en (wanneer de Hyper-V-rol is geïnstalleerd) 'NT VIRTUAL MACHINE\Virtual Machines'. Sleutelpad: [Privilege Rights]SeCreateSymbolicLinkPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratiestatus wilt implementeren, configureert u het volgende UI-pad: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Create symbolische koppelingen Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18	<= Beheer istrators, NT VIRTUAL MACHINE\Virtual Machines _(Beleid)	Kritiek
Fouten in programma's opsporen _{(AZ-WIN-73755)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikersaccounts het recht hebben om een foutopsporingsprogramma toe te voegen aan een proces of aan de kernel, die volledige toegang biedt tot gevoelige en kritieke onderdelen van het besturingssysteem. Ontwikkelaars die hun eigen toepassingen foutopsporing uitvoeren, hoeven dit gebruikersrecht niet toe te wijzen; Ontwikkelaars die echter fouten opsporen in nieuwe systeemonderdelen, hebben deze nodig. De aanbevolen status voor deze instelling is: `Administrators`. Opmerking: dit gebruikersrecht wordt beschouwd als een 'gevoelige bevoegdheid' voor controledoeleinden. Sleutelpad: [Privilege Rights]SeDebugPrivilege Besturingssysteem: WS2016, WS2019 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Foutopsporingsprogramma's Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.2.19 CIS WS2019 2.2.19	= Beheer istrators _(Beleid)	Kritiek
Toegang tot deze computer vanaf het netwerk weigeren _{(CCE-37954-5)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers geen verbinding maken met een computer via het netwerk, waardoor gebruikers gegevens op afstand kunnen openen en mogelijk kunnen wijzigen. In omgevingen met hoge beveiliging is het niet nodig dat externe gebruikers toegang hebben tot gegevens op een computer. In plaats daarvan moet het delen van bestanden worden uitgevoerd via het gebruik van netwerkservers. - Niveau 1 - Domeincontroller. De aanbevolen status voor deze instelling is het volgende: 'Gasten, lokaal account'. - Niveau 1 - Lidserver. De aanbevolen status voor deze instelling is het volgende: 'Guests, Local account and member of Beheer istrators group'. Waarschuwing: het configureren van een zelfstandige (niet-domein-gekoppelde) server, zoals hierboven beschreven, kan ertoe leiden dat de server niet op afstand kan worden beheerd. Opmerking: het configureren van een lidserver of zelfstandige server zoals hierboven beschreven, kan nadelige gevolgen hebben voor toepassingen die een lokaal serviceaccount maken en deze in de groep Beheer istrators plaatsen. In dat geval moet u de toepassing converteren om een door een domein gehost serviceaccount te gebruiken, of lokaal account en lid van Beheer istratorsgroep verwijderen uit deze toewijzing van gebruikersrechten. Het gebruik van een door een domein gehost serviceaccount heeft de voorkeur boven het waar mogelijk maken van een uitzondering op deze regel. Sleutelpad: [Privilege Rights]SeDenyNetworkLogonRight Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, configureert u het volgende UI-pad: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Deny access to this computer from the network Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21	>= Gasten _(Beleid)	Kritiek
Aanmelden als batchtaak weigeren _{(CCE-36923-1)}	Beschrijving: Deze beleidsinstelling bepaalt welke accounts zich niet als batchtaak kunnen aanmelden bij de computer. Een batchtaak is geen batchbestand (.bat), maar een batchwachtrijfaciliteit. Accounts die de Task Scheduler gebruiken om taken te plannen, hebben dit gebruikersrecht nodig. Het aanmelden bij weigeren als een batchtaakgebruiker overschrijft het recht aanmelden als een batchtaakgebruiker , die kan worden gebruikt om accounts toe te staan taken te plannen die overmatige systeembronnen verbruiken. Een dergelijke gebeurtenis kan een DoS-voorwaarde veroorzaken. Het toewijzen van dit gebruikersrecht aan de aanbevolen accounts kan een beveiligingsrisico zijn. De aanbevolen status voor deze instelling is het volgende: `Guests`. Sleutelpad: [Privilege Rights]SeDenyBatchLogonRight Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Guests` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Deny log on as a batch job Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22	>= Gasten _(Beleid)	Kritiek
Aanmelden als service weigeren _{(CCE-36877-9)}	Beschrijving: Deze beveiligingsinstelling bepaalt welke serviceaccounts voorkomen dat een proces als een service wordt geregistreerd. Deze beleidsinstelling vervangt de beleidsinstelling Aanmelden als een servicebeleid als een account onderhevig is aan beide beleidsregels. De aanbevolen status voor deze instelling is het volgende: `Guests`. Opmerking: deze beveiligingsinstelling is niet van toepassing op de accounts Systeem, Lokale service of Netwerkservice. Sleutelpad: [Privilege Rights]SeDenyServiceLogonRight Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Guests` Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Deny log on as a service Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23	>= Gasten _(Beleid)	Kritiek
Lokaal aanmelden weigeren _{(CCE-37146-8)}	Beschrijving: Deze beveiligingsinstelling bepaalt welke gebruikers zich niet kunnen aanmelden op de computer. Deze beleidsinstelling vervangt de instelling Lokaal aanmelden toestaan als een account onderhevig is aan beide beleidsregels. Belangrijk: Als u dit beveiligingsbeleid toepast op de groep Iedereen, kan niemand zich lokaal aanmelden. De aanbevolen status voor deze instelling is het volgende: `Guests`. Sleutelpad: [Privilege Rights]SeDenyInteractiveLogonRight Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op:`Guests` Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Lokaal aanmelden weigeren Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24	>= Gasten _(Beleid)	Kritiek
Aanmelden weigeren via Extern bureaublad-Services _{(CCE-36867-0)}	Beschrijving: Deze beleidsinstelling bepaalt of gebruikers zich kunnen aanmelden als Terminal Services-clients. Nadat de basislijnlidserver is toegevoegd aan een domeinomgeving, hoeft u geen lokale accounts te gebruiken voor toegang tot de server vanuit het netwerk. Domeinaccounts hebben toegang tot de server voor beheer en verwerking door eindgebruikers. De aanbevolen status voor deze instelling is het volgende: `Guests, Local account`. Waarschuwing: het configureren van een zelfstandige (niet-domein-gekoppelde) server, zoals hierboven beschreven, kan ertoe leiden dat de server niet op afstand kan worden beheerd. Sleutelpad: [Privilege Rights]SeDenyRemoteInteractiveLogonRight Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, configureert u het volgende UI-pad: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Deny log on through Remote Desktop Services Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.2.26	>= Gasten _(Beleid)	Kritiek
Computer- en gebruikersaccounts inschakelen als vertrouwd voor delegering _{(CCE-36860-5)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers de instelling Vertrouwd voor delegatie wijzigen op een computerobject in Active Directory. Misbruik van deze bevoegdheid kan toestaan dat onbevoegde gebruikers andere gebruikers in het netwerk imiteren. - Niveau 1 - Domeincontroller. De aanbevolen status voor deze instelling is: 'Beheer istrators' - Niveau 1 - Lidserver. De aanbevolen status voor deze instelling is: 'Niemand'. Sleutelpad: [Privilege Rights]SeEnableDelegationPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, configureert u het volgende UI-pad: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Enable computer and user accounts to be trusted for delegation Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28	= Niemand _(Beleid)	Kritiek
Afsluiten vanaf een extern systeem _{(CCE-37877-8)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers windows Vista-computers afsluiten vanaf externe locaties in het netwerk. Iedereen aan wie dit gebruikersrecht is toegewezen, kan een DoS-voorwaarde (Denial of Service) veroorzaken, waardoor de computer niet beschikbaar is voor servicegebruikersaanvragen. Daarom wordt aanbevolen dat alleen aan beheerders met een hoge vertrouwensrechten dit gebruikersrecht wordt toegewezen. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeRemoteShutdownPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Force shutdown from a remote system Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29	= Beheer istrators _(Beleid)	Kritiek
Beveiligingscontroles genereren _{(CCE-37639-2)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikers of processen controlerecords kunnen genereren in het beveiligingslogboek. De aanbevolen status voor deze instelling is: `LOCAL SERVICE, NETWORK SERVICE`. Opmerking: voor een lidserver met de webserverfunctie (IIS) met de webserverfunctieservice is een speciale uitzondering op deze aanbeveling vereist, zodat iis-toepassingsgroepen aan dit gebruikersrecht kunnen worden verleend. Opmerking 2: voor een lidserver met de rol Active Directory Federation Services is een speciale uitzondering op deze aanbeveling vereist, om de `NT SERVICE\ADFSSrv` en `NT SERVICE\DRS` services, evenals het bijbehorende Active Directory Federation Services-serviceaccount, dit gebruikersrecht te verlenen. Sleutelpad: [Privilege Rights]SeAuditPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `LOCAL SERVICE, NETWORK SERVICE`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Beveiligingscontroles genereren Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30	<= Lokale service, netwerkservice, IIS APPPOOL\DefaultAppPool _(Beleid)	Kritiek
