Настройка безопасности корпоративного уровня 5

Область применения

  • Windows 10

Уровень 5 — конфигурация минимального уровня безопасности для корпоративных устройств. Корпорация Майкрософт рекомендует следующую конфигурацию для устройств уровень 5.

Политики

Политики на уровне 5 применения уровнем рациональные безопасности с минимальным влиянием пользователям или приложениям. Корпорация Майкрософт рекомендует использовать методологию кругов эти настройки безопасности и элементов управления, отметив, что временная шкала обычно можно короткие предоставлен ограниченный потенциальное влияние мер безопасности.

Шаблон политики безопасности

Функция Параметр политики Значение политики Описание
Политика паролей Вести журнал паролей 24 Количество уникальных новых паролей, которые должны быть связаны с учетной записью пользователя, прежде чем можно повторно использовать старый пароль.
Политика паролей Минимальная длина пароля 14 Наименьшее число символов, которое может содержать пароль для учетной записи пользователя.
Политика паролей Пароль должен соответствовать требованиям к сложности Включено Определяет, является ли пароли должны соответствовать требованиям к сложности.
1) содержит значение samAccountName (имя учетной записи) пользователя или всей displayName (полное имя value). Ни проверка чувствителен к регистру.
SamAccountName проверяется в полном объеме только для определения того, является ли он частью пароль. Если samAccountName менее трех символов, эта проверка пропускается. DisplayName анализируется для разделителей: запятыми, периоды, тире или переносов, знаки подчеркивания, пробелы, фунт знаков и вкладки. Если какие-либо из этих разделители найдены, разделение displayName и все разделы проанализированный (маркеры) это подтверждает, которые не будут включены в пароль. Маркеры, не более 3 знаков игнорируются, а подстроки маркеров не проверяются. Например, имя «Ирина м. Hagens» делится на три маркера: «Ирина», «M» и «Hagens». Так как второй — только один символ длиной, он игнорируется. Поэтому этот пользователь не может иметь пароль, включенные «Ирина» или «hagens» в качестве подстроки в любом месте пароль.
2) содержат символы из трех следующие категории:
-Прописные буквы европейских языков (A – Z, с помощью знаками, греческий и кириллический символов)
-Строчные буквы европейских языков (до z, sharp-s, с знаками, греческий и кириллический символов)
-Основные 10 цифр (от 0 до 9)
-Не-алфавитно-цифровых символов (специальные символы):
(~! @# $%^&*_-+='|\(){}[]:;» " <>, .? /)
Символы валют, например евро или британский фунт, не рассматриваются как специальные символы для этого параметра политики.
-Все символа Юникода, который относится к категории буквы, но не верхнем или нижнем регистре. Сюда входят символы Юникода с азиатских языков.
Политика паролей Хранить пароли, используя обратимое шифрование Отключено Определяет, будет ли операционная система сохраняет пароли, используя обратимое шифрование.
Параметры безопасности Учетные записи: состояние учетной записи «Гость» Отключено Определяет, включен ли учетная запись гостя.
Параметры безопасности Член домена: отключить изменение пароля учетных записей компьютера Отключено Определяет, будет ли член домена периодически менять пароль учетной записи компьютера.
Параметры безопасности Член домена: максимальный срок действия пароля учетных записей компьютера 30 Определяет, как часто член домена будет пытаться изменить пароль учетной записи компьютера
Параметры безопасности Член домена: требовать стойкий сеансовый ключ (Windows 2000 или выше) Включено Определяет, является ли 128-разрядное для шифрования данных безопасного канала
Параметры безопасности Интерактивный вход в систему: предел простоя компьютера 900 Количество секунд бездействия до сеанс заблокирован
Параметры безопасности Контроль учетных записей пользователей: Режим одобрения администратором для встроенной учетной записи администратора Включено Встроенную учетную запись администратора использует режим одобрения администратором — любая операция, которая требует привилегий предложит пользователю утвердить эта операция
Параметры безопасности Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором Запрос согласия на безопасный рабочий стол Если операция требует привилегий, пользователю предлагается ввести имя привилегированного пользователя и пароль на безопасный рабочий стол. Если пользователь вводит действительные учетные данные, выполнение операции продолжится с максимально допустимым уровнем прав пользователя.
Параметры безопасности Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав Включено При обнаружении установочного пакета приложения, требующий привилегий, пользователю будет предложено ввести имя пользователя-администратора и пароля. Если пользователь вводит действительные учетные данные, выполнение операции продолжится с допустимыми правами.
Параметры безопасности Контроль учетных записей пользователей: Все администраторы работают в режиме одобрения администратором Включено Необходимо включить эту политику, а связанные параметры политики контроля учетных Записей необходимо также установить соответствующим образом разрешить встроенную учетную запись администратора и всех других пользователей, которые являются членами группы "Администраторы" для запуска в режиме одобрения администратором.
Параметры безопасности Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя Включено Этот параметр политики определяет сбоев записи в приложении перенаправляются в определенных реестра и файловой системы расположения. Этот параметр политики позволяет бороться с попытками приложений, запуск от имени администратора и записи данных во время выполнения приложения в % ProgramFiles %, % Windir %, % Windir%\system32 или HKLM\Software.
