Базовые показатели безопасности Windows
В этой статье описаны параметры конфигурации для гостевых систем Windows, применимые в следующих реализациях:
- Предварительная версия: компьютеры Windows должны соответствовать требованиям к базовой конфигурации безопасности вычислений Azure согласно определению конфигурации гостевой системы в Политике Azure
- Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены в Центре безопасности Azure.
Дополнительные сведения см. в статье о конфигурации компьютера Автоуправляемого управления Azure.
Важно!
Политика Azure гостевая конфигурация применяется только к SKU Windows Server и SKU Azure Stack. Он не применяется к вычислительным ресурсам конечных пользователей, таким как номера SKU Windows 10 и Windows 11.
Политики учетных записей — политика паролей
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Длительность блокировки учетных записей (AZ-WIN-73312) |
Описание. Этот параметр политики определяет период времени, который должен пройти до разблокировки заблокированной учетной записи, и пользователь может попытаться войти снова. Этот параметр делает это, указав количество минут, в течение которых заблокированная учетная запись останется недоступной. Если для этого параметра политики настроено значение 0, заблокированные учетные записи останутся заблокированными, пока администратор не разблокирует их вручную. Хотя это может показаться хорошей идеей настроить значение этого параметра политики на большое значение, такая конфигурация, скорее всего, увеличит количество вызовов, которые служба технической поддержки получает для разблокировки учетных записей, заблокированных ошибкой. Пользователи должны знать о времени, когда блокировка остается на месте, так что они понимают, что им нужно обратиться в службу технической поддержки, если у них крайне срочно необходимо восстановить доступ к своему компьютеру. Рекомендуемое состояние для этого параметра — 15 or more minute(s). Примечание. Параметры политики паролей (раздел 1.1) и параметры политики блокировки учетных записей (раздел 1.2) должны применяться с помощью групповой политики домена по умолчанию, чтобы глобально влиять на учетные записи пользователей домена в качестве их поведения по умолчанию. Если эти параметры настроены в другом объекте групповой политики, они будут влиять только на учетные записи локальных пользователей на компьютерах, получающих объект групповой политики. Однако пользовательские исключения для политики паролей по умолчанию и правил политики блокировки учетных записей для определенных пользователей домена и (или) групп можно определить с помощью объектов паролей Параметры объектов (PSOs), которые полностью отделены от групповой политики и наиболее легко настроены с помощью Центра Администратор istrative Center.Путь к ключу: [System Access]LockoutDuration ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Политики учетных записей\Политика блокировки учетной записи\Длительность блокировки учетной записи Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 1.2.1 CIS WS2019 1.2.1 |
>= 15 (Policy) (Политика) |
Предупреждение |
Административный шаблон — Windows Defender
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Настройка обнаружения для потенциально нежелательных приложений (AZ-WIN-202219) |
Описание. Этот параметр политики управляет обнаружением и действием для потенциально нежелательных приложений (PUA), которые являются нежелательными пакетами приложений или их пакетными приложениями, которые могут доставлять рекламные программы или вредоносные программы. Рекомендуемое состояние для этого параметра — Enabled: Block. Дополнительные сведения см. в этой ссылке: блокировка потенциально нежелательных приложений с помощью антивирусная программа в Microsoft Defender | Документация МайкрософтПуть к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\антивирусная программа в Microsoft Defender\Configure detection for потенциально нежелательных приложений Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15 |
= 1 (Registry) (Реестр) |
Критически важно |
| Сканирование всех скачанных файлов и вложений (AZ-WIN-202221) |
Описание. Этот параметр политики настраивает сканирование всех скачанных файлов и вложений. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\антивирусная программа в Microsoft Defender\Real-Time Protection\Scan all скачанные файлы и вложения Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1 |
= 0 (Registry) (Реестр) |
Предупреждение |
| Отключение антивирусной программы Microsoft Defender (AZ-WIN-202220) |
Описание. Этот параметр политики отключает антивирусная программа в Microsoft Defender. Если параметр настроен на отключение, антивирусная программа в Microsoft Defender запускается и компьютеры проверяются на наличие вредоносных программ и другого потенциально нежелательного программного обеспечения. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\антивирусная программа в Microsoft Defender\Off Microsoft Defender Anti Virus Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16 |
= 0 (Registry) (Реестр) |
Критически важно |
| Отключение защиты в режиме реального времени (AZ-WIN-202222) |
Описание. Этот параметр политики настраивает запросы защиты в режиме реального времени для обнаружения известных вредоносных программ. антивирусная программа в Microsoft Defender оповещает вас, когда вредоносные программы или потенциально нежелательные программы пытаются установить себя или запустить на компьютере. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор истативные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Защита в реальном времени\Отключение защиты в режиме реального времени Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2 |
= 0 (Registry) (Реестр) |
Предупреждение |
| Включение проверки электронной почты (AZ-WIN-202218) |
Описание. Этот параметр политики позволяет настроить сканирование электронной почты. При включении сканирования электронной почты подсистема анализирует почтовые ящики и почтовые файлы в соответствии с их определенным форматом, чтобы проанализировать тела почты и вложения. В настоящее время поддерживаются несколько форматов электронной почты, например pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: Конфигурация компьютера\Политики\Администратор istrative Templates\Windows Components\антивирусная программа в Microsoft Defender\Scan\Включить сканирование электронной почты Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2 |
= 0 (Registry) (Реестр) |
Предупреждение |
| Включение проверки скриптов (AZ-WIN-202223) |
Описание. Этот параметр политики позволяет включить или отключить сканирование скриптов. Сканирование скриптов перехватывает скрипты, а затем проверяет их перед выполнением в системе. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\антивирусная программа в Microsoft Defender\Real-Time Protection\Включить сканирование скриптов Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4 |
= 0 (Registry) (Реестр) |
Предупреждение |
Административные шаблоны — Панель управления
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Разрешить персонализацию ввода (AZ-WIN-00168) |
Описание: эта политика включает компонент автоматического обучения для персонализации ввода, который включает речь, рукописный ввод и ввод текста. Автоматическое обучение включает сбор шаблонов речи и письма, а также анализ журнала ввода текста, контактов и последних сведений по календарю. Оно необходим для использования Кортаны. Некоторые из этих собранных сведений могут храниться в OneDrive пользователя, в частности данные ввода рукописного и печатного текста. Некоторые из этих сведений будут отправлены в корпорацию Майкрософт для персонализации речи. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса: Конфигурация компьютера\Policies\Администратор istrative Templates\панель управления\Региональные и языковые параметры\Разрешить пользователям включить службы распознавания речи в Сети. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики Globalization.admx/adml, который входит в состав Microsoft Windows 10 RTM (выпуск 1507) Администратор istrative Templates (или более поздней версии). Примечание 2. В старых шаблонах Microsoft Windows Администратор istrative templates этот параметр изначально был назван "Разрешить персонализацию входных данных", но он был переименован в разрешение пользователям включить службы распознавания речи в Интернете, начиная с Windows 10 R1809 и Server 2019 Администратор istrative Templates.Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.1.2.2 |
= 0 (Registry) (Реестр) |
Предупреждение |
Административные шаблоны — руководство по безопасности Майкрософт
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Отключение клиента SMB версии 1 (удаление зависимости от LanmanWorkstation) (AZ-WIN-00122) |
Описание: S МБ v1 — это устаревший протокол, который использует алгоритм MD5 в рамках S МБ. MD5, как известно, уязвим для ряда атак, таких как столкновение и предварительное создание атак, а также не соответствует ТРЕБОВАНИЯМ FIPS. Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService ОС: WS2008, WS2008R2, WS2012 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Администратор istrative templates\MS Security Guide\Configure S МБ v1 client driver Сопоставления стандартов соответствия: |
Не существует или = Bowser\0MRxSmb20\0NSI\0\0 (Registry) (Реестр) |
Критически важно |
| Проверка подлинности WDigest (AZ-WIN-73497) |
Описание. Если включена проверка подлинности WDigest, Lsass.exe сохраняет копию обычного пароля пользователя в памяти, где она может быть подвержена риску кражи. Если этот параметр не настроен, проверка подлинности WDigest отключена в Windows 8.1 и в Windows Server 2012 R2; Он включен по умолчанию в более ранних версиях Windows и Windows Server. Дополнительные сведения о краже локальных учетных записей и учетных данных см. в документах "Устранение атак с использованием хэша (PtH) и других методов кражи учетных данных". Дополнительные сведения см. в UseLogonCredentialстатье базы знаний Майкрософт 2871997: Обновление рекомендаций по безопасности Майкрософт для улучшения защиты учетных данных и управления ими 13 мая 2014 г. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential ОС: WS2016, WS2019 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\MS Security Guide\WDigest Authentication (отключение может потребоваться КБ2871997) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.3.7 CIS WS2019 18.3.7 |
= 0 (Registry) (Реестр) |
Важно! |
Административные шаблоны — MSS
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| MSS: (DisableIPSourceRouting IPv6) уровень защиты маршрутизации источника IP-адресов (защищает от спуфинга пакетов) (AZ-WIN-202213) |
Описание. Маршрутизация источника IP-адресов — это механизм, позволяющий отправителю определить IP-маршрут, который должен соответствовать диаграмме данных через сеть. Рекомендуемое состояние для этого параметра — Enabled: Highest protection, source routing is completely disabled.Путь к ключу: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор истративные шаблоны\MSS (устаревшая версия)\MSS: (DisableIPSourceRouting IPv6) уровень защиты маршрутизации источника IP-адресов (защищает от спуфинги пакетов) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.4.2 CIS WS2019 18.4.2 |
= 2 (Registry) (Реестр) |
Информационный |
| MSS: (DisableIPSourceRouting) — уровень защиты маршрутизации источника IP-адресов (защищает от спуфинга пакетов) (AZ-WIN-202244) |
Описание. Маршрутизация источника IP-адресов — это механизм, позволяющий отправителю определить IP-маршрут, который должен принимать диаграмма данных через сеть. Рекомендуется настроить этот параметр как Not Defined for enterprise environments and to High Protection for high security среды, чтобы полностью отключить маршрутизацию источников. Рекомендуемое состояние для этого параметра — Enabled: Highest protection, source routing is completely disabled.Путь к ключу: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Администратор istrative Templates\MSS (устаревшая версия)\MSS: (DisableIPSourceRouting) Уровень защиты маршрутизации источника IP-адресов (защищает от спуфинги пакетов) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.4.3 CIS WS2019 18.4.3 |
= 2 (Registry) (Реестр) |
Информационный |
| MSS: (NoNameReleaseOnDemand) — разрешить компьютеру игнорировать запросы на выпуск имен NetBIOS, за исключением серверов WINS (AZ-WIN-202214) |
Описание. NetBIOS по протоколу TCP/IP — это сетевой протокол, который, помимо прочего, позволяет легко разрешать имена NetBIOS, зарегистрированные в системах Под управлением Windows, к IP-адресам, настроенным в этих системах. Этот параметр определяет, освобождает ли компьютер имя NetBIOS при получении запроса на выпуск имени. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Policies\Администратор istrative Templates\MSS (устаревшая версия)\MSS: (NoNameReleaseOnDemand) Разрешает компьютеру игнорировать запросы на выпуски имен NetBIOS, кроме серверов WINS Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.4.6 CIS WS2019 18.4.6 |
= 1 (Registry) (Реестр) |
Информационный |
| MSS: (SafeDllSearchMode) — включение безопасного режима поиска библиотеки DLL (рекомендуется) (AZ-WIN-202215) |
Описание. Порядок поиска библиотек DLL можно настроить для поиска библиотек DLL, запрашиваемых при выполнении процессов одним из двух способов: — папки поиска, указанные в системном пути, а затем искать текущую рабочую папку. — Сначала выполните поиск текущей рабочей папки, а затем выполните поиск папок, указанных в системном пути. Если этот параметр включен, для параметра реестра задано значение 1. Если задано значение 1, система сначала выполняет поиск папок, указанных в системном пути, а затем выполняет поиск текущей рабочей папки. Если для параметра реестра отключено значение 0, система сначала выполняет поиск текущей рабочей папки, а затем выполняет поиск папок, указанных в системном пути. Приложения сначала будут вынуждены искать библиотеки DLL в системном пути. Для приложений, требующих уникальных версий этих БИБЛИОТЕК DLL, включенных в приложение, эта запись может вызвать проблемы с производительностью или стабильностью. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Дополнительные сведения о том, как работает режим поиска библиотеки DLL Сейф, доступен по этой ссылке: порядок поиска библиотек динамических ссылок — приложения Windows | Документация МайкрософтПуть к ключу: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\policies\Администратор istrative templates\MSS (устаревшая версия)\MSS: (Сейф DllSearchMode) Enable Сейф DLL search mode (рекомендуется) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.4.8 CIS WS2019 18.4.8 |
= 1 (Registry) (Реестр) |
Предупреждение |
| MSS: (WarningLevel) — пороговое значение процента для журнала событий безопасности, при котором система создаст предупреждение (AZ-WIN-202212) |
Описание. Этот параметр может создать аудит безопасности в журнале событий безопасности, когда журнал достигает порогового значения, определенного пользователем. Рекомендуемое состояние для этого параметра — Enabled: 90% or less. Примечание. Если параметры журнала настроены для перезаписи событий по мере необходимости или перезаписи событий старше x дней, это событие не будет создано.Путь к ключу: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь к групповой политике: конфигурация компьютера\политики\Администратор istrative templates\MSS (устаревшая версия)\MSS: (WarningLevel) — пороговое значение для журнала событий безопасности, в котором система создаст предупреждение Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.4.12 CIS WS2019 18.4.12 |
<= 90 (Registry) (Реестр) |
Информационный |
| Windows Server необходимо настроить, перенаправлениям протокола ICMP было запрещено переопределить маршруты, созданные компонентом OSPF (Open Shortest Path First). (AZ-WIN-73503) |
Описание: перенаправления протокола ICMP для управления интернетом вызывают стек IPv4 в маршруты узлов. Эти маршруты переопределяют созданные маршруты open Shortest Path First (OSPF). Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\MSS (устаревшая версия)\MSS: (EnableICMPRedirect) Разрешить перенаправления ICMP для переопределения созданных маршрутов OSPF Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.4.4 CIS WS2019 18.4.4 |
= 0 (Registry) (Реестр) |
Информационный |
Административные шаблоны — Сеть
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Блокировать небезопасные гостевые входы (AZ-WIN-00171) |
Описание: этот параметр политики определяет, будет ли клиент SMB разрешать незащищенные гостевые входы на сервер SMB. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth ОС: WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates etwork\Lanman Workstation\Enable insecure guest logons Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "LanmanWorkstation.admx/adml", который входит в состав Microsoft Windows 10 выпуска 1511 Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1 |
= 0 (Registry) (Реестр) |
Критически важно |
| Защищенные UNC-пути — NETLOGON (AZ_WIN_202250) |
Описание. Этот параметр политики настраивает безопасный доступ к путям UNC Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\NETLOGON ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Администратор istrative templates\Network\Network\Network Provider\Hardened UNC Paths Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Registry) (Реестр) |
Предупреждение |
| Защищенные UNC-пути — SYSVOL (AZ_WIN_202251) |
Описание. Этот параметр политики настраивает безопасный доступ к путям UNC Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths? ValueName=\*\SYSVOL ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Администратор istrative templates\Network\Network\Network Provider\Hardened UNC Paths Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (Registry) (Реестр) |
Предупреждение |
| Уменьшить количество одновременных подключений к Интернету или домену Windows (CCE-38338-0) |
Описание: данная политика запрещает компьютерам одновременный доступ как к сети на основе домена, так и к сети, не являющейся доменной. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 3 = Prevent Wi-Fi when on Ethernetпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates etwork\Windows диспетчер подключений\Свести к минимуму количество одновременных подключений к Интернету или домену Windows Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики WCM.admx/adml, который входит в состав microsoft Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates. Он был обновлен с новым вложенным параметром "Параметры политики минимизации", начиная с windows 10 выпуска 1903 Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.5.21.1 |
Не существует или = 1 (Registry) (Реестр) |
Предупреждение |
| Запретить установку и настройку сетевого моста в сети вашего домена DNS (CCE-38002-2) |
Описание: эту процедуру можно использовать для управления возможностью пользователя устанавливать и настраивать сетевой мост. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Network\Network Подключение ions\Запретить установку и настройку сетевого моста в сети домена DNS Примечание. Этот путь групповой политики предоставляется шаблоном NetworkConnections.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates.Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2 |
= 0 (Registry) (Реестр) |
Предупреждение |
| Запретите использование общего доступа к подключению к Интернету в сети DNS-домена (AZ-WIN-00172) |
Описание: хотя этот старый параметр традиционно применяется для использованию общего доступа к Интернет-подключению (ICS) в Windows 2000, Windows XP и Server 2003, с недавних пор он также применяется к функции мобильного хот-спота в Windows 10 и Server 2016. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates etwork etwork Подключение ions\Запрет использования общего доступа к Интернету Подключение ion в сети домена DNS Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики Network Подключение ions.admx/adml, который входит во все версии шаблонов Microsoft Windows Администратор istrative. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.5.11.3 |
= 0 (Registry) (Реестр) |
Предупреждение |
| Отключить многоадресное разрешение имен (AZ-WIN-00145) |
Описание: LLMNR — это дополнительный протокол разрешения имен. Запросы в LLMNR отправляются с использованием многоадресной рассылки по локальной сети в одной подсети. Они направляются с клиентского компьютера на другой клиентский компьютер в той же подсети, в которой также включен LLMNR. Для использования LLMNR не требуется настройка DNS-сервера или DNS-клиента. LLMNR также обеспечивает разрешение имен в сценариях, в которых обычное разрешение DNS-имен невозможно. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast ОС: WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates etwork\DNS Client\Отключить разрешение имен многоадресной рассылки Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики DnsClient.admx/adml, который входит в состав Microsoft Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.5.4.2 |
= 0 (Registry) (Реестр) |
Предупреждение |
Административные шаблоны — руководство по безопасности
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Включение защиты от перезаписи структурированной обработки исключений (SEHOP) (AZ-WIN-202210) |
Описание: Windows включает поддержку структурированной обработки исключений Overwrite Protection (SEHOP). Мы рекомендуем включить эту функцию для улучшения профиля безопасности компьютера. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\MS Security Guide\Enable Structured Exception Handling Overwrite Protection (SEHOP) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.3.4 CIS WS2019 18.3.4 |
= 0 (Registry) (Реестр) |
Критически важно |
| Конфигурация NodeType NetBT (AZ-WIN-202211) |
Описание. Этот параметр определяет, какой метод NetBIOS по протоколу TCP/IP (NetBT) использует для регистрации и разрешения имен. Доступные методы: — метод B-node (широковещательный) использует только широковещательные передачи. — Метод P-node (point-to-point) использует только запросы имен к серверу имен (WINS). — Сначала метод M-node (mixed) передает передачу, а затем запрашивает сервер имен (WINS), если трансляция завершилась ошибкой. — Метод H-node (гибридный) сначала запрашивает сервер имен (WINS), а затем передает передачу, если запрос завершился сбоем. Рекомендуемое состояние для этого параметра: Enabled: P-node (recommended) (точка — точка). Примечание. Разрешение через LMHOSTS или DNS следует этим методам. NodeType Если значение реестра присутствует, оно переопределяет любое DhcpNodeType значение реестра. Если ни нет NodeTypeDhcpNodeType , компьютер использует B-узел (широковещательный), если для сети не настроены серверы WINS или узел H (гибридный), если настроен хотя бы один сервер WINS.Путь к ключу: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\MS Security Guide\NetBT NodeType configuration Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.3.6 CIS WS2019 18.3.6 |
= 2 (Registry) (Реестр) |
Предупреждение |
Административные шаблоны — Система
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Запретить пользователю отображать сведения о учетной записи при входе (AZ-WIN-00138) |
Описание: эта политика запрещает пользователю отображать сведения об учетной записи (адрес электронной почты или имя пользователя) на экране входа. Если включить этот параметр политики, пользователь не сможет выбрать отображение сведений об учетной записи на экране входа. Если этот параметр отключен или не настроен, пользователь сможет выбрать отображение сведений об учетной записи на экране входа. Путь к ключу: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Logon\Block user from showing account details on sign-in Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "Logon.admx/adml", который входит в состав Microsoft Windows 10 выпуска 1607 и Server 2016 Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.28.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Политика инициализации драйвера при загрузке ОС (CCE-37912-3) |
Описание: этот параметр политики позволяет указать, какие драйверы инициализируются при загрузке ОС согласно классификации, определенной драйвером раннего запуска антивредоносной программы. Драйвер раннего запуска антивредоносной программы может возвращать следующие классификации для каждого драйвера загрузки: — Хорошо: драйвер подписан и не был изменен. — Неудовлетворительно: драйвер был определен в качестве вредоносной программы. Рекомендуется запретить инициализацию известных плохих драйверов. — Неудовлетворительно, но требуется для загрузки: драйвер был определен как вредоносная программа, но запуск компьютера без загрузки этого драйвера невозможен. — Неизвестно: драйвер не был проверен приложением для обнаружения вредоносных программ и не был классифицирован драйвером раннего запуска антивредоносной программы. Если этот параметр политики включен, вы можете выбрать драйверы раннего запуска, которые инициализируются при следующем запуске компьютера. Если этот параметр отключен или не настроен, драйверы категорий "Хорошо", "Неизвестно" и "Неудовлетворительно, но требуется для загрузки", инициализируются, а драйверы категории "Неудовлетворительно" не будут инициализированы. Если приложение обнаружения вредоносных программ не включает драйвер начальной загрузки антивредоносного ПО раннего запуска или если драйвер начальной загрузки антивредоносной программы раннего запуска не включен, этот параметр не действует, и все драйверы запуска загрузки инициализированы. Путь к ключу: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled:Good, unknown and bad but criticalпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "EarlyLaunchAM.admx/adml", который входит в состав Microsoft Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.14.1 |
Не существует или = 3 (Registry) (Реестр) |
Предупреждение |
| Настройка предложения Удаленного помощника (CCE-36388-7) |
Описание: этот параметр политики позволяет включать или отключать предложения удаленной помощи на этом компьютере. Служба технической поддержки и специалисты по поддержке не смогут заранее предлагать помощь, хотя они по-прежнему могут отвечать на запросы поддержки пользователей. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Remote Assistance\Configure Offer Remote Assistance Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном RemoteAssistance.admx/adml групповой политики, включенным в состав шаблонов Microsoft Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates (или более поздней версии).Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Настройка запрошенного удаленного помощника (CCE-37281-3) |
Описание: этот параметр политики позволяет включать или отключать запрошенную пользователем удаленную помощь на этом компьютере. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Remote Assistance\Configure Запрошенная удаленная помощь Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном RemoteAssistance.admx/adml групповой политики, включенным в состав шаблонов Microsoft Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates (или более поздней версии).Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2 |
= 0 (Registry) (Реестр) |
Критически важно |
| Не отображать пользовательский интерфейс выбора сети (CCE-38353-9) |
Описание: этот параметр политики позволяет указать, может ли любой пользователь взаимодействовать с пользовательским интерфейсом доступных сетей на экране входа в систему. Если этот параметр политики включен, состояние сетевого подключения компьютера не может быть изменено без входа в Windows. Если этот параметр отключен или не настроен, любой пользователь может отключить компьютер от сети или подключить компьютер к другим доступным сетям без входа в Windows. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Logon\Не отображать пользовательский интерфейс выбора сети Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "Logon.admx/adml", который входит в состав Microsoft Windows 8.1 и Server 2012 R2 Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.28.2 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Не перечислять подключенных пользователей на компьютерах, подключенных к домену (AZ-WIN-202216) |
Описание. Этот параметр политики предотвращает перечисление подключенных пользователей на компьютерах, присоединенных к домену. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: Конфигурация компьютера\Политики\Администратор istrative Templates\System\Logon\Не перечислять подключенных пользователей на компьютерах, присоединенных к домену Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Включение проверки подлинности клиента сопоставителя конечных точек RPC (CCE-37346-4) |
Описание: этот параметр политики управляет проверкой подлинности клиентов RPC с помощью службы сопоставителя конечных точек, когда их вызов содержит сведения о проверке подлинности. Служба сопоставителя конечных точек на компьютерах под управлением Windows NT4 (все пакеты обновления) не может обрабатывать данные проверки подлинности, указанные таким способом. Если отключить этот параметр политики, клиенты RPC не будут проходить проверку подлинности в службе сопоставителя конечных точек, но смогут взаимодействовать со службой сопоставителя конечных точек на сервере Windows NT4. Если этот параметр политики включен, клиенты RPC будут проходить проверку подлинности в службе сопоставителя конечных точек во время вызовов, содержащих сведения о проверке подлинности. Клиенты, выполняющие такие вызовы, не смогут взаимодействовать со службой сопоставителя конечных точек сервера Windows NT4. Если этот параметр политики не настроен, он остается отключенным. Клиенты RPC не будут проходить проверку подлинности в службе сопоставителя конечных точек, но смогут взаимодействовать со службой сопоставителя конечных точек на сервере Windows NT4. Важно: этот параметр политики будет применен только после перезагрузки системы. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики RPC.admx/adml, который входит в состав Microsoft Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.37.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Включить NTP-клиент Windows (CCE-37843-0) |
Описание: этот параметр политики указывает, включен ли NTP-клиент Windows. Включение NTP-клиента Windows позволяет компьютеру синхронизировать свои часы компьютера с другими NTP-серверами. Если вы решили использовать сторонний поставщик времени, вам может потребоваться отключить эту службу. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики W32Time.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.53.1.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Исправление шифрования Oracle для протокола CredSSP (AZ-WIN-201910) |
Описание. Некоторые версии протокола CredSSP, используемого некоторыми приложениями (например, Подключение удаленного рабочего стола), уязвимы для атаки oracle шифрования против клиента. Эта политика управляет совместимостью с уязвимыми клиентами и серверами и позволяет задать уровень защиты, необходимый для уязвимости oracle шифрования. Рекомендуемое состояние для этого параметра — Enabled: Force Updated Clients.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle ОС: WS2016, WS2019 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\policies\Администратор istrative templates\System\Credentials Делегирование\Шифрование Oracle Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1 |
= 0 (Registry) (Реестр) |
Критически важно |
| Убедиться, что для параметра "Настройка обработки политики реестра: не применять во время периодической фоновой обработки" задано значение "Включено: FALSE" (CCE-36169-1) |
Описание: параметр "Не применять во время периодической фоновой обработки" запрещает системе обновлять затронутые политики в фоновом режиме во время использования компьютера. Если фоновые обновления отключены, изменения политики не вступают в силу до следующего входа пользователя или перезагрузки системы. Рекомендуемое состояние для этого параметра — Enabled: FALSE (отключен).Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса, а затем задайте Process even if the Group Policy objects have not changed для параметра TRUE (проверка):Конфигурация компьютера\Policies\Администратор istrative Templates\System\Group Policy\Configure registry policy processing Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном GroupPolicy.admx/adml групповой политики, включенным в состав шаблонов Microsoft Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates (или более поздней версии).Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2 |
= 0 (Registry) (Реестр) |
Критически важно |
| Убедиться, что для параметра "Настройка обработки политики реестра: обрабатывать, даже если объекты групповой политики не изменились" имеет значение "Включено: TRUE" (CCE-36169-1a) |
Описание: параметр "Обрабатывать, даже если объекты групповой политики не изменились" обновляет и применяет политики повторно, даже если политики не изменились. Рекомендуемое состояние для этого параметра — Enabled: TRUE (включен).Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса, а затем задайте для параметра Enabled"Обработка, даже если объекты групповой политики не изменились" значение TRUE (проверка).Конфигурация компьютера\Policies\Администратор istrative Templates\System\Group Policy\Configure registry policy processing Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики GroupPolicy.admx/adml, который входит в состав Microsoft Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.21.3 |
= 0 (Registry) (Реестр) |
Критически важно |
| Убедитесь, что для параметра "Продолжить работу на этом устройстве" задано значение "Отключено" (AZ-WIN-00170) |