Een proces-werkset verhogen _{(AZ-WIN-00185)}	Beschrijving: Deze bevoegdheid bepaalt welke gebruikersaccounts de grootte van de werkset van een proces kunnen vergroten of verkleinen. De werkset van een proces is de set geheugenpagina's die momenteel zichtbaar zijn voor het proces in het fysieke RAM-geheugen. Deze pagina's zijn resident en beschikbaar voor een toepassing die kan worden gebruikt zonder een paginafout te activeren. De minimale en maximale grootte van de werkset zijn van invloed op het paginggedrag van het virtuele geheugen van een proces. Wanneer u een gebruiker rechtstreeks in de SCM configureert, voert u een door komma's gescheiden lijst met accounts in. Accounts kunnen lokaal zijn of zich in Active Directory bevinden, ze kunnen groepen, gebruikers of computers zijn. Sleutelpad: [Privilege Rights]SeIncreaseWorkingSetPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad groepsbeleid: Computerconfiguratie\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Increase a process working set Standaardtoewijzingen voor naleving:	<= Beheer istrators, lokale service _(Beleid)	Waarschuwing
Prioriteit verhogen voor planning _{(CCE-38326-5)}	Beschrijving: Deze beleidsinstelling bepaalt of gebruikers de basisprioriteitsklasse van een proces kunnen verhogen. (Het is geen bevoegde bewerking om de relatieve prioriteit binnen een prioriteitsklasse te verhogen.) Dit gebruikersrecht is niet vereist voor beheerhulpprogramma's die bij het besturingssysteem worden geleverd, maar mogelijk vereist zijn door hulpprogramma's voor softwareontwikkeling. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeIncreaseBasePriorityPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators, Window Manager\Window Manager Group`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Increase scheduling priority Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33	= Beheer istrators _(Beleid)	Waarschuwing
Apparaatstuurprogramma's laden en verwijderen _{(CCE-36318-4)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers dynamisch een nieuw apparaatstuurprogramma op een systeem laden. Een aanvaller kan deze mogelijkheid mogelijk gebruiken om schadelijke code te installeren die een apparaatstuurprogramma lijkt te zijn. Dit gebruikersrecht is vereist voor gebruikers om lokale printers of printerstuurprogramma's toe te voegen in Windows Vista. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeLoadDriverPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Load and unload device drivers Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34	<= Beheer istrators, afdrukoperatoren _(Beleid)	Waarschuwing
Pagina's in het geheugen vergrendelen _{(CCE-36495-0)}	Beschrijving: Met deze beleidsinstelling kan een proces gegevens in fysiek geheugen bewaren, waardoor het systeem de gegevens niet kan pagineren naar het virtuele geheugen op schijf. Als dit gebruikersrecht is toegewezen, kan de systeemprestaties aanzienlijk afnemen. De aanbevolen status voor deze instelling is: `No One`. Sleutelpad: [Privilege Rights]SeLockMemoryPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No One`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Lock pages in memory Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35	= Niemand _(Beleid)	Waarschuwing
Controle en beveiligingslogboek beheren _{(CCE-35906-7)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikers de controleopties voor bestanden en mappen kunnen wijzigen en het beveiligingslogboek kunnen wissen. Voor omgevingen waarop Microsoft Exchange Server wordt uitgevoerd, moet de groep Exchange-servers deze bevoegdheid op domeincontrollers hebben om goed te functioneren. Op basis hiervan voldoen DC's die de groep Exchange-servers verlenen deze bevoegdheid wel aan deze benchmark. Als de omgeving geen microsoft Exchange Server gebruikt, moet deze bevoegdheid worden beperkt tot alleen 'Beheer istrators' op DC's. - Niveau 1 - Domeincontroller. De aanbevolen status voor deze instelling is: 'Beheer istrators en (wanneer Exchange wordt uitgevoerd in de omgeving) 'Exchange-servers'. - Niveau 1 - Lidserver. De aanbevolen status voor deze instelling is: 'Beheer istrators' Sleutelpad: [Privilege Rights]SeSecurityPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, configureert u het volgende UI-pad: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Manage auditing and security log Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38	= Beheer istrators _(Beleid)	Kritiek
Een objectlabel wijzigen _{(CCE-36054-5)}	Beschrijving: Deze bevoegdheid bepaalt welke gebruikersaccounts het integriteitslabel van objecten kunnen wijzigen, zoals bestanden, registersleutels of processen die eigendom zijn van andere gebruikers. Processen die worden uitgevoerd onder een gebruikersaccount kunnen het label van een object dat eigendom is van die gebruiker wijzigen in een lager niveau zonder deze bevoegdheid. De aanbevolen status voor deze instelling is: `No One`. Sleutelpad: [Privilege Rights]SeRelabelPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `No One`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Modify an object label Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.2.39 CIS WS2022 2.2.39	= Niemand _(Beleid)	Waarschuwing
Omgevingswaarden in firmware wijzigen _{(CCE-38113-7)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers de omgevingsvariabelen voor het hele systeem configureren die van invloed zijn op de hardwareconfiguratie. Deze informatie wordt doorgaans opgeslagen in de laatst bekende goede configuratie. Wijziging van deze waarden en kan leiden tot een hardwarefout die zou leiden tot een denial of service-voorwaarde. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeSystemEnvironmentPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Modify firmware environment values Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40	= Beheer istrators _(Beleid)	Waarschuwing
Onderhoudstaken op volume uitvoeren _{(CCE-36143-6)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers de volume- of schijfconfiguratie van het systeem beheren, waardoor een gebruiker een volume kan verwijderen en gegevensverlies kan veroorzaken, evenals een denial-of-service-voorwaarde. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeManageVolumePrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Perform volume maintenance tasks Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41	= Beheer istrators _(Beleid)	Waarschuwing
Een enkel proces bekijken _{(CCE-37131-0)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikers hulpprogramma's kunnen gebruiken om de prestaties van niet-systeemprocessen te bewaken. Normaal gesproken hoeft u dit gebruikersrecht niet te configureren voor het gebruik van de MMC-module (Microsoft Management Console) Performance. U hebt dit gebruikersrecht echter nodig als System Monitor is geconfigureerd voor het verzamelen van gegevens met WMI (Windows Management Instrumentation). Door het gebruikersrecht voor één proces profiel te beperken, kunnen indringers geen aanvullende informatie verkrijgen die kan worden gebruikt om een aanval op het systeem te koppelen. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeProfileSingleProcessPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Profile single process Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42	= Beheer istrators _(Beleid)	Waarschuwing
Systeemprestaties bekijken _{(CCE-36052-9)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers hulpprogramma's gebruiken om de prestaties van verschillende systeemprocessen te bekijken, die kunnen worden misbruikt om aanvallers toe te staan de actieve processen van een systeem te bepalen en inzicht te geven in de potentiële kwetsbaarheid voor aanvallen van de computer. De aanbevolen status voor deze instelling is: `Administrators, NT SERVICE\WdiServiceHost`. Sleutelpad: [Privilege Rights]SeSystemProfilePrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators, NT SERVICE\WdiServiceHost`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Profile system performance Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.2.43 CIS WS2022 2.2.43	<= Beheer istrators, NT SERVICE\WdiServiceHost _(Beleid)	Waarschuwing