Назначение прав пользователя Доступ к диспетчеру учетных данных от имени доверенного вызывающего Никто (пусто) Этот параметр используется в диспетчере учетных данных во время резервного копирования/восстановления. Учетные записи не должен иметь этого полномочия, как только оно присваивается Winlogon. Сохраненные учетные данные пользователей могут быть скомпрометированы, если эта привилегия устанавливается с другими объектами.
Назначение прав пользователя Работа в режиме операционной системы Никто (пусто) Это право пользователя позволяет процессу, чтобы представиться любого пользователя без проверки подлинности. Процесс таким образом можно получить доступ к тем же локальным ресурсам, что и пользователь.
Назначение прав пользователя Локальный вход в систему Администраторы; Пользователи Определяет, какие пользователи могут войти на компьютер
Назначение прав пользователя Архивация файлов и каталогов Администраторы Определяет, какие пользователи могут файлов и каталогов, реестра и другие разрешения постоянный объект в целях резервного копирования в системе
Назначение прав пользователя Создание файла подкачки Администраторы Определяет, какие пользователи и группы можно вызвать внутренний интерфейс (API) для создания и изменить размер файла подкачки
Назначение прав пользователя Создание маркерного объекта Никто (пусто) Определяет, какие учетные записи могут использоваться процессами для создания токен, который затем можно использовать для получения доступа к любым локальным ресурсам, когда процесс использует внутренний интерфейс (API) для создания маркера доступа.
Назначение прав пользователя Создание глобальных объектов Администраторы; ЛОКАЛЬНАЯ СЛУЖБА; СЕТЕВАЯ СЛУЖБА; СЛУЖБЫ Этот параметр безопасности определяет, является ли пользователи могут создавать глобальные объекты, которые доступны для всех сеансов.
Назначение прав пользователя Создание постоянных общих объектов Никто (пусто) Определяет, какие учетные записи могут использоваться процессами для создания объектов каталога с помощью диспетчера
Назначение прав пользователя Создание символических ссылок Администраторы Определяет, если пользователь может создать символическую ссылку на компьютере, который он вошел в систему
Назначение прав пользователя Отладка программ Администраторы Определяет, какие пользователи могут запускать отладчик к любому процессу или ядру. Разработчикам, выполняющим отладку собственных приложений, не нужно назначить это право пользователя. Это право делать это понадобится разработчикам для отладки новых системных компонентов. Это право обеспечивает полный доступ к важным системные компоненты.
Назначение прав пользователя Отказ в доступе к компьютеру из сети Гостевые ОС; Учетная запись NT AUTHORITY\Local Определяет, какие пользователи не могут получить доступ к компьютеру по сети. Эта политика отменяет доступ к этому компьютеру из сети параметра политики Если учетной записи пользователя, распространяются обе политики.
Назначение прав пользователя Запретить локальный вход Гости Определяет, какие пользователи не могут входить в систему на компьютере. Эта политика отменяет разрешить вход в систему параметр, если учетная запись, распространяются обе политики.
Назначение прав пользователя Запретить вход в систему через службу удаленных рабочих столов Гостевые ОС; Учетная запись NT AUTHORITY\Local Определяет, какие пользователи и группы, не могут входить в систему в качестве клиента служб удаленных рабочих столов
Назначение прав пользователя Принудительное удаленное завершение работы Администраторы Определяет, кто из пользователей может завершить работу компьютера из удаленного расположения в сети. Неправильное использование этого права пользователя может привести к отказу в обслуживании.
Назначение прав пользователя Увеличение приоритета выполнения Администраторы Определяет, какие учетные записи могут использовать процесс записи свойство доступ к другим процессом для увеличения приоритета выполнения, назначенного для другого процесса. Пользователь с этой привилегии можно изменить приоритет выполнения процесса через пользовательский интерфейс диспетчера задач.
Назначение прав пользователя Загрузка и выгрузка драйверов устройств Администраторы Определяет, какие пользователи могут динамически Загрузка и выгрузка драйверов устройств или другой код в режиме ядра. Это право пользователя не применяется для драйверов устройств Plug and Play.
Назначение прав пользователя Управление журналом аудита и безопасности Администраторы Определяет, какие пользователи могут задавать параметры аудита для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра доступ к объекту.
Назначение прав пользователя Изменение параметров среды оборудования Администраторы Определяет, кто может изменять среды изготовителя. Переменные среды встроенного по, параметры, хранящиеся в энергонезависимой памяти не под управлением x86 компьютеров. Эффект параметра зависит от процессора.
Назначение прав пользователя Восстановление файлов и каталогов Администраторы Определяет, какие пользователи могут файлов, каталогов, реестра и другие постоянные объекты разрешения при восстановлении резервных копий файлов и каталогов и определяет, какие пользователи могут устанавливать любого действительного участника безопасности владельцем объекта
Назначение прав пользователя Смена владельцев файлов и других объектов Администраторы Определяет, какие пользователи могут становиться владельцем любых объектов безопасности в системе, включая объекты Active Directory, файлы и папки, принтеры, разделы реестра, процессы и потоки