Описание: этот параметр политики определяет, может ли устройство Windows взаимодействовать с другими устройствами (продолжение работы). Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Group Policy\Continue experiences on this device Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики GroupPolicy.admx/adml, который входит в состав Microsoft Windows 10 выпуска 1607 и Server 2016 Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.21.4 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Перечислить локальных пользователей на компьютерах, подключенных к домену (AZ_WIN_202204) |
Описание. Этот параметр политики позволяет перечислять локальных пользователей на компьютерах, присоединенных к домену. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена Путь групповой политики: конфигурация компьютера\Policies\Администратор istrative Templates\System\Logon\Перечислить локальных пользователей на компьютерах, присоединенных к домену Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Включите командную строку в события создания процесса (CCE-36925-6) |
Описание: этот параметр политики определяет, какие сведения регистрируются в событиях аудита безопасности при создании нового процесса. Этот параметр применяется только при включенной политике создания процессов аудита. Если включить этот параметр политики, сведения командной строки для каждого процесса будут регистрироваться в виде обычного текста в журнале событий безопасности в рамках события создания процесса аудита 4688 ("новый процесс создан") на всех рабочих станциях и серверах, где которых применяется этот параметр политики. Если этот параметр отключен или не настроен, сведения командной строки для процесса не будут включаться в события создания процесса аудита. По умолчанию: данный параметр не настроен. Важно: если этот параметр политики включен, любой пользователь с доступом на чтение событий безопасности сможет считывать аргументы командной строки для всех успешно созданных процессов. Аргументы командной строки могут содержать конфиденциальную или закрытую информацию, например пароли или данные пользователя. Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Audit Process Creation\Include командной строки в событиях создания процесса Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "Audit Параметры.admx/adml", который входит в состав Microsoft Windows 8.1 и Server 2012 R2 Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.3.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Запретить получение метаданных устройств из Интернета (AZ-WIN-202251) |
Описание. Этот параметр политики позволяет запретить Windows получать метаданные устройства из Интернета. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Это не позволит предотвратить установку основных аппаратных драйверов, но предотвращает автоматическое установку связанного программного обеспечения 3-стороннего программного обеспечения в контексте SYSTEM учетной записи.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\System\Device Installation\Prevent извлечение метаданных устройства из Интернета Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2 |
= 1 (Registry) (Реестр) |
Информационный |
| Удаленный узел разрешает делегирование неэкспортируемых учетных данных (AZ-WIN-20199) |
Описание. Удаленный узел позволяет делегирование не экспортируемых учетных данных. При использовании делегирования учетных данных устройства предоставляют экспортируемую версию учетных данных на удаленный узел. Это предоставляет пользователям риск кражи учетных данных злоумышленниками на удаленном узле. Режим ограниченной Администратор и функции Remote Credential Guard в Защитнике Windows являются двумя способами защиты от этого риска. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Более подробные сведения о удаленной учетной записи Защитника Windows и его сравнении с режимом ограниченного Администратор можно найти по этой ссылке: защита учетных данных удаленного рабочего стола с помощью Защитника Windows Remote Credential Guard (Windows 10) | Документация МайкрософтПуть к ключу: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds ОС: WS2016, WS2019 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\System\Credentials Delegation\Remote host позволяет делегирование не экспортируемых учетных данных Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2 |
= 1 (Registry) (Реестр) |
Критически важно |
| Отключение уведомлений приложений на экране блокировки (CCE-35893-7) |
Описание: этот параметр политики позволяет запретить отображение уведомлений приложений на экране блокировки. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Logon\Off app notifications on the lock screen Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "Logon.admx/adml", который входит в состав Microsoft Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.28.5 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Отключение фонового обновления групповой политики (CCE-14437-8) |
Описание. Этот параметр политики запрещает обновление групповой политики во время использования компьютера. Этот параметр политики применяется к групповой политике для компьютеров, пользователей и контроллеров домена. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\System\Group Policy\Отключить фоновое обновление групповой политики Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5 |
= 0 (Registry) (Реестр) |
Предупреждение |
| Отключите загрузку драйверов печати по протоколу HTTP (CCE-36625-2) |
Описание: этот параметр политики определяет, может ли компьютер загружать пакеты драйверов печати по протоколу HTTP. Для настройки печати по протоколу HTTP драйверы печати, недоступные в стандартной установке операционной системы, могут загружаться по протоколу HTTP. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Internet Communication Management\Internet Communication Settings\Off скачивание драйверов печати по протоколу HTTP Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики ICM.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.22.1.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Отключить мастер подключения к Интернету, если URL-адрес ссылается на сайт Microsoft.com. (CCE-37163-3) |
Описание: этот параметр политики указывает, может ли мастер подключения к Интернету подключиться к серверам Майкрософт для скачивания списка поставщиков услуг Интернета (ISP). Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Internet Communication Management\Internet Communication Settings\Internet Communication settings\Off Internet Подключение ion Wizard if URL-подключение ссылается на Microsoft.com Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики ICM.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.22.1.4 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Включение удобного входа в ПИН-код (CCE-37528-7) |
Описание: этот параметр политики позволяет указать, может ли пользователь домена выполнять вход с помощью удобного ПИН-кода. В Windows 10 удобный ПИН-код был заменен на службу Passport, имеющую большую надежность. Чтобы настроить Passport для пользователей домена, используйте политики в разделе Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Microsoft Passport for Work. Важно: при использовании этой функции пароль домена пользователя будет кэшироваться в системном хранилище. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\System\Logon\Включить удобный вход ПИН-кода Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном CredentialProviders.admx/adml групповой политики, который входит в состав шаблонов Microsoft Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates (или более поздней версии).Примечание 2. В старых шаблонах Microsoft Windows Администратор istrative этот параметр изначально был назван "Включить вход ПИН-кода", но он был переименован начиная с Windows 10 выпуска 1511 Администратор istrative Templates.Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
Административные шаблоны — компонент Windows
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Отключение содержимого состояния в учетной записи потребителя облака (AZ-WIN-202217) |
Описание. Этот параметр политики определяет, разрешено ли содержимое состояния учетной записи потребителя облака во всех интерфейсах Windows. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\Cloud Content\Off cloud consumer account state content Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
Административные шаблоны — компоненты Windows
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Запретить перенаправление диска (AZ-WIN-73569) |
Описание. Этот параметр политики запрещает пользователям предоставлять доступ к локальным дискам на клиентских компьютерах серверам удаленных рабочих столов, к которым они обращаются. Сопоставленные диски отображаются в дереве папок сеанса в Windows Обозреватель в следующем формате: \\TSClient\<driveletter>$ если локальные диски являются общими, они остаются уязвимыми для злоумышленников, которые хотят использовать данные, хранящиеся на них. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\Remote Desktop Services\Host\Remote Desktop Session Host\Device and Resource Redirection\Do not allow drive redirection Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Включение транскрибирования PowerShell (AZ-WIN-202208) |
Описание. Этот параметр политики позволяет записывать входные и выходные данные команд Windows PowerShell в текстовые расшифровки. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\Windows PowerShell\Включить транскрибирование PowerShell Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2 |
= 0 (Registry) (Реестр) |
Предупреждение |
Административные шаблоны — Безопасность Windows
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Не разрешать пользователям изменять настройки (AZ-WIN-202209) |
Описание. Этот параметр политики запрещает пользователям вносить изменения в область параметров защиты эксплойтов в параметрах Безопасность Windows. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\Безопасность Windows\App and browser protection\Запретить пользователям изменять параметры Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
шаблон Администратор istrative — Защитник Windows
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Настройка уменьшения уязвимой зоны (AZ_WIN_202205) |
Описание. Этот параметр политики управляет состоянием правил уменьшения поверхности атак (ASR). Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\политики\Администратор истативные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Exploit Guard в Microsoft Defender\Снижение поверхности атаки\Настройка правил уменьшения поверхности атаки Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Не разрешать пользователям и приложениям доступ к опасным веб-сайтам (AZ_WIN_202207) |
Описание. Этот параметр политики управляет Exploit Guard в Microsoft Defender защите сети. Рекомендуемое состояние для этого параметра — Enabled: Block.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: Конфигурация компьютера\Политики\Администратор istrative Templates\Windows Components\антивирусная программа в Microsoft Defender\Exploit Guard в Microsoft Defender\Network Protection\Запрет доступа к опасным пользователям и приложениям Сайты Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
Аудит управления учетными записями компьютеров
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит управления учетными записями компьютеров (CCE-38004-8) |
Описание. Этот подкатегорий сообщает о каждом событии управления учетными записями компьютера, например при создании, изменении, удалении, переименовании, отключении или включении учетной записи компьютера. События для этой подкатегории: — 4741: была создана учетная запись компьютера. - 4742: учетная запись компьютера была изменена. — 4743: удалена учетная запись компьютера. Рекомендуемое состояние для этого параметра — Success.Путь к ключу: {0CCE9236-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена Путь групповой политики: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Расширенная конфигурация политики аудита\Политики аудита\Политики аудита\Управление учетными записями учетной записи аудита\Аудит управления учетными записями компьютера Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.2.2 CIS WS2019 17.2.2 |
= Успешно (Audit) (Аудит) |
Критически важно |
Защищенное ядро
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Включение защиты DMA при запуске (AZ-WIN-202250) |
Описание. Защищенные серверы поддерживают системное встроенное ПО, которое обеспечивает защиту от вредоносных и непреднамеренных атак прямого доступа к памяти (DMA) для всех устройств с поддержкой DMA во время загрузки. Путь к ключу: BootDMAProtection OSEx: WSASHCI22H2 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: NA Сопоставления стандартов соответствия: |
= 1 (OsConfig) |
Критически важно |
| Включение принудительной целостности кода низкоуровневой оболочки (AZ-WIN-202246) |
Описание. HVCI и VBS улучшают модель угроз Windows и обеспечивают более надежную защиту от вредоносных программ, пытающихся использовать ядро Windows. HVCI — это критически важный компонент, который защищает и защищает изолированную виртуальную среду, созданную VBS, запустив целостность кода в режиме ядра и ограничив выделение памяти ядра, которое можно использовать для компрометации системы. Путь к ключу: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: NA Сопоставления стандартов соответствия: |
= 0 (OsConfig) |
Критически важно |
| Включение безопасной загрузки (AZ-WIN-202248) |
Описание. Безопасная загрузка — это стандарт безопасности, разработанный членами отрасли компьютеров, чтобы убедиться, что загрузка устройства с использованием только программного обеспечения, доверенного изготовителем исходного оборудования (OEM). Путь к ключу: SecureBootState OSEx: WSASHCI22H2 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: NA Сопоставления стандартов соответствия: |
= 1 (OsConfig) |
Критически важно |
| Включение System Guard (AZ-WIN-202247) |
Описание. Использование поддержки процессора для технологии динамического корневого обеспечения доверия (DRTM) System Guard помещает встроенное ПО в аппаратное песочницу, помогая ограничить влияние уязвимостей в миллионах строк кода встроенного ПО с высоким уровнем привилегий. Путь к ключу: SystemGuardStatus OSEx: WSASHCI22H2 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: NA Сопоставления стандартов соответствия: |
= 0 (OsConfig) |
Критически важно |
| Включение безопасности на основе виртуализации (AZ-WIN-202245) |
Описание. Безопасность на основе виртуализации или VBS используют функции виртуализации оборудования для создания и изоляции безопасной области памяти от обычной операционной системы. Это помогает обеспечить, чтобы серверы оставались посвященными выполнению критически важных рабочих нагрузок и помогают защитить связанные приложения и данные от атак и кражи. VBS включен и заблокирован по умолчанию в Azure Stack HCI. Путь к ключу: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: NA Сопоставления стандартов соответствия: |
= 0 (OsConfig) |
Критически важно |
| Настройка версии TPM (AZ-WIN-202249) |
Описание: технология доверенного платформенного модуля (TPM) предназначена для обеспечения аппаратных функций, связанных с безопасностью. TPM2.0 требуется для функций Secured-core. Путь к ключу: TPMVersion OSEx: WSASHCI22H2 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: NA Сопоставления стандартов соответствия: |
Содержит 2.0 (OsConfig) |
Критически важно |
Параметры безопасности — Учетные записи
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Учетные записи: блокирование учетных записей Майкрософт (AZ-WIN-202201) |
Описание. Этот параметр политики запрещает пользователям добавлять новые учетные записи Майкрософт на этом компьютере. Рекомендуемое состояние для этого параметра — Users can't add or log on with Microsoft accounts.Путь к ключу: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Учетные записи: блокировка учетных записей Майкрософт Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2 |
= 3 (Registry) (Реестр) |
Предупреждение |
| Учетные записи: состояние учетной записи «Гость» (CCE-37432-2) |
Описание: этот параметр политики определяет, включена или отключена ли учетная запись гостя. Учетная запись гостя позволяет пользователям сети получить доступ к системе без входа с проверкой подлинности. Рекомендуемое состояние для этого параметра — Disabled. Важно: этот параметр не имеет значения при применении к подразделению контроллера домена с помощью групповой политики, так как у контроллеров домена нет локальной базы данных учетных записей. Его можно настроить на уровне домена с помощью групповой политики, аналогично параметрам блокировки учетной записи и политики паролей.Путь к ключу: [System Access]EnableGuestAccount ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Учетные записи: состояние гостевой учетной записи Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3 |
= 0 (Policy) (Политика) |
Критически важно |
| Учетные записи: разрешить использование пустых паролей только при консольном входе (CCE-37615-2) |
Описание: этот параметр безопасности определяет, могут ли локальные учетные записи, не защищенные паролем, использоваться для входа в систему из расположений, отличных от физической консоли компьютера. Если этот параметр политики включен, то локальные учетные записи с пустыми паролями не смогут входить в сеть с удаленных клиентских компьютеров. Такие учетные записи смогут войти только с клавиатуры компьютера. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Учетные записи: ограничение использования пустых паролей только для входа в консоль Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Учетные записи: переименование учетной записи гостя (AZ-WIN-202255) |
Описание. Встроенная локальная гостевая учетная запись — это другое известное имя злоумышленникам. Рекомендуется переименовать эту учетную запись в то, что не указывает его назначение. Даже если вы отключите эту учетную запись, которая рекомендуется, убедитесь, что вы переименовываете ее для добавленной безопасности. В контроллерах домена, так как у них нет собственных локальных учетных записей, это правило относится к встроенной гостевой учетной записи, которая была создана при первом создании домена. Путь к ключу: [системный доступ]NewGuestName ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Учетные записи: переименование гостевой учетной записи Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6 |
!= гость (Policy) (Политика) |
Предупреждение |
| Сетевой доступ: разрешить трансляцию анонимного SID в имя (CCE-10024-8) |
Описание. Этот параметр политики определяет, может ли анонимный пользователь запрашивать атрибуты идентификатора безопасности (SID) для другого пользователя или использовать идентификатор безопасности для получения соответствующего имени пользователя. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: [System Access]LSAAnonymousNameLookup ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевой доступ: Разрешить анонимный перевод sid/Name Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1 |
= 0 (Policy) (Политика) |
Предупреждение |
Параметры безопасности — Аудит
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии) (CCE-37850-5) |
Описание: этот параметр политики позволяет администраторам включить более точные возможности аудита, имеющиеся в Windows Vista. Параметры политики аудита, доступные в Windows Server 2003 Active Directory, еще не содержат средств управления новыми подкатегориями аудита. Чтобы правильно применить политики аудита, заданные в этом базовом плане, параметры подкатегории "Аудит: принудительная политики аудита" (ОС Windows Vista или более поздней версии) должны быть выставлены в значение "Включено", чтобы переопределить настройки категории политики аудита. Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Аудит: принудительное изменение параметров подкатегории политики аудита (Windows Vista или более поздней версии) для переопределения параметров категории политики аудита Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.2.1 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности. (CCE-35907-5) |
Описание: этот параметр политики определяет, завершается ли работа системы, если не удается зарегистрировать события безопасности. Это требование для критериев оценки системы доверенных компьютеров (ТКСЕК) версии C2 и общих критериев, необходимое для предотвращения аудита событий, если система аудита не может их зарегистрировать. Корпорация Майкрософт решила удовлетворить это требование, останавливая работу системы и отображая сообщение об остановке при сбое в системе аудита. Если этот параметр политики включен, система будет выключена, если аудит по каким-либо причинам недоступен для записи аудита безопасности. При включенном параметре "Аудит: немедленное завершение работы системы при невозможности вести журнал аудита безопасности" могут возникать незапланированные сбои системы. Административные нагрузки могут быть значительными, особенно если для журнала безопасности метод сохранения имеет значение "Не перезаписывать события (очищать журнал вручную)". Такая конфигурация приводит к тому, что угроза отрицания (оператор резервного копирования может запретить резервное копирование или восстановление данных) становится причиной отказа в обслуживании (DoS), поскольку сервер может принудительно завершить работу, если он перегружен событиями входа в систему и другими событиями безопасности, записываемыми в журнал безопасности. Кроме того, поскольку завершение работы в этом случае производится некорректно, возможно неустранимое повреждение операционной системы, приложений или данных. Несмотря на то, что файловая система NTFS гарантирует свою целостность при некорректном отключении компьютера, она не гарантирует, что каждый файл данных для каждого приложения будет по-прежнему в рабочем состоянии после перезагрузки компьютера. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Аудит: немедленное завершение работы системы, если не удается выполнить аудит безопасности Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
Параметры безопасности — Устройства
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Устройства: разрешить форматирование и извлечение съемных носителей (CCE-37701-0) |
Описание: этот параметр политики определяет, кому разрешено форматировать и извлекать съемные носители. Этот параметр политики можно использовать, чтобы запретить неавторизованным пользователям удалять данные на одном компьютере с целью доступа к ним на другом компьютере, на котором у них есть права локального администратора. Путь к ключу: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Устройства: разрешено форматирование и удаление съемных носителей Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.4.1 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Устройства: запретить пользователям установку драйверов принтера. (CCE-37942-0) |
Описание: для печати с компьютера на общем принтере необходимо, чтобы драйвер для этого общего принтера был установлен на локальном компьютере. Этот параметр безопасности определяет, кому разрешено устанавливать драйвер печати в процессе подключения к общему принтеру. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Этот параметр не влияет на возможность добавления локального принтера. Эта настройка не затрагивает Администраторов.Путь к ключу: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Устройства: запретить пользователям устанавливать драйверы принтера Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2 |
Не существует или = 1 (Registry) (Реестр) |
Предупреждение |
| Разрешает установку драйвера печати только администраторам (AZ_WIN_202202) |
Описание. Этот параметр политики определяет, могут ли пользователи, которые не Администратор istrator, устанавливать драйверы печати в системе. Рекомендуемое состояние для этого параметра — Enabled. Примечание. 10 августа 2021 г. Корпорация Майкрософт объявила об изменении поведения по умолчанию "Точка и печать", которое изменяет поведение установки драйвера точки и печати по умолчанию, чтобы требовать привилегий Администратор istrator. Это описано в разделе КБ5005652 Управление новыми версиями драйвера point and Print по умолчанию (CVE-2021-34481).Путь к ключу: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Policies\Администратор istrative templates\MS Security Guide\Limits print driver installation to Администратор istrator Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.3.5 CIS WS2019 18.3.5 |
= 1 (Registry) (Реестр) |
Предупреждение |
Параметры безопасности — член домена
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Убедиться, что для параметра "Член домена: цифровое шифрование или подпись данных безопасного канала (всегда)" установлено значение "Включено" (CCE-36142-8) |
Описание. Этот параметр политики определяет, должен ли быть подписан или зашифрован весь трафик безопасного канала, инициированный членом домена. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Local Policies\Security Options\Domain member: Digitally encrypt or sign secure channel data (always) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Убедиться, что для параметра "Член домена: шифрование данных безопасного канала (если возможно)" установлено значение "Включено" (CCE-37130-2) |
Описание. Этот параметр политики определяет, должен ли член домена пытаться согласовать шифрование для всего трафика безопасного канала, который он инициирует. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Local Policies\Security Options\Domain member: Digitally encrypt secure channel data (по возможности) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Убедиться, что для параметра "Член домена: подпись данных безопасного канала (если возможно)" установлено значение "Включено" (CCE-37222-7) |
Описание: Этот параметр политики определяет, должен ли член домена пытаться согласовать, должен ли весь инициированный им трафик безопасного канала иметь цифровую подпись. Цифровые подписи защищают трафик от изменения любым пользователем, который записывает данные по мере прохождения сети. Рекомендуемое состояние для этого параметра — "Enabled" ("Включено"). Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\Security\Security Options\Domain member: Digitally sign secure channel data (по возможности) Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Убедиться, что для параметра "Член домена: отключение изменений пароля учетной записи компьютера" установлено значение "Отключено" (CCE-37508-9) |
Описание: Этот параметр политики определяет, может ли член домена периодически изменять пароль учетной записи компьютера. Компьютеры, которые не могут автоматически изменять пароли учетных записей, потенциально уязвимы, так как злоумышленник может определить пароль для учетной записи домена системы. Рекомендуемое состояние для этого параметра — "Disabled" ("Отключено"). Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\член домена: отключение изменений пароля учетной записи компьютера Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Убедиться, что "Член домена: Максимальный срок действия пароля учетной записи компьютера" имеет значение "30 или меньше дней, но не 0" (CCE-37431-4) |
Описание: этот параметр политики определяет максимальный срок действия для пароля учетной записи компьютера. По умолчанию члены домена автоматически изменяют свои пароли домена каждые 30 дней. Если увеличить этот интервал значительно, чтобы компьютеры больше не изменяли свои пароли, у злоумышленника будет больше времени, чтобы провести атаку методом подбора на одну из учетных записей компьютеров. Рекомендуемое состояние для этого параметра — 30 or fewer days, but not 0. Примечание: значение 0 не соответствует тесту производительности, так как оно отключает максимальный срок действия пароля.Путь к ключу: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 30 or fewer days, but not 0пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\член домена: максимальный возраст пароля учетной записи компьютера Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5 |
1–30 (Registry) (Реестр) |
Критически важно |
| Убедиться, что для параметра "Член домена: требовать надежный ключ сеанса (Windows 2000 или выше)" установлено значение "Включено" (CCE-37614-5) |
Описание. Если этот параметр политики включен, безопасный канал можно установить только с контроллерами домена, которые могут шифровать данные безопасного канала с помощью строгого (128-разрядного) ключа сеанса. Чтобы включить этот параметр политики, все контроллеры домена в домене должны иметь возможность шифровать данные безопасного канала с помощью строгого ключа, что означает, что все контроллеры домена должны работать под управлением Microsoft Windows 2000 или более поздней версии. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\член домена: требовать сильный (Windows 2000 или более поздней версии) сеансовый ключ Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
Параметры безопасности — Интерактивный вход
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Кэширование учетных данных входа должно быть ограничено (AZ-WIN-73651) |
Описание. Этот параметр политики определяет, может ли пользователь войти в домен Windows с помощью сведений об кэшированных учетных записях. Сведения о входе для учетных записей домена можно кэшировать локально, чтобы пользователи могли войти в систему, даже если контроллер домена не удается связаться. Этот параметр политики определяет количество уникальных пользователей, для которых данные входа кэшируются локально. Если для этого значения задано значение 0, функция кэша входа отключена. Злоумышленник, который может получить доступ к файловой системе сервера, может найти эту кэшированную информацию и использовать атаку методом подбора для определения паролей пользователей. Рекомендуемое состояние для этого параметра — 4 or fewer logon(s).Путь к ключу: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Интерактивный вход: количество предыдущих входов в кэш (если контроллер домена недоступен) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6 |
1–4 (Registry) (Реестр) |
Информационный |
| Интерактивный вход в систему: не отображать последнее имя пользователя. (CCE-36056-0) |
Описание: этот параметр политики определяет, будет ли имя учетной записи последнего пользователя для входа на клиентские компьютеры в вашей организации отображаться на соответствующем экране входа в Windows каждого компьютера. Включите этот параметр политики, чтобы предотвратить возможность злоумышленникам собирать имена учетных записей визуально с экрана настольных компьютеров или ноутбуков вашей организации. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Интерактивный вход: не отображайте последний вход Примечание. В более ранних версиях Microsoft Windows этот параметр был назван интерактивным входом: не отображайте фамилию пользователя, но она была переименована начиная с Windows Server 2019. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2 |
= 1 (Registry) (Реестр) |
Критически важно |
| Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL (CCE-37637-6) |
Описание: этот параметр политики определяет, должны ли пользователи нажать клавиши CTRL + ALT + DEL перед входом в систему. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Интерактивный вход: не требуется CTRL+ALT+DEL Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Интерактивный вход в систему: предел простоя компьютера (AZ-WIN-73645) |
Описание: Windows замечает отсутствие активности сеанса входа в систему и если количество неактивного времени превышает ограничение бездействия, то средство сохранения экрана будет запускаться, блокировка сеанса. Рекомендуемое состояние для этого параметра — 900 or fewer second(s), but not 0. Примечание. Значение 0 не соответствует тесту, так как оно отключает ограничение бездействия компьютера.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Интерактивный вход: ограничение бездействия компьютера Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3 |
1–900 (Registry) (Реестр) |
Важно! |
| Интерактивный вход в систему: текст сообщения для пользователей при входе в систему (AZ-WIN-202253) |
Описание. Этот параметр политики задает текстовое сообщение, отображаемое пользователям при входе. Настройте этот параметр таким образом, чтобы он соответствовал требованиям к безопасности и эксплуатации вашей организации. Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Интерактивный вход: текст сообщения для пользователей, пытающихся войти в систему Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4 |
!= (Registry) (Реестр) |
Предупреждение |
| Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему (AZ-WIN-202254) |
Описание. Этот параметр политики задает текст, отображаемый в заголовке окна, который пользователи видят при входе в систему. Настройте этот параметр таким образом, чтобы он соответствовал требованиям к безопасности и эксплуатации вашей организации. Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Интерактивный вход: название сообщения для пользователей, пытающихся войти в систему Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5 |
!= (Registry) (Реестр) |
Предупреждение |
| Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее. (CCE-10930-6) |
Описание. Этот параметр политики определяет, насколько далеко заранее пользователи предупреждают о истечении срока действия пароля. Рекомендуется настроить этот параметр политики по крайней мере на 5 дней, но не более 14 дней, чтобы достаточно предупредить пользователей о истечении срока действия паролей. Рекомендуемое состояние для этого параметра — between 5 and 14 days.Путь к ключу: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Интерактивный вход: запрос пользователя на изменение пароля до истечения срока действия Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7 |