Een token op procesniveau vervangen _{(CCE-37430-6)}	Beschrijving: Met deze beleidsinstelling kan één proces of service een andere service of een ander proces starten met een ander toegangstoken voor beveiliging. Dit kan worden gebruikt om het beveiligingstoken van dat subproces te wijzigen en leidt tot escalatie van bevoegdheden. De aanbevolen status voor deze instelling is: `LOCAL SERVICE, NETWORK SERVICE`. Opmerking: voor een lidserver met de webserverfunctie (IIS) met de webserverfunctieservice is een speciale uitzondering op deze aanbeveling vereist, zodat iis-toepassingsgroepen aan dit gebruikersrecht kunnen worden verleend. Opmerking 2: voor een lidserver waarop Microsoft SQL Server is geïnstalleerd, is een speciale uitzondering op deze aanbeveling vereist voor extra door SQL gegenereerde vermeldingen om dit gebruikersrecht toe te kennen. Sleutelpad: [Privilege Rights]SeAssignPrimaryTokenPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `LOCAL SERVICE, NETWORK SERVICE`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Replace a process level token Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.2.44 CIS WS2022 2.2.44	<= LOKALE SERVICE, NETWERKSERVICE _(Beleid)	Waarschuwing
Back-ups van bestanden en mappen terugzetten _{(CCE-37613-7)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikers bestands-, map-, register- en andere permanente objectmachtigingen kunnen omzeilen bij het herstellen van back-ups van bestanden en mappen op computers met Windows Vista in uw omgeving. Dit gebruikersrecht bepaalt ook welke gebruikers geldige beveiligingsprincipals kunnen instellen als objecteigenaren; het is vergelijkbaar met het gebruikersrecht back-upbestanden en mappen. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeRestorePrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Bestanden en mappen herstellen Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.2.45	<= Beheer istrators, back-upoperators _(Beleid)	Waarschuwing
Het systeem afsluiten _{(CCE-38328-1)}	Beschrijving: Deze beleidsinstelling bepaalt welke gebruikers die lokaal zijn aangemeld bij de computers in uw omgeving, het besturingssysteem kunnen afsluiten met de opdracht Afsluiten. Misbruik van dit gebruikersrecht kan leiden tot een denial of service-voorwaarde. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeShutdownPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Local Policies\User Rights Assignment\Shut down the system Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 2.2.46 CIS WS2022 2.2.46	<= Beheer istrators, back-upoperators _(Beleid)	Waarschuwing
Eigenaar worden van bestanden of andere objecten _{(CCE-38325-7)}	Beschrijving: Met deze beleidsinstelling kunnen gebruikers eigenaar worden van bestanden, mappen, registersleutels, processen of threads. Met dit gebruikersrecht worden machtigingen omzeild die aanwezig zijn om objecten te beschermen om eigendom te geven aan de opgegeven gebruiker. De aanbevolen status voor deze instelling is: `Administrators`. Sleutelpad: [Privilege Rights]SeTakeOwnershipPrivilege Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Administrators`in op: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Eigenaar worden van bestanden of andere objecten Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48	= Beheer istrators _(Beleid)	Kritiek
Het imiteren van een client na verificatiegebruikersrecht mag alleen worden toegewezen aan Beheer istrators, Service, Lokale Service en Netwerkservice. _{(AZ-WIN-73785)}	Beschrijving: Met de beleidsinstelling kunnen programma's die namens een gebruiker worden uitgevoerd, die gebruiker (of een ander opgegeven account) imiteren, zodat ze namens de gebruiker kunnen handelen. Als dit gebruikersrecht vereist is voor dit soort imitatie, kan een onbevoegde gebruiker een client niet overtuigen om verbinding te maken, bijvoorbeeld door externe procedureaanroep (RPC) of benoemde pipes naar een service die ze hebben gemaakt om die client te imiteren, waardoor de machtigingen van onbevoegde gebruikers voor beheerders- of systeemniveaus kunnen worden uitgebreid. Services die door Service Control Manager worden gestart, hebben de ingebouwde servicegroep standaard toegevoegd aan hun toegangstokens. COM-servers die zijn gestart door de COM-infrastructuur en zijn geconfigureerd voor uitvoering onder een specifiek account, hebben ook de servicegroep toegevoegd aan hun toegangstokens. Als gevolg hiervan worden deze processen aan deze gebruiker toegewezen wanneer ze worden gestart. Een gebruiker kan ook een toegangstoken imiteren als een van de volgende voorwaarden bestaat: - Het toegangstoken dat wordt geïmiteerd, is voor deze gebruiker. - De gebruiker, in deze aanmeldingssessie, heeft zich aangemeld bij het netwerk met expliciete referenties om het toegangstoken te maken. - Het aangevraagde niveau is kleiner dan imitatie, zoals Anoniem of Identificeren. Een aanvaller met het imitatierecht van een client na verificatie kan een service maken, een client misleiden om verbinding te maken met de service en die client vervolgens imiteren om het toegangsniveau van de aanvaller tot die van de client te verhogen. De aanbevolen status voor deze instelling is: `Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE`. Opmerking: dit gebruikersrecht wordt beschouwd als een 'gevoelige bevoegdheid' voor controledoeleinden. Opmerking 2: voor een lidserver met Microsoft SQL Server en het optionele onderdeel Integration Services dat is geïnstalleerd, is een speciale uitzondering op deze aanbeveling vereist voor extra door SQL gegenereerde vermeldingen om dit gebruikersrecht te krijgen. Sleutelpad: [Privilege Rights]SeImpersonatePrivilege Besturingssysteem: WS2016, WS2019 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Een client imiteren na verificatie Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.2.31 CIS WS2019 2.2.31	<= Beheer istrators,Service,Lokale service,Netwerkservice _(Beleid)	Belangrijk

Windows-onderdelen

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Basisverificatie toestaan _{(CCE-36254-1)}	Beschrijving: Met deze beleidsinstelling kunt u beheren of de WinRM-service (Windows Remote Management) basisverificatie van een externe client accepteert. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Windows Remote Management (WinRM)\WinRM-service\Basisverificatie toestaan Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `WindowsRemoteManagement.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1	Bestaat niet of = 0 _(Register)	Kritiek
Diagnostische gegevens toestaan _{(AZ-WIN-00169)}	Beschrijving: Deze beleidsinstelling bepaalt de hoeveelheid diagnostische gegevens en gebruiksgegevens die worden gerapporteerd aan Microsoft. Een waarde van 0 verzendt minimale gegevens naar Microsoft. Deze gegevens omvatten MSRT -gegevens (Malicious Software Removal Tool) & Windows Defender, indien ingeschakeld en clientinstellingen voor telemetrie. Het instellen van een waarde van 0 is alleen van toepassing op enterprise-, EDU-, IoT- en serverapparaten. Het instellen van een waarde van 0 voor andere apparaten is gelijk aan het kiezen van een waarde van 1. Een waarde van 1 verzendt slechts een basishoeveelheid diagnostische gegevens en gebruiksgegevens. Houd er rekening mee dat het instellen van waarden van 0 of 1 bepaalde ervaringen op het apparaat verslechtert. Een waarde van 2 verzendt uitgebreide diagnostische gegevens en gebruiksgegevens. Een waarde van 3 verzendt dezelfde gegevens als een waarde van 2, plus aanvullende diagnostische gegevens, inclusief de bestanden en inhoud die het probleem mogelijk hebben veroorzaakt. Telemetrie-instellingen voor Windows 10 zijn van toepassing op het Windows-besturingssysteem en enkele apps van de eerste partij. Deze instelling is niet van toepassing op apps van derden die worden uitgevoerd in Windows 10. De aanbevolen status voor deze instelling is: `Enabled: 0 - Security [Enterprise Only]`. Opmerking: als de instelling Telemetrie toestaan is geconfigureerd op '0 - Beveiliging [alleen onderneming]', hebben de opties in Windows Update om upgrades en updates uit te stellen geen effect. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled: Diagnostic data off (not recommended)` in op of `Enabled: Send required diagnostic data`: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Gegevensverzameling en preview-versies\Diagnostische gegevens toestaan Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'DataCollection.admx/adml' die is opgenomen in de Microsoft Windows 11-release 21H2 Beheer istratieve sjablonen (of nieuwer). Opmerking #2: In oudere Microsoft Windows Beheer istratieve sjablonen werd deze instelling in eerste instantie Telemetrie toestaan genoemd, maar deze is hernoemd naar Diagnostische gegevens toestaan vanaf de Windows 11 Release 21H2 Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1	>= 1 _(Register)	Waarschuwing
Indexering van versleutelde bestanden toestaan _{(CCE-38277-0)}	Beschrijving: Deze beleidsinstelling bepaalt of versleutelde items mogen worden geïndexeerd. Wanneer deze instelling wordt gewijzigd, wordt de index volledig opnieuw opgebouwd. Volledige volumeversleuteling (zoals BitLocker-stationsversleuteling of een niet-Microsoft-oplossing) moet worden gebruikt voor de locatie van de index om de beveiliging voor versleutelde bestanden te behouden. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Zoeken\Indexering van versleutelde bestanden toestaan Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `Search.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3	Bestaat niet of = 0 _(Register)	Waarschuwing