Расширенные политики аудита

Функция Параметр политики Значение политики Описание
Вход учетной записи Аудит проверки учетных данных Успешных и ошибочных Аудит события, создаваемые проверочные тесты на учетные данные учетной записи пользователя. Происходит только на компьютере, который отвечает за эти учетные данные.
Управление учетными записями Аудит управления группами безопасности Выполнено Аудит события, создаваемые изменения в группы безопасности, такие как создание, изменение или удаление групп безопасности, добавлять или удалять элементы или изменять тип группы.
Управление учетными записями Аудит управления учетными записями пользователей Успешных и ошибочных Аудит изменения учетных записей пользователей. События включают в себя создание, изменение, удаление учетных записей; Переименование, отключение, включение, блокировки или разблокирование учетных записей; Настройка или изменение пароля учетной записи пользователя; Добавление идентификатор безопасности (SID) в журнал SID учетной записи пользователя; Настройка пароль режима восстановления служб каталогов; Изменение разрешений для административных учетных записей пользователей; резервное копирование и восстановление учетных данных диспетчера учетных данных
Подробное отслеживание Аудит активности PNP Выполнено Аудит обнаружение внешнего устройства plug and play
Подробное отслеживание Аудит создания процессов Выполнено Аудит событий, созданные при процесс создания и запуска; имя пользователя, созданный процесс или приложение также находится в режиме аудита
Вход в систему и выход из системы Аудит блокировки учетных записей Сбой Аудит события, создаваемые при неудачной попытке войти в учетную запись, блокируется
Вход в систему и выход из системы Аудит участия в группе Выполнено Аудит данные о членстве в группах в маркере входа пользователя. События в этой подкатегории создаются на компьютере, на котором будет создан сеанс входа в систему. Для интерактивного входа в систему событие аудита безопасности создается на компьютере, на котором пользователь вошел в систему. Для сетевого входа, например при доступе к общей папке в сети событие аудита безопасности создается на компьютере, на котором размещен ресурс.
Вход в систему и выход из системы Аудит входа в систему Успешных и ошибочных Аудит события, создаваемые попыток входа учетной записи пользователя на компьютере
Вход в систему и выход из системы Аудит других вход / выход из системы событий Успешных и ошибочных Аудит других событий входа в систему и выход из системы, связанным, которые не рассматриваются в параметре политики «Вход/выход из системы», например отключения сеанса служб терминалов, новые сеансов служб терминалов блокировки и разблокировки рабочей станции, вызов или закрытия экранной заставки, Определение Kerberos воспроизведения атаки и получение доступа к беспроводной сети строятся с учетной записью пользователя или компьютера
Вход в систему и выход из системы Аудит специального входа Выполнено Аудит события, создаваемые специальные входа, например использование специального входа, которое является входа в систему с правами администратора эквивалент, позволяет повысить уровень процесса на более высокий уровень, или входа в систему с членом группы специальных (специальные группы позволяют аудит ev создается, когда членом определенной группой ents входа в систему к сети)
Доступ к объектам Аудит сведений об общем файловом ресурсе Сбой Аудит пытается получить доступ к файлам и папкам в общей папке; параметр подробные файловый ресурс записывает в журнал событие каждый раз, когда доступ к файлу или папке
Доступ к объектам Аудит общего файлового ресурса Успешных и ошибочных Аудит пытается получить доступ к общей папке; событие аудита создается при попытке доступа к общей папке
Доступ к объектам Аудит других событий доступа к объектам Успешных и ошибочных Аудит событий, созданные системой управления задания планировщика заданий или COM + объектов
Доступ к объектам Аудит съемного носителя Успешных и ошибочных Аудит пользователь пытается получить доступ к объектов файловой системы на съемное запоминающее устройство. Событие аудита безопасности создается только для всех объектов для всех типов Запрошенный доступ.
Изменения политики Аудит изменения политики аудита Выполнено Аудит изменения в параметрах политики аудита безопасности
Изменения политики Аудит изменения политики проверки подлинности Выполнено Аудит событий, созданные путем изменения политики проверки подлинности
Изменения политики Аудит изменения политики на уровне правил MPSSVC Успешных и ошибочных Аудит события, создаваемые изменения правил политики используется служба защиты Microsoft (MPSSVC). Эта служба используется брандмауэром Windows.
Изменения политики Аудит других событий изменения политики Сбой Аудит события, создаваемые другие изменения политики безопасности, которые не отслеживаются в категории изменения политики, например изменения конфигурации доверенного платформенного модуля (TPM), шифрования собственный тесты в режиме ядра, поставщик служб шифрования операций шифрования контекст операции изменения, применения изменений централизованные политики доступа (CAPs) или данных конфигурации загрузки изменений
Использование прав Аудит использования привилегий, затрагивающих конфиденциальные данные Успешных и ошибочных Аудит событий, созданные при использовании конфиденциальные права (права)
Система Аудит других системных событий Успешных и ошибочных Аудит какие-либо из следующих событий: запуск и завершение работы службу брандмауэра Windows и драйвера, обработка, служба брандмауэра Windows, файл ключа шифрования и операций миграции политики безопасности.
Система Аудит изменения состояния безопасности Выполнено Аудит события, создаваемые изменения в состоянии безопасности компьютера, такие как запуск и завершение работы компьютера, изменение системного времени, восстановление системы из CrashOnAuditFail, который записывается после перезагрузки системы при заполнении журнала событий безопасности и Запись реестра CrashOnAuditFail настроен.
Система Аудит расширения системы безопасности Выполнено Аудит событий, связанных с расширения системы безопасности или службы
Система Аудит целостности системы Успешных и ошибочных Аудит событий, которые нарушают целостность подсистема безопасности