5–14 (Registry) (Реестр) |
Информационный |
Параметры безопасности — Клиент для сетей Майкрософт
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Клиент сети Microsoft: использовать цифровую подпись (всегда) (CCE-36325-9) |
Описание: Этот параметр политики определяет, требуется ли подписывание пакетов SMB-компоненту клиента. Примечание. Если на компьютерах с ОС Windows Vista этот параметр политики включен и подключается к общим папкам файлов или печати на удаленных серверах, важно, чтобы параметр был синхронизирован с сопутствующим параметром Сервер для сетей Майкрософт: использовать цифровую подпись (всегда) на этих серверах. Дополнительные сведения об этих параметрах см. в разделе "Клиент и сервер сети Microsoft: Цифровая подпись (четыре связанных параметра)" Главы 5 в статье "Руководство по угрозам и контрмерам". Рекомендуемое состояние для этого параметра — "Enabled" ("Включено"). Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\Security Options\Microsoft network client: Digitally signs communications (always) Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) (CCE-36269-9) |
Описание: этот параметр безопасности определяет, пытается ли SMB-клиент согласовывать подписывание SMB-пакетов. Важно: включение этого параметра политики на клиентах SMB в сети делает их полностью эффективными для подписи пакетов со всеми клиентами и серверами в вашей среде. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Local Policies\Security\Security Options\Microsoft network client: Digitally signs communications (если сервер согласен) Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Клиент сети Microsoft: отправлять незашифрованный пароль сторонним SMB-серверам (CCE-37863-8) |
Описание: Этот параметр политики определяет, будет ли перенаправитель SMB отсылать пароли в формате обычного текста во время аутентификации на сторонние SMB-серверы, которые не поддерживают шифрование паролей. Рекомендуется отключить этот параметр политики, если для его включения нет веских экономических оснований. Если этот параметр политики включен, незашифрованные пароли будут разрешены по сети. Рекомендуемое состояние для этого параметра — "Disabled" ("Отключено"). Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\клиент сети Майкрософт: отправка незашифрованного пароля на сторонние серверы S МБ Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Сервер сети Microsoft: время бездействия до приостановки сеанса (CCE-38046-9) |
Описание: этот параметр политики позволяет указать объем непрерывного времени простоя, который должен пройти в течение сеанса SMB, прежде чем сеанс будет приостановлен из-за отсутствия активности. Администраторы могут использовать этот параметр политики, чтобы контролировать, когда компьютер приостанавливает неактивный сеанс SMB. Если клиентская активность возобновляется, сеанс автоматически запускается вновь. Значение 0 позволяет сохранять сеансы в течение неограниченного времени. Максимальное значение — 99999, что превышает 69 дней; по сути, это значение отключает параметр. Рекомендуемое состояние для этого параметра — 15 or fewer minute(s), but not 0.Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 15 or fewer minute(s)пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\сетевой сервер Майкрософт: время простоя, необходимое перед приостановкой сеанса Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.9.1 |
В разделе 1-15 (Registry) (Реестр) |
Критически важно |
| Сервер сети Microsoft: использовать цифровую подпись (всегда) (CCE-37864-6) |
Описание: этот параметр политики определяет, требуется ли подписывание пакетов SMB-компоненту сервера. Включите этот параметр политики в смешанной среде, чтобы не допустить использования подчиненными клиентами рабочей станции в качестве сетевого сервера. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевой сервер Майкрософт: обмен данными цифрового знака (всегда) Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2 |
= 1 (Registry) (Реестр) |
Критически важно |
| Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) (CCE-35988-5) |
Описание: этот параметр политики определяет, будет ли сервер SMB согласовывать подписывание пакетов SMB с клиентами, которые его запрашивают. Если от клиента не поступает запросов, подключение будет разрешено без подписи, если параметр Microsoft Network Server: Цифровая подпись (всегда) не включен. Важно: включение этого параметра политики на клиентах SMB в сети делает их полностью эффективными для подписи пакетов со всеми клиентами и серверами в вашей среде. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\сетевой сервер Майкрософт: цифровой знак связи (если клиент согласен) Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3 |
= 1 (Registry) (Реестр) |
Критически важно |
| Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа (CCE-37972-7) |
Описание: этот параметр безопасности определяет, следует ли отключать пользователей, подключенных к локальному компьютеру, за пределами допустимых часов входа в учетную запись пользователя. Этот параметр влияет на компонент SMB. При включении данного параметра политики следует также включить настройку Сетевая безопасность: принудительный выход из системы при истечении времени ожидания входа (правило 2.3.11.6). Если ваша организация настроила время входа пользователей в систему, этот параметр политики необходим, чтобы обеспечить их эффективную работу. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\сетевой сервер Майкрософт: отключение клиентов при истечении срока действия часов входа Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта (CCE-10617-9) |
Описание. Этот параметр политики управляет уровнем проверки компьютера с общими папками или принтерами (сервером) выполняется с именем субъекта-службы ( SPN), предоставляемым клиентским компьютером при создании сеанса с помощью протокола блока сообщений сервера (S МБ). Протокол блока сообщений сервера (S МБ) предоставляет основу для обмена файлами и печати и других сетевых операций, таких как удаленное администрирование Windows. Протокол S МБ поддерживает проверку имени субъекта-службы сервера S МБ в большом двоичном объекте проверки подлинности, предоставленном клиентом S МБ, чтобы предотвратить атаки на серверы S МБ, называемые атаками ретранслятора S МБ. Этот параметр влияет на S МБ 1 и S МБ 2. Рекомендуемое состояние для этого параметра — Accept if provided by client. Настройка этого параметра Required from client также соответствует тесту. Примечание. С момента выпуска исправления безопасности MS КБ3161561 этот параметр может вызвать значительные проблемы (например, проблемы с реплика tion, проблемы редактирования групповой политики и синяя экранная сбой) на контроллерах домена при одновременном использованиис ужесточением пути UNC (т. е. правило 18.5.14.1). Поэтому CIS рекомендует развернуть этот параметр на контроллерах домена.Путь к ключу: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\сетевой сервер Майкрософт: уровень проверки целевого имени сервера субъекта-службы Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5 |
= 1 (Registry) (Реестр) |
Предупреждение |
Параметры безопасности — Сервер для сетей Майкрософт
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Отключите сервер SMB версии 1 (AZ-WIN-00175) |
Описание: отключение этого параметра отключает обработку протокола SMBv1 на стороне сервера. Рекомендовано: включение этого параметра включает обработку протокола SMBv1 на стороне сервера. По умолчанию: чтобы изменения этого параметра вступили в силу, потребуется перезагрузка. Дополнительные сведения см. в разделе https://support.microsoft.com/kb/2696547. Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: неприменимо Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.3.3 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
Параметры безопасности — Доступ к сети
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Учетные записи: переименование учетной записи администратора (CCE-10976-9) |
Описание. Встроенная учетная запись локального администратора — это известное имя учетной записи, на которую будут нацелены злоумышленники. Рекомендуется выбрать другое имя для этой учетной записи и избежать имен, обозначающих учетные записи административного или повышенного доступа. Не забудьте также изменить описание по умолчанию для локального администратора (с помощью консоли управления компьютером). В контроллерах домена, так как у них нет собственных локальных учетных записей, это правило ссылается на встроенную учетную запись Администратор istrator, которая была создана при первом создании домена. Путь к ключу: [System Access]NewAdministratorName ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Учетные записи: переименование учетной записи администратора Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5 |
!= Администратор istrator (Policy) (Политика) |
Предупреждение |
| Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями (CCE-36316-8) |
Описание: этот параметр политики управляет возможностью анонимных пользователей перечислять учетные записи в диспетчере учетных записей безопасности (SAM). Если этот параметр политики включен, пользователи с анонимными подключениями не смогут перечислять имена пользователей учетной записи домена в системах в вашей среде. Этот параметр политики также позволяет задать дополнительные ограничения для анонимных подключений. Рекомендуемое состояние для этого параметра — Enabled. Важно: эта политика не влияет на контроллеры домена.Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности Доступ etwork: не разрешать анонимное перечисление учетных записей SAM Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.10.2 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями (CCE-36077-6) |
Описание: этот параметр политики управляет возможностью анонимных пользователей перечислять учетные записи SAM и общие папки. Если этот параметр политики включен, пользователи с анонимными подключениями не смогут перечислять имена пользователей учетной записи домена и имена общих папок в системах в вашей среде. Рекомендуемое состояние для этого параметра — Enabled. Важно: эта политика не влияет на контроллеры домена.Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности Доступ etwork: не разрешать анонимное перечисление учетных записей SAM и общих папок Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.10.3 |
= 1 (Registry) (Реестр) |
Критически важно |
| Сетевой доступ: разрешать применение разрешений «Для всех» к анонимным пользователям (CCE-36148-5) |
Описание: этот параметр политики определяет, какие дополнительные разрешения назначаются для анонимных подключений к компьютеру. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевой доступ: разрешить всем разрешения применяться к анонимным пользователям Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Сетевой доступ: удаленно доступные пути реестра (CCE-37194-8) |
Описание: этот параметр политики определяет, какие пути реестра будут доступны после ссылки на раздел WinReg для определения разрешений на доступ к путям. Важно: этот параметр не существует в Windows XP. В Windows XP имеется параметр с таким именем, но он называется "Сетевой доступ: пути реестра, доступные в удаленном режиме" в Windows Server 2003, Windows Vista и Windows Server 2008. Важно: при настройке этого параметра указывается список из одного или нескольких объектов. Разделителем, используемым при вводе списка, является перевод строки или возврат каретки. Таким образом необходимо ввести первый объект в списке, нажать кнопку Enter, ввести следующий объект, затем клавишу Enter еще раз и т. д. Значение параметра сохраняется в виде списка с разделителями-запятыми в шаблонах безопасности групповой политики. Оно также отображается в виде списка с разделителями-запятыми в области отображения редактора групповой политики и в результирующем наборе консоли политики. Он записывается в реестр как список с разделителями строкового канала в значение REG_MULTI_SZ. Путь к ключу: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевой доступ: пути к удаленному доступу к реестру Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.10.8 |
Не существует или = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (Registry) (Реестр) |
Критически важно |
| Сетевой доступ: пути к удаленному доступу к реестру и вложенные пути (CCE-36347-3) |
Описание: этот параметр политики определяет, какие пути реестра и подпапки будут доступны, когда приложение или процесс ссылается на ключ WinReg для определения разрешений на доступ. Примечание. В Windows XP этот параметр называется "Сетевой доступ: пути реестра, доступные в удаленном режиме", параметр с рассматриваем именем из Windows Vista, Windows Server 2008 и Windows Server 2003 не существует в Windows XP. Важно: при настройке этого параметра указывается список из одного или нескольких объектов. Разделителем, используемым при вводе списка, является перевод строки или возврат каретки. Таким образом необходимо ввести первый объект в списке, нажать кнопку Enter, ввести следующий объект, затем клавишу Enter еще раз и т. д. Значение параметра сохраняется в виде списка с разделителями-запятыми в шаблонах безопасности групповой политики. Оно также отображается в виде списка с разделителями-запятыми в области отображения редактора групповой политики и в результирующем наборе консоли политики. Он записывается в реестр как список с разделителями строкового канала в значение REG_MULTI_SZ. Путь к ключу: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности etwork access: удаленные пути к реестру и вложенные пути Если сервер содержит роль служб сертификатов Active Directory со службой ролей центра сертификации, приведенный выше список также должен включать: System\CurrentControlSet\Services\CertSvc. Если сервер установлен компонент сервера WINS , приведенный выше список также должен включать: 'System\CurrentControlSet\Services\WINS' Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.10.9 |
Не существует или = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (Registry) (Реестр) |
Критически важно |
| Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам (CCE-36021-4) |
Описание: если этот параметр политики включен, анонимный доступ к общим ресурсам и каналам с именами в параметрах Network access: Named pipes that can be accessed anonymously и Network access: Shares that can be accessed anonymously не будет ограничен. Этот параметр политики управляет доступом пустых сеансов к общим папкам на компьютерах, добавляя RestrictNullSessAccess со значением 1 в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters реестра. Это значение реестра включает или отключает доступ к общим папкам сессии null. Это необходимо чтобы определить, будет ли служба сервера ограничивать доступ клиентов, не прошедших проверку подлинности, к именованным ресурсам. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевой доступ: ограничение анонимного доступа к именованным каналам и общим папкам Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Доступ к сети: ограничение на совершение удаленных вызовов SAM для клиентов (AZ-WIN-00142) |
Описание: этот параметр политики позволяет ограничить удаленные RPC подключения к SAM. Если не выбрано, будет использоваться дескриптор безопасности по умолчанию. Эта политика поддерживается как минимум на Windows Server 2016. Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM ОС: WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators: Remote Access: Allowпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности etwork access: ограничить клиенты, которым разрешено выполнять удаленные вызовы к SAM Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.10.11 |
Не существует или = O:BAG:BAD:(A;;RC;;;BA) (Registry) (Реестр) |
Критически важно |
| Сетевой доступ: разрешать анонимный доступ к общим ресурсам (CCE-38095-6) |
Описание: этот параметр политики определяет, какие сетевые папки могут быть доступны анонимным пользователям. Конфигурация по умолчанию для этого параметра политики не оказывает практически никакого эффекта, так как все пользователи должны пройти проверку подлинности, прежде чем смогут получить доступ к общим ресурсам на сервере. Важно: добавление других общих папок к этому параметру групповой политики может быть очень опасным. Любой сетевой пользователь может получить доступ к любым перечисленным общим папкам, что может раскрыть или повредить конфиденциальные данные. Важно: при настройке этого параметра указывается список из одного или нескольких объектов. Разделителем, используемым при вводе списка, является перевод строки или возврат каретки. Таким образом необходимо ввести первый объект в списке, нажать кнопку Enter, ввести следующий объект, затем клавишу Enter еще раз и т. д. Значение параметра сохраняется в виде списка с разделителями-запятыми в шаблонах безопасности групповой политики. Оно также отображается в виде списка с разделителями-запятыми в области отображения редактора групповой политики и в результирующем наборе консоли политики. Он записывается в реестр как список с разделителями строкового канала в значение REG_MULTI_SZ. Путь к ключу: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь <blank> пользовательского интерфейса (т. е. нет):Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности etwork access: общие папки, к которым можно получить анонимный доступ Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.10.12 |
Не существует или = (Registry) (Реестр) |
Критически важно |
| Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей (CCE-37623-6) |
Описание: этот параметр политики определяет способ проверки подлинности при входе в сеть, использующую локальные учетные записи. Вариант "Классический" обеспечивает точный контроль доступа к ресурсам, включая возможность назначать различные типы доступа разным пользователям для одного и того же ресурса. Вариант "Гостевой" позволяет обрабатывать всех пользователей одинаково. В этом контексте все пользователи проходят проверку подлинности как гость только для получения одного и того же уровня доступа к определенному ресурсу. Рекомендуемое состояние для этого параметра — Classic - local users authenticate as themselves. Важно: этот параметр не влияет на интерактивный вход в систему, который выполняется удаленно с помощью таких служб, как Telnet или службы удаленных рабочих столов (ранее именуемых службами терминалов).Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Classic - local users authenticate as themselvesпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевой доступ: общий доступ и модель безопасности для локальных учетных записей Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
Параметры безопасности — Сетевая безопасность
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM (CCE-38341-4) |
Описание: если этот параметр политики включен, локальные системные службы, обычно использующие Negotiate, будут использовать удостоверение компьютера при выборе режима проверки подлинности NTLM. Эта политика поддерживается как минимум на Windows Server 7 или Windows Server 2008 R2. Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности Безопасность etwork: разрешить локальной системе использовать удостоверение компьютера для NTLM Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.11.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы (CCE-37035-3) |
Описание: этот параметр политики определяет, разрешено ли NTLM возвращаться к сеансу null при использовании с LocalSystem. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевая безопасность: разрешить резервную передачу сеанса LocalSystem NULL Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру. (CCE-38047-7) |
Описание: этот параметр определяет, могут ли сетевые удостоверения проходить проверку подлинности на этом компьютере. Протокол PKU2U на основе шифрования открытого ключа, представленный в Windows 7 и Windows Server 2008 R2, реализован как поставщик поддержки безопасности (SSP). SSP обеспечивает одноранговую проверку подлинности, в частности, с помощью функции общего доступа к файлам и мультимедиа Windows 7, называемой домашней группой, которая разрешает совместное использование компьютеров, не входящих в домен. При использовании PKU2U в пакет проверки подлинности Negotiate было добавлено новое расширение Spnego.dll. В предыдущих версиях Windows для проверки подлинности Negotiate принимало решение о том, следует ли использовать Kerberos или NTLM. Расширение поставщика общих служб (SSP) для Negotiate, Negoexts.dll, которое рассматривается как протокол проверки подлинности Windows, поддерживает Microsoft SSP, включая PKU2U. Если компьютеры настроены для приема запросов проверки подлинности с помощью сетевых идентификаторов, Negoexts.dll вызывает поставщик общих служб PKU2U на компьютере, который используется для входа в систему. Поставщик общих служб PKU2U получает локальный сертификат и обменивается с ним политикой между одноранговыми компьютерами. При проверке на одноранговом компьютере сертификат в метаданных отправляется на одноранговый узел входа для проверки и связывает сертификат пользователя с маркером безопасности, а процесс входа в систему завершается. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевая безопасность: разрешить запросы проверки подлинности PKU2U на этот компьютер использовать сетевые удостоверения Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Сетевая безопасность: необходима настройка типов шифрования, разрешенных Kerberos (CCE-37755-6) |
Описание: этот параметр политики позволяет задать типы шифрования, которые разрешено будет использовать Kerberos. Эта политика поддерживается как минимум на Windows Server 7 или Windows Server 2008 R2. Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевая безопасность: настройка типов шифрования, разрешенных для Kerberos Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.11.4 |
Не существует или = 2147483640 (Registry) (Реестр) |
Критически важно |
| Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля (CCE-36326-7) |
Описание: этот параметр политики определяет, будет ли сохраняться значение хэша LAN Manager (LM) для нового пароля после смены пароля. Хэш LM сравнительно слаб и подвержен атакам в отличие от криптографически надежного хэша Microsoft Windows NT. Так как хэши LM хранятся на локальном компьютере в базе данных безопасности, пароли могут быть легко скомпрометированы при атаке базы данных. Важно: более старые операционные системы и некоторые сторонние приложения могут завершаться ошибкой, если этот параметр политики включен. Кроме того, обратите внимание, что после включения этого параметра пароль необходимо изменить во всех учетных записях, чтобы получить необходимый эффект. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевая безопасность: не сохраняйте хэш-значение LAN Manager при следующем изменении пароля Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Сетевая безопасность: уровень проверки подлинности LAN Manager (CCE-36173-3) |
Описание: диспетчер LAN (LM) — это семейство раннего программного обеспечения клиента или сервера корпорации Майкрософт, которое позволяет пользователям связывать персональные компьютеры в одной сети. Его сетевые возможности включают в себя прозрачный общий доступ к файлам и принтерам, пользовательские функции безопасности и средства администрирования сети. В доменах Active Directory протокол Kerberos является протоколом проверки подлинности по умолчанию. Однако если протокол Kerberos не согласован по какой-либо причине, Active Directory будет использовать LM, NTLM или NTLMv2. Проверка подлинности LAN Manager включает LM, Варианты NTLM и NTLM версии 2 (NTLMv2) и протокол, используемый для проверки подлинности всех клиентов Windows при выполнении следующих операций: — присоединение домена — проверка подлинности между лесами Active Directory — проверка подлинности в доменах нижнего уровня — проверка подлинности на компьютерах, не работающих под управлением Windows 2000, Windows Server 2003 или Windows XP) — проверка подлинности на компьютерах, которые не находятся в домене. Возможные значения сетевой безопасности: Параметры уровня проверки подлинности LAN Manager: — Отправка ответов LM и NTLM . Отправка LM и NTLM — использование безопасности сеанса NTLMv2 при согласовании — отправка ответов NTLM только — отправка ответов NTLMv2 только — отправка N Ответы только в формате TLMv2\ отказ от LM. Отправка ответов NTLMv2 only\refuse LM и NTLM — не определена сетевая безопасность: параметр уровня проверки подлинности LAN Manager определяет, какой протокол проверки подлинности вызова и ответа используется для входа в сеть. Этот выбор влияет на уровень протокола проверки подлинности, который используется клиентами, уровень безопасности сеанса, согласованный с компьютерами, и уровень проверки подлинности, принимаемый серверами следующим образом: — Отправлять ответы LM и NTLM. Клиенты используют проверку подлинности LM и NTLM и никогда не используют сеансовую безопасность NTLM версии 2. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Отправка LM и NTLM — используйте безопасность сеанса NTLMv2 при согласовании. Клиенты используют проверку подлинности LM и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Отправлять только ответы NTLM. Клиенты используют только проверку подлинности NTLM и сеансовую безопасность NTLMv2 если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Отправлять только ответы NTLMv2. Клиенты используют только проверку подлинности NTLMv2, а также используют сеансовую безопасность NTLM v2 если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять только ответы NTLMv2 и отказывать LM. Клиенты используют только проверку подлинности NTLMv2, а также используют сеансовую безопасность NTLM v2 если сервер ее поддерживает. Контроллеры домена отказывают LM (принимают только проверку подлинности NTLM и NTLMv2). Отправлять только ответы NTLMv2 и отказывать LM и NTLM. Клиенты используют только проверку подлинности NTLMv2, а также используют сеансовую безопасность NTLM v2 если сервер ее поддерживает. Контроллеры домена отказываются от LM и NTLM (принимают только проверку подлинности NTLMv2). Эти параметры соответствуют уровням, описанным в других документах Майкрософт следующим образом: — Level 0 — отправка ответов LM и NTLM; никогда не использовать сеансовую безопасность NTLMv2. Клиенты используют проверку подлинности LM и NTLM и никогда не используют сеансовую безопасность NTLM версии 2. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Level 1 — использовать сеансовую безопасность NTLMv2 только при согласовании. Клиенты используют проверку подлинности LM и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Level 2 — отправлять только ответы NTLM. Клиенты используют только проверку подлинности NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Level 3 — отправлять только ответы NTLMv2. Клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLM v2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. — Level 4 — отклонять ответы LM на контроллерах домена. Клиенты используют только проверку подлинности NTLM, а также сеансовую безопасность NTLM v2, если сервер ее поддерживает. Контроллеры домена отказывают проверку подлинности LM, то есть принимают NTLM и NTLMv2. — Level 5 — контроллеры домена отказывают LM и NTLM (принимается только NTLMv2). Клиенты используют только проверку подлинности NTLMv2, а также используют сеансовую безопасность NTLM v2 если сервер ее поддерживает. Контроллеры домена отказывают проверку подлинности NTLM и LM (принимаются только NTLMv2). Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: "Отправить только ответ NTLMv2. Отказ от LM и NTLM': Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности Безопасность etwork: уровень проверки подлинности LAN Manager Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.11.7 |
= 5 (Registry) (Реестр) |
Критически важно |
| Сетевая безопасность: требование цифровой подписи для LDAP-клиента (CCE-36858-9) |
Описание: этот параметр политики определяет уровень подписи данных, запрашиваемый от имени клиентов, которые выдают запросы на привязку LDAP. Важно: этот параметр политики не влияет на простую привязку LDAP (ldap_simple_bind) или простую привязку LDAP через SSL (ldap_simple_bind_s). Ни один из клиентов Microsoft LDAP, которые входят в состав Windows XP Professional, не использует ldap_simple_bind или ldap_simple_bind_s для взаимодействия с контроллером домена. Рекомендуемое состояние для этого параметра — Negotiate signing. Настройка этого параметра в значение Require signing также соответствует тесту производительности.Путь к ключу: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Negotiate signing пользовательского интерфейса (настройка Require signing также соответствует эталону):Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевая безопасность: требования к подписи клиента LDAP Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLMSSP (включая безопасный RPC) (CCE-37553-5) |
Описание: указывает, какие действия разрешены клиентами для приложений, использующих поставщик поддержки безопасности (SSP) NTLM. Интерфейс поставщика поддержки безопасности (SSPI) используется приложениями, которым требуются службы проверки подлинности. Этот параметр не изменяет способ работы последовательности аутентификации, а требует определенного поведения в приложениях, использующих SSPI. Рекомендуемое состояние для этого параметра — Require NTLMv2 session security, Require 128-bit encryption. Важно: эти значения зависят от значения параметра безопасности "Безопасность сети: уровень проверки подлинности LAN Manager".Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Require NTLMv2 session security, Require 128-bit encryptionпользовательского интерфейса: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевая безопасность: минимальная безопасность сеансов для клиентов NTLM SSP (включая безопасный RPC)Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.11.9 |
= 537395200 (Registry) (Реестр) |
Критически важно |
| Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLMSSP (включая безопасный RPC) (CCE-37835-6) |
Описание: эта настройка политики указывает, какие действия разрешены серверам для приложений, использующих поставщик поддержки безопасности (SSP) NTLM. Интерфейс поставщика поддержки безопасности (SSPI) используется приложениями, которым требуются службы проверки подлинности. Этот параметр не изменяет способ работы последовательности аутентификации, а требует определенного поведения в приложениях, использующих SSPI. Рекомендуемое состояние для этого параметра — Require NTLMv2 session security, Require 128-bit encryption. Важно: эти значения зависят от значения параметра безопасности "Безопасность сети: уровень проверки подлинности LAN Manager".Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Настройка значения политики для конфигурации компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Сетевая безопасность: минимальная безопасность сеансов для серверов NTLM SSP (включая безопасные RPC) для требования безопасности сеанса NTLMv2 и требуется 128-разрядное шифрование (все выбранные параметры). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.11.10 |
= 537395200 (Registry) (Реестр) |
Критически важно |
Параметры безопасности — Завершение работы
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Завершение работы: разрешить завершение работы системы без выполнения входа в систему (CCE-36788-8) |
Описание: этот параметр политики определяет, можно ли завершить работу компьютера, если пользователь не вошел в систему. Если этот параметр политики включен, команда "Завершение работы" доступна на экране входа в систему Windows. Рекомендуется отключить этот параметр политики, чтобы ограничить возможность выключения компьютера для пользователей с учетными данными в системе. Рекомендуемое состояние для этого параметра — Disabled. Важно: в Server 2008 R2 и более ранних версиях этот параметр не влиял на сеансы удаленного рабочего стола (RDP) и службы терминалов, он затрагивал только локальную консоль. Однако корпорация Майкрософт изменила его поведение в Windows Server 2012 (не R2) и более поздних версиях, где если задано значение Enabled ("Включено"), сеансам RDP также разрешено завершать работу или перезапускать сервер.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Завершение работы: разрешить завершение работы системы без необходимости входа в систему Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Завершение работы: очистка файла подкачки виртуальной памяти (AZ-WIN-00181) |
Описание: этот параметр политики определяет, следует ли очищать файл подкачки виртуальной памяти при завершении работы системы. Если этот параметр политики включен, системный файл подкачки будет очищаться каждый раз, когда система завершит работу правильно. Если включить этот параметр безопасности, то при отключении режима гибернации на портативном компьютере файл гибернации (Hiberfil.sys) будет обнулен. Завершение работы и перезагрузка компьютера будет занимать больше времени, и это будет особенно заметно на компьютерах с большими файлами подкачки. Путь к ключу: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Настройка значения политики для конфигурации компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Завершение работы: очистка файла страниц виртуальной памяти в Disabled.Сопоставления стандартов соответствия: |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
Параметры безопасности — системная криптография
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Пользователям необходимо ввести пароль для доступа к закрытым ключам, хранящимся на компьютере. (AZ-WIN-73699) |