Toestaan dat Microsoft-accounts optioneel zijn _{(CCE-38354-7)}	Beschrijving: Met deze beleidsinstelling kunt u bepalen of Microsoft-accounts optioneel zijn voor Windows Store-apps waarvoor een account is vereist om zich aan te melden. Dit beleid is alleen van invloed op Windows Store-apps die dit ondersteunen. Als u deze beleidsinstelling inschakelt, kunnen Windows Store-apps waarvoor doorgaans een Microsoft-account is vereist om zich aan te melden, gebruikers zich aanmelden met een ondernemingsaccount. Als u deze beleidsinstelling uitschakelt of niet configureert, moeten gebruikers zich aanmelden met een Microsoft-account. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional Besturingssysteem: WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\App runtime\Allow Microsoft accounts to be optional Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'AppXRuntime.admx/adml' die is opgenomen in de Microsoft Windows 8.1 & Server 2012 R2 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.6.1	= 1 _(Register)	Waarschuwing
Niet-versleuteld verkeer toestaan _{(CCE-38223-4)}	Beschrijving: Met deze beleidsinstelling kunt u beheren of de WinRM-service (Windows Remote Management) niet-versleutelde berichten via het netwerk verzendt en ontvangt. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow unencrypted traffic Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `WindowsRemoteManagement.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3	Bestaat niet of = 0 _(Register)	Kritiek
Gebruikersbeheer over installaties toestaan _{(CCE-36400-0)}	Beschrijving: Hiermee kunnen gebruikers installatieopties wijzigen die doorgaans alleen beschikbaar zijn voor systeembeheerders. De beveiligingsfuncties van Windows Installer voorkomen dat gebruikers installatieopties wijzigen die doorgaans zijn gereserveerd voor systeembeheerders, zoals het opgeven van de map waarin bestanden worden geïnstalleerd. Als Windows Installer detecteert dat een installatiepakket de gebruiker heeft toegestaan een beveiligde optie te wijzigen, wordt de installatie gestopt en wordt er een bericht weergegeven. Deze beveiligingsfuncties werken alleen wanneer het installatieprogramma wordt uitgevoerd in een bevoegde beveiligingscontext waarin het toegang heeft tot mappen die aan de gebruiker zijn geweigerd. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Windows Installer\Allow user control over installs Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `MSI.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows Beheer istratieve sjablonen heeft deze instelling de naam Gebruikersbeheer over installaties inschakelen, maar de naam is gewijzigd vanaf windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1	Bestaat niet of = 0 _(Register)	Kritiek
Altijd installeren met verhoogde bevoegdheden _{(CCE-37490-0)}	Beschrijving: Met deze instelling bepaalt u of Windows Installer systeemmachtigingen moet gebruiken wanneer een programma op het systeem wordt geïnstalleerd. Opmerking: deze instelling wordt zowel weergegeven in de mappen Computerconfiguratie als Gebruikersconfiguratie. Als u deze instelling effectief wilt maken, moet u de instelling in beide mappen inschakelen. Waarschuwing: indien ingeschakeld, kunnen ervaren gebruikers profiteren van de machtigingen die deze instelling verleent om hun bevoegdheden te wijzigen en permanente toegang te krijgen tot beperkte bestanden en mappen. Houd er rekening mee dat de gebruikersconfiguratieversie van deze instelling niet gegarandeerd veilig is. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: Domeinlid, Werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Gebruikersconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Windows Installer\Altijd installeren met verhoogde bevoegdheden Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `MSI.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2	Bestaat niet of = 0 _(Register)	Waarschuwing
Altijd vragen om wachtwoord bij verbinding _{(CCE-37929-7)}	Beschrijving: Deze beleidsinstelling geeft aan of Terminal Services de clientcomputer altijd vraagt om een wachtwoord bij de verbinding. U kunt deze beleidsinstelling gebruiken om een wachtwoordprompt af te dwingen voor gebruikers die zich aanmelden bij Terminal Services, zelfs als ze het wachtwoord al hebben opgegeven in de extern bureaublad-Verbinding maken ion-client. Met Terminal Services kunnen gebruikers zich standaard automatisch aanmelden als ze een wachtwoord invoeren in de extern bureaublad-Verbinding maken ion-client. Opmerking Als u deze beleidsinstelling niet configureert, kan de lokale computerbeheerder het hulpprogramma Terminal Services-configuratie gebruiken om toe te staan of te voorkomen dat wachtwoorden automatisch worden verzonden. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Always prompt for password upon connection Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'TerminalServer.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In de Microsoft Windows Vista Beheer istratieve sjablonen is deze instelling altijd de client om een wachtwoord gevraagd bij de verbinding, maar de naam is gewijzigd vanaf de Windows Server 2008 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.65.3.9.1	= 1 _(Register)	Kritiek
Toepassing: Gedrag van gebeurtenislogboek beheren wanneer het logboekbestand de maximale grootte bereikt _{(CCE-37775-4)}	Beschrijving: Met deze beleidsinstelling wordt het gedrag van gebeurtenislogboeken bepaald wanneer het logboekbestand de maximale grootte bereikt. Als u deze beleidsinstelling inschakelt en een logboekbestand de maximale grootte bereikt, worden nieuwe gebeurtenissen niet naar het logboek geschreven en gaan ze verloren. Als u deze beleidsinstelling uitschakelt of niet configureert en een logboekbestand de maximale grootte bereikt, overschrijven nieuwe gebeurtenissen oude gebeurtenissen. Opmerking: Oude gebeurtenissen worden al dan niet bewaard volgens de beleidsinstelling Back-uplogboek automatisch wanneer deze vol is. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Event Log Service\Application\Control Event Log Log behavior when the log file reaches its maximum size Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'EventLog.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows Beheer istratieve sjablonen werd deze instelling oorspronkelijk oude gebeurtenissen behouden genoemd, maar de naam is gewijzigd vanaf windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.27.1.1	Bestaat niet of = 0 _(Register)	Kritiek
Toepassing: Geef de maximale grootte van logboekbestanden op (KB) _{(CCE-37948-7)}	Beschrijving: Met deze beleidsinstelling wordt de maximale grootte van het logboekbestand in kilobytes opgegeven. Als u deze beleidsinstelling inschakelt, kunt u de maximale grootte van het logboekbestand instellen op 1 megabyte (1024 kilobytes) en 2 terabytes (2147483647 kilobytes) in stappen van kilobyte. Als u deze beleidsinstelling uitschakelt of niet configureert, wordt de maximale grootte van het logboekbestand ingesteld op de lokaal geconfigureerde waarde. Deze waarde kan worden gewijzigd door de lokale beheerder met behulp van het dialoogvenster Logboekeigenschappen en wordt standaard ingesteld op 20 megabytes. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled: 32,768 or greater`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Event Log Service\Application\Specify the maximum log file size (KB) Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'EventLog.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows-Beheer istratieve sjablonen werd deze instelling aanvankelijk maximale logboekgrootte (KB) genoemd, maar de naam is gewijzigd vanaf de Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.27.1.2	>= 32768 _(Register)	Kritiek
Alle gebruikersverificatie van het Microsoft-account voor consumenten blokkeren _{(AZ-WIN-20198)}	Beschrijving: Deze instelling bepaalt of toepassingen en services op het apparaat gebruikmaken van nieuwe microsoft-accountverificatie voor consumenten via windows `OnlineID` en `WebAccountManager` API's. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth Besturingssysteem: WS2016, WS2019 Servertype: domeincontroller, domeinlid, werkgroeplid Pad groepsbeleid: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Microsoft accounts\Block all consumer Microsoft account user authentication Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1	= 1 _(Register)	Kritiek
Overschrijving van lokale instelling configureren voor rapportage aan Microsoft MAPS _{(AZ-WIN-00173)}	Beschrijving: Met deze beleidsinstelling configureert u een lokale onderdrukking voor de configuratie om lid te worden van Microsoft MAPS. Deze instelling kan alleen worden ingesteld op groepsbeleid. Als u deze instelling inschakelt, heeft de lokale voorkeursinstelling voorrang op groepsbeleid. Als u deze instelling uitschakelt of niet configureert, heeft groepsbeleid voorrang op de lokale voorkeursinstelling. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Windows Defender Antivirus\MAPS\Configure local setting override for reporting to Microsoft MAPS Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon `WindowsDefender.admx/adml` die is opgenomen in de Microsoft Windows 8.1 & Server 2012 R2 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1	Bestaat niet of = 0 _(Register)	Waarschuwing