Политики брандмауэра Защитника Windows

Функция Параметр политики Значение политики Описание
Профиль домена / ведения журнала Журнал отброшенных пакетов Да Включение регистрации потерянных пакетов для подключения к домену
Профиль домена / ведения журнала Записывать успешные подключения Да Включение регистрации успешных подключений для подключения к домену
Профиль домена / ведения журнала Ограничение на размер 16384 Задает размер файла журнала брандмауэра для подключения к домену
Профиль домена / параметры Отобразить уведомление Нет Отображение уведомлений для пользователя включена, если программы запрещено принимать входящие подключения в профиль домена
Профиль домена / состояния Состояние брандмауэра Включено Включает брандмауэр при подключении к профилю домена
Профиль домена / состояния Входящие подключения Блокировка Незапрошенный входящие подключения, для которых нет правил разрешает соединение будут блокироваться в профиль домена
Частный профиль / ведения журнала Журнал отброшенных пакетов Да Включение регистрации потерянных пакетов для закрытое подключение
Частный профиль / ведения журнала Записывать успешные подключения Да Включение регистрации успешных подключений для закрытое подключение
Частный профиль / ведения журнала Ограничение на размер 16384 Задает размер файла журнала брандмауэра для закрытое подключение
Частный профиль и параметры Отобразить уведомление Нет Отображение уведомлений для пользователя включена, если программы запрещено принимать входящие подключения по протоколу частного профиля
Частный профиль / состояния Состояние брандмауэра Включено Включает брандмауэр при подключении к частному профилю
Частный профиль / состояния Входящие подключения Блокировка Незапрошенный входящие подключения, для которых нет правил разрешает соединение будут блокироваться в частном профиле
Общего профиля / ведения журнала Журнал отброшенных пакетов Да Включение регистрации потерянных пакетов для общедоступного подключения
Общего профиля / ведения журнала Записывать успешные подключения Да Включение регистрации успешных подключений для общедоступного подключения
Общего профиля / ведения журнала Ограничение на размер 16384 Задает размер файла журнала брандмауэра для общедоступного подключения
Общего профиля и параметров Применить локальные правила безопасности подключения Нет Гарантирует, что локальные правила подключения, не будут внесены с помощью параметров групповой политики в домене
Общего профиля и параметров Применить локальные правила брандмауэра Нет Пользователи не могут создавать новые правила брандмауэра
Общего профиля и параметров Отобразить уведомление Нет Отображение уведомлений для пользователя включена, если программы запрещено принимать входящие подключения в общем профиле
Общего профиля / состояния Состояние брандмауэра Включено Включает брандмауэр при подключении к общего профиля
Общего профиля / состояния Входящие подключения Блокировка В общем профиле будут блокироваться непредусмотренные входящие подключения, для которых нет правил разрешает соединение