Описание. Если обнаружен закрытый ключ, злоумышленник может использовать ключ для проверки подлинности в качестве авторизованного пользователя и получить доступ к сетевой инфраструктуре. Краеугольным камнем PKI является закрытый ключ, используемый для шифрования или цифровой подписи информации. Если закрытый ключ украден, это приведет к компрометации проверки подлинности и отказу, полученной через PKI, так как злоумышленник может использовать закрытый ключ для цифрового подписывания документов и притворяться авторизованным пользователем. Владельцы цифрового сертификата и центра выдачи должны защищать компьютеры, устройства хранения или все, что они используют для хранения закрытых ключей. Путь к ключу: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь к групповой политике: конфигурация компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Системная криптография: принудительной защиты надежных ключей для ключей пользователей, хранящихся на компьютере Сопоставления стандартов соответствия: |
= 2 (Registry) (Реестр) |
Важно! |
| Windows Server необходимо настроить для использования совместимых с FIPS алгоритмов для шифрования, хэширования и подписывания. (AZ-WIN-73701) |
Описание. Этот параметр гарантирует, что система использует алгоритмы, совместимые с FIPS для шифрования, хэширования и подписывания. Алгоритмы, совместимые с FIPS, соответствуют определенным стандартам, установленным правительством США, и должны быть алгоритмами, используемыми для всех функций шифрования ОС. Путь к ключу: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled ОС: WS2016, WS2019, WS2022 Тип сервера: член домена Путь групповой политики: конфигурация компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Системная криптография: использование алгоритмов, совместимых с FIPS для шифрования, хэширования и подписывания Сопоставления стандартов соответствия: |
= 1 (Registry) (Реестр) |
Важно! |
Параметры безопасности — Системные объекты
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Системные объекты: учитывать регистр для подсистем, отличных от Windows (CCE-37885-1) |
Описание: этот параметр политики определяет, применяется ли нечувствительность к регистру для всех подсистем. Подсистема Microsoft Win32 не учитывает регистр. Однако ядро поддерживает чувствительность к регистру для других подсистем, таких как портативный интерфейс операционной системы для UNIX (POSIX). Так как в Windows регистр не учитывается (но подсистема POSIX будет поддерживать чувствительность к регистру), несоблюдение этого параметра политики позволяет пользователю подсистемы POSIX создавать файл с тем же именем, что и другой файл, используя смешанный регистр для пометки. Такая ситуация может заблокировать доступ к этим файлам другим пользователем, использующим стандартные средства Win32, поскольку только один из файлов будет доступен. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Системные объекты: требовать нечувствительность регистра для подсистем, отличных от Windows Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1 |
Не существует или = 1 (Registry) (Реестр) |
Предупреждение |
| Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок). (CCE-37644-2) |
Описание: этот параметр политики определяет стойкость списка управления доступом на уровне пользователей (DACL) по умолчанию для объектов. Active Directory поддерживает глобальный список общих системных ресурсов, таких как имена устройств DOS, мьютексы и семафоры. Таким образом, объекты можно размещать и совместно использовать в процессах. Каждый тип объекта создается с помощью списка DACL по умолчанию, который указывает, кто имеет доступ к объектам и какие разрешения предоставляются. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Настройка значения политики для конфигурации компьютера\Windows Параметры\Security Параметры\Local Policies\Local Policies\System Objects: Укрепить разрешения по умолчанию внутренних системных объектов (например, символьные ссылки) EnabledСопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.3.15.2 |
= 1 (Registry) (Реестр) |
Критически важно |
Параметры безопасности — Параметры системы
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ. (AZ-WIN-00155) |
Описание: этот параметр политики определяет, будут ли обработаны цифровые сертификаты, если включены политики ограниченного использования программ и пользователь или процесс пытается запустить программное обеспечение с расширением имени файла .exe. Он включает или отключает правила сертификатов (тип правила для политик ограниченного использования программ). С помощью политик ограниченного использования программ можно создать правило сертификата, которое разрешает или запрещает выполнение программного обеспечения, подписанного с помощью Authenticode®, на основе цифрового сертификата, связанного с программным обеспечением. Чтобы правила сертификатов вступили в силу в политиках ограниченного использования программ, необходимо включить этот параметр политики. Путь к ключу: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Системные параметры: использование правил сертификатов в исполняемых файлах Windows для политик ограничений программного обеспечения Сопоставления стандартов соответствия: |
= 1 (Registry) (Реестр) |
Предупреждение |
Параметры безопасности — Контроль учетных записей пользователей
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора (CCE-36494-3) |
Описание: этот параметр политики управляет поведением режима одобрения администратором встроенной учетной записи администратора. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: Администратор режим утверждения встроенной учетной записи Администратор istrator Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол (CCE-36863-9) |
Описание: этот параметр политики определяет, могут ли UIAccess-приложения (UIA-программы) автоматически отключать безопасный рабочий стол для запросов на повышение прав, используемых обычным пользователем. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола Сопоставления стандартов соответствия: |
= 0 (Registry) (Реестр) |
Критически важно |
| Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором (CCE-37029-6) |
Описание: этот параметр политики управляет поведением запроса на повышение прав службы контроля учетных записей для администраторов. Рекомендуемое состояние для этого параметра — Prompt for consent on the secure desktop.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Prompt for consent on the secure desktopпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: поведение запроса на повышение прав администраторов в режиме утверждения Администратор Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2 |
= 2 (Registry) (Реестр) |
Критически важно |
| Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей (CCE-36864-7) |
Описание: этот параметр политики управляет поведением запроса на повышение прав службы контроля учетных записей для пользователей. Рекомендуемое состояние для этого параметра — Automatically deny elevation requests.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: Automatically deny elevation requests:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: поведение запроса на повышение прав для стандартных пользователей Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3 |
= 0 (Registry) (Реестр) |
Критически важно |
| Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав (CCE-36533-8) |
Описание: этот параметр политики управляет поведением обнаружения установки приложения для компьютера. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Управление учетными записями пользователей: обнаружение установок приложений и запрос на повышение прав Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4 |
= 1 (Registry) (Реестр) |
Критически важно |
| Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах (CCE-37057-7) |
Описание: этот параметр политики определяет, должны ли приложения, запрашивающие выполнение с уровнем целостности на уровне пользователя (UIAccess), находиться в безопасном месте в файловой системе. Безопасными расположениями являются следующие: — …\Program Files\, включая вложенные папки — …\Windows\system32\ - …\Program Files (x86)\, в том числе вложенные папки для 64-разрядных версий Windows Важно: Windows применяет проверку подписи инфраструктуры открытых ключей (PKI) для любого интерактивного приложения, которое запрашивает запуск с уровнем целостности UIAccess независимо от состояния этого параметра безопасности. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: только повышение уровня приложений UIAccess, установленных в безопасных расположениях Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5 |
= 1 (Registry) (Реестр) |
Критически важно |
| Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором (CCE-36869-6) |
Описание: этот параметр политики управляет поведением всех параметров политики контроля учетных записей (UAC) для компьютера. Если вы измените значение этого параметра политики, будет необходимо перезагрузить компьютер. Рекомендуемое состояние для этого параметра — Enabled. Важно: если этот параметр политики будет отключен, центр безопасности выдаст уведомление о том, что общий уровень безопасности операционной системы понизился.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: запуск всех администраторов в режиме утверждения Администратор Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6 |
= 1 (Registry) (Реестр) |
Критически важно |
| Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав (CCE-36866-2) |
Описание: этот параметр политики определяет, будет ли запрос на повышение прав отображаться на рабочем столе интерактивного пользователя или же на безопасном рабочем столе. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Управление учетными записями пользователя: переход на безопасный рабочий стол при появлении запроса на повышение прав Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7 |
= 1 (Registry) (Реестр) |
Критически важно |
| Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя (CCE-37064-3) |
Описание: этот параметр политики определяет перенаправление завершившихся сбоем операций записи, выполняемых приложениями, в определенные расположения в реестре и файловой системе. Этот параметр политики позволяет уменьшить опасность для приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%, %Windir%\system32 или HKEY_LOCAL_MACHINE\Software. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\Security\Security Options\User Account Control: Virtualize file and registry writes to per-user locations Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8 |
= 1 (Registry) (Реестр) |
Критически важно |
Параметры безопасности — Политики учетных записей
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Порог блокировки учетной записи (AZ-WIN-73311) |
Описание. Этот параметр политики определяет количество неудачных попыток входа перед блокировкой учетной записи. Установка этой политики 0 не соответствует тесту, так как это делается, отключает порог блокировки учетной записи. Рекомендуемое состояние для этого параметра — 5 or fewer invalid logon attempt(s), but not 0. Примечание. Параметры политики паролей (раздел 1.1) и параметры политики блокировки учетных записей (раздел 1.2) должны применяться с помощью групповой политики домена по умолчанию, чтобы глобально влиять на учетные записи пользователей домена в качестве их поведения по умолчанию. Если эти параметры настроены в другом объекте групповой политики, они будут влиять только на учетные записи локальных пользователей на компьютерах, получающих объект групповой политики. Однако пользовательские исключения для политики паролей по умолчанию и правил политики блокировки учетных записей для определенных пользователей домена и (или) групп можно определить с помощью объектов паролей Параметры объектов (PSOs), которые полностью отделены от групповой политики и наиболее легко настроены с помощью Центра Администратор istrative Center.Путь к ключу: [System Access]LockoutBadCount ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Политики учетной записи\Порог блокировки учетной записи\Порог блокировки учетной записи Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 1.2.2 CIS WS2019 1.2.2 |
1–3 (Policy) (Политика) |
Важно! |
| Вести журнал паролей (CCE-37166-6) |
Описание: Этот параметр политики определяет число продленных уникальных паролей, которые должны быть связаны с учетной записью пользователя, прежде чем можно будет повторно использовать старый пароль. Значение этого параметра политики должно составлять от 0 до 24 паролей. Значением по умолчанию для Windows Vista является 0 паролей, но в домене по умолчанию используется 24 пароля. Чтобы сохранить эффективность этого параметра политики, используйте параметр "Минимальный срок действия пароля", чтобы пользователи не могли повторно менять свой пароль. Рекомендуемое состояние для этого параметра: "24 или более паролей". Путь к ключу: [System Access]PasswordHistorySize ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 24 or more password(s)пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Политики учетных записей\Политика паролей\Принудительное использование журнала паролей Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 1.1.1 |
>= 24 (Policy) (Политика) |
Критически важно |
| Максимальный срок действия пароля (CCE-37167-4) |
Описание: этот параметр политики определяет время, в течение которого пользователь может использовать свой пароль до истечения срока его действия. Значения для этого параметра политики находятся в диапазоне от 0 до 999 дней. Если задать значение 0, срок действия пароля не истечет. Так как злоумышленники могут взломать пароли, частая смена пароля позволяет не давать злоумышленнику шансов использовать взломанный пароль. Тем не менее, чем меньше это значение, тем выше вероятность увеличения числа обращений в службу поддержки в связи с тем, что пользователям приходится изменять свои пароли, или в случаях, когда они забывают, какой пароль является текущим. Рекомендуемое состояние для этого параметра — 60 or fewer days, but not 0.Путь к ключу: [System Access]MaximumPasswordAge ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 365 or fewer days, but not 0пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Политики учетных записей\Политика паролей\Максимальный возраст пароля Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 1.1.2 |
В диапазоне 1-70 (Policy) (Политика) |
Критически важно |
| Минимальный срок действия пароля (CCE-37073-4) |
Описание: этот параметр политики определяет число дней, в течение которых необходимо использовать пароль, прежде чем его можно будет изменить. Диапазон значений для этого параметра политики составляет от 1 до 999 дней. (Также можно задать значение 0, чтобы разрешить немедленные изменения паролей.) Значение по умолчанию для этого параметра — 0 дней. Рекомендуемое состояние для этого параметра — 1 or more day(s).Путь к ключу: [System Access]MaximumPasswordAge ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 1 or more day(s)пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Политики учетных записей\Политика паролей\Минимальный возраст пароля Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 1.1.3 |
>= 1 (Policy) (Политика) |
Критически важно |
| Минимальная длина пароля (CCE-36534-6) |
Описание: данный параметр политики определяет минимальное количество знаков, которое должен содержать пароль для учетной записи пользователя. Существует множество различных теории о том, как определить наиболее подходящую длину пароля для Организации, но, возможно, "парольная фраза" является лучшим вариантом, чем просто "пароль". В Microsoft Windows 2000 или более поздней версии парольные фразы могут быть достаточно длинными и могут содержать пробелы. Таким образом, такая фраза, как "I want to drink a $5 milkshake" (Я хочу молочный коктейль за пять долларов) — это допустимая парольная фраза. Это значительно более надежный пароль, чем 8-или 10-символьная последовательность случайных чисел и букв, но при этом ее проще запомнить. Пользователей необходимо научить правильному выбору и обслуживанию паролей, особенно в отношении длины пароля. В корпоративных средах идеальным значением параметра минимальной длины пароля является 14 символов, однако следует изменить это значение в соответствии с бизнес-требованиями вашей организации. Рекомендуемое состояние для этого параметра — 14 or more character(s).Путь к ключу: [System Access]MinimumPasswordLength ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь 14 or more character(s)пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Политики учетных записей\Политика паролей\Минимальная длина пароля Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 1.1.4 |
>= 14 (Policy) (Политика) |
Критически важно |
| Пароль должен соответствовать требованиям к сложности (CCE-37063-5) |
Описание: этот параметр политики проверяет все новые пароли, чтобы убедиться, что они соответствуют основным требованиям для надежных паролей. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям: — Не включать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа — Содержать не менее шести символов в длину — Содержать символы трех из следующих четырех категорий: — Символы английского алфавита в верхнем регистре (от A до Z) — Символы английского алфавита в нижнем регистре (от a до z) — Десятичные цифры (от 0 до 9) — Неалфавитные символы (например, !, $, #,%) — Любой символ общей категории Юникода, который не входит в предыдущие четыре категории. Эта пятая категория может быть выбрана в соответствии с регионом. Каждый дополнительный символ в пароле повышает его сложность экспоненциально. Например, буквенный пароль из семи символов в нижнем регистре будет иметь 267 (приблизительно 8 x 109 или 8 000 000 000) возможных комбинаций. При 1 000 000 попытках в секунду (возможности многих программ взлома пароля) взлом может занять только 133 минут. Буквенный пароль из семи символов с учетом регистра имеет уже 527 комбинаций. Буквенно-цифровой пароль с учетом регистра из семи символов без пунктуации имеет 627 комбинаций. Пароль из восьми символов имеет 268 (или 2 x 1011) возможных комбинаций. Хотя это может показаться большим числом, при 1 000 000 попыток в секунду для проверки всех возможных паролей потребуется всего 59 часов. Помните, что эта длительность будет значительно увеличивают паролями, в которых используются альтернативные символы и другие специальные символы клавиатуры, например "!" или "@". Правильное использование параметров пароля может привести к затруднению атаки методом подбора. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: [System Access]PasswordComplexity ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Политики учетных записей\Политики паролей\Пароль должны соответствовать требованиям сложности Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93459 STIG WS2016 V-733233 CIS WS2019 1.1.5 CIS WS2022 1.1.5 |
= 1 (Policy) (Политика) |
Критически важно |
| Время до сброса счетчика блокировки (AZ-WIN-73309) |
Описание. Этот параметр политики определяет продолжительность времени до сброса порогового значения блокировки учетной записи до нуля. Значение по умолчанию для этого параметра политики не определено. Если порог блокировки учетной записи определен, это время сброса должно быть меньше или равно значению параметра длительности блокировки учетной записи. Если этот параметр политики не задан по умолчанию или настроить значение в интервале, который слишком длинный, ваша среда может быть уязвима для атаки DoS. Злоумышленник может злонамеренно выполнить несколько неудачных попыток входа на всех пользователей в организации, что приведет к блокировке учетных записей. Если политика не была определена для сброса блокировки учетной записи, это будет ручная задача для администраторов. И наоборот, если для этого параметра политики настроено разумное значение времени, пользователи будут заблокированы в течение заданного периода до автоматической разблокировки всех учетных записей. Рекомендуемое состояние для этого параметра — 15 or more minute(s). Примечание. Параметры политики паролей (раздел 1.1) и параметры политики блокировки учетных записей (раздел 1.2) должны применяться с помощью групповой политики домена по умолчанию, чтобы глобально влиять на учетные записи пользователей домена в качестве их поведения по умолчанию. Если эти параметры настроены в другом объекте групповой политики, они будут влиять только на учетные записи локальных пользователей на компьютерах, получающих объект групповой политики. Однако пользовательские исключения для политики паролей по умолчанию и правил политики блокировки учетных записей для определенных пользователей домена и (или) групп можно определить с помощью объектов паролей Параметры объектов (PSOs), которые полностью отделены от групповой политики и наиболее легко настроены с помощью Центра Администратор istrative Center.Путь к ключу: [System Access]ResetLockoutCount ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Политики учетных записей\Политика блокировки учетной записи\Сброс счетчика блокировки учетной записи после Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 1.2.3 CIS WS2019 1.2.3 |
>= 15 (Policy) (Политика) |
Важно! |
| Хранить пароли, используя обратимое шифрование (CCE-36286-3) |
Описание: этот параметр политики определяет, будет ли операционная система хранить пароли способом, использующим обратимое шифрование, которое обеспечивает поддержку протоколов приложений, для которых требуется знание пароля пользователя в целях проверки подлинности. Пароли, хранимые с обратимым шифрованием, по сути, совпадают с обычными версиями паролей. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: [System Access]ClearTextPassword ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Account Policies\Password Policy\Store passwords using reversible encryption Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7 |
= 0 (Policy) (Политика) |
Критически важно |
Параметры безопасности — Брандмауэр Windows
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Брандмауэр Windows: домен: разрешить ответ одноадресной рассылки (AZ-WIN-00088) |
Описание: Этот параметр полезен, если необходимо контролировать, получает ли этот компьютер одноадресные ответы на исходящие многоадресные или широковещательные сообщения. Мы рекомендуем использовать этот параметр как "Да" для профилей частных и доменных профилей, присвоив этому параметру значение реестра значение 0. Путь к ключу: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Настройка значения политики для конфигурации компьютера\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\БрандмауэрОм Windows с расширенными свойствами брандмауэра Windows (эта ссылка будет находиться в правой области)\Вкладка "Профиль домена\Параметры (выбор настройки)\Юниадресный ответ", разрешить одноадресный ответ Сопоставления стандартов соответствия: |
= 0 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: Домен: состояние брандмауэра (CCE-36062-8) |
Описание: выберите пункт "Вкл." (рекомендуется), чтобы брандмауэр Windows в режиме повышенной безопасности использовал параметры этого профиля для фильтрации сетевого трафика. Если установлено значение "Выкл.", брандмауэр Windows в режиме повышенной безопасности не будет использовать правила брандмауэра и правила безопасности подключения для этого профиля. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь On (recommended)пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Состояние брандмауэра Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.1.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Домен: входящие подключения (AZ-WIN-202252) |
Описание. Этот параметр определяет поведение для входящих подключений, которые не соответствуют правилу брандмауэра для входящего трафика. Рекомендуемое состояние для этого параметра — Block (default).Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Входящие подключения Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.1.2 CIS WS2019 9.1.2 |
= 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Домен: Ведение журнала: запись удаленных пакетов (AZ-WIN-202226) |
Описание. Используйте этот параметр, чтобы регистрировать, если брандмауэр Windows с расширенным безопасностью не карта входящий пакет по какой-либо причине. Записи журнала о том, почему и когда пакет был удален. Найдите записи со словом DROP в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Настройка журнала\Удаленные пакеты Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.1.7 CIS WS2019 9.1.7 |
= 1 (Registry) (Реестр) |
Информационный |
| Брандмауэр Windows: Домен: Ведение журнала: регистрация успешных подключений (AZ-WIN-202227) |
Описание. Используйте этот параметр для регистрации, если брандмауэр Windows с расширенной безопасностью разрешает входящий трафик. Записи журнала о том, почему и когда было сформировано соединение. Найдите записи со словом ALLOW в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Настройка журнала\успешные подключения Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.1.8 CIS WS2019 9.1.8 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: Домен: Ведение журнала: название (AZ-WIN-202224) |
Описание. Используйте этот параметр, чтобы указать путь и имя файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — %SystemRoot%\System32\logfiles\firewall\domainfw.log.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Настройка\имя Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.1.5 CIS WS2019 9.1.5 |
= %SystemRoot%\System32\logfiles\firewall\domainfw.log (Registry) (Реестр) |
Информационный |
| Брандмауэр Windows: Домен: Ведение журнала: ограничение размера (КБ) (AZ-WIN-202225) |
Описание. Используйте этот параметр, чтобы указать ограничение размера файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — 16,384 KB or greater.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль_ведения журнала\Ограничение размера (КБ) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.1.6 CIS WS2019 9.1.6 |
>= 16384 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: Домен: исходящие подключения (CCE-36146-9) |
Описание: задает поведение исходящих подключений, которые не соответствуют исходящему правилу брандмауэра. В Windows Vista поведением по умолчанию является разрешение подключений, если только правила брандмауэра не блокируют подключение. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Allow (default)пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Профиль домена\Исходящие подключения Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.1.3 |
= 0 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Домен: применение локальных правил безопасности подключений (CCE-38040-2) |
Описание: Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила соединения, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики. Рекомендуемое состояние этого параметра — "Да", присвойте реестру значение 1. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Настройка значения политики для конфигурации компьютера\Windows Параметры\Безопасность\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\БрандмауэрОм Windows с расширенными свойствами безопасности\Брандмауэр Windows (эта ссылка будет находиться на правой панели)\Вкладка "Профиль домена\Параметры (выбор настройки)\Объединение правил безопасности локального подключения", "Применить правила безопасности локального подключения" Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.3.6 |
= 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Домен: применение локальных правил брандмауэра (CCE-37860-4) |
Описание: Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила брандмауэра, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики. Рекомендуемое состояние для этого параметра — "Да", присвойте параметру реестра значение 1. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Windows (эта ссылка будет находиться в правой области)\Вкладка "Профиль домена"\Параметры (выберите "Настроить")\Объединение правил локального брандмауэра. Применение правил локального брандмауэра Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.3.5 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Домен: Параметры: отображение уведомления (CCE-38041-0) |
Описание: При выборе этого параметра пользователю не отображается уведомление, когда программа блокирует получение входящих подключений. В серверной среде всплывающие окна бесполезны, поскольку пользователи не входят в систему, всплывающие окна не нужны и могут запутать администратора. Настройте этот параметр политики в значение "Нет", присвойте параметру реестра значение 1. Брандмауэр Windows не отображает уведомление, когда программе заблокировано получение входящих подключений. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Параметры Configuration\Display a notification Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.1.4 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: частный: разрешить ответ одноадресной рассылки (AZ-WIN-00089) |
Описание: Этот параметр полезен, если необходимо контролировать, получает ли этот компьютер одноадресные ответы на исходящие многоадресные или широковещательные сообщения. Мы рекомендуем использовать этот параметр как "Да" для профилей частных и доменных профилей, присвоив этому параметру значение реестра значение 0. Путь к ключу: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Windows (эта ссылка будет находиться в правой области)\Вкладка "Частный профиль"\Параметры (выберите "Настроить)\Юниадрес ответ", разрешить одноадресный ответ Сопоставления стандартов соответствия: |
= 0 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: Частный: состояние брандмауэра (CCE-38239-0) |
Описание: выберите пункт "Вкл." (рекомендуется), чтобы брандмауэр Windows в режиме повышенной безопасности использовал параметры этого профиля для фильтрации сетевого трафика. Если установлено значение "Выкл.", брандмауэр Windows в режиме повышенной безопасности не будет использовать правила брандмауэра и правила безопасности подключения для этого профиля. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь On (recommended)пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Частный профиль\состояние брандмауэра Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.2.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Частный: входящие подключения (AZ-WIN-202228) |
Описание. Этот параметр определяет поведение для входящих подключений, которые не соответствуют правилу брандмауэра для входящего трафика. Рекомендуемое состояние для этого параметра — Block (default).Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Частный профиль\Входящие подключения Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.2.2 CIS WS2019 9.2.2 |
= 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Частный: Ведение журнала: запись удаленных пакетов (AZ-WIN-202231) |
Описание. Используйте этот параметр, чтобы регистрировать, если брандмауэр Windows с расширенным безопасностью не карта входящий пакет по какой-либо причине. Записи журнала о том, почему и когда пакет был удален. Найдите записи со словом DROP в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь к групповой политике: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Частный профиль\Настройка журнала\Удаленные пакеты Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.2.7 CIS WS2019 9.2.7 |
= 1 (Registry) (Реестр) |
Информационный |
| Брандмауэр Windows: Частный: Ведение журнала: регистрация успешных подключений (AZ-WIN-202232) |
Описание. Используйте этот параметр для регистрации, если брандмауэр Windows с расширенной безопасностью разрешает входящий трафик. Записи журнала о том, почему и когда было сформировано соединение. Найдите записи со словом ALLOW в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Частный профиль\Настройка журнала\успешные подключения Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.2.8 CIS WS2019 9.2.8 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: Частный: Ведение журнала: название (AZ-WIN-202229) |
Описание. Используйте этот параметр, чтобы указать путь и имя файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — %SystemRoot%\System32\logfiles\firewall\privatefw.log.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Частный профиль\Настройка\имя Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.2.5 CIS WS2019 9.2.5 |
= %SystemRoot%\System32\logfiles\firewall\privatefw.log (Registry) (Реестр) |
Информационный |
| Брандмауэр Windows: Частный: Ведение журнала: ограничение размера (КБ) (AZ-WIN-202230) |
Описание. Используйте этот параметр, чтобы указать ограничение размера файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — 16,384 KB or greater.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Частный профиль\Изменение размера\ограничение размера (КБ) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.2.6 CIS WS2019 9.2.6 |
>= 16384 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: Частный: исходящие подключения (CCE-38332-3) |
Описание: задает поведение исходящих подключений, которые не соответствуют исходящему правилу брандмауэра. Поведением по умолчанию является разрешение подключений, если только правила брандмауэра не блокируют подключение. Важно! Если вы настроили исходящие подключения для блокировки и затем развернули политику брандмауэра с помощью объекта групповой политики, компьютеры, получающие параметры объекта групповой политики, не смогут получить последующие обновления групповой политики, пока не будет создано и развернуто правило исходящего трафика, которое позволяет групповой политике работать. Стандартные правила для основных сетей включают правила исходящего трафика, позволяющие групповой политике работать. Убедитесь, что эти правила для исходящего трафика активны, и тщательно протестируйте профили брандмауэра перед развертыванием. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Allow (default)пользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Outbound connections Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.2.3 |