Windows SmartScreen configureren _{(CCE-35859-8)}	Beschrijving: Met deze beleidsinstelling kunt u het gedrag van Windows SmartScreen beheren. Windows SmartScreen helpt pc's veiliger te houden door gebruikers te waarschuwen voordat niet-herkende programma's worden uitgevoerd die zijn gedownload van internet. Sommige informatie wordt naar Microsoft verzonden over bestanden en programma's die worden uitgevoerd op pc's waarvoor deze functie is ingeschakeld. Als u deze beleidsinstelling inschakelt, kan het gedrag van Windows SmartScreen worden bepaald door een van de volgende opties in te stellen: * Geef de gebruiker een waarschuwing voordat u onbekende software uitvoert * Schakel SmartScreen uit als u deze beleidsinstelling uitschakelt of niet configureert, wordt het gedrag van Windows SmartScreen beheerd door beheerders op de pc met behulp van Windows SmartScreen Instellingen in Beveiliging en onderhoud. Opties: * Geef de gebruiker een waarschuwing voordat onbekende software wordt uitgevoerd * SmartScreen uitschakelen Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Waarschuwen en omzeilen: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows Components\Windows Defender SmartScreen\Verkenner\Windows Defender SmartScreen configureren: dit pad voor groepsbeleid bestaat mogelijk niet standaard. Deze wordt geleverd door de groepsbeleidssjabloon WindowsExplorer.admx/adml die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of hoger). Opmerking #2: In oudere Microsoft Windows-Beheer istratieve sjablonen werd deze instelling in eerste instantie Windows SmartScreen configureren genoemd, maar de naam is gewijzigd vanaf de Windows 10-versie 1703 Beheer istische sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.85.1.1	= 1 _(Register)	Waarschuwing
Wijziging van standaard-RDP-poort detecteren _{(AZ-WIN-00156)}	Beschrijving: Deze instelling bepaalt of de netwerkpoort die luistert naar Extern bureaublad-Verbinding maken ionen is gewijzigd van de standaard 3389 Sleutelpad: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: niet van toepassing Standaardtoewijzingen voor naleving:	= 3389 _(Register)	Kritiek
Windows Search-service uitschakelen _{(AZ-WIN-00176)}	Beschrijving: Met deze registerinstelling wordt de Windows Search-service uitgeschakeld Sleutelpad: System\CurrentControlSet\Services\Wsearch\Start Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: niet van toepassing Standaardtoewijzingen voor naleving:	Bestaat niet of = 4 _(Register)	Kritiek
Automatisch afspelen voor apparaten zonder volume weigeren _{(CCE-37636-8)}	Beschrijving: Deze beleidsinstelling staat automatisch afspelen voor MTP-apparaten, zoals camera's of telefoons, niet toe. Als u deze beleidsinstelling inschakelt, is Automatisch afspelen niet toegestaan voor MTP-apparaten, zoals camera's of telefoons. Als u deze beleidsinstelling uitschakelt of niet configureert, wordt Automatisch afspelen ingeschakeld voor apparaten zonder volume. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume Besturingssysteem: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\AutoPlay Policies\Disallow AutoPlay for non-volume devices Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'AutoPlay.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.8.1	= 1 _(Register)	Kritiek
Digest-verificatie niet accepteren _{(CCE-38318-2)}	Beschrijving: Met deze beleidsinstelling kunt u beheren of de WinRM-client (Windows Remote Management) geen digest-verificatie gebruikt. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client\Disallow Digest authentication Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `WindowsRemoteManagement.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3	= 0 _(Register)	Kritiek
WinRM weigeren om RunAs-referenties op te slaan _{(CCE-36000-8)}	Beschrijving: Met deze beleidsinstelling kunt u beheren of de WinRM-service (Windows Remote Management) niet toestaat dat RunAs-referenties worden opgeslagen voor invoegtoepassingen. Als u deze beleidsinstelling inschakelt, staat de WinRM-service niet toe dat de RunAsUser- of RunAsPassword-configuratiewaarden worden ingesteld voor invoegtoepassingen. Als een invoegtoepassing de configuratiewaarden van RunAsUser en RunAsPassword al heeft ingesteld, wordt de configuratiewaarde van RunAsPassword gewist uit het referentiearchief op deze computer. Als u deze beleidsinstelling uitschakelt of niet configureert, worden de RunAsUser- en RunAsPassword-configuratiewaarden door de WinRM-service veilig opgeslagen voor invoegtoepassingen en worden de RunAsPassword-waarde veilig opgeslagen. Als u deze beleidsinstelling inschakelt en vervolgens uitschakelt, moeten alle waarden die eerder zijn geconfigureerd voor RunAsPassword opnieuw worden ingesteld. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Windows Remote Management (WinRM)\WinRM-service\WinRM weigeren om RunAs-referenties op te slaan Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'WindowsRemoteManagement.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.102.2.4	= 1 _(Register)	Kritiek
Niet toestaan dat wachtwoorden worden opgeslagen _{(CCE-36223-6)}	Beschrijving: Deze beleidsinstelling helpt voorkomen dat Terminal Services-clients wachtwoorden opslaan op een computer. Opmerking Als deze beleidsinstelling eerder is geconfigureerd als Uitgeschakeld of Niet geconfigureerd, worden eerder opgeslagen wachtwoorden verwijderd wanneer een Terminal Services-client voor het eerst verbinding maakt met een server. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Extern bureaublad-services\Extern bureaublad-Verbinding maken ion-client\Wachtwoorden niet opslaan Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'TerminalServer.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.65.2.2	= 1 _(Register)	Kritiek
Tijdelijke mappen niet verwijderen bij het afsluiten _{(CCE-37946-1)}	Beschrijving: Deze beleidsinstelling geeft aan of Extern bureaublad-services tijdelijke mappen van een gebruiker per sessie behouden bij afmelden. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Extern bureaublad-services\Extern bureaublad-sessiehost\Tijdelijke mappen\Tijdelijke mappen niet verwijderen bij het afsluiten Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'TerminalServer.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows Beheer istratieve sjablonen heeft deze instelling de naam Tijdelijke map niet verwijderen bij het afsluiten, maar de naam is gewijzigd vanaf de Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.65.3.11.1	Bestaat niet of = 1 _(Register)	Waarschuwing
De knop Voor het weergeven van wachtwoorden niet weergeven _{(CCE-37534-5)}	Beschrijving: Met deze beleidsinstelling kunt u de weergave van de knop Voor het weergeven van wachtwoorden configureren in gebruikerservaringen voor wachtwoordinvoer. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal Besturingssysteem: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Credential User Interface\Do not display the password reveal button Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'CredUI.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.16.1	= 1 _(Register)	Waarschuwing
Geen feedbackmeldingen weergeven _{(AZ-WIN-00140)}	Beschrijving: Met deze beleidsinstelling kan een organisatie voorkomen dat de apparaten feedbackvragen van Microsoft weergeven. Als u deze beleidsinstelling inschakelt, zien gebruikers geen feedbackmeldingen meer via de Windows Feedback-app. Als u deze beleidsinstelling uitschakelt of niet configureert, zien gebruikers mogelijk meldingen via de Windows Feedback-app waarin gebruikers om feedback wordt gevraagd. Opmerking: als u deze beleidsinstelling uitschakelt of niet configureert, kunnen gebruikers bepalen hoe vaak ze feedbackvragen ontvangen. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Data Collection and Preview Builds\Do not show feedback notifications Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'FeedbackNotifications.admx/adml' die is opgenomen in de Microsoft Windows 10-release 1511 Beheer istratieve sjablonen (of hoger). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.17.4	= 1 _(Register)	Kritiek
Tijdelijke mappen per sessie niet gebruiken _{(CCE-38180-6)}	Beschrijving: Extern bureaublad-services maken standaard een afzonderlijke tijdelijke map op de RD Session Host-server voor elke actieve sessie die een gebruiker onderhoudt op de RD Session Host-server. De tijdelijke map wordt gemaakt op de RD Session Host-server in een tijdelijke map onder de profielmap van de gebruiker en heeft de naam met de 'sessionid'. Deze tijdelijke map wordt gebruikt voor het opslaan van afzonderlijke tijdelijke bestanden. Als u schijfruimte wilt vrijmaken, wordt de tijdelijke map verwijderd wanneer de gebruiker zich afmeldt bij een sessie. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Extern bureaublad-services\Extern bureaublad-sessiehost\Tijdelijke mappen\Gebruik geen tijdelijke mappen per sessie Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'TerminalServer.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.65.3.11.2	Bestaat niet of = 1 _(Register)	Kritiek