Политики компьютера

Функция Параметр политики Значение политики Описание
Сети / Lanman рабочей станции Включение небезопасных гостевой вход в систему Отключено Определяет, если клиент SMB позволит незащищенной гостевой вход в систему на сервере SMB
Система / охранные устройства Включение виртуализации на основе безопасности Включен: Безопасная загрузка и защита DMA Указывает, включена ли средство обеспечения безопасности на основе виртуализации. Средство обеспечения безопасности на основе виртуализации использует гипервизор Windows для обеспечения поддержки служб безопасности. Средство обеспечения безопасности на основе виртуализации требуется функция безопасной загрузки и при необходимости можно включить с помощью средства защиты DMA. Меры защиты DMA нуждаются в поддержке оборудования, а также будут включены только на устройствах с правильно настроено.
Система / ранний запуск защиты от вредоносных программ Политика инициализации драйверов загрузки-меню "Пуск" Включен: Хорошо, неизвестных и плохой текст, но критических Позволяет указать, какие драйверы запуска инициализируются на основе классификации, определяется драйвером запуска ранний запуск защиты от вредоносных программ.
Система / Управление питанием / параметры спящего режима Требовать пароль при выходе из спящего режима (питание от батареи) Enabled Указывает, является ли пользователю предлагается ввести пароль при выходе из спящего режима
Система / Управление питанием / параметры спящего режима Требовать пароль при выходе из спящего режима (питание от сети) Enabled Указывает, является ли пользователю предлагается ввести пароль при выходе из спящего режима
Система / удаленного вызова процедур Ограничить доступ клиентов, не прошедших проверку подлинности RPC Включен: проверка подлинности Определяет, как среда выполнения сервер RPC обрабатывает подключение к серверам RPC без проверки подлинности RPC-клиентов.
Компоненты Windows / среды выполнения приложения Разрешить учетных записей Майкрософт необязательным Включено Позволяет контролировать ли учетные записи Майкрософт являются необязательными для приложений магазина Windows, требуется учетная запись для входа. Эта политика влияет только на приложения магазина Windows, которые его поддерживают.
Компоненты Windows / политики автозапуска Запрещает автозапуска для устройства Включено Запрещает автозапуска для MTP устройств, таких как камеры и телефонов.
Компоненты Windows / политики автозапуска Задать поведение по умолчанию для автоматического запуска Включен: Выполнение команды автозапуска Задает поведение по умолчанию для команд автозапуска.
Компоненты Windows / политики автозапуска Отключить автозапуск Включен: Все диски Позволяет отключить функцию автозапуска.
Компоненты Windows / биометрических данных / лица функции Настроить защиту от подделок Включено Определяет, необходима ли улучшенную защиту от подделок для распознавания лиц Windows Hello
Компоненты Windows / шифрование диска BitLocker Выберите диск метод шифрования и строгость шифра (Windows 10) Включен: XTA-AES-256 для дисков операционной системы и фиксированных дисков и AES-CBC-256 для съемных носителей Позволяет настроить алгоритм и шифров шифра, используемый компонентом шифрования диска BitLocker. Этот параметр политики применяется при включении BitLocker.
Компоненты Windows / шифрование диска BitLocker Отключите новые устройства с DMA, если компьютер заблокирован Включено Позволяет блокировать прямой доступ к памяти (DMA) для всех Thunderbolt "горячие" подключаемых портов PCI подчиненный входе пользователя в систему в Windows
Компоненты Windows / шифрование диска BitLocker / диски операционной системы Разрешить Расширенные ПИН-коды для запуска Включено Позволяет настроить ли ПИН-коды расширенного запуска используются в BitLocker
Компоненты Windows / шифрование диска BitLocker / диски операционной системы Разрешить безопасной загрузки для проверки целостности Включено Позволяет указать, должны ли безопасная загрузка будет разрешено поставщиком целостности платформы для дисков операционной системы для BitLocker.
Компоненты Windows / журнала событий службы или приложения Укажите максимальный размер файла журнала (КБ) Включен: 32768 Задает максимальный размер файла журнала в килобайтах.
Компоненты Windows / службы журнала событий и безопасности Укажите максимальный размер файла журнала (КБ) Включен: 196608 Задает максимальный размер файла журнала в килобайтах.
Компоненты Windows / службы журнала событий и системы Укажите максимальный размер файла журнала (КБ) Включен: 32768 Задает максимальный размер файла журнала в килобайтах.
Компоненты Windows / Microsoft Edge Настройка фильтра SmartScreen Защитника Windows Включено Указать, следует ли включить фильтр SmartScreen Защитника Windows для предоставления предупреждающие сообщения, чтобы защитить ваших сотрудников от потенциальных угроз фишинга и вредоносных программ
Компоненты Windows / SmartScreen Защитника Windows / Explorer Настройка фильтра SmartScreen Защитника Windows Предупреждать и запрещать обход Позволяет включить или выключить фильтр SmartScreen Защитника Windows
Компоненты Windows / Microsoft Edge Запретить обходить запросы фильтра SmartScreen Защитника Windows для файлов Включено С помощью этого параметра политики вы можете разрешить или запретить сотрудникам переопределять предупреждения фильтра SmartScreen Защитника Windows касательно скачивания непроверенных файлов.
Компоненты Windows / SmartScreen Защитника Windows и Microsoft Edge Запретить обходить запросы фильтра SmartScreen Защитника Windows для сайтов Включено Вы можете разрешить или запретить сотрудникам переопределять предупреждения фильтра SmartScreen Защитника Windows о потенциально вредоносных веб-сайтов
Компоненты Windows / установщика Windows Разрешите пользовательских элементов управления над установки Отключено Разрешает пользователям изменять параметры установки, как правило, доступные только для системных администраторов
Компоненты Windows / установщика Windows Всегда устанавливайте с более высоким уровнем прав Отключено Указывает установщику Windows использовать повышенным уровнем разрешений при установке любой программы в системе
Компоненты Windows / Параметры входа в Windows Вход последнего текущего пользователя автоматически после перезапуска, инициированные системой Отключено Определяет ли устройство будет автоматически вход последнего текущего пользователя после перезагрузки системы центра обновления Windows
Компоненты Windows / удаленного управления Windows (WinRM) и клиент WinRM Разрешить незашифрованный трафик Отключено Управление ли клиент удаленного управления Windows (WinRM) отправляет и получает незашифрованные сообщения по сети
Компоненты Windows / удаленного управления Windows (WinRM) и служба удаленного управления Windows Разрешить незашифрованный трафик Отключено Управление ли служба удаленного управления Windows (WinRM) отправляет и получает незашифрованные сообщения по сети.