= 0 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Частный: применение локальных правил безопасности подключений (CCE-36063-6) |
Описание: Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила соединения, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики. Рекомендуемое состояние этого параметра — "Да", присвойте реестру значение 1. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенными свойствами брандмауэра Windows (эта ссылка будет находиться в правой области)\Вкладка "Частный профиль"\Параметры (выберите "Настройка)\Правило слияния", "Применить правила безопасности локального подключения" Сопоставления стандартов соответствия: |
= 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Частный: Параметры: применение локальных правил брандмауэра (CCE-37438-9) |
Описание: Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила брандмауэра, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики. Рекомендуемое состояние для этого параметра — "Да", присвойте параметру реестра значение 1. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Настройка значения политики для конфигурации компьютера\Windows Параметры\Security Параметры\Брандмауэр Windows с расширенной безопасностью\БрандмауэрОм Windows с расширенными свойствами брандмауэра Windows (эта ссылка будет находиться на правой панели)\Вкладка "Частный профиль"\Параметры (выберите "Настроить)\Объединение правил локального брандмауэра", "Применить локальные правила брандмауэра" Сопоставления стандартов соответствия: |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Частный: Параметры: отображение уведомления (CCE-37621-0) |
Описание: При выборе этого параметра пользователю не отображается уведомление, когда программа блокирует получение входящих подключений. В серверной среде всплывающие окна бесполезны, поскольку пользователи не входят в систему, всплывающие окна не нужны и могут запутать администратора. Настройте этот параметр политики в значение "Нет", присвойте параметру реестра значение 1. Брандмауэр Windows не отображает уведомление, когда программе заблокировано получение входящих подключений. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Параметры Configuration\Display a notification Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.2.4 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: общедоступный: разрешить ответ одноадресной рассылки (AZ-WIN-00090) |
Описание: Этот параметр полезен, если необходимо контролировать, получает ли этот компьютер одноадресные ответы на исходящие многоадресные или широковещательные сообщения. Это можно сделать, изменив состояние этого параметра на "Нет", присвойте реестру значение 1. Путь к ключу: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Настройка значения политики для конфигурации компьютера\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\БрандмауэрОм Windows с расширенными свойствами безопасности\Брандмауэр Windows (эта ссылка будет находиться на правой панели)\Вкладка "Общедоступный профиль\Параметры (выбор настройки)\Юниадресный ответ", разрешить ответ одноадресной рассылки Сопоставления стандартов соответствия: |
= 1 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: Общедоступный: состояние брандмауэра (CCE-37862-0) |
Описание: выберите пункт "Вкл." (рекомендуется), чтобы брандмауэр Windows в режиме повышенной безопасности использовал параметры этого профиля для фильтрации сетевого трафика. Если установлено значение "Выкл.", брандмауэр Windows в режиме повышенной безопасности не будет использовать правила брандмауэра и правила безопасности подключения для этого профиля. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь On (recommended)пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Состояние брандмауэра Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.3.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Общедоступный: входящие подключения (AZ-WIN-202234) |
Описание. Этот параметр определяет поведение для входящих подключений, которые не соответствуют правилу брандмауэра для входящего трафика. Рекомендуемое состояние для этого параметра — Block (default).Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Входящие подключения Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.3.2 CIS WS2019 9.3.2 |
= 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Общедоступный: Ведение журнала: запись удаленных пакетов (AZ-WIN-202237) |
Описание. Используйте этот параметр, чтобы регистрировать, если брандмауэр Windows с расширенным безопасностью не карта входящий пакет по какой-либо причине. Записи журнала о том, почему и когда пакет был удален. Найдите записи со словом DROP в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Настройка журнала\Удаленные пакеты Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.3.9 CIS WS2019 9.3.9 |
= 1 (Registry) (Реестр) |
Информационный |
| Брандмауэр Windows: Общедоступный: Ведение журнала: регистрация успешных подключений (AZ-WIN-202233) |
Описание. Используйте этот параметр для регистрации, если брандмауэр Windows с расширенной безопасностью разрешает входящий трафик. Записи журнала о том, почему и когда было сформировано соединение. Найдите записи со словом ALLOW в столбце действий журнала. Рекомендуемое состояние для этого параметра — Yes.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Настройка журнала\успешные подключения Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.3.10 CIS WS2019 9.3.10 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Брандмауэр Windows: Общедоступный: Ведение журнала: название (AZ-WIN-202235) |
Описание. Используйте этот параметр, чтобы указать путь и имя файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — %SystemRoot%\System32\logfiles\firewall\publicfw.log.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Ведение журнала настройка\имя Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.3.7 CIS WS2019 9.3.7 |
= %SystemRoot%\System32\logfiles\firewall\publicfw.log (Registry) (Реестр) |
Информационный |
| Брандмауэр Windows: Общедоступный: Ведение журнала: ограничение размера (КБ) (AZ-WIN-202236) |
Описание. Используйте этот параметр, чтобы указать ограничение размера файла, в котором брандмауэр Windows будет записывать сведения о журнале. Рекомендуемое состояние для этого параметра — 16,384 KB or greater.Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Настройка размера \ограничение размера (КБ) Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 9.3.8 CIS WS2019 9.3.8 |
>= 16384 (Registry) (Реестр) |
Информационный |
| Брандмауэр Windows — общедоступный — исходящие подключения (CCE-37434-8) |
Описание: задает поведение исходящих подключений, которые не соответствуют исходящему правилу брандмауэра. Поведением по умолчанию является разрешение подключений, если только правила брандмауэра не блокируют подключение. Важно! Если вы настроили исходящие подключения для блокировки и затем развернули политику брандмауэра с помощью объекта групповой политики, компьютеры, получающие параметры объекта групповой политики, не смогут получить последующие обновления групповой политики, пока не будет создано и развернуто правило исходящего трафика, которое позволяет групповой политике работать. Стандартные правила для основных сетей включают правила исходящего трафика, позволяющие групповой политике работать. Убедитесь, что эти правила для исходящего трафика активны, и тщательно протестируйте профили брандмауэра перед развертыванием. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Allow (default)пользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Исходящие подключения Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.3.3 |
= 0 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Защитника Windows — общедоступный — параметры — применение локальных правил безопасности подключения (CCE-36268-1) |
Описание: Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила соединения, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики. Рекомендуемое состояние этого параметра — "Да", присвойте реестру значение 1. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Параметры Configuration\Apply local connection security rules Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.3.6 |
= 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Общедоступный: Параметры: применение локальных правил брандмауэра (CCE-37861-2) |
Описание: Данный параметр показывает, разрешено ли локальным администраторам создавать локальные правила брандмауэра, которые применяются вместе с правилами брандмауэра, настроенными через службу групповой политики. Рекомендуемое состояние для этого параметра — "Да", присвойте параметру реестра значение 1. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Параметры Configuration\Apply local firewall rules Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.3.5 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Брандмауэр Windows: Общедоступный: Параметры: отображение уведомления (CCE-38043-6) |
Описание: При выборе этого параметра пользователю не отображается уведомление, когда программа блокирует получение входящих подключений. В серверной среде всплывающие окна бесполезны, поскольку пользователи не входят в систему, всплывающие окна не нужны и могут запутать администратора. Настройте этот параметр политики в значение "Нет", присвойте параметру реестра значение 1. Брандмауэр Windows не отображает уведомление, когда программе заблокировано получение входящих подключений. Путь к ключу: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Noпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Брандмауэр Windows с расширенным безопасностью\Брандмауэр Windows с расширенным безопасностью\Свойства брандмауэра Windows\Общедоступный профиль\Параметры Настройка\Отображение уведомления Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 9.3.4 |
= 1 (Registry) (Реестр) |
Предупреждение |
Политики аудита системы — Вход учетной записи
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит проверки учетных данных (CCE-37741-6) |
Описание: Эта подкатегория сообщает о результатах проверки учетных данных, отправленных для запроса на вход в учетную запись пользователя. Эти события происходят на компьютере, который является доверенным для учетных данных. Для учетных записей домена доверенным является контроллер домена, в то время как для локальных учетных записей доверенным является локальный компьютер. В средах домена большая часть событий входа в учетную запись возникает в Журнале безопасности контроллеров домена, доверенных для учетных записей домена. Однако эти события могут возникать на других компьютерах в организации, когда для входа в систему используются локальные учетные записи. К событиям для этой подкатегории относятся: - 4774: учетная запись сопоставлена для входа в систему. -4775: не удалось сопоставить учетную запись для входа. -4776: контроллер домена попытался проверить учетные данные для учетной записи. -4777: контроллеру домена не удалось проверить учетные данные для учетной записи. Рекомендуемое состояние для этого параметра — "Success and Failure" ("Успешное завершение и сбой"). Путь к ключу: {0CCE923F-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Account Logon\Audit Credential Validation Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
| Аудит службы проверки подлинности Kerberos (AZ-WIN-00004) |
Описание. Этот подкатегорий сообщает результаты событий, созданных после запроса TGT проверки подлинности Kerberos. Kerberos — это распределенная служба проверки подлинности, которая позволяет клиенту, работающему от имени пользователя, доказать свое удостоверение серверу без отправки данных по сети. Это помогает снизить риск злоумышленника или сервера от олицетворения пользователя. - 4768: запрос на проверку подлинности Kerberos (TGT). — 4771: сбой предварительной проверки подлинности Kerberos. — 4772: сбой запроса на проверку подлинности Kerberos. Рекомендуемое состояние для этого параметра — Success and Failure.Путь к ключу: {0CCE9242-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Kerberos Authentication Service Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.1.2 CIS WS2019 17.1.2 |
>= успех и сбой (Audit) (Аудит) |
Критически важно |
Политики аудита системы — Управление учетными записями
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит управления группами распространения (CCE-36265-7) |
Описание. Этот подкатегорий сообщает о каждом событии управления группами рассылки, например при создании, изменении или удалении группы рассылки или при добавлении или удалении члена из группы рассылки. Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и авторизованных учетных записей групп. События для этой подкатегории: — 4744: была создана локальная группа, отключенная с безопасностью. - 4745: была изменена локальная группа с отключенной безопасностью. - 4746: участник был добавлен в локальную группу, отключенную безопасностью. — 4747: член был удален из локальной группы, отключенной безопасностью. — 4748: удалена локальная группа, отключаемая безопасностью. - 4749: была создана глобальная группа, отключаемая безопасностью. - 4750: была изменена глобальная группа с отключенной безопасностью. - 4751: член был добавлен в глобальную группу, отключенную безопасностью. — 4752: член был удален из глобальной группы, отключаемой безопасностью. — 4753: удалена глобальная группа, отключенная с безопасностью. - 4759: была создана универсальная группа, отключаемая безопасностью. - 4760: была изменена универсальная группа, отключаемая безопасностью. - 4761: член был добавлен в универсальную группу, отключаемую безопасностью. - 4762: член был удален из отключенной безопасности универсальной группы. — 4763: удалена отключенная безопасность универсальная группа. Рекомендуемое состояние для этого параметра — Success.Путь к ключу: {0CCE9238-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Group Management Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.2.3 CIS WS2019 17.2.3 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит других событий управления учетными записями (CCE-37855-4) |
Описание: эта подкатегория создает отчеты о других событиях управления учетными записями. К событиям для этой подкатегории относятся: — 4782: зафиксировано обращение к хэшу пароля учетной записи. — 4793: был вызван API проверки политики паролей. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE923A-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: SuccessКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Расширенная конфигурация политики аудита\Политики аудита\Политики аудита\Управление учетными записями\Аудит других событий управления учетными записями Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.2.4 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит управления группами безопасности (CCE-38034-5) |
Описание: эта подкатегория сообщает о каждом событии управления группами безопасности, например при создании, изменении или удалении группы безопасности, а также при добавлении или удалении члена группы безопасности. Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и полномочных событий создания учетных записей групп безопасности. К событиям для этой подкатегории относятся: — 4727: создана глобальная группа со включенной безопасностью. — 4728: член добавлен в глобальную группу со включенной безопасностью. — 4729: член был удален из глобальной группы со включенной безопасностью. — 4730: удалена глобальная группа со включенной безопасностью. — 4731: создана локальная группа со включенной безопасностью. — 4732: член добавлен в локальную группу со включенной безопасностью. — 4733: член был удален из локальной группы со включенной безопасностью. — 4734: была удалена локальная группа со включенной безопасностью. — 4735: была изменена локальная группа со включенной безопасностью. — 4737: была изменена глобальная группа со включенной безопасностью. — 4754: создана универсальная группа со включенной безопасностью. — 4755: была изменена универсальная группа со включенной безопасностью. — 4756: член добавлен в универсальную группу со включенной безопасностью. — 4757: член был удален из универсальной группы со включенной безопасностью. — 4758: удалена универсальная группа со включенной безопасностью. — 4764: тип группы был изменен. Рекомендуемое состояние для этого параметра — Success and Failure.Путь к ключу: {0CCE9237-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: SuccessКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Security Group Management Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.2.5 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит управления учетными записями пользователей (CCE-37856-2) |
Описание: эта подкатегория сообщает о каждом событии управления учетными записями пользователей, например о создании, изменении или удалении учетной записи пользователя, о переименовании записи, ее отключении и включении, а также об установке или смене пароля. Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и полномочных событий создания учетных записей групп безопасности. К событиям для этой подкатегории относятся: — 4720: создана учетная запись пользователя. — 4722: учетная запись была включена. — 4723: предпринята попытка изменить пароль учетной записи. — 4724: предпринята попытка сбросить пароль учетной записи. — 4725: учетная запись была отключена. — 4726: учетная запись была удалена. — 4738: учетная запись была изменена. — 4740: учетная запись пользователя заблокирована. — 4765: журнал SID был добавлен в учетную запись. — 4766: ошибка при добавлении журнала SID в учетную запись. — 4767: учетная запись разблокирована. — 4780: список ACL был задан для учетных записей, входящих в группы администраторов. — 4781: имя учетной записи изменено: — 4794: была предпринята попытка установить режим восстановления служб каталогов. — 5376: созданы резервные копии учетных данных Диспетчера учетных данных. — 5377: учетные данные Диспетчера учетных данных восстановлены из резервной копии. Рекомендуемое состояние для этого параметра — Success and Failure.Путь к ключу: {0CCE9235-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Account Account Management Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
Политики аудита системы — Подробное отслеживание
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит активности PNP (AZ-WIN-00182) |
Описание: этот параметр политики позволяет выполнять аудит, когда функция Plug and Play обнаруживает внешнее устройство. Рекомендуемое состояние для этого параметра — Success. Важно: для доступа к этому значению групповой политики требуется операционная система Windows 10, Server 2016 или более поздняя версия.Путь к ключу: {0CCE9248-69AE-11D9-BED3-505054503030} ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности\Аудит: принудительное изменение параметров подкатегории политики аудита (Windows Vista или более поздней версии) для переопределения параметров категории политики аудита Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.3.1 CIS WS2022 17.3.1 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит создания процессов (CCE-36059-4) |
Описание: эта подкатегория сообщает о создании процесса и имени программы или пользователя, создавшего его. События для этой подкатегории включают: — 4688: был создан новый процесс. — 4696: для обработки был назначен основной маркер. Дополнительные сведения об этом параметре см. в статье базы знаний Майкрософт 947226. Рекомендуемое состояние для этого параметра — Success.Путь к ключу: {0CCE922B-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: SuccessКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Конфигурация расширенной политики аудита\Политики аудита\Подробное отслеживание\Создание процесса аудита Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2 |
>= Успешно (Audit) (Аудит) |
Критически важно |
Политики аудита системы — доступ DS
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит доступа к службе каталогов (CCE-37433-0) |
Описание. Этот подкатегорий сообщает о доступе к объекту AD DS. Только объекты с SACLs вызывают создание событий аудита и только в том случае, если к ним обращаются таким образом, чтобы они соответствовали их SACL. Эти события похожи на события доступа к службе каталогов в предыдущих версиях Windows Server. Эта подкатегория применяется только к контроллерам домена. События для этой подкатегории включают: - 4662: операция была выполнена для объекта. Рекомендуемое состояние для этого параметра — Failure.Путь к ключу: {0CCE923B-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Access Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.4.1 CIS WS2019 17.4.1 |
>= Failure (Audit) (Аудит) |
Критически важно |
| Аудит изменения службы каталогов (CCE-37616-0) |
Описание. Этот подкатегорий сообщает об изменениях объектов в службах домен Active Directory (AD DS). Типы внесенных изменений: создание, изменение, перемещение и отмена операций, выполняемых в объекте. Аудит изменений DS, где это необходимо, указывает старые и новые значения измененных свойств измененных объектов. Только объекты с SACLs вызывают создание событий аудита и только в том случае, если к ним обращаются таким образом, чтобы они соответствовали их SACL. Некоторые объекты и свойства не вызывают создания событий аудита из-за параметров класса объектов в схеме. Эта подкатегория применяется только к контроллерам домена. События для этой подкатегории включают: - 5136: объект службы каталогов был изменен. - 5137: был создан объект службы каталогов. - 5138: объект службы каталогов был отменяется. - 5139: был перемещен объект службы каталогов. Рекомендуемое состояние для этого параметра — Success.Путь к ключу: {0CCE923C-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена Путь к групповой политике: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Changes Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.4.2 CIS WS2019 17.4.2 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит репликации службы каталогов (AZ-WIN-00093) |
Описание. Этот подкатегорий сообщает, когда реплика tion между двумя контроллерами домена начинается и заканчивается. События для этой подкатегории: — 4932: началось синхронизация реплика контекста именования Active Directory. – 4933: завершена синхронизация реплика контекста именования Active Directory. Дополнительные сведения об этом параметре: http:--support.microsoft.com-default.aspx-kb-947226 см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008". Путь к ключу: {0CCE923D-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Replication Сопоставления стандартов соответствия: |
>= No Auditing (Audit) (Аудит) |
Критически важно |
Политики аудита системы — Вход и выход
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит блокировки учетных записей (CCE-37133-6) |
Описание: эта подкатегория сообщает, когда учетная запись пользователя заблокирована в результате слишком большого числа неудачных попыток входа. К событиям для этой подкатегории относятся: — 4625: учетной записи не удалось войти в систему. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE9217-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: FailureКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Audit Policies\Logoff\Audit Account Lockout Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.5.1 |
>= Failure (Audit) (Аудит) |
Критически важно |
| Аудит участия в группе (AZ-WIN-00026) |
Описание: аудирование членства в группах позволяет проводить аудит членства в группах при их перечислении на клиентском компьютере. Эта политика позволяет проверять сведения о членстве в группах в маркере входа пользователя. События в этой подкатегории создаются на компьютере, на котором создается сеанс входа. Для интерактивного входа событие аудита безопасности создается на компьютере, на который вошел пользователь. Для входа в сеть, например для доступа к общей папке в сети, на компьютере, на котором размещен ресурс, создается событие аудита безопасности. Необходимо также включить подкатегорию "Аудит входа в систему". Несколько событий создаются, если сведения о членстве в группе не могут соответствовать одному событию аудита безопасности. Аудит событий включает следующие события: — 4627(S): сведения о членстве в группах. Путь к ключу: {0CCE9249-69AE-11D9-BED3-505054503030} ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: SuccessКонфигурация компьютера\Policies\Windows Параметры\Security Параметры\Advanced Audit Policy Configuration\Audit Policies\Audit Policies\Logon/Logoff\Audit Group Membership Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.5.2 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит выхода из системы (CCE-38237-4) |
Описание: Эта подкатегория сообщает о выходе пользователя из системы. Эти события происходят на компьютере, к которому осуществляется доступ. При интерактивном входе в систему эти события генерируются на компьютере, на котором выполняется вход. Если для доступа к общему ресурсу выполняется вход в сеть, эти события генерируются на компьютере, на котором размещен ресурс, к которому осуществляется доступ. Если этот параметр имеет настройку "Без аудита", будет сложно или невозможно определить, какой пользователь получил доступ или пытался получить доступ к компьютерам организации. К событиям для этой подкатегории относятся: - 4634: выполнен выход учетной записи из системы. - 4647: выход из системы, инициированный пользователем. Рекомендуемое состояние для этого параметра — "Success" ("Успешно"). Путь к ключу: {0CCE9216-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: SuccessКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Конфигурация политики расширенного аудита\Политики аудита\Политики аудита\Вход/Logoff\Audit Logoff Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит входа в систему (CCE-38036-0) |
Описание: Эта подкатегория сообщает, когда пользователь пытается войти в систему. Эти события происходят на компьютере, к которому осуществляется доступ. При интерактивном входе в систему эти события генерируются на компьютере, на котором выполняется вход. Если для доступа к общему ресурсу выполняется вход в сеть, эти события генерируются на компьютере, на котором размещен ресурс, к которому осуществляется доступ. Если этот параметр имеет настройку "Без аудита", будет сложно или невозможно определить, какой пользователь получил доступ или пытался получить доступ к компьютерам организации. К событиям для этой подкатегории относятся: - 4624: выполнен выход учетной записи в систему. - 4625: учетную запись не удалось использовать для входа в систему. - 4648: попытка входа с явными учетными данными. - 4675: идентификаторы безопасности отфильтрованы. Рекомендуемое состояние для этого параметра — "Success and Failure" ("Успешное завершение и сбой"). Путь к ключу: {0CCE9215-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon\Audit Logon Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
| Аудит других событий входа и выхода (CCE-36322-6) |
Описание: эта подкатегория сообщает о других событиях входа и выхода, таких как обрыв соединения и повторное подключение для сеансов служб терминалов, использование RunAs для запуска процессов под другой учетной записью, а также блокировки и разблокировки рабочей станции. К событиям для этой подкатегории относятся: — 4649: обнаружена атака повторного воспроизведения. — 4778: сеанс был повторно подключен к оконной станции. — 4779: сеанс был отключен от оконной станции. — 4800: рабочая станция заблокирована. — 4801: рабочая станция разблокирована. — 4802: была вызвана экранная заставка. — 4803: экранная заставка была закрыта. — 5378: передача запрашиваемых данных был отменена на основе политики. — 5632: был совершен запрос проверки подлинности от беспроводной сети. — 5633: был совершен запрос проверки подлинности от локальной сети. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE921C-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Advanced Audit Policy Configuration\Audit Policies\Audit Policies\Logoff\Audit Other Logon/Logoff\Audit Other Logon/Logoff Events Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.5.5 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
| Аудит специального входа (CCE-36266-5) |
Описание: эта подкатегория сообщает о том, что используется специальный вход в систему. Специальный вход в систему — это вход, имеющий привилегии, эквивалентные администратору. Он может использоваться для запуска процесса на более высоком уровне. К событиям для этой подкатегории относятся: — 4964: для нового входа были назначены специальные группы. Рекомендуемое состояние для этого параметра — Success.Путь к ключу: {0CCE921B-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: SuccessКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Audit Policies\Logon/Logoff\Audit Special Logon Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6 |
>= Успешно (Audit) (Аудит) |
Критически важно |
Политики аудита системы — Доступ к объектам
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит сведений об общем файловом ресурсе (AZ-WIN-00100) |
Описание. Эта подкатегория позволяет выполнять аудит попыток доступа к файлам и папкам в общей папке. События для этой подкатегории включают: - 5145: объект общей папки был проверка, чтобы узнать, может ли клиент быть предоставлен нужный доступ. Рекомендуемое состояние для этого параметра — включить: FailureПуть к ключу: {0CCE9244-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy\Audit Policies\Object Access\Audit Detailed File Share Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.6.1 CIS WS2019 17.6.1 |
>= Failure (Audit) (Аудит) |
Критически важно |
| Аудит общего файлового ресурса (AZ-WIN-00102) |
Описание. Этот параметр политики позволяет выполнять аудит попыток доступа к общей папке. Рекомендуемое состояние для этого параметра — Success and Failure. Примечание. Для общих папок нет списков управления доступом системы (SACLs). Если этот параметр политики включен, выполняется аудит доступа ко всем общим папкам в системе.Путь к ключу: {0CCE9224-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy\Audit Policies\Object Access\Audit File Share Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.6.2 CIS WS2019 17.6.2 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
| Аудит других событий доступа к объектам (AZ-WIN-00113) |
Описание: эта подкатегория сообщает о других событиях, связанных с доступом к объектам, таких как задания планировщика задач и объекты COM+. К событиям для этой подкатегории относятся: — 4671: приложение попыталось получить доступ к заблокированному порядковому номеру через TBS. — 4691: запрошен косвенный доступ к объекту. — 4698: запланированная задача создана. — 4699: запланированная задача удалена. — 4700: запланированная задача включена. — 4701: запланированная задача отключена. — 4702: запланированная задача обновлена. — 5888: объект в каталоге COM+ был изменен. — 5889: объект удален из каталога COM+. — 5890: объект добавлен в каталог COM+. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE9227-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Other Object Access Events Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.6.3 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
| Аудит съемного носителя (CCE-37617-8) |
Описание: этот параметр политики позволяет выполнять аудит попыток доступа пользователей к объектам файловой системы на съемном носителе. Событие аудита безопасности создается только для всех объектов для всех типов запрошенного доступа. При настройке этого параметра политики событие аудита создается каждый раз, когда учетная запись обращается к объекту файловой системы в съемном хранилище. Успешные аудиты записывают успешные попытки и неудачные попытки аудита. Если не настроить этот параметр политики, при доступе учетной записи к объекту файловой системы на съемном носителе не будет создаваться событие аудита. Рекомендуемое состояние для этого параметра — Success and Failure. Важно: для доступа к этому значению групповой политики требуется операционная система Windows 8, Server 2012 (не R2) или более поздняя версия.Путь к ключу: {0CCE9245-69AE-11D9-BED3-505054503030} ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Removable служба хранилища Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
Политики аудита системы — Изменение политики
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит изменения политики проверки подлинности (CCE-38327-3) |
Описание: эта подкатегория сообщает об изменениях в политике проверки подлинности. К событиям для этой подкатегории относятся: — 4706: для домена было создано новое отношение доверия. — 4707: отношение доверия с доменом удалено. — 4713: политика Kerberos была изменена. — 4716: сведения о доверенном домене были изменены. — 4717: учетной записи предоставлен доступ к системе безопасности. — 4718: доступ к системе безопасности был удален из учетной записи. — 4739: политика домена была изменена. — 4864: обнаружен конфликт пространств имен. — 4865: добавлена запись сведений о доверенном лесе. — 4866: удалена запись о доверенном лесе. — 4867: изменена запись о доверенном лесе. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE9230-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: SuccessКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Authentication Policy Change\Audit Authentication Policy Change Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.7.2 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит изменения политики авторизации (CCE-36320-0) |