Beheerdersaccounts opsommen over benodigde bevoegdheden _{(CCE-36512-2)}	Beschrijving: Met deze beleidsinstelling bepaalt u of beheerdersaccounts worden weergegeven wanneer een gebruiker een actieve toepassing probeert uit te breiden. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\Enumerate Beheer istrators Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Credential User Interface\Enumerate administrator accounts on elevation Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `CredUI.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2	Bestaat niet of = 0 _(Register)	Waarschuwing
Downloaden van bijlagen voorkomen _{(CCE-37126-0)}	Beschrijving: Deze beleidsinstelling voorkomt dat de gebruiker bijlagen (bestandsbijlagen) heeft gedownload van een feed naar de computer van de gebruiker. De aanbevolen status voor deze instelling is: `Enabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\RSS Feeds\Prevent download of enclosures Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'InetRes.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows Beheer istratieve sjablonen heeft deze instelling het downloaden van behuizingen uitgeschakeld, maar de naam is gewijzigd vanaf windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.66.1	= 1 _(Register)	Waarschuwing
Veilige RPC-communicatie vereisen _{(CCE-37567-5)}	Beschrijving: Hiermee geeft u op of een extern bureaublad-sessiehostserver beveiligde RPC-communicatie met alle clients vereist of onbeveiligde communicatie toestaat. U kunt deze instelling gebruiken om de beveiliging van RPC-communicatie met clients te versterken door alleen geverifieerde en versleutelde aanvragen toe te staan. Als de status is ingesteld op Ingeschakeld, accepteert Extern bureaublad-services aanvragen van RPC-clients die beveiligde aanvragen ondersteunen en staat niet onbeveiligde communicatie met niet-vertrouwde clients toe. Als de status is ingesteld op Uitgeschakeld, vraagt Extern bureaublad-services altijd om beveiliging voor al het RPC-verkeer. Niet-beveiligde communicatie is echter toegestaan voor RPC-clients die niet reageren op de aanvraag. Als de status is ingesteld op Niet geconfigureerd, is onbeveiligde communicatie toegestaan. Opmerking: de RPC-interface wordt gebruikt voor het beheren en configureren van Extern bureaublad-services. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Extern bureaublad-services\Extern bureaublad-sessiehost\Beveiliging\Beveiligde RPC-communicatie vereisen Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'TerminalServer.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.65.3.9.2	= 1 _(Register)	Kritiek
Gebruikersverificatie vereisen voor externe verbindingen met behulp van verificatie op netwerkniveau _{(AZ-WIN-00149)}	Beschrijving: Gebruikersverificatie vereisen voor externe verbindingen met behulp van verificatie op netwerkniveau Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Extern bureaublad-services\Extern bureaublad-sessiehost\Beveiliging\Gebruikersverificatie vereisen voor externe verbindingen met behulp van verificatie op netwerkniveau Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'TerminalServer.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In de Microsoft Windows Vista Beheer istratieve sjablonen is deze instelling in eerste instantie gebruikersverificatie vereisen met behulp van RDP 6.0 voor externe verbindingen, maar de naam is gewijzigd vanaf de Windows Server 2008 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.65.3.9.4	Bestaat niet of = 1 _(Register)	Kritiek
Verwisselbare stations scannen _{(AZ-WIN-00177)}	Beschrijving: Met deze beleidsinstelling kunt u beheren of u wilt scannen op schadelijke software en ongewenste software in de inhoud van verwisselbare stations, zoals USB-flashstations bij het uitvoeren van een volledige scan. Als u deze instelling inschakelt, worden verwisselbare stations gescand tijdens elk type scan. Als u deze instelling uitschakelt of niet configureert, worden verwisselbare stations niet gescand tijdens een volledige scan. Verwisselbare stations kunnen nog steeds worden gescand tijdens snelle scan en aangepaste scan. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Windows Defender Antivirus\Scan\Scan verwisselbare stations Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon `WindowsDefender.admx/adml` die is opgenomen in de Microsoft Windows 8.1 & Server 2012 R2 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1	= 0 _(Register)	Kritiek
Beveiliging: Gedrag van gebeurtenislogboek beheren wanneer het logboekbestand de maximale grootte bereikt _{(CCE-37145-0)}	Beschrijving: Met deze beleidsinstelling wordt het gedrag van gebeurtenislogboeken bepaald wanneer het logboekbestand de maximale grootte bereikt. Als u deze beleidsinstelling inschakelt en een logboekbestand de maximale grootte bereikt, worden nieuwe gebeurtenissen niet naar het logboek geschreven en gaan ze verloren. Als u deze beleidsinstelling uitschakelt of niet configureert en een logboekbestand de maximale grootte bereikt, overschrijven nieuwe gebeurtenissen oude gebeurtenissen. Opmerking: Oude gebeurtenissen worden al dan niet bewaard volgens de beleidsinstelling Back-uplogboek automatisch wanneer deze vol is. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Event Log Service\Security\Control Event Log Log behavior when the log file reaches its maximum size Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'EventLog.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows Beheer istratieve sjablonen werd deze instelling oorspronkelijk oude gebeurtenissen behouden genoemd, maar de naam is gewijzigd vanaf windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.27.2.1	Bestaat niet of = 0 _(Register)	Kritiek
Beveiliging: Geef de maximale grootte van logboekbestanden op (KB) _{(CCE-37695-4)}	Beschrijving: Met deze beleidsinstelling wordt de maximale grootte van het logboekbestand in kilobytes opgegeven. Als u deze beleidsinstelling inschakelt, kunt u de maximale grootte van het logboekbestand instellen op 1 megabyte (1024 kilobytes) en 2 terabytes (2.147.483.647 kilobytes) in stappen van kilobyte. Als u deze beleidsinstelling uitschakelt of niet configureert, wordt de maximale grootte van het logboekbestand ingesteld op de lokaal geconfigureerde waarde. Deze waarde kan worden gewijzigd door de lokale beheerder met behulp van het dialoogvenster Logboekeigenschappen en wordt standaard ingesteld op 20 megabytes. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled: 196,608 or greater`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Event Log Service\Security\Specify the maximum log file size (KB) Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'EventLog.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows-Beheer istratieve sjablonen werd deze instelling aanvankelijk maximale logboekgrootte (KB) genoemd, maar de naam is gewijzigd vanaf de Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.27.2.2	>= 196608 _(Register)	Kritiek
Bestandsvoorbeelden verzenden wanneer verdere analyse is vereist _{(AZ-WIN-00126)}	Beschrijving: Deze beleidsinstelling configureert het gedrag van het verzenden van voorbeelden wanneer de opt-in voor MAPS-telemetrie is ingesteld. Mogelijke opties zijn: (0x0) Altijd vragen (0x1) Automatisch veilige voorbeelden verzenden (0x2) Nooit alle voorbeelden automatisch verzenden (0x3) Alle voorbeelden automatisch verzenden Sleutelpad: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beheer istratieve sjablonen\Windows-onderdelen\Microsoft Defender Antivirus\MAPS\Bestandsvoorbeelden verzenden wanneer verdere analyse is vereist Standaardtoewijzingen voor naleving:	= 1 _(Register)	Waarschuwing
Versleutelingsniveau van clientverbinding instellen _{(CCE-36627-8)}	Beschrijving: Deze beleidsinstelling geeft aan of de computer die op het punt staat om de externe verbinding te hosten, een versleutelingsniveau afdwingt voor alle gegevens die ertussen en de clientcomputer voor de externe sessie worden verzonden. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled: High Level`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Set client connection encryption level Opmerking: dit pad voor groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'TerminalServer.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.65.3.9.5	Bestaat niet of = 3 _(Register)	Kritiek