Политики антивирусной программы Защитника Windows

Функция Параметр политики Значение политики Описание
Компоненты Windows / Защитник Windows Отключить использование антивирусной программы "Защитник Windows" Отключено Отключает Защитника Windows
Компоненты Windows / Защитник Windows Настройка обнаружения потенциально нежелательных приложений Включено: аудит Включение или отключение обнаружения потенциально нежелательных приложений. Вы можете заблокировать, аудита или разрешить во время потенциально нежелательных программ, загружается или пытается установиться на компьютере.
Компоненты Windows / Защитник Windows / КАРТЫ Присоединиться к Microsoft MAPS Включен: Расширенные СОПОСТАВЛЕНИЯ Дает возможность присоединиться к Microsoft MAPS. Microsoft MAPS это Интернет-сообщество, помогающее выбрать как реагировать на потенциальных угроз. Сообщество также помогает остановить распространение новых заражение вредоносных программ.
Компоненты Windows / Защитник Windows / КАРТЫ Отправлять образцы файлов, если требуется дальнейший анализ Включен: Отправлять безопасные образцы Настраивает поведение отправки образцов, если для телеметрии "карты" имеет значение
Компоненты Windows / Защитник Windows защиты антивирусной программы или в режиме реального времени Отключить защиту в реальном времени Отключено Отключает запросы защиты в реальном времени для обнаружения известных вредоносных программ
Компоненты Windows / Защитник Windows защиты антивирусной программы или в режиме реального времени Включить наблюдение за поведением Включено Позволяет настроить контроля поведения.
Компоненты Windows / Защитник Windows / сканирования Проверять съемные носители Включено Позволяет управлять проверки наличия вредоносных программ и нежелательных программ в содержимом съемные носители, такие как флэш-накопитель USB, при запуске полной проверки.
Компоненты Windows / Защитник Windows / сканирования Задать интервал ежедневного запуска быстрых проверок 24 Позволяет задать интервал для выполнения быстрой проверки. Значение времени представляется как количество часов между быстрых проверок. Допустимый диапазон значений — от 1 (каждый час) до 24 (один раз в день).
Компоненты Windows / Защитник Windows / сканирования Включить проверку электронной почты Включено Позволяет настроить электронной почты. При включенном электронной почты, обработчик проверяет почтовый ящик и файлы, согласно их определенного формата, чтобы анализируя текст сообщений и вложения

Политики для пользователя

Функция Параметр политики Значение политики Описание
Панель задач и меню Пуск и уведомления Отключить всплывающие уведомления на экране блокировки Включено Отключает всплывающие уведомления на экране блокировки.
Компоненты Windows / содержимое облака Не предлагать содержимое сторонних разработчиков в Windows: интересное Включено Windows: интересное возможности, такие как прожектора экран блокировки, рекомендуемые приложения в меню "Пуск" и советы по использованию Windows больше не будут предлагаться приложений и содержимого от сторонних издателей