Описание. Эта подкатегория сообщает об изменениях в политике авторизации. События для этой подкатегории включают: - 4704: было назначено право пользователя. — 4705: было удалено право пользователя. — 4706: в домене создано новое доверие. — 4707: было удалено доверие к домену. - 4714: изменена политика восстановления зашифрованных данных. Рекомендуемое состояние для этого параметра — Success.Путь к ключу: {0CCE9231-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Расширенная конфигурация политики аудита\Политики аудита\Изменение политики политики аудита\Изменение политики аудита\Изменение политики авторизации аудита Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.7.3 CIS WS2019 17.7.3 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит изменения политики на уровне правил MPSSVC (AZ-WIN-00111) |
Описание: эта подкатегория сообщает об изменениях в правилах политики, используемых службой защиты Майкрософт (MPSSVC.exe). Эта служба используется брандмауэром Windows и службой Microsoft OneCare. К событиям для этой подкатегории относятся: — 4944: при запуске брандмауэра Windows была активна следующая политика. — 4945: при запуске брандмауэра Windows было указано правило. — 4946: в список исключений брандмауэра Windows внесено изменение. Было добавлено правило. — 4947: в список исключений брандмауэра Windows внесено изменение. Правило было изменено. — 4948: в список исключений брандмауэра Windows внесено изменение. Правило было удалено. — 4949: восстановлены значения по умолчанию для параметров брандмауэра Windows. — 4950: параметр брандмауэра Windows изменился. — 4951: правило было пропущено, так как его основной номер версии не был распознан брандмауэром Windows. — 4952: части правила были пропущены, так как его вторичный номер версии не был распознан брандмауэром Windows. Другие части правила будут применены. — 4953: правило было пропущено брандмауэром Windows, поскольку ему не удалось проанализировать правило. — 4954: параметры политики групп для брандмауэра Windows изменены. Были применены новые параметры. — 4956: брандмауэр Windows изменил активный профиль. — 4957: брандмауэр Windows не применил следующее правило: — 4958: брандмауэр Windows не применил следующее правило, так как правило ссылается на элементы, не настроенные на этом компьютере. См. статью базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" для получения последних сведений об этом параметре: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE9232-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit MPSSVC Rule-Level Policy Change Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.7.4 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
| Аудит других событий изменения политики (AZ-WIN-00114) |
Описание. Эта подкатегория содержит события о изменениях политики агента восстановления данных EFS, изменениях в фильтре платформы фильтрации Windows, обновлении параметров политики безопасности для локальных параметров групповой политики, изменениях центральной политики доступа и подробных событиях устранения неполадок для операций криптографического следующего поколения (CNG). - 5063: была предпринята попытка операции поставщика шифрования. - 5064: была предпринята попытка операции криптографического контекста. - 5065: была предпринята попытка изменения криптографического контекста. - 5066: была предпринята попытка операции криптографической функции. - 5067: была предпринята попытка изменения криптографической функции. — 5068: была предпринята попытка выполнить операцию поставщика криптографических функций. - 5069: была предпринята попытка операции свойства криптографической функции. - 5070: была предпринята попытка изменения свойства криптографической функции. - 6145: при обработке политики безопасности в объектах групповой политики произошла одна или несколько ошибок. Рекомендуемое состояние для этого параметра — Failure.Путь к ключу: {0CCE9234-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Other Policy Change\Audit Other Policy Change Events Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.7.5 CIS WS2019 17.7.5 |
>= Failure (Audit) (Аудит) |
Критически важно |
| Изменение политики аудита (CCE-38028-7) |
Описание: эта подкатегория сообщает об изменениях в политике аудита, включая изменения списка SACL. К событиям для этой подкатегории относятся: — 4715: политика аудита (SACL) для объекта была изменена. — 4719: политика аудита системы была изменена. — 4902: создана таблица политики аудита на пользователя. — 4904: предпринята попытка регистрации источника событий безопасности. — 4905: предпринята попытка регистрации источника событий безопасности. — 4906: значение CrashOnAuditFail изменилось. — 4907: параметры аудита для объекта были изменены. — 4908: изменена таблица входа в специальные группы. — 4912: политика аудита системы была изменена. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE922F-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Расширенная конфигурация политики аудита\Политики аудита\Политика аудита\Изменение политики аудита\Изменение политики аудита Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.7.1 |
>= Успешно (Audit) (Аудит) |
Критически важно |
Политики аудита системы — Использование привилегий
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит использования привилегий, затрагивающих конфиденциальные данные (CCE-36267-3) |
Описание: эта подкатегория сообщает, когда учетная запись пользователя или служба использует конфиденциальную привилегию. Конфиденциальная привилегия включает следующие права пользователя: работа в составе операционной системы, резервное копирование файлов и каталогов, создание объекта маркера, отладка программ, включение доверенных учетных записей компьютеров и пользователей для делегирования, создание аудита безопасности, олицетворение клиента после проверки подлинности, загрузка и выгрузка драйверов устройств, управление аудитом и журналом безопасности, изменение значений среды встроенного ПО, восстановление файлов и каталогов, а также принятие в собственность файлов или других объектов. Аудит этой подкатегории создаст большой объем событий. К событиям для этой подкатегории относятся: — 4672: специальные привилегии были назначены новому входу в систему. — 4673: была вызвана привилегированная служба. — 4674: предпринята попытка выполнить операцию для привилегированного объекта. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE9228-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Success and Failureпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\Privilege Use\Audit Sensitive Privilege Use\Audit Sensitive Privilege Use Use Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.8.1 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
Политики аудита системы — Система
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Аудит драйвера IPsec (CCE-37853-9) |
Описание. В этом подкатегории сообщается о действиях драйвера безопасности интернет-протокола (IPsec). События для этой подкатегории включают: - 4960: IPsec бросил входящий пакет, который завершился ошибкой целостности проверка. Если эта проблема сохраняется, это может указывать на проблему сети или изменения пакетов при передаче на этот компьютер. Убедитесь, что пакеты, отправленные с удаленного компьютера, совпадают с теми, которые были получены этим компьютером. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. - 4961: IPsec снял входящий пакет, который завершился ошибкой воспроизведения проверка. Если эта проблема сохраняется, это может указывать на атаку воспроизведения на этом компьютере. - 4962: IPsec снял входящий пакет, который завершился ошибкой воспроизведения проверка. Входящий пакет слишком низкий порядковый номер, чтобы убедиться, что это не повтор. - 4963: IPsec снял входящий текстовый пакет, который должен был быть защищен. Обычно это связано с изменением политики IPsec удаленного компьютера без информирования этого компьютера. Это также может быть попытка спуфингов атаки. - 4965: IPsec получил пакет с удаленного компьютера с неправильным индексом параметров безопасности (SPI). Обычно это вызвано сбоем оборудования, которое повреждено пакетами. Если эти ошибки сохраняются, убедитесь, что пакеты, отправленные с удаленного компьютера, совпадают с теми, которые были получены этим компьютером. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. В этом случае, если подключение не препятствует, эти события можно игнорировать. — 5478: службы IPsec успешно запущены. — 5479: службы IPsec успешно завершены. Завершение работы служб IPsec может привести компьютер к большему риску сетевой атаки или предоставить компьютеру потенциальные риски безопасности. — 5480: службы IPsec не удалось получить полный список сетевых интерфейсов на компьютере. Это может привести к потенциальному риску безопасности, так как некоторые сетевые интерфейсы могут не получить защиту, предоставляемую примененными фильтрами IPsec. Используйте оснастку монитора безопасности IP для диагностики проблемы. — 5483: службы IPsec не удалось инициализировать сервер RPC. Не удалось запустить службы IPsec. — 5484: службы IPsec столкнулись с критическим сбоем и завершились. Завершение работы служб IPsec может привести компьютер к большему риску сетевой атаки или предоставить компьютеру потенциальные риски безопасности. - 5485: службы IPsec не смогли обработать некоторые фильтры IPsec в событии plug-and-play для сетевых интерфейсов. Это может привести к потенциальному риску безопасности, так как некоторые сетевые интерфейсы могут не получить защиту, предоставляемую примененными фильтрами IPsec. Используйте оснастку монитора безопасности IP для диагностики проблемы. Рекомендуемое состояние для этого параметра — Success and Failure.Путь к ключу: {0CCE9213-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy\Audit Policies\System\Audit IPsec Driver Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.9.1 CIS WS2019 17.9.1 |
>= успех и сбой (Audit) (Аудит) |
Критически важно |
| Аудит других системных событий (CCE-38030-3) |
Описание. Этот подкатегорий сообщает о других системных событиях. События для этой подкатегории включают: - 5024: служба брандмауэра Windows успешно запущена. — 5025: служба брандмауэра Windows остановлена. — 5027: служба брандмауэра Windows не смогла получить политику безопасности из локального хранилища. Служба может продолжить применять текущую политику. — 5028: служба брандмауэра Windows не смогла проанализировать новую политику безопасности. Служба продолжит применять текущую политику. — 5029: служба брандмауэра Windows не инициализирует драйвер. Служба продолжит применять текущую политику. — 5030: не удалось запустить службу брандмауэра Windows. — 5032: брандмауэр Windows не смог уведомить пользователя о том, что он заблокировал прием входящих подключений в сети. — 5033: драйвер брандмауэра Windows успешно запущен. — 5034: драйвер брандмауэра Windows остановлен. — 5035: не удалось запустить драйвер брандмауэра Windows. — 5037: драйвер брандмауэра Windows обнаружил критичную ошибку среды выполнения. Завершение работы. — 5058: операция файла ключа. - 5059: операция миграции ключей. Рекомендуемое состояние для этого параметра — Success and Failure.Путь к ключу: {0CCE9214-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Расширенная конфигурация политики аудита\Политики аудита\System\Audit Other System\Audit Other System Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 17.9.2 CIS WS2019 17.9.2 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
| Аудит изменения состояния безопасности (CCE-38114-5) |
Описание: эта подкатегория сообщает об изменениях в состоянии безопасности системы, например о запуске и остановке подсистемы безопасности. К событиям для этой подкатегории относятся: — 4608: запускается Windows. — 4609: Windows завершает работу. — 4616: системное время изменилось. — 4621: Администратор восстановил систему из CrashOnAuditFail. Пользователям, не являющимся администраторами, теперь разрешено выполнять вход. Возможно, некоторые операции, поддерживающие аудит, не были записаны. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE9210-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: SuccessКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security State Change Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.9.3 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит расширения системы безопасности (CCE-36144-4) |
Описание: эта подкатегория содержит сведения о загрузке кода расширения, например пакетов проверки подлинности, с помощью подсистемы безопасности. К событиям для этой подкатегории относятся: — 4610: пакет проверки подлинности был загружен локальным администратором безопасности. — 4611: доверенный процесс входа в систему зарегистрирован в локальном центре безопасности. — 4614: пакет уведомлений был загружен диспетчером учетных записей безопасности. — 4622: пакет безопасности был загружен локальным администратором безопасности. — 4697: служба была установлена в системе. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE9211-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: SuccessКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security System\Audit Security System Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.9.4 |
>= Успешно (Audit) (Аудит) |
Критически важно |
| Аудит целостности системы (CCE-37132-8) |
Описание: эта подкатегория сообщает о нарушениях целостности подсистемы безопасности. К событиям для этой подкатегории относятся: — 4612: исчерпаны внутренние ресурсы, выделенные для очереди сообщений аудита, что приведет к утрате некоторых аудитов. — 4615: недопустимое использование порта LPC. — 4618: произошла отслеживаемая последовательность событий безопасности. — 4816: в RPC обнаружено нарушение целостности при расшифровке входящего сообщения. — 5038: служба целостности кода определила, что хэш изображения файла является недопустимым. Возможно, файл поврежден из-за неавторизованного изменения или недопустимый хэш может указывать на возможную ошибку дискового устройства. — 5056: выполнена проверка криптографии. — 5057: сбой операции криптографического примитива. — 5060: сбой операции подтверждения. — 5061: операция криптографии. — 5062: выполнена проверка криптографии на уровне ядра. Последние сведения об этом параметре см. в статье базы знаний Майкрософт "Описание событий безопасности в Windows Vista и Windows Server 2008" — https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Путь к ключу: {0CCE9212-69AE-11D9-BED3-505054503030} ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса в значение Success and Failure: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Advanced Audit Policy Configuration\Audit Policies\System\Audit System Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 17.9.5 |
= Успешное завершение и сбой (Audit) (Аудит) |
Критически важно |
Назначение прав пользователя
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Доступ к диспетчеру учетных данных от имени доверенного вызывающего (CCE-37056-9) |
Описание: этот параметр безопасности используется диспетчером учетных данных во время резервного копирования и восстановления. Ни одна учетная запись не должна иметь этого права пользователя, так как она назначена только Winlogon. Сохраненные учетные данные пользователей могут быть скомпрометированы, если это право пользователя назначено другим сущностям. Рекомендуемое состояние для этого параметра — No One.Путь к ключу: [Privilege Rights]SeTrustedCredManAccessPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Access Credential Manager в качестве доверенного вызывающего объекта Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1 |
= No one (Никому) (Policy) (Политика) |
Предупреждение |
| Доступ к этому компьютеру из сети (CCE-35818-4) |
Описание: Этот параметр политики позволяет другим пользователям в сети подключаться к компьютеру и требуется для различных сетевых протоколов, включая протоколы на основе SMB, NetBIOS, Common Internet File System (CIFS) и Component Object Model Plus (COM+). - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Администраторы, прошедшие проверку пользователи, КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Администраторы, прошедшие проверку пользователи". Путь к ключу: [Privilege Rights]SeNetworkLogonRight ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Доступ к этому компьютеру из сети Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3 |
<= Администратор istrator, прошедшие проверку подлинности пользователей (Policy) (Политика) |
Критически важно |
| Работа в режиме операционной системы (CCE-36876-1) |
Описание: этот параметр политики позволяет процессу использовать удостоверение любого пользователя и, таким образом, получать доступ к ресурсам, к которым у пользователя есть право доступа. Рекомендуемое состояние для этого параметра — No One.Путь к ключу: [Privilege Rights]SeTcbPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Act в составе операционной системы Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4 |
= No one (Никому) (Policy) (Политика) |
Критически важно |
| Локальный вход в систему (CCE-37659-0) |
Описание: этот параметр политики определяет, какие пользователи могут интерактивно входить на компьютеры в вашей среде. Для входа в систему, инициированную нажатием клавиш CTRL + ALT + DEL на клавиатуре клиентского компьютера, требуется это право пользователя. Пользователям, пытающимся войти в систему через службы терминалов или IIS, также требуется это право пользователя. Учетной записи гостя это право пользователя назначено по умолчанию. Хотя эта учетная запись отключена по умолчанию, корпорация Майкрософт рекомендует включить этот параметр с помощью службы групповой политики. Однако это право пользователя обычно должно быть ограничено группами "Администраторы" и "Пользователи". Назначьте этому пользователю право на группу "операторы резервного копирования", если ваша организация требует, чтобы у них была эта возможность. При настройке права пользователя в SCM введите разделенный запятыми список учетных записей. Учетные записи могут быть либо локальными, либо расположенными в Active Directory, они могут быть группами, пользователями или компьютерами. Путь к ключу: [Privilege Rights]SeInteractiveLogonRight ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса: Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Allow log on locally Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.2.7 |
= Администраторы (Policy) (Политика) |
Критически важно |
| Разрешить вход в систему через службу удаленных рабочих столов (CCE-37072-6) |
Описание: Этот параметр политики определяет, какие пользователи или группы имеют право на вход в систему в качестве клиента служб терминалов. Пользователям удаленного рабочего стола требуется это право пользователя. Если ваша организация использует удаленный помощник как часть своей стратегии службы поддержки, создайте группу и назначьте ей это право пользователя с помощью групповой политики. Если служба поддержки в вашей организации не использует удаленный помощник, назначьте это право пользователя только группе администраторов или используйте функцию групп с ограниченным доступом, чтобы гарантировать, что никакие учетные записи пользователей не входят в группу пользователей удаленного рабочего стола. Ограничьте это право пользователя группой "Администраторы" и, возможно, группой "Пользователи удаленного рабочего стола", чтобы предотвратить получение нежелательными пользователями доступа к компьютерам в вашей сети с помощью функции удаленного помощника. - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Администраторы". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Администраторы, Пользователи удаленного рабочего стола". Примечание. Для рядового сервера с ролью Службы удаленных рабочих столов со службой роли Брокер подключений к удаленному рабочему столу потребуется специальное исключение из этой рекомендации, чтобы иметь возможность предоставить группе "Прошедшие проверку пользователи" это право пользователя. Примечание 2. Приведенные выше списки следует рассматривать как allowlists. Это означает, что для оценки этой рекомендации не требуется наличие указанных выше субъектов. Путь к ключу: [PrivilegeRights]SeInteractiveLogonRight ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Разрешить вход через службы удаленных рабочих столов Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9 |
<= Администратор istrator, пользователи удаленного рабочего стола (Policy) (Политика) |
Критически важно |
| Архивация файлов и каталогов (CCE-35912-5) |
Описание: этот параметр политики позволяет пользователям обходить разрешения на доступ к файлам и каталогам для резервного копирования системы. Это право пользователя доступно, только если приложение (например, NTBACKUP) пытается получить доступ к файлу или каталогу через программный интерфейс (API) резервного копирования файловой системы NTFS. В противном случае применяются назначенные разрешения на доступ к файлам и каталогам. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeBackupPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса.Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Резервное копирование файлов и каталогов Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10 |
<= Администратор istrator, операторы резервного копирования, операторы сервера (Policy) (Политика) |
Критически важно |
| Обход проходной проверки (AZ-WIN-00184) |
Описание: этот параметр политики позволяет пользователям, у которых нет разрешения "Доступ к папкам", перемещаться между папками при просмотре пути к объекту в файловой системе NTFS или в реестре. Это право пользователя не разрешает пользователям выводить список содержимого папки. При настройке права пользователя в SCM введите разделенный запятыми список учетных записей. Учетные записи могут быть либо локальными, либо расположенными в Active Directory, они могут быть группами, пользователями или компьютерами. Путь к ключу: [Privilege Rights]SeChangeNotifyPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики: настройте значение политики для конфигурации компьютера\Windows Параметры\Security Параметры\Local Policies\Local Policies\User Rights Assignment\Обход проверка, чтобы включить только следующие учетные записи или группы: Administrators, Authenticated Users, Backup Operators, Local Service, Network ServiceСопоставления стандартов соответствия: |
<= Администратор istrator, прошедшие проверку подлинности пользователей, операторы резервного копирования, локальная служба, сетевая служба (Policy) (Политика) |
Критически важно |
| Изменение системного времени (CCE-37452-0) |
Описание: этот параметр политики определяет, какие пользователи и группы могут изменять время и дату внутренних часов у компьютеров в вашей среде. Пользователи, которым назначено это право пользователя, могут повлиять на внешний вид журналов событий. При изменении параметра времени на компьютере записанные в журнал события будут отражать новое время, а не фактическое время возникновения событий. При настройке права пользователя в SCM введите разделенный запятыми список учетных записей. Учетные записи могут быть либо локальными, либо расположенными в Active Directory, они могут быть группами, пользователями или компьютерами. Важно: несоответствия между временем на локальном компьютере и контроллерами домена в среде могут вызвать проблемы с протоколом проверки подлинности Kerberos, что, в свою очередь, может привести к невозможности входа пользователей в домен или невозможности получения разрешения на доступ к ресурсам домена после входа в систему. Кроме того, при применении групповой политики к клиентским компьютерам могут возникнуть проблемы, если системное время не синхронизировано с контроллерами домена. Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE.Путь к ключу: [Privilege Rights]SeSystemtimePrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, LOCAL SERVICEпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователей\Изменение системного времени Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.2.11 CIS WS2022 2.2.11 |
<= Администратор istrator, операторы сервера, LOCAL SERVICE (Policy) (Политика) |
Критически важно |
| Изменение часового пояса (CCE-37700-2) |
Описание: этот параметр определяет, какие пользователи могут изменять часовой пояс компьютера. Эта возможность не имеет большой опасности для компьютера и может быть полезной для часто путешествующих сотрудников. Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE.Путь к ключу: [Privilege Rights]SeTimeZonePrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, LOCAL SERVICEпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Изменение часового пояса Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.2.12 CIS WS2022 2.2.12 |
<= Администратор istrator, LOCAL SERVICE (Policy) (Политика) |
Критически важно |
| Создание файла подкачки (CCE-35821-8) |
Описание: этот параметр политики позволяет пользователям изменять размер файла подкачки. Если сделать файл подкачки очень большим или очень небольшим, злоумышленник может легко повлиять на производительность скомпрометированного компьютера. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeCreatePagefilePrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Create a pagefile Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13 |
= Администраторы (Policy) (Политика) |
Критически важно |
| Создание маркерного объекта (CCE-36861-3) |
Описание: этот параметр политики позволяет процессу создавать маркер доступа, который может предоставить повышенные права доступа к конфиденциальным данным. Рекомендуемое состояние для этого параметра — No One.Путь к ключу: [Privilege Rights]SeCreateTokenPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Create a token object Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14 |
= No one (Никому) (Policy) (Политика) |
Предупреждение |
| Создание глобальных объектов (CCE-37453-8) |
Описание: этот параметр политики определяет, могут ли пользователи создавать глобальные объекты, доступные для всех сеансов. Пользователи по-прежнему могут создавать объекты, относящиеся к их отдельным сеансам, если они не имеют этого права пользователя. Пользователи, которые могут создавать глобальные объекты, могут повлиять на процессы, выполняющиеся в сеансах других пользователей. Это может привести к различным проблемам, например к сбоям приложения или повреждению данных. Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Важно: на рядовом сервере с Microsoft SQL Server и его необязательным компонентом "Integration Services" будет требоваться специальное исключение для этой рекомендации, чтобы предоставить это право дополнительным записям, созданным SQL.Путь к ключу: [PrivilegeRights]SeCreateTokenPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICEпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Создание глобальных объектов Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15 |
<= Администратор istrator, SERVICE, LOCAL SERVICE, NETWORK SERVICE (Policy) (Политика) |
Предупреждение |
| Создание постоянных общих объектов (CCE-36532-0) |
Описание: это право пользователя полезно для компонентов режима ядра, расширяющих пространство имен объектов. Однако компоненты, работающие в режиме ядра, изначально имеют это право пользователя. Поэтому обычно нет необходимости специально назначать это право пользователя. Рекомендуемое состояние для этого параметра — No One.Путь к ключу: [PrivilegeRights]SeCreatePagefilePrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Создание постоянных общих объектов Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16 |
= No one (Никому) (Policy) (Политика) |
Предупреждение |
| Создание символических ссылок (CCE-35823-4) |
Описание: Этот параметр политики определяет, какие пользователи могут создавать символьные ссылки. В Windows Vista доступ к существующим объектам файловой системы NTFS, таким как файлы и папки, можно получить, обратившись к новому типу объекта файловой системы, называемого символьной ссылкой. Символьная ссылка — это указатель (похожий на ярлык или файл .lnk) на другой объект файловой системы, который может быть файлом, папкой, ярлыком или другой символьной ссылкой. Различие между ярлыком и символьной ссылкой заключается в том, что ярлык работает только в оболочке Windows. Для других программ и приложений ярлыки — это просто другой файл, в то время как с символьной ссылкой понятие ярлыка реализуется как компонент файловой системы NTFS. Символьные ссылки могут потенциально подвергать риску безопасность в приложениях, которые не предназначены для их использования. По этой причине права на создание символьных ссылок должны быть назначены только доверенным пользователям. По умолчанию только администраторы могут создавать символьные ссылки. - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Администраторы". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Администраторы" и (при установке роли Hyper-V) "NT VIRTUAL MACHINE\Virtual Machines". Путь к ключу: [PrivilegeRights]SeCreateSymbolicLinkPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы реализовать рекомендуемое состояние конфигурации, настройте следующий путь пользовательского интерфейса: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Создание символьных ссылок Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18 |
<= Администратор istrator, NT VIRTUAL MACHINE\Виртуальные машины (Policy) (Политика) |
Критически важно |
| Отладка программ (AZ-WIN-73755) |
Описание. Этот параметр политики определяет, какие учетные записи пользователей имеют право подключить отладчик к любому процессу или ядру, что обеспечивает полный доступ к конфиденциальным и критически важным компонентам операционной системы. Разработчикам, которые выполняют отладку собственных приложений, не нужно назначать это право пользователя; однако разработчикам, которые выполняют отладку новых системных компонентов, потребуется. Рекомендуемое состояние для этого параметра — Administrators. Примечание. Это право пользователя считается "конфиденциальным привилегированным" для целей аудита.Путь к ключу: [Privilege Rights]SeDebugPrivilege ОС: WS2016, WS2019 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Отладка программ Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.2.19 CIS WS2019 2.2.19 |
= Администраторы (Policy) (Политика) |
Критически важно |
| Отказ в доступе к компьютеру из сети (CCE-37954-5) |
Описание: Этот параметр политики запрещает пользователям подключаться к компьютеру по сети, что позволит пользователям получать удаленный доступ и потенциально изменять данные. В средах с высоким уровнем безопасности для удаленных пользователей не требуется доступ к данным на компьютере. Вместо этого общий доступ к файлам должен осуществляться с помощью сетевых серверов. - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Гости, Локальная учетная запись". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра должно включать: "Гости, Локальная учетная запись и член группы Администраторов". Внимание! Настройка автономного сервера (не присоединенного к домену), как описано выше, может привести к невозможности удаленного администрирования сервера. Примечание. Настройка рядового сервера или отдельного сервера, как описано выше, может негативно сказаться на приложениях, которые создают учетную запись локальной службы и размещают ее в группе администраторов. В этом случае необходимо преобразовать приложение для использования учетной записи службы, размещенной в домене, или удалить локальную учетную запись и члена группы Администраторов из этого назначения прав пользователя. Настоятельно рекомендуется использовать учетную запись службы, размещенной в домене, а не делать исключения из этого правила, где это возможно. Путь к ключу: [Privilege Rights]SeDenyNetworkLogonRight ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Запрет доступа к этому компьютеру из сети Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.21 |
>= Гости (Policy) (Политика) |
Критически важно |
| Отказ во входе в качестве пакетного задания (CCE-36923-1) |
Описание: этот параметр политики определяет, какие учетные записи не смогут входить в систему на компьютере в качестве пакетного задания. Пакетное задание не является пакетным (.bat-файлом), а представляет собой средство пакетной очереди. Учетным записям, которые используют планировщик задач для планирования заданий, требуется это право пользователя. Право Запретить вход в систему как пакетного задания переопределяет право пользователя Вход в качестве пакетного задания, которое можно использовать, чтобы разрешить учетным записям планировать задания, использующие чрезмерные системные ресурсы. Такая ситуация может привести к состоянию DoS. Отсутствие назначения этого права для рекомендуемых учетных записей может создать угрозу безопасности. Рекомендуемое состояние для этого параметра — Guests.Путь к ключу: [Privilege Rights]SeDenyBatchLogonRight ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: GuestsКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Запрет входа в качестве пакетного задания Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22 |
>= Гости (Policy) (Политика) |
Критически важно |
| Отказать во входе в качестве службы (CCE-36877-9) |
Описание: этот параметр безопасности определяет, каким учетным записям служб запрещено регистрировать процесс в качестве службы. Этот параметр политики заменяет параметр политики Вход в систему в качестве службы, если учетная запись подчиняется обеим политикам. Рекомендуемое состояние для этого параметра — Guests. Важно: этот параметр безопасности не применяется к учетным записям системы, локальной службы или сетевой службы.Путь к ключу: [Privilege Rights]SeDenyServiceLogonRight ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: GuestsКонфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Запрет входа в систему как услуга Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23 |
>= Гости (Policy) (Политика) |
Критически важно |
| Запретить локальный вход (CCE-37146-8) |