Het standaardgedrag voor AutoRun instellen _{(CCE-38217-6)}	Beschrijving: Met deze beleidsinstelling wordt het standaardgedrag voor AutoRun-opdrachten ingesteld. AutoRun-opdrachten worden over het algemeen opgeslagen in autorun.inf-bestanden. Ze starten vaak het installatieprogramma of andere routines. Voorafgaand aan Windows Vista, wanneer media met een autorun-opdracht wordt ingevoegd, wordt het programma automatisch uitgevoerd zonder tussenkomst van de gebruiker. Hierdoor ontstaat een groot beveiligingsprobleem, omdat code zonder kennis van de gebruiker kan worden uitgevoerd. Het standaardgedrag dat begint met Windows Vista, is om de gebruiker te vragen of de autorun-opdracht moet worden uitgevoerd. De opdracht autorun wordt weergegeven als een handler in het dialoogvenster Automatisch afspelen. Als u deze beleidsinstelling inschakelt, kan een Beheer istrator het standaardgedrag van Windows Vista of hoger voor AutoRun wijzigen in: a) AutoRun-opdrachten volledig uitschakelen of b) Terugkeren naar pre-Windows Vista-gedrag van het automatisch uitvoeren van de autorun-opdracht. Als u deze beleidsinstelling uitschakelt of niet configureert, wordt in Windows Vista of hoger de gebruiker gevraagd of de autorun-opdracht moet worden uitgevoerd. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled: Do not execute any autorun commands`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\AutoPlay Policies\Set the default behavior for AutoRun Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'AutoPlay.admx/adml' die is opgenomen in de Microsoft Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.8.2	= 1 _(Register)	Kritiek
Instellen: Gedrag van gebeurtenislogboek beheren wanneer het logboekbestand de maximale grootte bereikt _{(CCE-38276-2)}	Beschrijving: Met deze beleidsinstelling wordt het gedrag van gebeurtenislogboeken bepaald wanneer het logboekbestand de maximale grootte bereikt. Als u deze beleidsinstelling inschakelt en een logboekbestand de maximale grootte bereikt, worden nieuwe gebeurtenissen niet naar het logboek geschreven en gaan ze verloren. Als u deze beleidsinstelling uitschakelt of niet configureert en een logboekbestand de maximale grootte bereikt, overschrijven nieuwe gebeurtenissen oude gebeurtenissen. Opmerking: Oude gebeurtenissen worden al dan niet bewaard volgens de beleidsinstelling Back-uplogboek automatisch wanneer deze vol is. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Event Log Service\Setup\Control Event Log Log behavior when the log file reaches its maximum size Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'EventLog.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows Beheer istratieve sjablonen werd deze instelling oorspronkelijk oude gebeurtenissen behouden genoemd, maar de naam is gewijzigd vanaf windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.27.3.1	Bestaat niet of = 0 _(Register)	Kritiek
Setup: Geef de maximale grootte van logboekbestanden op (KB) _{(CCE-37526-1)}	Beschrijving: Met deze beleidsinstelling wordt de maximale grootte van het logboekbestand in kilobytes opgegeven. Als u deze beleidsinstelling inschakelt, kunt u de maximale grootte van het logboekbestand instellen op 1 megabyte (1024 kilobytes) en 2 terabytes (2.147.483.647 kilobytes) in stappen van kilobyte. Als u deze beleidsinstelling uitschakelt of niet configureert, wordt de maximale grootte van het logboekbestand ingesteld op de lokaal geconfigureerde waarde. Deze waarde kan worden gewijzigd door de lokale beheerder met behulp van het dialoogvenster Logboekeigenschappen en wordt standaard ingesteld op 20 megabytes. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled: 32,768 or greater`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Event Log Service\Setup\Specify the maximum log file size (KB) Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'EventLog.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows-Beheer istratieve sjablonen werd deze instelling aanvankelijk maximale logboekgrootte (KB) genoemd, maar de naam is gewijzigd vanaf de Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.27.3.2	>= 32768 _(Register)	Kritiek
Laatste interactieve gebruiker automatisch aanmelden na een door het systeem geïnitieerde herstart _{(CCE-36977-7)}	Beschrijving: Met deze beleidsinstelling bepaalt u of een apparaat automatisch wordt aangemeld bij de laatste interactieve gebruiker nadat Windows Update het systeem opnieuw heeft opgestart. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn Besturingssysteem: WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad in op `Disabled:` Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Windows Logon Options\Sign-in last interactive user automatically after a system-initiated restart Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon `WinLogon.admx/adml` die is opgenomen in de Microsoft Windows 8.1 & Server 2012 R2 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1	= 1 _(Register)	Kritiek
Geef het interval op om te controleren op definitie-updates _{(AZ-WIN-00152)}	Beschrijving: Met deze beleidsinstelling kunt u een interval opgeven waarmee u kunt controleren op definitie-updates. De tijdwaarde wordt weergegeven als het aantal uren tussen updatecontroles. Geldige waarden variëren van 1 (elk uur) tot 24 (één keer per dag). Als u deze instelling inschakelt, vindt het controleren op definitie-updates plaats op het opgegeven interval. Als u deze instelling uitschakelt of niet configureert, wordt het controleren op definitie-updates uitgevoerd met het standaardinterval. Sleutelpad: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beheer istratieve sjablonen\Windows-onderdelen\Microsoft Defender Antivirus\Beveiligingsupdates\Geef het interval op om te controleren op updates voor beveiligingsupdates Standaardtoewijzingen voor naleving:	8= _(Register)	Kritiek
Systeem: Gedrag van gebeurtenislogboek beheren wanneer het logboekbestand de maximale grootte bereikt _{(CCE-36160-0)}	Beschrijving: Met deze beleidsinstelling wordt het gedrag van gebeurtenislogboeken bepaald wanneer het logboekbestand de maximale grootte bereikt. Als u deze beleidsinstelling inschakelt en een logboekbestand de maximale grootte bereikt, worden nieuwe gebeurtenissen niet naar het logboek geschreven en gaan ze verloren. Als u deze beleidsinstelling uitschakelt of niet configureert en een logboekbestand de maximale grootte bereikt, overschrijven nieuwe gebeurtenissen oude gebeurtenissen. Opmerking: Oude gebeurtenissen worden al dan niet bewaard volgens de beleidsinstelling Back-uplogboek automatisch wanneer deze vol is. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Event Log Service\System\Control Event Log Log behavior wanneer het logboekbestand de maximale grootte bereikt Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'EventLog.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows Beheer istratieve sjablonen werd deze instelling oorspronkelijk oude gebeurtenissen behouden genoemd, maar de naam is gewijzigd vanaf windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.27.4.1	Bestaat niet of = 0 _(Register)	Kritiek
Systeem: Geef de maximale grootte van het logboekbestand op (KB) _{(CCE-36092-5)}	Beschrijving: Met deze beleidsinstelling wordt de maximale grootte van het logboekbestand in kilobytes opgegeven. Als u deze beleidsinstelling inschakelt, kunt u de maximale grootte van het logboekbestand instellen op 1 megabyte (1024 kilobytes) en 2 terabytes (2.147.483.647 kilobytes) in stappen van kilobyte. Als u deze beleidsinstelling uitschakelt of niet configureert, wordt de maximale grootte van het logboekbestand ingesteld op de lokaal geconfigureerde waarde. Deze waarde kan worden gewijzigd door de lokale beheerder met behulp van het dialoogvenster Logboekeigenschappen en wordt standaard ingesteld op 20 megabytes. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled: 32,768 or greater`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Event Log Service\System\Specify the maximum log file size (KB) Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'EventLog.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Opmerking #2: In oudere Microsoft Windows-Beheer istratieve sjablonen werd deze instelling aanvankelijk maximale logboekgrootte (KB) genoemd, maar de naam is gewijzigd vanaf de Windows 8.0 & Server 2012 (niet-R2) Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.27.4.2	>= 32768 _(Register)	Kritiek
De inventaris van het toepassingscompatibiliteitsprogramma moet worden voorkomen dat gegevens worden verzameld en naar Microsoft worden verzonden. _{(AZ-WIN-73543)}	Beschrijving: Sommige functies kunnen communiceren met de leverancier, systeeminformatie verzenden of gegevens of onderdelen voor de functie downloaden. Als u deze mogelijkheid uitschakelt, voorkomt u dat mogelijk gevoelige informatie buiten de onderneming wordt verzonden en worden onbeheerde updates voor het systeem voorkomen. Met deze instelling voorkomt u dat de Programma-inventaris gegevens over een systeem verzamelt en de informatie naar Microsoft verzendt. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory Besturingssysteem: WS2016, WS2019, WS2022 Servertype: Domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beheer istratieve sjablonen\Windows-onderdelen\Toepassingscompatibiliteit\Inventarisverzamelaar uitschakelen Standaardtoewijzingen voor naleving:	= 1 _(Register)	Informatief