Политики компьютера IE

Функция Параметр политики Значение политики Описание
Компоненты Windows / Internet Explorer Запрет управления фильтрами SmartScreen Включен: на Запрещает пользователям управлять фильтром SmartScreen, который предупреждает пользователя, если посещений веб-сайта известен попытках незаконного сбора личных данных через «фишинг», а также известно узла вредоносных программ.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница «Дополнительно» Проверка наличия отзыва сертификата сервера Включено Позволяет управлять ли Internet Explorer будет проверять состояние отзыва сертификатов сервера
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Не выполнять антивредоносные программы для элементов ActiveX Включен: отключить Определяет, работает ли Internet Explorer программы защиты от вредоносных программ в элементах ActiveX, как проверить наличие безопасность их загрузки на страницах.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Включить фильтр межсайтовых сценариев Включен: Включение Элементы управления ли фильтр межсайтовых сценариев (XSS) будет обнаруживать и предотвращать межсайтовых сценариев injections на веб-сайтах в этой зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Включить защищенный режим Включен: Включение Позволяет включить защищенный режим. Защищенный режим помогает защитить Internet Explorer уязвимость путем уменьшения расположения, Internet Explorer можно записать в реестре и файловой системе.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Включить проверку фильтр SmartScreen Включен: Включение Управляет ли фильтр SmartScreen проверяет страницах в этой зоне для вредоносного содержимого.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Использовать блокирование всплывающих окон Включен: Включение Позволяет управлять появлением нежелательных всплывающих окон. Всплывающие окна, открывающиеся, когда пользователь щелкает ссылку не блокируются.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона интрасети Не выполнять антивредоносные программы для элементов ActiveX Включен: отключить Определяет, работает ли Internet Explorer программы защиты от вредоносных программ в элементах ActiveX, как проверить наличие безопасность их загрузки на страницах.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона интрасети Разрешения на языке Java Включен: Высокий уровень безопасности Позволяет управлять разрешениями для приложений Java. Высокая безопасность: разрешить приложениям работать в песочнице. Отключите Java, чтобы предотвратить запуск всех приложений.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона локального компьютера Не выполнять антивредоносные программы для элементов ActiveX Включен: отключить Определяет, работает ли Internet Explorer программы защиты от вредоносных программ в элементах ActiveX, как проверить наличие безопасность их загрузки на страницах.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / Заблокированная зона Интернета Включить проверку фильтр SmartScreen Включен: Включение Управляет ли фильтр SmartScreen проверяет страницах в этой зоне для вредоносного содержимого.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / Заблокированная зона ограниченных сайтов Включить проверку фильтр SmartScreen Включен: Включение Управляет ли фильтр SmartScreen проверяет страницах в этой зоне для вредоносного содержимого.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Не выполнять антивредоносные программы для элементов ActiveX Включен: отключить Определяет, работает ли Internet Explorer программы защиты от вредоносных программ в элементах ActiveX, как проверить наличие безопасность их загрузки на страницах.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Включить фильтр межсайтовых сценариев Включен: Включение Элементы управления ли фильтр межсайтовых сценариев (XSS) будет обнаруживать и предотвращать межсайтовых сценариев injections на веб-сайтах в этой зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Включить защищенный режим Включен: Включение Позволяет включить защищенный режим. Защищенный режим помогает защитить Internet Explorer уязвимость путем уменьшения расположения, Internet Explorer можно записать в реестре и файловой системе.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Включить проверку фильтр SmartScreen Включен: Включение Управляет ли фильтр SmartScreen проверяет страницах в этой зоне для вредоносного содержимого.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / Заблокированная зона надежных сайтов Разрешения на языке Java Включен: Включение Позволяет настраивать параметры политики в соответствии с выбранным уровнем безопасности, низкий, средний, или высокой по умолчанию.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Использовать блокирование всплывающих окон Включен: Включение Позволяет управлять появлением нежелательных всплывающих окон. Всплывающие окна, открывающиеся, когда пользователь щелкает ссылку не блокируются.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / надежных сайтов Не выполнять антивредоносные программы для элементов ActiveX Включен: отключить Определяет, работает ли Internet Explorer программы защиты от вредоносных программ в элементах ActiveX, как проверить наличие безопасность их загрузки на страницах.
Компоненты Windows / Internet Explorer / функции безопасности Разрешить возврат к SSL 3.0 (Internet Explorer) Включен: Не сайтов Позволяет блокировать небезопасных перейдут на SSL 3.0. Если эта политика включена, Internet Explorer будет пытаться подключиться для сайтов, с помощью протокола SSL 3.0 или ниже при сбое TLS 1.0 или более поздней версии.

LAPS

Скачайте и установите Microsoft локального администратора пароль решение (LAP).