Описание: этот параметр безопасности определяет, каким пользователям запрещается входить в систему на компьютере. Этот параметр политики заменяет параметр политики Вход в систему локально, если учетная запись подчиняется обеим политикам. Важно: если применить эту политику безопасности к группе "Все", никто не сможет войти в систему локально. Рекомендуемое состояние для этого параметра — Guests.Путь к ключу: [Privilege Rights]SeDenyInteractiveLogonRight ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: GuestsКонфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Deny log on locally Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.24 CIS WS2022 2.24 |
>= Гости (Policy) (Политика) |
Критически важно |
| Запретить вход в систему через службу удаленных рабочих столов (CCE-36867-0) |
Описание: этот параметр политики определяет, могут ли пользователи входить в систему как клиенты служб терминалов. После того как базовый сервер-участник присоединен к доменной среде, нет необходимости использовать локальные учетные записи для доступа к серверу из сети. Учетные записи домена могут получать доступ к серверу для администрирования и обработки конечных пользователей. Рекомендуемое состояние для этого параметра — Guests, Local account. Внимание! Настройка автономного сервера (не присоединенного к домену), как описано выше, может привести к невозможности удаленного администрирования сервера.Путь к ключу: [Privilege Rights]SeDenyRemoteInteractiveLogonRight ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Запрет входа через службы удаленных рабочих столов Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.26 |
>= Гости (Policy) (Политика) |
Критически важно |
| Разрешение доверия к учетным записям компьютеров и пользователей при делегировании (CCE-36860-5) |
Описание: Этот параметр политики позволяет пользователям изменять параметр "Доверенный для делегирования" для объекта-компьютера в Active Directory. Злоупотребление этой привилегией может позволить неавторизованным пользователям выдавать себя за других пользователей в сети. - Уровень 1 — контроллер домена. Рекомендуемое состояние для этого параметра: "Администраторы" - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Никто". Путь к ключу: [Privilege Rights]SeEnableDelegationPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователей\Включение доверенных учетных записей компьютеров и пользователей для делегирования Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.28 |
= No one (Никому) (Policy) (Политика) |
Критически важно |
| Принудительное удаленное завершение работы (CCE-37877-8) |
Описание: этот параметр политики позволяет пользователям завершать работу компьютеров под управлением Windows Vista из удаленных расположений в сети. Любой пользователь, которому назначено это право, может вызвать ситуацию отказа в обслуживании (DoS), которая сделает компьютер недоступным для запросов пользователей службы. Поэтому рекомендуется назначать это право только высоко доверенным администраторам. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeRemoteShutdownPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователей\Принудительное завершение работы из удаленной системы Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.29 |
= Администраторы (Policy) (Политика) |
Критически важно |
| Создание аудитов безопасности (CCE-37639-2) |
Описание: этот параметр политики определяет, какие пользователи или процессы могут создавать записи аудита в журнале безопасности. Рекомендуемое состояние для этого параметра — LOCAL SERVICE, NETWORK SERVICE. Примечание. Рядовой сервер, который содержит роль веб-сервера (IIS) со службой роли веб-сервера, потребует особого исключения из этой рекомендации, чтобы пулы приложений IIS получили это право пользователя. Примечание 2: Рядовой сервер, на котором размещена роль службы федерации Active Directory (AD FS), потребует особого исключения из этой рекомендации, чтобы разрешить службам NT SERVICE\ADFSSrv и NT SERVICE\DRS, а также связанной учетной записи службы федерации Active Directory (AD FS), иметь это право пользователя.Путь к ключу: [Privilege Rights]SeAuditPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь LOCAL SERVICE, NETWORK SERVICEпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователей\Создание аудита безопасности Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30 |
<= локальная служба, сетевая служба, СЛУЖБА IIS APPPOOL\DefaultAppPool (Policy) (Политика) |
Критически важно |
| Увеличение рабочего набора процесса (AZ-WIN-00185) |
Описание. Эта привилегия определяет, какие учетные записи пользователей могут увеличивать или уменьшать размер рабочего набора процесса. Рабочий набор процесса — это набор страниц памяти, которые в настоящее время видны процессу в физической оперативной памяти (RAM). Эти страницы являются резидентными и доступны для использования приложением без активации ошибки страницы. Минимальный и максимальный размеры рабочего набора влияют на режим разбиения на страницы виртуальной памяти процесса. При настройке права пользователя в SCM введите разделенный запятыми список учетных записей. Учетные записи могут быть либо локальными, либо расположенными в Active Directory, они могут быть группами, пользователями или компьютерами. Путь к ключу: [Privilege Rights]SeIncreaseWorkingSetPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Увеличение рабочего набора процессов Сопоставления стандартов соответствия: |
<= Администратор istrators, Local Service (Policy) (Политика) |
Предупреждение |
| Увеличение приоритета выполнения (CCE-38326-5) |
Описание: этот параметр политики определяет, могут ли пользователи увеличивать базовый класс приоритета процесса. (Увеличение относительного приоритета в пределах класса приоритета не является привилегированной операцией.) Это право пользователя не требуется для средств администрирования, предоставляемых вместе с операционной системой, но может потребоваться для средств разработки программного обеспечения. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeIncreaseBasePriorityPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, Window Manager\Window Manager Groupпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователей\Повышение приоритета планирования Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33 |
= Администраторы (Policy) (Политика) |
Предупреждение |
| Загрузка и выгрузка драйверов устройств (CCE-36318-4) |
Описание: этот параметр политики позволяет пользователям динамически загружать новый драйвер устройства в системе. Злоумышленник потенциально может использовать эту возможность для установки вредоносного кода, который маскируется под драйвером устройства. Это право пользователя требуется пользователям для добавления локальных принтеров или драйверов принтеров в Windows Vista. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeLoadDriverPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователей\Загрузка и выгрузка драйверов устройств Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34 |
<= Администратор istrator, операторы печати (Policy) (Политика) |
Предупреждение |
| Блокировка страниц в памяти (CCE-36495-0) |
Описание: эта политика определяет, какие учетные записи имеют право использовать процесс для хранения данных в физической памяти, что предотвращает страничную запись данных операционной системой в область виртуальной памяти на диске. При назначении этого права пользователя может возникнуть значительное снижение производительности системы. Рекомендуемое состояние для этого параметра — No One.Путь к ключу: [Privilege Rights]SeLockMemoryPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Lock pages in memory Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35 |
= No one (Никому) (Policy) (Политика) |
Предупреждение |
| Управление журналом аудита и безопасности (CCE-35906-7) |
Описание: Этот параметр политики определяет, какие пользователи могут изменять параметры аудита для файлов и каталогов, а также очищать журнал безопасности. В средах с Microsoft Exchange Server группа "Серверы Exchange" должна обладать этой привилегией на контроллерах домена для правильной работы. Учитывая это, контроллеры домена, предоставляющие группе "Серверы Exchange" эту привилегию, соответствуют этому тесту. Если среда не использует Microsoft Exchange Server, эта привилегия должна быть ограничена только группой "Администраторы" на контроллерах домена. - Уровень 1 — контроллер домена. рекомендуемое состояние для этого параметра: "Администраторы" и (если Exchange выполняется в среде) "Серверы Exchange". - Уровень 1 — рядовой сервер. Рекомендуемое состояние для этого параметра: "Администраторы" Путь к ключу: [Privilege Rights]SeSecurityPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, настройте следующий путь пользовательского интерфейса: Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователей\Управление аудитом и журналом безопасности Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38 |
= Администраторы (Policy) (Политика) |
Критически важно |
| Изменение метки объекта (CCE-36054-5) |
Описание: эта привилегия определяет, какие учетные записи пользователей могут изменять метки целостности объектов, таких как файлы, разделы реестра или процессы, принадлежащие другим пользователям. Без этой привилегии процессы, работающие под учетной записью пользователя, могут изменять метку объекта, принадлежащего этому пользователю, на более низкий уровень. Рекомендуемое состояние для этого параметра — No One.Путь к ключу: [Privilege Rights]SeRelabelPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь No Oneпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Изменение метки объекта Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.2.39 CIS WS2022 2.2.39 |
= No one (Никому) (Policy) (Политика) |
Предупреждение |
| Изменение параметров среды изготовителя (CCE-38113-7) |
Описание: этот параметр политики позволяет пользователям настраивать системные переменные среды, влияющие на конфигурацию оборудования. Эти сведения обычно хранятся в последней известной работоспособной конфигурации. Изменение этих значений и может привести к сбою оборудования, что приведет к отказу в обслуживании. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeSystemEnvironmentPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Изменение значений среды встроенного ПО Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40 |
= Администраторы (Policy) (Политика) |
Предупреждение |
| Выполнение задач по обслуживанию томов (CCE-36143-6) |
Описание: этот параметр политики позволяет пользователям управлять томом или конфигурацией дисков системы, что может позволить пользователю удалить том и привести к потере данных, а также к состоянию отказа в обслуживании. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeManageVolumePrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Выполнение задач обслуживания томов Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41 |
= Администраторы (Policy) (Политика) |
Предупреждение |
| Профилирование одного процесса (CCE-37131-0) |
Описание: этот параметр политики определяет, какие пользователи могут использовать средства для наблюдения за производительностью несистемных процессов. Как правило, нет необходимости настраивать это право пользователя для использования оснастки производительности консоли управления (MMC). Однако это право пользователя необходимо, если служба наблюдения за системой (System Monitor) настроена для сбора данных с помощью инструментария управления Windows (WMI). При ограничении права пользователя "Профилирование отдельного процесса" злоумышленники не смогут получить дополнительные сведения, которые могут быть использованы для проведения атаки на систему. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeProfileSingleProcessPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Profile single process Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42 |
= Администраторы (Policy) (Политика) |
Предупреждение |
| Профилирование производительности системы (CCE-36052-9) |
Описание: этот параметр политики позволяет пользователям использовать средства для просмотра производительности различных системных процессов, что может предоставить злоумышленникам возможность определить активные процессы системы и получить сведения о потенциальной уязвимости компьютера. Рекомендуемое состояние для этого параметра — Administrators, NT SERVICE\WdiServiceHost.Путь к ключу: [Privilege Rights]SeSystemProfilePrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administrators, NT SERVICE\WdiServiceHostпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\производительность системы Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.2.43 CIS WS2022 2.2.43 |
<= Администратор istrator, NT SERVICE\WdiServiceHost (Policy) (Политика) |
Предупреждение |
| Замена маркера уровня процесса (CCE-37430-6) |
Описание: этот параметр политики позволяет одному процессу или службе запускать другую службу или процесс с другим маркером доступа безопасности, который может использоваться для изменения маркера доступа безопасности этого подпроцесса и приводит к последовательному увеличению привилегий. Рекомендуемое состояние для этого параметра — LOCAL SERVICE, NETWORK SERVICE. Примечание. Рядовой сервер, который содержит роль веб-сервера (IIS) со службой роли веб-сервера, потребует особого исключения из этой рекомендации, чтобы пулы приложений IIS получили это право пользователя. Примечание 2. На рядовом сервере с Microsoft SQL Server будет требоваться специальное исключение для этой рекомендации, чтобы предоставить это право дополнительным записям, созданным SQL.Путь к ключу: [Privilege Rights]SeAssignPrimaryTokenPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь LOCAL SERVICE, NETWORK SERVICEпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Replace a process level token Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.2.44 CIS WS2022 2.2.44 |
<= ЛОКАЛЬНАЯ СЛУЖБА, СЕТЕВАЯ СЛУЖБА (Policy) (Политика) |
Предупреждение |
| Восстановление файлов и каталогов (CCE-37613-7) |
Описание: этот параметр политики определяет, какие пользователи могут обходить разрешения для файлы, каталоги, реестр и другие постоянные объекты при восстановлении резервных копий файлов и каталогов на компьютерах под управлением Windows Vista в вашей среде. Это право также определяет, какие пользователи могут устанавливать действительные субъекты безопасности в качестве владельцев объектов. Это похоже на право пользователя "Резервное копирование файлов и каталогов". Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeRestorePrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Policies\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment\Restore files and directoryies Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.2.45 |
<= Администратор istrator, операторы резервного копирования (Policy) (Политика) |
Предупреждение |
| Завершение работы системы (CCE-38328-1) |
Определение: Указывает, каким пользователям и группам, выполнившим локальный вход в систему на компьютерах в вашей среде, разрешено завершить работу операционной системы с помощью команды "Завершение работы". Неправильное использование этого права пользователя может привести к отказу в обслуживании. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeShutdownPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователей\Завершение работы системы Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 2.2.46 CIS WS2022 2.2.46 |
<= Администратор istrator, операторы резервного копирования (Policy) (Политика) |
Предупреждение |
| Смена владельцев файлов и других объектов (CCE-38325-7) |
Описание: этот параметр политики позволяет пользователям становиться владельцами файлов, папок, разделов реестра, процессов или потоков. Это право пользователя обходит все разрешения, установленные для защиты объектов, чтобы предоставить права владения указанному пользователю. Рекомендуемое состояние для этого параметра — Administrators.Путь к ключу: [Privilege Rights]SeTakeOwnershipPrivilege ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Administratorsпользовательского интерфейса:Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователя\Владение файлами или другими объектами Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48 |
= Администраторы (Policy) (Политика) |
Критически важно |
| Право пользователя "Олицетворять клиента после проверки подлинности" должно быть назначено только администраторам, службе, локальной службе и сетевой службе. (AZ-WIN-73785) |
Описание. Параметр политики позволяет программам, выполняющимся от имени пользователя, олицетворить этого пользователя (или другую указанную учетную запись), чтобы они могли действовать от имени пользователя. Если это право пользователя требуется для олицетворения такого типа, несанкционированный пользователь не сможет убедить клиента подключиться, например, путем удаленного вызова процедур (RPC) или именованных каналов к службе, которую они создали для олицетворения этого клиента, что может повысить разрешения несанкционированного пользователя на административные или системные уровни. Службы, запущенные диспетчером управления службами, имеют встроенную группу служб, добавленную по умолчанию к маркерам доступа. COM-серверы, запущенные инфраструктурой COM и настроенные для запуска под определенной учетной записью, также добавляют группу служб в маркеры доступа. В результате эти процессы назначаются этому пользователю право при запуске. Кроме того, пользователь может олицетворить маркер доступа, если существуют какие-либо из следующих условий: — маркер доступа, олицетворенный для этого пользователя. — Пользователь в этом сеансе входа в систему вошел в сеть с явными учетными данными для создания маркера доступа. — Запрошенный уровень меньше олицетворения, например анонимный или идентификационный. Злоумышленник с олицетворения клиента после проверки подлинности прав пользователя может создать службу, обмануть клиента, чтобы сделать его подключение к службе, а затем олицетворить этот клиент, чтобы повысить уровень доступа злоумышленника к клиенту. Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Примечание. Это право пользователя считается "конфиденциальным привилегированным" для целей аудита. Примечание 2. Для предоставления этому пользователю дополнительных записей, созданных SQL Server, и его дополнительным компонентом Integration Services потребуется специальное исключение для получения дополнительных записей, созданных SQL.Путь к ключу: [Privilege Rights]SeImpersonatePrivilege ОС: WS2016, WS2019 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Local Policies\User Rights Assignment\Impersonate a client after authentication Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.2.31 CIS WS2019 2.2.31 |
<= Администратор istrator,Service,Local Service,Network Service (Policy) (Политика) |
Важно! |
Компоненты Windows
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Разрешить базовую проверку подлинности (CCE-36254-1) |
Описание: этот параметр политики позволяет определить, будет ли служба удаленного управления Windows (WinRM) принимать базовую проверку подлинности от удаленного клиента. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow Basic authentication Примечание. Этот путь групповой политики предоставляется шаблоном WindowsRemoteManagement.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates.Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Разрешить диагностические данные (AZ-WIN-00169) |
Описание: этот параметр политики определяет объем данных о диагностике и использовании, отправляемый в Майкрософт. При значении 0 система будет отсылать минимальные данные в корпорацию Майкрософт. Эти данные включают данные средства удаления вредоносных программ (MSRT) и защитника Windows, если они включены, а также параметры клиента телеметрии. Установка значения 0 применяется только к корпоративным, образовательным (EDU) и серверным устройствам, а также устройствам "Интернета вещей" (IoT). Установка значения 0 для других устройств эквивалентна выбору значения 1. Значение 1 отправляет только базовый объем данных о диагностике и использовании. Обратите внимание, что установка значений 0 или 1 приведет к снижению определенных функций на устройстве. Значение 2 отправляет расширенные данные о диагностике и использовании. Значение 3 отправляет те же данные, что и значение 2, а также дополнительные диагностические данные, включая файлы и содержимое, которые могли вызвать проблемы. Параметры телеметрии Windows 10 применяются к операционной системе Windows и некоторым приложениям первого производителя. Этот параметр не распространяется на сторонние приложения, работающие в Windows 10. Рекомендуемое состояние для этого параметра — Enabled: 0 - Security [Enterprise Only]. Важно: если для параметра "разрешить телеметрию" задано значение "0 — Security [Enterprise Only] (0 — безопасность [только Корпоративная])", то параметр "Отложить обновления" в Центре обновления Windows и сами обновления не будут действовать.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса или Enabled: Diagnostic data off (not recommended)Enabled: Send required diagnostic data:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\Data Collection and Preview Builds\Allow Diagnostic Data Data Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики DataCollection.admx/adml, который входит в состав Microsoft Windows 11 выпуска 21H2 Администратор istrative Templates (или более поздней версии). Примечание 2. В старых шаблонах Microsoft Windows Администратор istrative этот параметр изначально был назван allow Telemetry, но он был переименован в Allow Diagnostic Data, начиная с windows 11 выпуска 21H2 Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1 |
>= 1 (Registry) (Реестр) |
Предупреждение |
| Разрешить индексирование зашифрованных файлов (CCE-38277-0) |
Описание: этот параметр политики определяет, разрешено ли индексирование зашифрованных элементов. При изменении этого параметра индекс полностью перестраивается. Чтобы обеспечить безопасность зашифрованных файлов, необходимо использовать полное шифрование тома (например, шифрование диска BitLocker или решение, не являющееся решением корпорации Майкрософт) в месте расположения индекса. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Search\Allow indexing зашифрованных файлов Примечание. Этот путь групповой политики предоставляется шаблоном Search.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates.Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Разрешить необязательные учетные записи Майкрософт (CCE-38354-7) |
Описание: этот параметр политики позволяет указать, являются ли учетные записи Майкрософт необязательными для приложений Магазина Windows, которым требуется учетная запись для входа. Эта политика влияет только на приложения Магазина Windows, поддерживающие его. Если этот параметр политики включен, приложения Магазина Windows, которые обычно требуют входа учетной записи Майкрософт, позволят пользователям входить с помощью корпоративной учетной записи. Если этот параметр политики отключен или не настроен, пользователям потребуется войти с помощью учетной записи Майкрософт. Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional ОС: WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\App runtime\Allow Microsoft accounts to be необязательный Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики AppXRuntime.admx/adml, который входит в состав Microsoft Windows 8.1 и Server 2012 R2 Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.6.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Разрешить незашифрованный трафик (CCE-38223-4) |
Описание: этот параметр политики позволяет управлять тем, будет ли служба удаленного управления Windows (WinRM) отправлять и принимать незашифрованные сообщения по сети. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow unencrypted traffic Примечание. Этот путь групповой политики предоставляется шаблоном WindowsRemoteManagement.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates.Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Разрешить пользователю управлять установкой (CCE-36400-0) |
Описание: этот параметр политики позволяет пользователям изменять параметры установки, которые обычно доступны только системным администраторам. Если вы отключаете или не настраиваете этот параметр политики, функции безопасности установщика Windows запрещают пользователям изменять параметры установки, обычно доступные только системным администраторам, например указание каталога, в который устанавливаются файлы. Если установщик Windows обнаруживает, что пакет установки позволил пользователю изменить защищенный параметр, он останавливает установку и отображает сообщение. Эти функции безопасности работают только в том случае, если программа установки запущена в привилегированном контексте безопасности, в котором он имеет доступ к каталогам, отказано в доступе к пользователю. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Windows Installer\Allow user control over installs Примечание. Этот путь групповой политики предоставляется шаблоном MSI.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates. Примечание 2. В более старых шаблонах Microsoft Windows Администратор istrative templates этот параметр был назван параметром Enable user control over installs, но переименован с Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates.Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Всегда устанавливать с повышенными правами (CCE-37490-0) |
Описание: этот параметр определяет, следует ли установщику Windows использовать разрешения системы при установке любой программы в системе. Важно: этот параметр присутствует как в папке "Конфигурация компьютера", так и в папке "Конфигурация пользователя". Чтобы этот параметр политики действовал, он должен быть включен в обеих папках. Внимание! Опытные пользователи могут воспользоваться разрешениями, предоставленными этим параметром политики, для изменения своих привилегий и получения постоянного доступа к ограниченным файлам и папкам. Обратите внимание, что версия "Конфигурация пользователя" этого параметра политики не гарантирует безопасность. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация пользователя\Policies\Администратор istrative Templates\Windows Components\Windows Installer\Always install with elevated privileges Примечание. Этот путь групповой политики предоставляется шаблоном MSI.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates.Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Всегда запрашивать пароль при подключении (CCE-37929-7) |
Описание: этот параметр политики определяет, всегда ли службы удаленных рабочих столов запрашивают пароль клиента при подключении. Этот параметр политики можно использовать, чтобы принудительно обеспечить ввод пароля пользователями, которые входят в службы терминалов, даже если они уже указали пароль в клиенте подключения к удаленному рабочему столу. По умолчанию службы удаленных рабочих столов разрешают автоматический вход, если пароль был введен на клиенте подключений к удаленному рабочему столу. Важно: если этот параметр политики не настроен, администратор локального компьютера может использовать средство настройки служб терминалов, чтобы разрешить или запретить автоматическую отправку паролей. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\Remote Desktop Services\Host\Remote Desktop Session Host\Security\Always prompt for password on connection Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В microsoft Windows Vista Администратор istrative Templates этот параметр был назван клиентом Always prompt for password on connection, но он был переименован начиная с Windows Server 2008 (не R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.65.3.9.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Приложение: управление поведением журнала событий при достижении максимального размера файла журнала (CCE-37775-4) |
Описание: этот параметр политики управляет поведением журнала событий при достижении максимального размера файла журнала. Если включить этот параметр политики, по достижении максимального размера файла журнала новые события не будут записываться в журнал и будут утеряны. Если этот параметр отключен или не настроен, а файл журнала достигает максимального размера, новые события перезаписывают старые. Примечание. Старые события могут храниться или не сохраняются в соответствии с параметром политики "Автоматическое резервное копирование" в журнале резервного копирования. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Event Log Service\Application\Control Event Log Log behavior, когда файл журнала достигает максимального размера Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В старых шаблонах Microsoft Windows Администратор istrative templates этот параметр изначально был назван "Сохранить старые события", но он был переименован начиная с Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.27.1.1 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Приложение: укажите максимальный размер файла журнала (КБ) (CCE-37948-7) |
Описание: этот параметр политики задает максимальный размер файла журнала в килобайтах. Если этот параметр политики включен, можно настроить максимальный размер файла журнала в диапазоне от 1 мегабайта (1024 килобайта) до 2 терабайтов (2147483647 килобайт) в килобайтах. Если этот параметр политики отключен или не настроен, максимальный размер файла журнала будет установлен на локально настроенное значение. Это значение можно изменить локальным администратором с помощью диалогового окна "Свойства журнала" и по умолчанию — 20 мегабайт. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 32,768 or greaterпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Windows Log Service\Application\Укажите максимальный размер файла журнала (КБ) Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В более старых шаблонах Microsoft Windows Администратор istrative, этот параметр изначально был назван максимальным размером журнала (КБ), но он был переименован начиная с Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.27.1.2 |
>= 32768 (Registry) (Реестр) |
Критически важно |
| Блокировать проверку подлинности учетных записей Майкрософт для потребителей (AZ-WIN-20198) |
Описание. Этот параметр определяет, могут ли приложения и службы на устройстве использовать новую проверку подлинности учетной записи клиента Майкрософт через Windows OnlineID и WebAccountManager API. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth ОС: WS2016, WS2019 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\Microsoft accounts\Block all consumer Microsoft account user authentication Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Настройка переопределения локального параметра для создания отчетов в Microsoft MAPS (AZ-WIN-00173) |
Описание: этот параметр политики позволяет настроить локальное переопределение конфигурации для присоединения к Microsoft MAPS. Этот параметр можно задать только групповой политикой. При включении этого параметра политики локальная настройка будет иметь приоритет перед групповой политикой. Если этот параметр отключен или не настроен, групповая политика будет иметь приоритет перед локальной настройкой. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\Windows Defender антивирус\MAPS\Configure local setting override for reporting to Microsoft MAPS Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном WindowsDefender.admx/adml групповой политики, включенным в состав шаблонов Microsoft Windows 8.1 и Server 2012 R2 Администратор istrative Templates (или более поздней версии).Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Настроить Windows SmartScreen (CCE-35859-8) |
Описание: этот параметр политики позволяет управлять поведением Windows SmartScreen. Windows SmartScreen помогает защитить компьютеры с помощью предупреждений перед запуском неопознанных программ, загружаемых из Интернета. Некоторые сведения по файлам и программам, запущенным на компьютерах с этой функцией, отправляются в корпорацию Майкрософт. Если этот параметр политики включен, поведение Windows SmartScreen может управляться одним из следующих параметров: * Предоставьте пользователю предупреждение перед запуском неизвестного программного обеспечения * Отключите smartScreen, если отключить или не настроить этот параметр политики, поведение Windows SmartScreen управляется администраторами на компьютере с помощью Windows SmartScreen Параметры в системе безопасности и обслуживания. Параметры: * Предоставьте пользователю предупреждение перед запуском скачанное неизвестное программное обеспечение * Отключите SmartScreen Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса: Предупреждение и запрет обхода: Конфигурация компьютера\Политики\Администратор istrative templates\Windows Components\Windows Components\Windows Defender SmartScreen\Обозреватель\Configure Windows Defender SmartScreen Note: Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики Windows Обозреватель.admx/adml, который входит в состав Microsoft Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates (или более поздней версии). Примечание 2. В более старых шаблонах Microsoft Windows Администратор istrative, этот параметр изначально был назван настройка Windows SmartScreen, но он был переименован начиная с Windows 10 выпуска 1703 Администратор istrative Templates.Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.85.1.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Обнаружение изменений из порта RDP по умолчанию (AZ-WIN-00156) |
Описание: этот параметр определяет, был ли сетевой порт, прослушиваемый для подключения удаленного рабочего стола, изменен со значения по умолчанию (3389) Путь к ключу: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: неприменимо Сопоставления стандартов соответствия: |
= 3389 (Registry) (Реестр) |
Критически важно |
| Отключение службы поиска Windows Search (AZ-WIN-00176) |