Automatisch afspelen uitschakelen _{(CCE-36875-3)}	Beschrijving: Automatisch afspelen begint te lezen vanaf een station zodra u media in het station invoegt, waardoor het installatiebestand voor programma's of audiomedia onmiddellijk wordt gestart. Een aanvaller kan deze functie gebruiken om een programma te starten om de computer of gegevens op de computer te beschadigen. U kunt de instelling Automatisch afspelen uitschakelen inschakelen om de functie Automatisch afspelen uit te schakelen. Automatisch afspelen is standaard uitgeschakeld op sommige typen verwisselbare stations, zoals diskette en netwerkstations, maar niet op cd-romstations. Opmerking U kunt deze beleidsinstelling niet gebruiken om Automatisch afspelen in te schakelen op computerstations waarin deze standaard is uitgeschakeld, zoals diskette en netwerkstations. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled: All drives`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\AutoPlay Policies\Turn off Autoplay Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon 'AutoPlay.admx/adml' die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.8.3	= 255 _(Register)	Kritiek
Preventie van gegevensuitvoering uitschakelen voor Explorer _{(CCE-37809-1)}	Beschrijving: Door preventie van gegevensuitvoering uit te schakelen, kunnen bepaalde verouderde invoegtoepassingstoepassingen functioneren zonder Verkenner te beëindigen. De aanbevolen status voor deze instelling is: `Disabled`. Opmerking: Sommige verouderde invoegtoepassingen en andere software werken mogelijk niet met preventie van gegevensuitvoering en vereisen een uitzondering voor die specifieke invoegtoepassing/software. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention Besturingssysteem: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Bestandenverkenner\Turn off Data Execution Prevention for Explorer Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon `Explorer.admx/adml` die is opgenomen in de Microsoft Windows 7 & Server 2008 R2 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2	Bestaat niet of = 0 _(Register)	Kritiek
Heap-beëindiging uitschakelen bij beschadiging _{(CCE-36660-9)}	Beschrijving: Zonder heap-beëindiging bij beschadiging kunnen verouderde invoegtoepassingstoepassingen blijven functioneren wanneer een Bestandenverkenner sessie beschadigd is geworden. Als u ervoor zorgt dat heap-beëindiging op corruptie actief is, wordt dit voorkomen. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Bestandenverkenner\Heap-beëindiging uitschakelen bij beschadiging Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `Explorer.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3	Bestaat niet of = 0 _(Register)	Kritiek
Microsoft-consumentenervaringen uitschakelen _{(AZ-WIN-00144)}	Beschrijving: Met deze beleidsinstelling worden ervaringen uitgeschakeld die consumenten helpen hun apparaten en Microsoft-account optimaal te benutten. Als u deze beleidsinstelling inschakelt, zien gebruikers geen persoonlijke aanbevelingen meer van Microsoft en meldingen over hun Microsoft-account. Als u deze beleidsinstelling uitschakelt of niet configureert, zien gebruikers mogelijk suggesties van Microsoft en meldingen over hun Microsoft-account. Opmerking: deze instelling is alleen van toepassing op Enterprise- en Education-SKU's. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Cloudinhoud\Microsoft-consumentenervaringen uitschakelen Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon 'CloudContent.admx/adml' die is opgenomen in de Microsoft Windows 10-release 1511 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.14.2	Bestaat niet of = 1 _(Register)	Waarschuwing
Beveiligde modus van shell-protocol uitschakelen _{(CCE-36809-2)}	Beschrijving: Met deze beleidsinstelling kunt u de hoeveelheid functionaliteit configureren die het shell-protocol kan hebben. Wanneer u de volledige functionaliteit van deze protocoltoepassingen gebruikt, kunnen mappen worden geopend en bestanden worden gestart. De beveiligde modus vermindert de functionaliteit van dit protocol, zodat toepassingen slechts een beperkte set mappen kunnen openen. Toepassingen kunnen bestanden met dit protocol niet openen wanneer deze zich in de beveiligde modus bevinden. Het wordt aanbevolen dit protocol in de beveiligde modus te laten staan om de beveiliging van Windows te verhogen. De aanbevolen status voor deze instelling is: `Disabled`. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior Besturingssysteem: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Disabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Bestandenverkenner\Turn off shell protocol protected mode Opmerking: dit pad naar groepsbeleid wordt geleverd door de groepsbeleidssjabloon `WindowsExplorer.admx/adml` die is opgenomen in alle versies van de Microsoft Windows Beheer istratieve sjablonen. Standaardtoewijzingen voor naleving: Platform-idvan naam STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4	Bestaat niet of = 0 _(Register)	Waarschuwing
Gedragscontrole inschakelen _{(AZ-WIN-00178)}	Beschrijving: Met deze beleidsinstelling kunt u gedragscontrole configureren. Als u deze instellingsgedragscontrole inschakelt of niet configureert, wordt dit ingeschakeld. Als u deze instellingsgedragscontrole uitschakelt, wordt deze uitgeschakeld. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: als u de aanbevolen configuratie via GP wilt instellen, stelt u het volgende UI-pad `Enabled`in op: Computerconfiguratie\Policies\Beheer istrative Templates\Windows Components\Windows Defender Antivirus\Real-Time Protection\Turn on behavior monitoring Opmerking: dit groepsbeleidspad bestaat mogelijk niet standaard. Het wordt geleverd door de groepsbeleidssjabloon `WindowsDefender.admx/adml` die is opgenomen in de Microsoft Windows 8.1 & Server 2012 R2 Beheer istratieve sjablonen (of nieuwer). Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3	Bestaat niet of = 0 _(Register)	Waarschuwing
Logboekregistratie van PowerShell-scriptblokkering inschakelen _{(AZ-WIN-73591)}	Beschrijving: Met deze beleidsinstelling kunt u logboekregistratie van alle PowerShell-scriptinvoer naar het `Applications and Services Logs\Microsoft\Windows\PowerShell\Operational` gebeurtenislogboekkanaal inschakelen. De aanbevolen status voor deze instelling is: `Enabled`. Opmerking: Als logboekregistratie van start-/stopgebeurtenissen voor scriptblokkering is ingeschakeld (selectievakje ingeschakeld), worden in PowerShell aanvullende gebeurtenissen geregistreerd wanneer een opdracht, scriptblok, functie of script wordt gestart of gestopt. Als u deze optie inschakelt, wordt een groot aantal gebeurtenislogboeken gegenereerd. CIS heeft er bewust voor gekozen geen aanbeveling te doen voor deze optie, omdat er een groot aantal gebeurtenissen wordt gegenereerd. Als een organisatie ervoor kiest om de optionele instelling in te schakelen (ingeschakeld), voldoet dit ook aan de benchmark. Sleutelpad: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging Besturingssysteem: WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid, werkgroeplid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Beheer istratieve sjablonen\Windows-onderdelen\Windows PowerShell\Schakel Logboekregistratie van PowerShell-scriptblokkering in Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1	= 1 _(Register)	Belangrijk

Windows Instellingen - Beveiliging Instellingen

Naam _(ID)	DETAILS	Verwachte waarde _(Type)	Ernst
Geheugenquota voor een proces verhogen _{(CCE-10849-8)}	Beschrijving: Met deze beleidsinstelling kan een gebruiker de maximale hoeveelheid geheugen aanpassen die beschikbaar is voor een proces. De mogelijkheid om geheugenquota aan te passen is handig voor het afstemmen van het systeem, maar kan worden misbruikt. In de verkeerde handen kan het worden gebruikt om een DoS-aanval (Denial of Service) te starten. De aanbevolen status voor deze instelling is: `Administrators, LOCAL SERVICE, NETWORK SERVICE`. Opmerking: voor een lidserver met de webserverfunctie (IIS) met de webserverfunctieservice is een speciale uitzondering op deze aanbeveling vereist, zodat iis-toepassingsgroepen aan dit gebruikersrecht kunnen worden verleend. Opmerking 2: voor een lidserver waarop Microsoft SQL Server is geïnstalleerd, is een speciale uitzondering op deze aanbeveling vereist voor extra door SQL gegenereerde vermeldingen om dit gebruikersrecht toe te kennen. Sleutelpad: [Privilege Rights]SeIncreaseQuotaPrivilege Besturingssysteem: WS2012, WS2012R2, WS2016, WS2019, WS2022 Servertype: domeincontroller, domeinlid Pad naar groepsbeleid: Computerconfiguratie\Beleid\Windows Instellingen\Beveiliging Instellingen\Lokaal beleid\Toewijzing van gebruikersrechten\Geheugenquota aanpassen voor een proces Standaardtoewijzingen voor naleving: Platform-idvan naam CIS WS2022 2.2.6 CIS WS2019 2.2.6	<= Beheer istrators, lokale service, netwerkservice _(Beleid)	Waarschuwing

Notitie

De beschikbaarheid van specifieke gastconfiguratie-instellingen van Azure Policy kan variëren in Azure Government en andere nationale clouds.

Volgende stappen

Aanvullende artikelen over Azure Policy en gastconfiguratie:

Gastconfiguratie van Azure Policy.
Overzicht voor naleving van regelgeving.
Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
Lees Informatie over de effecten van het beleid.
Ontdek hoe u niet-compatibele resources kunt herstellen.