Функция Параметр политики Значение политики Описание
LAPS Включите управление паролями локального администратора Включено Активирует LAPS для устройства

Пользовательские политики

Функция Параметр политики Значение политики Описание
Конфигурация компьютера / Административные шаблоны / руководство по безопасности MS Применить ограничения контроля учетных Записей для локальных учетных записей на вход в сеть Включено Фильтрует маркер учетной записи пользователя для учетных записей встроенной учетной записи администратора при входе в сеть

Службы

Функция Параметр политики Значение политики Описание
Запланированная задача XblGameSaveTask Отключено Синхронизирует сохранить данные для Xbox Live игр с поддержкой сохранить
Службы Служба управления приложение Xbox Отключено Управляет подключенных аксессуаров Xbox
Службы Мониторинга игр Xbox Отключено Следит за воспроизводимого игры для Xbox
Службы Xbox Live Auth Manager Отключено Предоставляет службы проверки подлинности и авторизации для интерактивных с Xbox Live
Службы Xbox Live сохранить игры Отключено Синхронизирует сохранить данные для Xbox live сохранить включен игры
Службы Xbox Live сетевые службы Отключено Поддерживает Windows.Networking.XboxLive API

Элементы управления

Элементы управления в уровень 5 применения уровнем рациональные безопасности с минимальным влиянием на пользователей и приложений.

Функция Config Описание
EDR ATP в Защитнике Windows Развернуты на всех устройствах Обнаружения конечной точки ATP в Защитнике Windows и отклика (EDR) предоставляет активные и ближней защиту в реальном времени расширенных атак. EDR поможет аналитикам безопасности, и объединяет оповещений с теми же значениями атаки методы или атрибутами, же злоумышленник в сущности под названием инцидента. Происшествий поможет аналитикам назначение приоритетов оповещения, совместно исследовать полный область бреши в системе безопасности и реагировать на угрозы. EDR ATP в Защитнике Windows не ожидается, влияет на работу пользователей и приложений, и он может быть развернут на всех устройствах за один шаг.
Credential Guard в Защитнике Windows Включена для всех совместимое оборудование Credential Guard в Защитнике Windows использует средство обеспечения безопасности на основе виртуализации для защиты секретов он таким образом, чтобы доступ к ним только системное программное обеспечение. Несанкционированный доступ к секретам может привести к атакам, направленным на кражу учетных данных, например Pass-the-Hash или Pass-The-Ticket. Credential Guard в Защитнике Windows предотвращает эти атаки, защищая хэши паролей NTLM, билеты билетов Kerberos Ticket TGT и учетные данные, хранящиеся в приложениях в качестве учетных данных домена. Небольшой риск для обеспечения совместимости приложений, как прекратят Если потребуется приведенное NTLMv1, шифрование Kerberos DES, Kerberos неограниченное делегирование или извлечение Keberos билет службы; Таким образом корпорация Майкрософт рекомендует развертывать Credential Guard с помощью методологию кругов.
Microsoft Edge Браузер по умолчанию Microsoft Edge в Windows 10 обеспечивает более высокую безопасность, чем Internet Explorer 11 (IE11). Хотя по-прежнему может потребоваться использовать Internet Explorer 11 для обеспечения совместимости с несколько сайтов, корпорация Майкрософт рекомендует Настройка Microsoft Edge как браузер по умолчанию и сборке списка сайтов режима предприятия для перенаправления в Internet Explorer 11 только для этих сайтов, которым он требуется. Корпорация Майкрософт рекомендует использовать Windows Analytics или Enterprise Site Discovery для создания начальной список сайтов в режиме предприятия, а затем постепенно развернуть эту конфигурацию с помощью методологию кругов.
Application Guard в Защитнике Windows Включить на совместимое оборудование Application Guard в Защитнике Windows использует подход с аппаратной изоляции. Если сотрудник переходит на ненадежный сайт через Microsoft Edge или Internet Explorer, Microsoft Edge сайт открывается в изолированном контейнере, который осуществляется отдельно от операционной системы узла и включаемые по Hyper-V. Если ненадежный сайт окажется вредоносным, изолированного контейнера защищает главным Компьютером и злоумышленник не может получить доступ к корпоративным данным. Есть небольшой риск, для обеспечения совместимости приложений, для некоторых приложений может потребовать взаимодействия с главным Компьютером, но пока не в список доверенных веб-сайты для Application Guard. Корпорация Майкрософт рекомендует использовать Windows Analytics или Enterprise Site Discovery для создания начальной параметры сетевой изоляции, а затем постепенно развернуть эту конфигурацию с помощью методологию кругов.

Поведение

Поведение, рекомендуется использовать на уровне 5 применения уровнем рациональные безопасности с минимальным влиянием пользователям или приложениям.

Функция Config Описание
Обновления для безопасности ОС Развертывание исправлений Windows в течение 7 дней после выпуска По мере время между выпуском участка и эксплойта основании обратное проектирование указанного участка сжать важнейшим аспектом безопасности санации хорошо проводит engineering процесс, который быстро проверяет и развертывает исправления, решения уязвимости системы безопасности.