Описание: этот параметр реестра отключает службу поиска Windows Путь к ключу: System\CurrentControlSet\Services\Wsearch\Start ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: неприменимо Сопоставления стандартов соответствия: |
Не существует или = 4 (Registry) (Реестр) |
Критически важно |
| Запретить автозапуск устройств, не являющихся томами (CCE-37636-8) |
Описание: этот параметр политики запрещает автоматическое воспроизведение для устройств MTP, таких как камеры и телефоны. Если этот параметр политики включен, автоматическое воспроизведение не допускается для устройств MTP, таких как камеры или телефоны. Если этот параметр политики отключен или не настроен, автозапуск включен для устройств, отличных от томов. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\AutoPlay Policies\Disallow Autoplay autoplay for non-volume devices Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики AutoPlay.admx/adml, который входит в состав Microsoft Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.8.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Запрет дайджест-проверки подлинности (CCE-38318-2) |
Описание: этот параметр политики позволяет определить, будет ли клиент службы удаленного управления Windows (WinRM) использовать обычную проверку подлинности вместо дайджест-проверки. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client\Disallow Digest Authentication Примечание. Этот путь групповой политики предоставляется шаблоном WindowsRemoteManagement.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates.Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3 |
= 0 (Registry) (Реестр) |
Критически важно |
| Запретить WinRM хранить учетные данные запуска от имени (CCE-36000-8) |
Описание: этот параметр политики позволяет управлять возможностью службы удаленного управления Windows (WinRM) не разрешать сохранение учетных данных запуска от имени для любых подключаемых модулей. При включенном параметре политики, служба WinRM не разрешит задавать значения конфигурации RunAsUser или RunAsPassword для каких-либо подключаемых модулей. Если подключаемый модуль уже установил значения конфигурации RunAsUser и RunAsPassword, значение конфигурации RunAsPassword будет удалено из хранилища учетных данных на этом компьютере. Если этот параметр отключен или не настроен, служба WinRM разрешит установку значений конфигурации RunAsUser и RunAsPassword для подключаемых модулей, а значение RunAsPassword будет храниться в безопасном месте. Если включить и затем отключить этот параметр политики, то все значения, ранее настроенные для параметра RunAsPassword, потребуется сбросить. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Disallow WinRM from storing RunAs credentials Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "WindowsRemoteManagement.admx/adml", который входит в состав Microsoft Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.102.2.4 |
= 1 (Registry) (Реестр) |
Критически важно |
| Запретить сохранение паролей (CCE-36223-6) |
Описание: этот параметр политики позволяет запретить клиентам служб терминалов сохранять пароли на компьютере. Важно: если этот параметр политики ранее был отключен или не настроен, все ранее сохраненные пароли будут удалены при первом отключении клиента служб терминалов с любого сервера. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Подключение ion Client\Не разрешать сохранять пароли Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии шаблонов Microsoft Windows Администратор istrative. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.65.2.2 |
= 1 (Registry) (Реестр) |
Критически важно |
| Не удалять временные папки при выходе (CCE-37946-1) |
Описание: этот параметр политики определяет, будет ли службы удаленных рабочих столов хранить временные папки пользователя по сеансам при выходе из системы. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\Remote Desktop Services\Узел сеанса удаленного рабочего стола\Временные папки\Не удалять временные папки при выходе Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В старых шаблонах Microsoft Windows Администратор istrative templates этот параметр был назван не удалять папку temp при выходе, но она была переименована начиная с Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.65.3.11.1 |
Не существует или = 1 (Registry) (Реестр) |
Предупреждение |
| Не отображать кнопку "Показать пароль" (CCE-37534-5) |
Описание: этот параметр политики позволяет настроить отображение кнопки показа пароля в пользовательском интерфейсе ввода пароля. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\Credential User Interface\Not display the password display button Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики CredUI.admx/adml, который входит в состав Microsoft Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.16.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Запрет отображения уведомлений об отзывах (AZ-WIN-00140) |
Описание: этот параметр политики позволяет организации запрещать отображение на своих устройствах вопросов с предложением Майкрософт отправить отзыв. Если этот параметр политики включен, пользователи больше не увидят уведомления об отзывах в приложении обратной связи Windows. Если этот параметр отключен или не настроен, пользователи смогут видеть уведомления с запросом обратной связи в приложении обратной связи Windows. Важно: если этот параметр отключен или не настроен, пользователи сами смогут управлять частотой появления запросов на обратную связь. Путь ключу: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Data Collection and Preview Builds\Do not show feedback notifications Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики "FeedbackNotifications.admx/adml", который входит в состав Microsoft Windows 10 выпуска 1511 Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.17.4 |
= 1 (Registry) (Реестр) |
Критически важно |
| Не использовать временные папки за сеанс (CCE-38180-6) |
Описание: по умолчанию служба удаленного рабочего стола создает отдельную временную папку на сервере узла сеансов удаленных рабочих столов для каждого активного сеанса, который пользователь поддерживает на сервере узла сеансов удаленных рабочих столов. Временная папка создается на сервере узла сеансов удаленных рабочих столов во временной папке Temp,в каталоге профиля пользователя с именем "sessionid". Эта временная папка используется для хранения индивидуальных временных файлов. Чтобы освободить место на диске, временная папка удаляется при выходе пользователя из сеанса. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\Remote Desktop Services\Host\Remote Desktop Session Host\Временные папки\Не использовать временные папки на сеанс Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии шаблонов Microsoft Windows Администратор istrative. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.65.3.11.2 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Перечисление учетных записей администраторов при повышении прав (CCE-36512-2) |
Описание: этот параметр политики определяет, отображаются ли учетные записи администратора, когда пользователь пытается повысить права для запущенного приложения. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Credential User Interface\Enumerate administrator accounts on elevation Примечание. Этот путь групповой политики предоставляется шаблоном CredUI.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates.Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Запретить загрузку вложений (CCE-37126-0) |
Описание: этот параметр политики запрещает скачивание вложений (вложенных файлов) из веб-канала на компьютер пользователя. Рекомендуемое состояние для этого параметра — Enabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\RSS Feeds\Предотвращение скачивания корпусов Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики InetRes.admx/adml, который входит во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В старых шаблонах Microsoft Windows Администратор istrative шаблоны этот параметр был назван отключением загрузки корпусов, но он был переименован начиная с Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.66.1 |
= 1 (Registry) (Реестр) |
Предупреждение |
| Требовать безопасный обмен данными RPC (CCE-37567-5) |
Описание: указывает, требует ли сервер узла сеансов удаленных рабочих столов безопасные RPC-подключения от всех клиентов, либо допускает небезопасные подключения. Этот параметр можно использовать для укрепления безопасности связи RPC с клиентами, разрешая только прошедшие проверку подлинности и зашифрованные запросы. Если задано значение "Включено", службы удаленных рабочих столов принимают запросы от клиентов RPC, поддерживающих безопасные запросы, и не разрешает незащищенное взаимодействие с ненадежными клиентами. Если для состояния задано значение "Отключено", службы удаленных рабочих столов всегда запрашивают безопасность для всего трафика RPC. Однако незащищенное взаимодействие разрешено для клиентов RPC, которые не отвечают на запрос. Если для состояния задано значение "Не настроено", разрешено незащищенное взаимодействие. Примечание. Интерфейс RPC используется для администрирования и настройки служб удаленных рабочих столов. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\Remote Desktop Services\Host\Remote Desktop Session Host\Security\Require secure RPC communication Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии шаблонов Microsoft Windows Администратор istrative. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.65.3.9.2 |
= 1 (Registry) (Реестр) |
Критически важно |
| Требовать проверку подлинности пользователей для удаленных подключений с помощью проверки подлинности на уровне сети (AZ-WIN-00149) |
Описание: требование проверки подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Host\Security\Require user authentication for remote connections using Network Level Authentication Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В шаблонах Microsoft Windows Vista Администратор istrative этот параметр изначально был назван "Требовать проверку подлинности пользователей с помощью RDP 6.0 для удаленных подключений, но он был переименован начиная с Windows Server 2008 (не R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.65.3.9.4 |
Не существует или = 1 (Registry) (Реестр) |
Критически важно |
| Проверять съемные носители (AZ-WIN-00177) |
Описание: этот параметр политики позволяет управлять тем, следует ли проверять наличие вредоносных и нежелательных программ в содержимом съемных носителей, таких как USB-накопители, при выполнении полной проверки. Если этот параметр включен, съемные диски будут проверяться во время проверки любого типа. Если этот параметр отключен или не настроен, съемные носители не будет проверяться во время полного сканирования. Съемные диски по-прежнему могут быть проанализированы во время быстрой проверки и пользовательской проверки. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\Windows Defender Антивирусная программа\Scan\Scan\Scan Съемные диски Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном WindowsDefender.admx/adml групповой политики, включенным в состав шаблонов Microsoft Windows 8.1 и Server 2012 R2 Администратор istrative Templates (или более поздней версии).Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1 |
= 0 (Registry) (Реестр) |
Критически важно |
| Безопасность: управление поведением журнала событий при достижении максимального размера файла журнала (CCE-37145-0) |
Описание: этот параметр политики управляет поведением журнала событий при достижении максимального размера файла журнала. Если включить этот параметр политики, по достижении максимального размера файла журнала новые события не будут записываться в журнал и будут утеряны. Если этот параметр отключен или не настроен, а файл журнала достигает максимального размера, новые события перезаписывают старые. Примечание. Старые события могут храниться или не сохраняются в соответствии с параметром политики "Автоматическое резервное копирование" в журнале резервного копирования. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Event Log Service\Security\Control Event Log Log behavior, когда файл журнала достигает максимального размера Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В старых шаблонах Microsoft Windows Администратор istrative templates этот параметр изначально был назван "Сохранить старые события", но он был переименован начиная с Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.27.2.1 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Безопасность: укажите максимальный размер файла журнала (КБ) (CCE-37695-4) |
Описание: этот параметр политики задает максимальный размер файла журнала в килобайтах. Если этот параметр включен, можно настроить максимальный размер файла журнала, задав его размер между 1 мегабайтом (1024 килобайта) и 2 терабайтами (2 147 483 647 килобайт) с шагом в один килобайт. Если этот параметр политики отключен или не настроен, максимальный размер файла журнала будет установлен на локально настроенное значение. Это значение можно изменить локальным администратором с помощью диалогового окна "Свойства журнала" и по умолчанию — 20 мегабайт. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 196,608 or greaterпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Event Log Service\Security\Укажите максимальный размер файла журнала (КБ) Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В более старых шаблонах Microsoft Windows Администратор istrative, этот параметр изначально был назван максимальным размером журнала (КБ), но он был переименован начиная с Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.27.2.2 |
>= 196608 (Registry) (Реестр) |
Критически важно |
| Отправлять образцы файлов, если требуется дальнейший анализ (AZ-WIN-00126) |
Описание: этот параметр политики используется для настройки поведения отправки образцов при активной телеметрии сопоставлений. Возможные варианты: (0x0) Всегда запрашивать (0x1) Автоматически отправлять безопасные выборки (0x2) Никогда не отправлять (0x3) Автоматически отправлять все выборки Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Администратор istrative templates\Windows Components\антивирусная программа в Microsoft Defender\MAPS\Send file samples, если требуется дальнейший анализ Сопоставления стандартов соответствия: |
= 1 (Registry) (Реестр) |
Предупреждение |
| Установить уровень шифрования для клиентских подключений (CCE-36627-8) |
Описание: этот параметр политики указывает, будет ли компьютер, на котором будет размещаться удаленное подключение, применять уровень шифрования для всех передаваемых между ним и компьютером-клиентом данных для удаленного сеанса. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: High Levelпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Remote Desktop Services\Host\Remote Desktop Session Host\Security\Set client connection level Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики "TerminalServer.admx/adml", включенным во все версии шаблонов Microsoft Windows Администратор istrative. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.65.3.9.5 |
Не существует или = 3 (Registry) (Реестр) |
Критически важно |
| Установка поведения по умолчанию для автозапуска (CCE-38217-6) |
Описание: этот параметр политики задает поведение по умолчанию для команд автозапуска. Команды автозапуска в основном хранятся в файлах autorun.inf. Они часто запускают программу установки или другие подпрограммы. До Windows Vista при вставке носителя, содержащего команду автозапуска, система автоматически выполняла программу без вмешательства пользователя. Такой подход является серьезной проблемой безопасности, так как код может выполняться без ведома пользователя. Поведение по умолчанию, начиная с Windows Vista, заключается в запросе пользователя о необходимости запуска команды autorun. Команда автозапуска представлена в виде обработчика в диалоговом окне автозапуска. При включении этого параметра политики, администратор может изменить поведение по умолчанию в Windows Vista или более поздней версии на: a) полностью отключить команды автозапуска или б) вернуться к поведению до Windows Vista — автоматическому выполнению команды автозапуска. Если этот параметр отключен или не настроен в Windows Vista или более поздней версии, система будет выводить запрос о необходимости запуска autorun. Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: Do not execute any autorun commandsпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\AutoPlay Policies\Set the default behavior for AutoRun Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики AutoPlay.admx/adml, который входит в состав Microsoft Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.8.2 |
= 1 (Registry) (Реестр) |
Критически важно |
| Настройка: управление поведением журнала событий при достижении максимального размера файла журнала (CCE-38276-2) |
Описание: этот параметр политики управляет поведением журнала событий при достижении максимального размера файла журнала. Если включить этот параметр политики, по достижении максимального размера файла журнала новые события не будут записываться в журнал и будут утеряны. Если этот параметр отключен или не настроен, а файл журнала достигает максимального размера, новые события перезаписывают старые. Примечание. Старые события могут храниться или не сохраняются в соответствии с параметром политики "Автоматическое резервное копирование" в журнале резервного копирования. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Event Log Service\Setup\Control Event Log Log behavior, когда файл журнала достигает максимального размера Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В старых шаблонах Microsoft Windows Администратор istrative templates этот параметр изначально был назван "Сохранить старые события", но он был переименован начиная с Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.27.3.1 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Настройка: укажите максимальный размер файла журнала (КБ) (CCE-37526-1) |
Описание: этот параметр политики задает максимальный размер файла журнала в килобайтах. Если этот параметр включен, можно настроить максимальный размер файла журнала, задав его размер между 1 мегабайтом (1024 килобайта) и 2 терабайтами (2 147 483 647 килобайт) с шагом в один килобайт. Если этот параметр политики отключен или не настроен, максимальный размер файла журнала будет установлен на локально настроенное значение. Это значение можно изменить локальным администратором с помощью диалогового окна "Свойства журнала" и по умолчанию — 20 мегабайт. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 32,768 or greaterпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Event Log Service\Setup\Укажите максимальный размер файла журнала (КБ) Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В более старых шаблонах Microsoft Windows Администратор istrative, этот параметр изначально был назван максимальным размером журнала (КБ), но он был переименован начиная с Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.27.3.2 |
>= 32768 (Registry) (Реестр) |
Критически важно |
| Автоматически впускать последнего интерактивного пользователя после инициирования системой перезапуска (CCE-36977-7) |
Описание: этот параметр политики определяет, будет ли устройство автоматически впускать в систему последнего интерактивного пользователя после того, как центр обновления Windows перезагрузит систему. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn ОС: WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь пользовательского интерфейса: Disabled:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Windows Logon Options\Sign-in last interactive userly автоматически после перезагрузки, инициированной системой Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном WinLogon.admx/adml групповой политики, включенным в состав шаблонов Microsoft Windows 8.1 и Server 2012 R2 Администратор istrative Templates (или более поздней версии).Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1 |
= 1 (Registry) (Реестр) |
Критически важно |
| Укажите интервал для проверка обновлений определений (AZ-WIN-00152) |
Описание: этот параметр политики позволяет задать интервал, с которым нужно проверять наличие обновлений определений. Значение времени представлено как количество часов между обновлениями проверка. Допустимые значения варьируются от 1 (каждый час) до 24 (один раз в день). При включении этого параметра политики наличие обновлений для определений будет проверяться с указанным интервалом. Если этот параметр отключен или не настроен, проверка обновлений для определений будет производиться с интервалом по умолчанию. Путь к ключу: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval ОС: WS2008, WS2008R2, WS2012, WS2012R2 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\Администратор istrative templates\Windows Components\антивирусная программа в Microsoft Defender\Security Intelligence Обновления\Указание интервала проверка для обновлений аналитики безопасности Сопоставления стандартов соответствия: |
= 8 (Registry) (Реестр) |
Критически важно |
| Система: управление поведением журнала событий при достижении максимального размера файла журнала (CCE-36160-0) |
Описание: этот параметр политики управляет поведением журнала событий при достижении максимального размера файла журнала. Если включить этот параметр политики, по достижении максимального размера файла журнала новые события не будут записываться в журнал и будут утеряны. Если этот параметр отключен или не настроен, а файл журнала достигает максимального размера, новые события перезаписывают старые. Примечание. Старые события могут храниться или не сохраняются в соответствии с параметром политики "Автоматическое резервное копирование" в журнале резервного копирования. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Event Log Service\System\Control Event Log Log behavior, когда файл журнала достигает максимального размера Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В старых шаблонах Microsoft Windows Администратор istrative templates этот параметр изначально был назван "Сохранить старые события", но он был переименован начиная с Windows 8.0 и Server 2012 (non-R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.27.4.1 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Система: укажите максимальный размер файла журнала (КБ) (CCE-36092-5) |
Описание: этот параметр политики задает максимальный размер файла журнала в килобайтах. Если этот параметр включен, можно настроить максимальный размер файла журнала, задав его размер между 1 мегабайтом (1024 килобайта) и 2 терабайтами (2 147 483 647 килобайт) с шагом в один килобайт. Если этот параметр политики отключен или не настроен, максимальный размер файла журнала будет установлен на локально настроенное значение. Это значение можно изменить локальным администратором с помощью диалогового окна "Свойства журнала" и по умолчанию — 20 мегабайт. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: 32,768 or greaterпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Event Log Service\System\Укажите максимальный размер файла журнала (КБ) Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики EventLog.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Примечание 2. В более старых шаблонах Microsoft Windows Администратор istrative, этот параметр изначально был назван максимальным размером журнала (КБ), но он был переименован начиная с Windows 8.0 и Server 2012 (не R2) Администратор istrative Templates. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.27.4.2 |
>= 32768 (Registry) (Реестр) |
Критически важно |
| Средствам программы совместимости приложений должен быть запрещен сбор данных и отправка информации в корпорацию Майкрософт. (AZ-WIN-73543) |
Описание. Некоторые функции могут взаимодействовать с поставщиком, отправлять сведения о системе или загружать данные или компоненты для этой функции. Отключение этой возможности позволит предотвратить отправку потенциально конфиденциальной информации за пределы предприятия и предотвратит неконтролируемые обновления системы. Этот параметр не позволит инвентаризации программ собирать данные о системе и отправлять сведения в корпорацию Майкрософт. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory ОС: WS2016, WS2019, WS2022 Тип сервера: член домена Путь групповой политики: конфигурация компьютера\Администратор istrative templates\Windows Components\Application Compatibility\Off Inventory Collector Сопоставления стандартов соответствия: |
= 1 (Registry) (Реестр) |
Информационный |
| Отключить автозапуск (CCE-36875-3) |
Описание: автозапуск начинает чтение с диска сразу после вставки носителя в диск, что приводит к немедленному запуску файла установки для программ или воспроизведению звукового мультимедиа-файла с носителя. Злоумышленник может использовать эту функцию для запуска программы, которая приведет к повреждению компьютера или данных на компьютере. Можно включить параметр "Отключить автозапуск", чтобы отключить функцию автозапуска. По умолчанию автозапуск отключен на некоторых съемных носителях, таких как дискеты и сетевые диски, но не на устройствах чтения компакт-дисков. Важно: данный параметр политики нельзя использовать для включения автозапуска на дисках, на которых он отключен по умолчанию, например, дискетах и сетевых дисках. Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabled: All drivesпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\AutoPlay Policies\Off Autoplay Policies\Off Autoplay Примечание. Этот путь групповой политики предоставляется шаблоном групповой политики AutoPlay.admx/adml, включенным во все версии шаблонов Microsoft Windows Администратор istrative. Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.8.3 |
= 255 (Registry) (Реестр) |
Критически важно |
| Отключить предотвращение выполнения данных для Проводника (CCE-37809-1) |
Описание: отключение предотвращения выполнения данных позволяет некоторым устаревшим подключаемым приложениям работать без завершения работы Проводника. Рекомендуемое состояние для этого параметра — Disabled. Важно: некоторые устаревшие подключаемые приложения и другие программы могут не работать с предотвращением выполнения данных. Для этого конкретного подключаемого модуля или программного обеспечения необходимо определить исключение.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention ОС: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative templates\Windows Components\проводник\Off Data Execution Prevention for Обозреватель Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном Explorer.admx/adml групповой политики, включенным в состав шаблонов Microsoft Windows 7 и Server 2008 R2 Администратор istrative Templates (или более поздней версии).Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Отключить завершение кучи при повреждении (CCE-36660-9) |
Описание: без прерывания кучи при повреждении устаревшие подключаемые приложения могут продолжать работать при повреждении сеанса обозревателя файлов. Предотвращение активного сбоя кучи при сбое необходимо, чтобы не допустить подобного сценария. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\проводник\Отключить завершение кучи при повреждении Примечание. Этот путь групповой политики предоставляется шаблоном Explorer.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates.Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3 |
Не существует или = 0 (Registry) (Реестр) |
Критически важно |
| Выключение возможностей потребителя Microsoft (AZ-WIN-00144) |
Описание: этот параметр политики отключает возможности, которые помогают потребителям наиболее эффективно использовать устройства и учетную запись Майкрософт. Если этот параметр политики включен, пользователи больше не увидят персонализированные рекомендации от корпорации Майкрософт и уведомления о своей учетной записи Майкрософт. Если этот параметр отключен или не настроен, пользователи будут видеть предложения и уведомления от Майкрософт касательно их учетной записи. Важно: этот параметр относится только к корпоративным и образовательным SKU. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\Cloud Content\Off Microsoft Consumer Experiences Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном групповой политики CloudContent.admx/adml, который входит в состав Microsoft Windows 10 выпуска 1511 Администратор istrative Templates (или более поздней версии). Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.14.2 |
Не существует или = 1 (Registry) (Реестр) |
Предупреждение |
| Отключить защищенный режим протокола оболочки (CCE-36809-2) |
Описание: этот параметр политики позволяет настроить объем функциональных возможностей, которые может иметь протокол оболочки. При использовании всех функций этого протокола приложения могут открывать папки и запускать файлы. Защищенный режим сокращает функциональные возможности этого протокола, позволяя приложениям открывать только ограниченный набор папок. Приложения не могут открывать файлы с этим протоколом, если он находится в защищенном режиме. Рекомендуется оставить этот протокол в защищенном режиме, чтобы повысить безопасность Windows. Рекомендуемое состояние для этого параметра — Disabled.Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior ОС: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Disabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Windows Components\проводник\Off shell protocol protected mode Примечание. Этот путь групповой политики предоставляется шаблоном WindowsExplorer.admx/adml групповой политики, включенным во все версии шаблонов Microsoft Windows Администратор istrative templates.Сопоставления стандартов соответствия: Идентификатор платформыимен STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Включение мониторинга поведения (AZ-WIN-00178) |
Описание: этот параметр политики позволяет настроить контроль поведения. Если этот параметр включен или не настроен, контроль поведения будет осуществляться. Если этот параметр отключен, контроль поведения также будет отключен. Путь к ключу: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики. Чтобы установить рекомендуемую конфигурацию с помощью групповой политики, задайте следующий путь Enabledпользовательского интерфейса:Конфигурация компьютера\Policies\Администратор istrative Templates\Компоненты Windows\Антивирусная программа Защитника Windows\Защита в реальном времени\Включение мониторинга поведения Примечание. Этот путь групповой политики может не существовать по умолчанию. Он предоставляется шаблоном WindowsDefender.admx/adml групповой политики, включенным в состав шаблонов Microsoft Windows 8.1 и Server 2012 R2 Администратор istrative Templates (или более поздней версии).Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3 |
Не существует или = 0 (Registry) (Реестр) |
Предупреждение |
| Включение ведения журнала блоков скриптов PowerShell (AZ-WIN-73591) |
Описание. Этот параметр политики включает ведение журнала всех входных данных скрипта PowerShell в Applications and Services Logs\Microsoft\Windows\PowerShell\Operational канал журнала событий. Рекомендуемое состояние для этого параметра — Enabled. Примечание. Если ведение журнала событий запуска и остановки блокировки скриптов включено (параметр проверка ed), PowerShell будет записывать дополнительные события при вызове команды, блока скрипта, функции или скрипта. Включение этого параметра создает большой объем журналов событий. CIS намеренно выбрал не делать рекомендацию по этому варианту, так как она создает большой объем событий. Если организация решит включить необязательный параметр (проверка), это также соответствует тесту.Путь к ключу: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging ОС: WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена, член Рабочей группы Путь групповой политики: конфигурация компьютера\политики\Администратор istrative templates\Windows Components\Windows PowerShell\Включить ведение журнала блоков скриптов PowerShell Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1 |
= 1 (Registry) (Реестр) |
Важно! |
Параметры Windows — параметры безопасности
| Имя. (ID) (Идентификатор) |
Сведения | Ожидаемое значение (Type) (Тип) |
Важность |
|---|---|---|---|
| Назначение квот памяти процессам (CCE-10849-8) |
Описание. Этот параметр политики позволяет пользователю настраивать максимальный объем памяти, доступный для процесса. Возможность настройки квот памяти полезна для настройки системы, но ее можно использовать. В неправильных руках его можно использовать для запуска атаки типа "отказ в обслуживании" (DoS). Рекомендуемое состояние для этого параметра — Administrators, LOCAL SERVICE, NETWORK SERVICE. Примечание. Рядовой сервер, который содержит роль веб-сервера (IIS) со службой роли веб-сервера, потребует особого исключения из этой рекомендации, чтобы пулы приложений IIS получили это право пользователя. Примечание 2. На рядовом сервере с Microsoft SQL Server будет требоваться специальное исключение для этой рекомендации, чтобы предоставить это право дополнительным записям, созданным SQL.Путь к ключу: [Privilege Rights]SeIncreaseQuotaPrivilege ОС: WS2012, WS2012R2, WS2016, WS2019, WS2022 Тип сервера: контроллер домена, член домена Путь групповой политики: конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначение прав пользователей\Настройка квот памяти для процесса Сопоставления стандартов соответствия: Идентификатор платформыимен CIS WS2022 2.2.6 CIS WS2019 2.2.6 |
<= Администратор istrators, Local Service, Network Service (Policy) (Политика) |
Предупреждение |
Примечание.
Возможность использования отдельных определений Политики Azure может отличаться в Azure для государственных организаций и в других национальных облаках.
Следующие шаги
Дополнительные статьи о политике Azure и гостевой конфигурации: